NTTデータグループは5月20日、サイバーセキュリティに関するグローバル動向四半期レポート(2025年度第2四半期)を公開した。その概要は以下のとおり。
このレポートは、NTTデータのCSIRT組織「NTTDATA-CERT」が、2025年度第2四半期における世界のサイバーセキュリティ動向を分析したもの。主なテーマは、SBOM(Software Bill of Materials)、証券口座乗っ取り、超大規模DDoS攻撃、Chromiumゼロデイ脆弱性である。
まず注目トピックとして扱われているのがSBOM。SBOMは、ソフトウェアを構成するOSSやライブラリ、モジュールなどの一覧表で、「ソフトウェアの材料表」とも呼ばれる。
近年、Log4j問題やxz backdoor事件など、OSS由来の脆弱性が大規模被害を招いたことで、世界的に重要性が高まっている。米国では大統領令14028を契機に、政府調達でSBOM提出が事実上求められるようになり、日本でも経済産業省が導入手引を整備するなど制度化が進む。
しかし、国内企業での導入は遅れている。調査では「SBOMを詳しく理解している」担当者は7%程度にとどまり、「導入予定なし」が約8割に達した。背景には、サプライヤーからSBOMを取得できない、情報が不足している、フォーマットが統一されていないといった課題がある。
また、SBOMを導入しても、脆弱性対応プロセスや継続的な更新管理が整備されていなければ効果を発揮できないと指摘する。レポートは、契約段階でSBOM提出を求めることや、SCAツールによる自動管理、経営層を巻き込んだ推進体制の必要性を提言している。
次に取り上げられているのが、2025年に国内で急増したインターネット証券口座の乗っ取り被害。攻撃者はフィッシングやマルウェアで認証情報を盗み、不正ログイン後に株価操作を行うという新しい攻撃モデルを確立した。
問題の根底には、依然としてID・パスワード依存の認証方式が残っていることや、SMS認証などフィッシング耐性の低い多要素認証が使われていることがある。金融庁は監督指針を改正し、パスキーなどフィッシング耐性を持つ認証方式の導入を求める方向へ転換した。レポートは、認証が「ログインを守る仕組み」から「取引を守る仕組み」へ変わる転換点だと分析している。
DDoS攻撃の章では、Cloudflareが防御した11.5Tbps規模の「レイバーデーDDoS」が紹介されている。この攻撃は、短時間に大量パケットを送り込む高pps型で、クラウドVMを攻撃源としていた点が特徴。
従来の「帯域を増やして耐える」型の防御では対応困難になっており、エッジ側での高速遮断や、通信挙動を学習するAdaptive検知など、防御アーキテクチャ全体の再設計が必要だと論じている。
最後に解説しているのが、Chromiumのゼロデイ脆弱性「CVE-2025-10585」。この脆弱性はJavaScriptエンジンV8の型混同に起因し、悪意あるWebページを閲覧するだけで任意コード実行につながる可能性がある。
CISAのKEVにも登録されており、Chrome系ブラウザー全般へ影響が及ぶ。対策としては迅速なアップデート適用が最重要であり、加えてSBOMを利用した依存コンポーネント管理によって、影響範囲の迅速な特定を行うべきだと提言している。
関連リンク