建設大手・熊谷組を襲ったスミッシング攻撃の衝撃
2025年7月、建設業界最大手の一角を占める熊谷組から、深刻なセキュリティインシデントの報告が発表されました。この事件は、現代のサイバー攻撃がどれほど巧妙で危険なものかを物語る典型的なケースといえるでしょう。
今回のインシデントの発端となったのは「スミッシング」と呼ばれる攻撃手法。これは、SMS(ショートメッセージサービス)を使ったフィッシング攻撃のことで、運送会社を装ったメッセージから始まった一連の攻撃により、従業員のApple Accountが乗っ取られ、個人情報漏えいの可能性が生じる事態となりました。
私がCSIRT(Computer Security Incident Response Team)として数多くのインシデント対応を行ってきた経験から言えば、この手の攻撃は決して他人事ではありません。むしろ、今後ますます巧妙化していく攻撃の予兆と捉えるべきでしょう。
スミッシング攻撃の巧妙な仕組みとは
従来のフィッシングとの決定的な違い
スミッシングが従来のメールベースのフィッシング攻撃と大きく異なる点は、その「信頼性の高さ」にあります。SMSは多くの人にとって「公式な連絡手段」というイメージが強く、メールよりも警戒心を解きやすい傾向があります。
実際に私が調査した過去の事例では、同じ内容のフィッシング攻撃をメールとSMSで並行して実施した場合、SMSの方が約3倍高い成功率を示していました。これは、スマートフォンの普及により、SMSが身近な連絡手段として定着していることが大きな要因です。
熊谷組事件で使われた具体的な手口
今回の熊谷組の事例では、以下のような流れで攻撃が実行されました:
- 運送会社を装ったSMSの送信
「お荷物をお預かりしております。配送確認はこちら」といった内容で偽のリンクを送信 - 偽サイトへの誘導
クリックすると、本物そっくりのAppleログインページに誘導 - 認証情報の窃取
Apple IDとパスワードを入力させ、さらに二要素認証コードまで取得 - アカウント乗っ取りの完了
取得した情報を使い、正規のApple Accountへ不正ログイン
なぜApple Accountが狙われるのか?
OSと密結合したアカウントの危険性
Apple Account、Google アカウント、Microsoft アカウントなど、スマートフォンやPCのOSと密接に連携したアカウントが攻撃者に狙われる理由は明確です。これらのアカウントを乗っ取られると、以下のような深刻な被害が発生する可能性があります:
- 保存パスワードの一括窃取
iCloudキーチェーンやChromeの保存パスワードが同期により流出 - メールボックスの乗っ取り
他サービスのパスワードリセット機能を悪用した連鎖的な被害 - 個人情報の大量流出
連絡先、写真、文書データなどの機密情報が流出 - 金銭被害
Apple PayやGoogle Payなどの決済機能の悪用
私が過去に対応した類似事件では、Apple Account一つの乗っ取りから始まって、最終的に50以上のオンラインサービスが不正利用される被害に発展したケースもありました。
二要素認証も突破する「リアルタイムフィッシング」
特に注意すべきは、今回の攻撃で使われた「リアルタイムフィッシング」という手法です。従来、二要素認証は非常に有効なセキュリティ対策とされてきましたが、この手法により、その防御も突破される危険性が高まっています。
リアルタイムフィッシングでは、攻撃者が偽サイトで取得した二要素認証コードを、即座に正規サイトに入力することで認証を突破します。被害者が偽サイトにコードを入力するタイミングと、攻撃者が正規サイトにログインするタイミングがリアルタイムで同期されるため、時間制限のあるワンタイムパスワードでも無効化されてしまうのです。
企業が今すぐ実施すべき対策
技術的対策の強化
1. 包括的なエンドポイント保護
まず最初に実施すべきは、全従業員の業務端末に高品質なアンチウイルスソフト
を導入することです。現代のアンチウイルスソフト
は、単純なウイルス検知だけでなく、フィッシングサイトの検知機能も搭載しており、従業員が誤って偽サイトにアクセスすることを防げます。
2. ネットワークレベルでの防御
企業ネットワーク全体を保護するため、VPN
の導入も効果的です。VPN
は、従業員の通信経路を暗号化するだけでなく、悪意のあるサイトへのアクセスをブロックする機能も提供します。
3. Webサイト自体のセキュリティ強化
自社のWebサイトが攻撃の踏み台にされることを防ぐため、Webサイト脆弱性診断サービス
の定期実施は必須です。脆弱性を早期発見・修正することで、攻撃者に悪用される隙を与えません。
運用面での対策強化
1. パスワード管理の徹底
技術的な対策と並行して重要なのが、パスワード管理ソフトの導入です。人間の目では判別困難な偽サイトも、パスワード管理ソフトなら確実に見分けることができます。なぜなら、パスワード管理ソフトは保存されたURLと完全に一致するサイトでしか自動入力を行わないためです。
2. MFA疲労攻撃への対策
「ログインを許可しますか?」という通知が頻繁に届く場合は、絶対に承認ボタンを押してはいけません。これは「MFA疲労攻撃」と呼ばれる手法で、利用者が面倒になってOKを押すまで執拗に続けられます。
このような通知を受けた際は、まず以下の点を確認してください:
- 自分がログインを試みていないタイミングでの通知か
- 通知の発生時刻と場所が適切か
- 短時間で複数回の通知が来ていないか
3. 従業員教育の継続的実施
熊谷組の報告書では、該当職員を責めることなく、組織全体での啓発活性化を目指す姿勢が示されていました。これは非常に重要な観点です。
実際に、私が関わった企業でも、セキュリティインシデントを「個人の責任」として処理してしまった結果、類似の攻撃を受けた際に報告が遅れ、被害が拡大したケースがありました。
個人ユーザーが実践すべき防御策
Apple Accountの設定見直し
Apple Accountを利用している個人の方は、以下の設定を今すぐ見直してください:
- 復旧用連絡先の設定
信頼できる連絡先を複数設定し、アカウント復旧時の安全性を確保 - 物理的な復旧キーの生成
スマートフォンを紛失した場合でも、別の方法でアカウント復旧が可能 - 二要素認証の適切な運用
認証コードは正規サイトでのみ入力する - 定期的なログイン履歴の確認
不審なアクセスがないか定期的にチェック
パスキーへの移行検討
将来的には「パスキー」という新しい認証方式への移行も検討すべきでしょう。パスキーは、従来のパスワードとは根本的に異なる仕組みで、フィッシング攻撃に対して非常に強い耐性を持っています。
ただし、パスキーの登録プロセス自体が攻撃の標的になる可能性もあるため、導入時は十分な注意が必要です。
将来の脅威に備えて
攻撃手法の進化を予測する
サイバー攻撃は日々進化しており、今回のスミッシング攻撃も氷山の一角に過ぎません。今後予想される攻撃手法には以下のようなものがあります:
- AIを活用した音声偽装
経営陣の音声を偽装した電話攻撃 - ディープフェイク技術の悪用
ビデオ会議での偽装による認証突破 - IoTデバイスを踏み台にした攻撃
スマートホーム機器からの情報窃取
継続的なセキュリティ投資の重要性
これらの脅威に対抗するためには、一度きりの対策ではなく、継続的なセキュリティ投資が不可欠です。特に以下の点に注力すべきでしょう:
- 最新の脅威情報の収集
- セキュリティツールの定期的な更新
- 従業員教育の継続実施
- インシデント対応体制の整備
まとめ:今こそ行動を起こすとき
熊谷組で発生したスミッシング攻撃は、現代のサイバー脅威の深刻さを改めて浮き彫りにしました。この事件を単なる「他社の事例」として見過ごすのではなく、自社・自身のセキュリティを見直す機会として活用すべきです。
特に重要なのは、技術的な対策と人的な対策をバランス良く実施することです。どんなに高度なセキュリティツールを導入しても、それを使う人間の意識が低ければ意味がありません。逆に、どんなに教育を徹底しても、技術的な防御が不十分では攻撃を防ぎきれません。
今すぐできることから始めて、段階的にセキュリティレベルを向上させていきましょう。明日では遅いかもしれません。サイバー攻撃者は、あなたの隙を狙って、今この瞬間も活動を続けているのですから。
