NTTデータグループが2026年5月20日に公開した最新のサイバーセキュリティ動向レポートが、いま私たちの足元で何が起きているのかを浮かび上がらせています。Cloudflareが35秒で防いだ過去最大級のDDoS攻撃、約7,300億円規模に膨らんだ国内インターネット証券口座の乗っ取り、Chrome利用者なら誰もが影響を受けかねないV8エンジンのゼロデイ脆弱性、そして世界15か国が動き出したソフトウェア部品表(SBOM)の国際協調。一見バラバラに見えるこれら4つの出来事が、「攻撃も防御も、その構造そのものを見直す時代に入った」という同じメッセージを発しているとしたら、私たちはこの夏、自分が使っている認証方式やブラウザを、どう捉え直せばよいのでしょうか。
NTTデータグループは2026年5月20日、サイバーセキュリティに関するグローバル動向の調査結果をまとめた「グローバルセキュリティ動向四半期レポート(2025年度第2四半期)」を公開した。本レポートは、ニュースリリースやWebサイト、新聞、雑誌などの公開情報をもとに、2025年7月から9月までの動向を整理したものである。
今回の四半期では、SBOMの国際動向と普及に向けた実務アプローチ、インターネット証券口座乗っ取り被害から考える認証方式の課題、レイバーデーDDoSから見える攻防の転換点、Chromiumの脆弱性を狙うサイバー攻撃から見た脆弱性対応と攻撃検知を注目トピックとして取り上げている。レポートは目次としてエグゼクティブサマリー、注目トピック、脅威情報、脆弱性情報、予測、タイムラインの全7章で構成され、PDF形式(2.7MB)で同社サイトから無償でダウンロードできる。
From: 
サイバーセキュリティに関するグローバル動向四半期レポート(2025年度第2四半期)を公開
【編集部解説】
NTTデータグループが四半期ごとに公開しているこのレポートは、サイバーセキュリティの最前線を「点」ではなく「面」で捉えられる、国内でも貴重な定点観測資料です。今回の2025年度第2四半期版は、SBOM、証券口座乗っ取り、超大規模DDoS、Chromium脆弱性という一見バラバラな4つのトピックを扱っていますが、その根底には「攻撃も防御も、構造そのものを問い直す段階に入った」という共通のメッセージが流れています。
まず注目したいのが、レポートが冒頭で取り上げたSBOM(ソフトウェア部品表)です。これは、自社のソフトウェアにどんな部品(OSS・ライブラリ等)がどのバージョンで使われているかを一覧化した、いわば「ソフトウェアの原材料表示」です。Log4jの深刻な脆弱性やxz-utilsへのバックドア混入を経て、ソフトウェアサプライチェーンへの懸念は世界的に高まりました。米国では2021年の大統領令14028をきっかけに政府調達でのSBOM提出が実質義務化され、2025年9月には日本を含む15か国がSBOM普及の共同ビジョンに署名する流れへとつながっています。
ところがレポートが引用する2025年7月の国内調査では、製造業の開発・品質管理担当者1,000名のうちSBOMを「詳しく理解している」のは7%、「導入済み」も7%、「導入予定なし」が79%に達しています。制度は急速に整っているのに現場が追いついていない、その溝こそが日本企業の喫緊の課題です。
次に取り上げられているのが、2025年春から日本で急増したインターネット証券口座の乗っ取り事件です。金融庁の集計では2025年1月から10月までに不正取引が9,576件、売却金額と買付金額を合算した不正取引金額は約7,300億円に達しました。なお、金融庁はこの金額が「顧客の損失額と一致するものではない」と注記しています。注目すべきは、攻撃者の手口です。
従来のオンラインバンキング不正送金と違い、犯人は乗っ取った口座で被害者の保有株を売却し、そのお金で出来高の少ない中国株などを買い上げ、別口座に仕込んでおいた同銘柄を高値で売り抜ける、相場操縦型ともいえる手口が確認されています。出金先口座制限という従来の防御策が効かない、新しい収益化モデルです。これを受けて金融庁は監督指針を改正し、パスキーなどフィッシング耐性のある多要素認証を「実装」だけでなく「デフォルト設定での必須化」まで踏み込んで求める異例の対応に出ています。
3つ目のCloudflareが防いだレイバーデーDDoS攻撃は、技術者でなくとも知っておく価値のある事件です。攻撃規模は11.5Tbps/5.1Bpps(毎秒51億パケット)で、当時公表されていた最大規模だった7.3Tbpsを約60%上回りました。なお、その後もCloudflareは31.4Tbpsの攻撃を公表しており、巨大化のペースは加速し続けています。が、本当のインパクトは数字の大きさではありません。
注目点は、(1)帯域ではなくパケット処理能力を狙う「高pps型」、(2)攻撃時間がわずか35秒以内の「短時間バースト型」、(3)従来のIoTボットネット中心から、AWSやGoogle CloudなどのIaaS上の仮想マシンも重要な攻撃源として加わる、という3つの質的変化です(11.5Tbps攻撃は複数のIoT機器とクラウドプロバイダの組み合わせから発生しました)。スクラビングセンターへ経路を迂回させる従来型防御は反応が間に合わず、IPブロックリストも正規クラウド事業者のアドレス帯では無効化されます。レポートは、OSのネットワークスタックに入る前にXDP/eBPFで不要パケットを破棄する高速ドロップ機構、エッジでの自律的検知、そして通信全体を多変量で学習するAdaptive検知の3つを、新しい防御アーキテクチャの方向性として整理しています。攻撃の「アーキテクチャ転換」に対し、防御も「アーキテクチャ転換」で応える必要があるという象徴的な事例です。
4つ目のChromiumゼロデイ脆弱性CVE-2025-10585は、私たち全員に関係します。Chromiumは、Google ChromeやMicrosoft Edge、Brave、Operaなどの土台になっているオープンソースプロジェクトです。今回の脆弱性はJavaScriptエンジンV8の「型混同」というクラスのバグで、悪意あるWebページを開くだけで任意コード実行に至る可能性があります(CVSSはCISA-ADP評価で8.8、NVDのNIST評価では9.8)。レポートによれば2025年1月から10月1日時点で同種の型混同脆弱性は8件確認されており、V8のJITコンパイラの最適化処理は、攻撃対象になりやすい要因の一つと考えられます。
実は、この4つのトピックは独立した話ではありません。SBOMで部品を把握していなければ、CVE-2025-10585がChromium派生ブラウザのどこに影響するか即座に判定できません。証券会社の認証強化が進めば、攻撃者は次の収益化手段としてDDoSを使った脅迫やAPI悪用へ流れる可能性があります。つまり「サプライチェーン」「認証」「ネットワーク」「ブラウザ」という4つのレイヤーが、相互に補完し合う防御アーキテクチャとして再設計を迫られているのです。
innovaTopiaがこのレポートを今この瞬間に取り上げる理由は明確です。テクノロジーで人類が進化していく以上、その進化を支えるソフトウェアサプライチェーンと認証基盤、通信基盤の信頼性は、私たちが「未来に触れる」ための前提条件だからです。生成AIによるフィッシング高度化や、クラウドリソースを「悪用される基盤」として捉え直す視点は、すべての読者の数年後の働き方・暮らし方に直結します。
最後に、潜在的なリスクにも触れておきます。Adaptive検知のような機械学習ベースの防御は強力ですが、ECサイトのセール時のような正当なトラフィック変化を誤検知する可能性があり、運用面では「説明責任」とのバランスが問われます。SBOMも導入すれば終わりではなく、SBOM Drift(実態との乖離)が起これば、むしろ誤った安心感を与える危険があります。技術は導入と運用設計が両輪である、という当たり前のことを、改めて突きつけられる四半期となりました。
【用語解説】
SBOM(Software Bill of Materials/ソフトウェア部品表) ソフトウェアを構成するOSS、商用ライブラリ、モジュール等の名称・バージョン・ライセンス情報・依存関係を一覧化したリストである。脆弱性が発見された際に「自社の製品が影響を受けるか」を即座に判定するための基盤情報となる。
大統領令14028(Executive Order 14028) 2021年5月にバイデン政権下で発令された米国の大統領令である。連邦政府機関の調達するソフトウェアに対し、SBOMの提出を含むサプライチェーンセキュリティ強化を求めた、SBOM普及の出発点となった文書である。
Log4j/xz-utils バックドア Log4jは2021年12月に発覚した広く使われるJavaログライブラリの深刻な脆弱性(Log4Shell/CVE-2021-44228)、xz-utilsは2024年に発覚した圧縮ライブラリへのバックドア混入事案(CVE-2024-3094)である。OSSのサプライチェーンリスクを象徴する事例となった。
SCA(Software Composition Analysis) ソフトウェアに含まれるOSSやライブラリなどの構成要素を解析し、脆弱性情報やライセンス情報を自動的に特定するツール群である。CI/CDパイプラインに組み込むことでSBOMを継続的に自動生成できる。
SPDX/CycloneDX SBOMの代表的な2つの標準フォーマットである。それぞれLinux Foundationおよびオワスプ(OWASP)が主導する仕様で、機械可読な形式でソフトウェア構成情報を記述する。
SBOM Drift ソフトウェアの構成変更にSBOMの更新が追いつかず、記載内容と実際のソフトウェア構成が乖離する現象を指す。乖離が進むとSBOMの信頼性が損なわれ、過剰対応や脆弱性の見逃しを招く。
パスキー(Passkey)/FIDO2 公開鍵暗号方式に基づくパスワードレス認証の仕組みである。秘密鍵はデバイス外に取り出せず、特定のサイトやアプリに紐付くため、フィッシングサイトでは認証が成立しない。
多要素認証(MFA:Multi-Factor Authentication) 知識(パスワード)、所持(スマートフォン等)、生体(指紋・顔)のうち2要素以上を組み合わせる認証方式である。ただしSMSによるOTPなど耐フィッシング性の低い方式も存在し、すべてのMFAが同等に強固なわけではない。
Adversary-in-the-Middle(リアルタイム・フィッシング) 攻撃者が利用者と正規サイトの間に介在し、入力されたIDとパスワード、ワンタイムパスワードをリアルタイムで正規サイトへ転送して認証を突破する手法である。従来型のMFAを無効化する。
インフォスティーラー 感染端末からブラウザ保存の認証情報、Cookie、暗号資産ウォレット、メール認証情報などを自動的に窃取するマルウェアの総称である。
DDoS攻撃(Distributed Denial of Service) 多数の機器から大量の通信を一斉に送り込み、対象サービスを停止させる攻撃である。
bps/pps bpsは1秒あたりの転送ビット数で帯域消費の指標、ppsは1秒あたりのパケット数で機器の処理負荷の指標となる。高pps型攻撃は帯域に余裕があっても機器を麻痺させ得る点が、従来の帯域飽和型と異なる。
UDPフラッド コネクション確立を必要としないUDPプロトコルの性質を悪用し、小さなパケットを大量に送りつけてサーバのリソースを枯渇させる攻撃手法である。
XDP(eXpress Data Path)/eBPF Linuxカーネルの低レイヤでパケット処理を行う技術である。OSのネットワークスタックに入る前に不要パケットを破棄でき、高pps型攻撃への対策として有効である。
スクラビングセンター DDoS攻撃検知後に通信経路を専用設備へ迂回させ、悪性トラフィックを除去する集中処理拠点である。短時間バースト型攻撃には反応速度が間に合わない弱点がある。
Adaptive検知 過去数日間のトラフィックを多変量で学習し、全体の挙動の変化から異常を識別する検知手法である。個々の通信が正常に見えてもDDoSを発見できる。
ゼロデイ脆弱性 発見・公表されてから修正パッチが提供されるまでの「猶予日数がゼロ」の脆弱性、または攻撃発覚後に判明した既知化されていない脆弱性を指す。
型混同(Type Confusion) プログラムがオブジェクトを本来とは異なる型として扱うことで発生する脆弱性のクラスである。メモリの境界外アクセスや任意コード実行につながる。
V8エンジン GoogleがChromium向けに開発したオープンソースのJavaScript/WebAssembly実行エンジンである。Node.jsの実行基盤にもなっている。
CVSS(Common Vulnerability Scoring System) 脆弱性の深刻度を0.0〜10.0で評価する国際的な指標である。7.0以上がHigh、9.0以上がCriticalに分類される。
KEV(Known Exploited Vulnerabilities)カタログ CISAが公開する「実際に悪用が確認された脆弱性」のリストである。米連邦政府機関にはパッチ適用期限が義務付けられる。
PSIRT(Product Security Incident Response Team) 自社製品・サービスの脆弱性対応に特化した専門組織である。受付窓口の明確化、影響評価、是正、公表など脆弱性管理プロセスを担う。
VEX(Vulnerability Exploitability eXchange) 特定の脆弱性が実環境で悪用可能かを機械可読で示す仕組みである。SBOMと組み合わせ、影響のない脆弱性への過剰対応を防ぐ。
【参考リンク】
NTTデータグループ ニュースリリース(本記事の一次情報)(外部)
本レポート公開を告知する公式リリース。日付・お問い合わせ先・PDFダウンロードリンクが掲載されている。
グローバルセキュリティ動向四半期レポート(2025年度第2四半期)PDF本体(外部)
NTTデータグループが公開する本レポートのPDF本体(2.7MB)。全7章・50ページの分析資料である。
金融庁(外部)
インターネット証券口座乗っ取り事案の集計や監督指針改正等を公表する日本の金融行政機関である。
Cloudflare 公式サイト(外部)
レイバーデーDDoS攻撃を防御した米国のインターネットインフラ企業で、CDNやセキュリティを提供する。
Chromium プロジェクト公式サイト(外部)
Google ChromeやMicrosoft Edge、Brave、Operaの土台となるオープンソースWebブラウザプロジェクトである。
CISA(米国サイバーセキュリティ・インフラ安全庁)(外部)
SBOM Minimum ElementsやKEVカタログの管理、CVE-2025-10585のKEV登録などを行う米連邦機関である。
NIST(米国国立標準技術研究所)(外部)
NVD(脆弱性情報データベース)の運営やSSDF等の整備を行う米国の連邦研究機関である。
経済産業省 サイバーセキュリティ政策(外部)
「ソフトウェア管理に向けたSBOM導入手引」など、日本のサプライチェーンセキュリティ政策を公開する。
Google Chrome Releases(外部)
ChromeおよびChromiumのセキュリティアップデートが随時公表される、Googleの公式ブログである。
日本証券業協会(JSDA)(外部)
インターネット証券口座乗っ取り被害補償に関する合同方針を公表した自主規制機関である。
【参考記事】
Cloudflare Blocks Record-Breaking 11.5 Tbps DDoS Attack(外部)
The Hacker News報道。5.1 Bpps/11.5 TbpsのUDPフラッドを約35秒で自動軽減した事例を伝える。
Cloudflare Blocks Record-Breaking 11.5 Tbps DDoS Attack – SecurityWeek(外部)
2025年5月の7.3 Tbps攻撃比較や、上半期2,780万件のDDoS軽減という統計を含む詳細報道である。
Cloudflare blocks largest recorded DDoS attack peaking at 11.5 Tbps(外部)
攻撃源がGoogle Cloudのみとの初報からIoT・複数クラウド事業者へと訂正された経緯を含む。
Cloudflare mitigates record-breaking 11.5 Tbps DDoS attack(外部)
単一IPを標的にピーク時毎秒21,000以上のポートに分散したことなど、技術的詳細を分析する。
Cloudflare Stops New World’s Largest DDoS Attack Over Labor Day Weekend(外部)
11.5 Tbpsが前記録7.3 Tbpsを約60%上回り、毎秒51億パケットを発射したことを簡潔にまとめる。
NVD – CVE-2021-44228(Log4Shell)(外部)
NIST NVDによるLog4j脆弱性の公式情報ページ。CVSS 10.0のCriticalに評価されている。
NVD – CVE-2024-3094(xz-utils backdoor)(外部)
NIST NVDによるxz-utilsバックドア事案の公式情報ページ。OSSサプライチェーン攻撃の代表事例である。
【関連記事】
Cloudflare、過去最大規模11.5TbpsのDDoS攻撃をブロック IoTボットネット脅威が拡大
2025年9月4日公開。本記事で取り上げた11.5Tbps DDoS事案の発生直後の速報・技術解説記事。攻撃が10秒未満でゼロから11.5Tbpsへ到達した経緯や、21,000ポートに分散したUDPフラッドの詳細など、事件単体の技術的深掘りを行っている。本記事が「事後8か月時点でNTTデータレポートが防御アーキテクチャ転換の事例として再評価した俯瞰視点」を提供するのに対し、こちらは攻撃そのものの解像度を高めたい読者向け。
Chrome最新版140.0.7339.185配信開始、ゼロデイ攻撃対応で即時アップデート推奨
2025年9月19日公開。CVE-2025-10585の発覚直後にGoogleがリリースしたChrome 140.0.7339.185/.186アップデートの速報記事。Google TAGによる発見の経緯や、即時アップデートの手順・対象範囲を解説している。本記事がV8 JITの構造的な攻めやすさやSBOM活用文脈と組み合わせて再解釈しているのに対し、こちらは「自分のChromeをまずどうすべきか」を確認したい読者に最適。
Yahoo! JAPAN IDがパスキーに一本化。パスワードレス時代、日本から動き出す
2026年4月17日公開。証券口座乗っ取り事件を背景に、日本国内でパスキー必須化の波が広がっている動向を、Yahoo! JAPAN・JSDA・野村證券・楽天証券・SMBC日興証券など複数の事業者軸で解説した記事。本記事がNTTデータレポートと金融庁監督指針改正という制度・分析側からアプローチしているのに対し、こちらは事業者各社の実装スケジュールを追いたい読者向け。
警察庁サイバー脅威レポート最新版|昨年を総括、過去最悪の被害額が並んだ1年間
2026年3月16日公開。警察庁が公表した「令和7年(2025年)のサイバー空間をめぐる脅威の情勢」の解説記事。証券会社を装ったフィッシングによる不正取引被害が約7,400億円に達したこと、ランサムウェア・SNS型投資詐欺・ネットバンキング不正送金など、2025年のサイバー犯罪を年次で俯瞰している。本記事がNTTデータ視点で「防御アーキテクチャ転換」を論じるのに対し、こちらは集計主体が異なる警察庁・フィッシング対策協議会の年次データを通じて全体像を把握したい読者向け。
【編集部後記】
今回のレポートを読み解いて改めて感じたのは、サイバーセキュリティはもはや「IT担当者の専門領域」ではなく、株を取引する人、Webブラウザを開く人、クラウドを使う人すべてに地続きの話題になっているということです。
innovaTopiaでは、これまでも本記事と関わる出来事を一つひとつ追ってきました。11.5Tbps DDoSの速報、Chrome 140アップデートの解説、Yahoo! JAPAN IDのパスキー一本化、警察庁の年次脅威情勢レポート――どれも事件や発表の瞬間を切り取った記事です。それらを並べてみると、半年から1年のあいだに「攻撃の規模」「認証の前提」「制度の要請」が同時に動いてきたことが浮かび上がります。NTTデータの今回の四半期レポートは、その点を線でつないでくれる、いわば地図のような存在だと感じました。
そこでみなさんに伺いたいのですが、利用している証券会社やSNSの認証方式が今どうなっているか、すぐに思い出せるでしょうか。パスキーを設定済みの方は、その使い心地もぜひ教えてください。「導入を迷っている」というご意見もうかがってみたいです。未来を一緒に触っていくためのヒントを、SNSで共有していただけたらうれしいです。
