2025年のサイバー攻撃トレンド：Ghost TapとGoogleアカウント乗っ取りから身を守る方法

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

今年急増する新しいサイバー攻撃の手口とは？
企業のドメイン失効を狙う「Google認証連携」攻撃の実態
1. 実際の被害事例：中小企業のSaaS乗っ取り
2. なぜこの攻撃が成功するのか
NFCタッチ決済を悪用する「Ghost Tap」攻撃の脅威
1. 被害者が気づかない不正決済の手口
2. 実際の被害事例：個人の被害から見える危険性
マイナンバーカード更新期を狙ったフィッシング攻撃
1. 2025年は更新ラッシュ年
2. 想定される攻撃シナリオ
個人でできる具体的な対策
1. 基本的なセキュリティ対策の重要性
2. 具体的な防御策
企業が取るべき対策
1. CSIRT視点での推奨事項
まとめ：進化する脅威に対する継続的な対策を
1. 一次情報または関連リンク

今年急増する新しいサイバー攻撃の手口とは？

2025年に入って、私たちが日常的に使っているサービスを狙った新しいタイプのサイバー攻撃が急速に増えています。フォレンジック調査の現場では、従来の手口とは全く違う巧妙な攻撃により、個人情報や企業の機密データが大量に流出する事例が相次いでいます。

特に注目すべきは「ドメインドロップキャッチ」を悪用したGoogleアカウント乗っ取りと、NFCタッチ決済を狙った「Ghost Tap」という新手法です。これらの攻撃は従来のセキュリティ対策では防ぎきれない特徴があり、個人・企業問わず深刻な被害をもたらしています。

企業のドメイン失効を狙う「Google認証連携」攻撃の実態

実際の被害事例：中小企業のSaaS乗っ取り

先月、当社で調査した中小のコンサルティング会社では、期限切れで手放したドメインが攻撃者に取得され、元の会社と同じメールアドレスが再作成されました。攻撃者はそのメールアドレスを使ってGoogle Workspaceアカウントを作成し、会社が利用していたChatGPT、Slack、Notionなどのサービスに「正規ユーザー」として侵入しました。

被害の規模は想像以上で、顧客リスト約3,000件、契約書類、財務情報、そして過去2年分のチャット履歴まで全て窃取されていました。特に恐ろしいのは、攻撃者が約3週間にわたって「内部の人間」として活動していたことです。

なぜこの攻撃が成功するのか

この攻撃の巧妙さは、技術的な脆弱性を突くのではなく、「ドメイン管理の隙間」を狙っている点にあります。多くの企業が：

・ドメイン更新を忘れがち
・手放したドメインの影響を軽視
・SaaSサービスのアカウント連携設定を放置

これらの「うっかり」が重大なセキュリティホールになっているのです。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

NFCタッチ決済を悪用する「Ghost Tap」攻撃の脅威

被害者が気づかない不正決済の手口

「Ghost Tap」攻撃は、私たちが日常的に使っているスマホ決済の仕組みを逆手に取った非常に巧妙な手法です。フォレンジック調査で明らかになった典型的なケースでは：

1. **フィッシングメールでカード情報を窃取**
2. **攻撃者が自分のスマホに被害者のカード情報を登録**
3. **NFCリレーツールで協力者のスマホに決済情報を中継**
4. **協力者が実店舗で不正決済を実行**

この手法の恐ろしさは、被害者が不正利用にすぐ気づかないことと、協力者や攻撃者の追跡が極めて困難な点にあります。

実際の被害事例：個人の被害から見える危険性

最近調査した事例では、一人の被害者が3か月間で約45万円の不正決済被害に遭いました。決済は全国各地のコンビニやスーパーで行われ、1回あたりの金額は数千円程度。少額のため、被害者が気づいたのは銀行の月次明細を確認した時でした。

この間、攻撃者は10人以上の協力者を使って不正決済を繰り返していたことが判明しています。匿名性の高さから、犯人の特定は非常に困難でした。

マイナンバーカード更新期を狙ったフィッシング攻撃

2025年は更新ラッシュ年

マイナポイント制度開始の2020年から5年が経過し、今年は大量のマイナンバーカード電子証明書更新が予想されます。攻撃者はこの「更新ラッシュ」を狙って、巧妙なフィッシング攻撃を仕掛けてくることが予測されています。

想定される攻撃シナリオ

・「電子証明書の更新期限が近づいています」という偽メール
・公的機関を装った偽サイトへの誘導
・個人情報やパスワードの詐取
・不正な公金受取口座への変更

個人でできる具体的な対策

基本的なセキュリティ対策の重要性

これらの新しい攻撃から身を守るためには、まず基本的なセキュリティ対策を確実に実施することが重要です。

**アンチウイルスソフトの導入**は、フィッシングサイトの検知やマルウェア感染の防止に効果的です。特に最新の製品では、従来検知できなかった新しいタイプの脅威にも対応しています。

また、**VPN の利用**により、公共Wi-Fiでの通信を暗号化し、中間者攻撃のリスクを大幅に削減できます。特にスマホ決済を頻繁に使う方には必須のツールです。

具体的な防御策

**ドメインドロップキャッチ攻撃対策：**
・使用中のドメインの更新期限を定期的に確認
・不要になったドメインでもしばらく保持を検討
・SaaSサービスのアカウント連携設定を定期的に見直し

**Ghost Tap攻撃対策：**
・スマホ決済の利用明細を週1回は確認
・少額でも不明な決済があれば即座に確認
・NFCを使わない時は機能をオフに設定

**マイナンバー関連フィッシング対策：**
・公的機関からの連絡は必ず公式サイトで確認
・メールのリンクは直接クリックせず、公式サイトから操作
・更新手続きは必ず正規の窓口で実施

企業が取るべき対策

CSIRT視点での推奨事項

企業においては、従来のセキュリティ対策に加えて、以下の対策が急務です：

・ドメイン管理の一元化と更新スケジュールの明確化
・SaaSサービスのアカウント連携状況の定期監査
・従業員への新しい攻撃手法に関する教育強化
・決済システムの不正利用検知機能の導入

まとめ：進化する脅威に対する継続的な対策を

2025年のサイバー攻撃は、従来の「技術的な脆弱性を突く」手法から、「システムの隙間や人の心理を狙う」手法へと大きく変化しています。これらの新しい脅威から身を守るためには、技術的な対策と意識の向上の両方が不可欠です。

**アンチウイルスソフト **と**VPN **の導入は、これらの新しい脅威に対する基本的な防御として非常に有効です。特に、フィッシング攻撃の初期段階での検知と、通信の暗号化による情報漏洩の防止において、その効果を発揮します。

重要なのは、「自分は大丈夫」と思わずに、常に最新の脅威情報をキャッチアップし、適切な対策を継続することです。サイバー攻撃は日々進化していますが、基本的な対策を確実に実施することで、多くのリスクを回避することができます。