2025年8月28日、IPAは個人向けインターネットサービスへの不正ログイン相談が増加しており、2025年7月には月間144件で過去最多だったと発表しました。手口は「推測・総当たり」「流出リストの使い回し(リスト型攻撃)」「フィッシング誘導」が中心です。
不正アクセスの概要
各種インターネットサービスで不正ログイン(アカウント乗っ取り)が増加しています。IPAの安心相談窓口には2025年7月だけで144件と、過去最多の相談が寄せられました。手口は概ね三つに集約されます。
画像:IPA
第一に、短い・推測しやすいパスワードを狙う総当たり/辞書攻撃。第二に、他社で漏えいしたIDとパスワードを束ねたコンボリスト(リスト型攻撃)の再利用。第三に、偽メールやSMS、SNSのDMで正規サイトを装い入力させるフィッシング詐欺です。
加えて今夏は、GoogleのSalesforce連携を悪用した侵害報道を起点に、標的型攻撃やコード詐取の横展開が目立っています。
被害にあったら(状況別の初動)
自分でログインできる場合
-
ただちにパスワード変更(12文字以上・使い回し禁止)。
-
登録情報の点検(復旧用メール/電話、配送先、2段階認証方式)。不審な情報は直ちに削除。
-
多要素認証(MFA)を有効化(認証アプリ/セキュリティキー推奨、SMSのみは避ける)。
ログインできない場合
-
各サービスのアカウント復旧フローへ(「パスワードを忘れた」→復旧メール/電話)。
-
それでも不可ならサポート窓口へ連絡。無料サービスは電話窓口がないこともあるため、ヘルプ→問い合わせフォームで粘り強く申請。
-
他サービスのパスワードも変更(同じ/近いパスワードを使っていれば全て)。
日頃の対策(個人)
-
パスキーの利用:対応サービスではパスキーを標準に(生体認証/端末ロックでフィッシング耐性が高い)。
-
MFAの強化:認証アプリ/セキュリティキーを既定に、SMS単独は廃止。
-
“長くて一意”のパスワード:12~16文字以上、使い回さない。パスワードマネージャを活用。
-
フィッシング対策:メールやSMSのURL・添付は即クリックしない。必ず自分で正規URLを入力。コードを電話やDMで共有しない。
-
漏えい確認:Have I Been Pwned等で自分のメールアドレスを定期チェック。該当が出たら総入れ替えとMFA強化。
-
Gmailユーザー特記事項:パスキー/MFA/転送・フィルタ・委任の点検、Security Checkupを月1回。
組織・サービス事業者向け(情シスの実務)
-
認証強化:IdPでMFA/パスキー必須化、OAuth事前承認制、高リスク部門はセキュリティキー必須。
-
ログイン防御:レート制限/CAPTCHAs/リスクベース認証、既知リークラベルとのクレデンシャル検疫、パスワードリセット乱発の検知。
-
検知と対応:Impossible Travel/同時多拠点ログイン/トークン異常にアラート。ATO時は強制サインアウト+MFA再登録を自動化。
-
サプライチェーン管理:CRM/MA等の連携アプリ承認を二重承認+最小権限に。監査証跡を残し、外部委託先にもMFA/パスキーを義務化。
参照
https://www.ipa.go.jp/security/anshin/attention/2025/mgdayori20250828.html
関連記事
Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
パスキーとは?メリットや概要を解説
多要素認証(MFA)とは?メリットや必要性を解説
二要素認証とは 多要素認証との違いを解説
サポート詐欺とは 手口や電話してしまった場合の対応を解説
中小企業のセキュリティ対策、7割が基本的な対策を実施も課題残る-IPA調査
サイバー攻撃の事例【2023年】
VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた
