2025年はランサムウェア攻撃件数が50%増加する一方、身代金を支払う被害者数は過去最低となりました。それでも攻撃の規模や巧妙さ、業務停止や信頼低下を含む影響は広がっており、支払い総額だけでは実態を捉えきれません。被害の全体像を見直し、組織として備えを強化し続ける必要があります。

フィッシングシミュレーションは、従業員の行動リスクを可視化し、改善につなげる有効な手段です。進化する攻撃手口に合わせて内容を継続的に見直すことで、組織は見えにくい弱点を把握し、防御力と対応力を高めやすくなります。AI時代の現実的な訓練設計が重要であり、継続的な検証が欠かせません。

AIを悪用した不正攻撃が急増し、医療・小売分野でも被害が広がっています。攻撃者はボットやディープフェイクを使い、偵察からなりすまし、アカウント侵害までを効率化し、低コストかつ高速に大規模な攻撃を仕掛ける動きを強めています。見直しが必要です。

正規のMicrosoftドメインとデバイスコード認証を悪用し、被害者自身にログインと多要素認証を完了させた後でOAuthトークンを奪う高度なフィッシングが北米で進行しています。Microsoft 365環境への継続的なアクセスを許す仕組みと、組織が急ぐべき検知・遮断・運用面の対策を整理します。

公共部門では、絶え間ないサイバー脅威、人手と予算の不足、複雑化する規制対応が重なり、技術だけに頼る防御では限界があります。政府機関や教育機関が市民と学生の情報、重要サービスを守り、組織のレジリエンスを高めるには、今、従業員を防御層として生かすヒューマンリスクマネジメントが重要です。