2025年のホリデーシーズンにおけるサイバーセキュリティの主要脅威

多くの深刻な脆弱性

ホリデーシーズンには、通常、オンライン攻撃活動が予想どおり急増しますが、フォーティネットのサイバーセキュリティ専門家であるブミット・マリ氏とアミール・ラカニ氏によると、2025年には、新たに作成された悪意のあるインフラストラクチャ、アカウント侵害、電子商取引システムを狙った悪用の量が大幅に増加するとのことです。

攻撃者は数か月前から準備を開始し、複数のプラットフォーム、地域、ベンダー ポートフォリオにわたって攻撃を拡大できる産業化されたツールとサービスを活用しました。

FortiGuard脅威リサーチは、過去3か月間のデータを分析し、2025年のホリデーシーズンにおける攻撃対象領域を形成する最も重要なパターンを特定しました。FortiGuardの調査結果は明確な傾向を示しています。攻撃者はより迅速に行動し、より自動化を進め、季節的な活動の増加を最大限に活用しています。

攻撃者の活動を示す最も明白な兆候の一つは、新規ドメインの登録です。FortiGuardは、過去3ヶ月間で「クリスマス」「ブラックフライデー」「フラッシュセール」といった用語を含む、ホリデーシーズンをテーマにしたドメインが18,000件以上登録されていることを確認しました。これらのうち少なくとも750件が悪意のあるドメインであることが確認されています。これは、多くのドメインが依然として無害とみなされていることを示唆しており、それが潜在的なリスクとなる可能性があります。

同時に、FortiGuardは大手小売ブランドを模倣したドメインの増加も確認しました。攻撃者は19,000件以上のeコマース関連のドメインを登録し、そのうち2,900件が悪意のあるものでした。新しいドメインの多くはよく知られたドメイン名を模倣しており、高速でウェブを閲覧している買い物客には見過ごされやすいようなわずかな変更のみであることも少なくありません。

報告書では、盗難ログの入手と利用が著しく増加していることも示されています。過去3ヶ月間で、主要な電子商取引サイトに関連する157万件以上のログインアカウントが、アンダーグラウンド市場で収集された盗難ログを通じて入手可能となりました。

盗まれたアカウント情報には、パスワード、Cookie、セッショントークン、オートフィルデータ、ブラウザに保存されているシステムフィンガープリントなどが含まれます。ホリデーシーズン中は、ユーザーは複数のデバイスで複数のアカウントにログインするため、この情報は特に貴重となります。

この報告書では、カード情報とCVVデータの「ホリデーセール」が現在も続いていることも指摘しています。脅威アクターは「ブラックフライデー」のようなプロモーションを利用して、盗んだ金融データを割引価格で販売しており、詐欺の増加を助長しています。

攻撃者は、Adobe/Magento、Oracle E-Business Suite、WooCommerce、Bagisto、その他主要なeコマースプラットフォームの脆弱性を積極的に悪用しています。特に注目すべき3つの脆弱性は次のとおりです。

CVE-2025-54236 (Adobe/Magento); CVE-2025-61882 (Oracle EBS); CVE-2025-47569 (WordPress WooCommerce ギフトカード プラグイン)。

複数のプラットフォームにおいて、プラグイン、テンプレート、API 検証の脆弱性により、ハッカーが支払い情報を盗んだり、XSS を悪用したり、権限を昇格したり、不正なファイルをアップロードしたりすることが可能になっています。

Magecart スタイルの JavaScript インジェクション攻撃は、最も執拗かつ有害な脅威の 1 つであり、攻撃者がチェックアウト ページから直接支払い情報を盗むことを可能にします。

企業とユーザーはどのような行動を取るべきでしょうか?

調査結果から明らかなパターンが浮かび上がりました。攻撃者はより迅速に、より自動化され、より商業的な組織体制で活動しているのです。ホリデーシーズンに見られるサイバー活動の急増は、大規模なデータ侵害エコシステム、AIツールの普及、そしてeコマースインフラにおける広範な脆弱性と相まって、今やその様相を呈しています。

CISO、不正対策チーム、そしてeコマースのリーダーにとって、これはホリデーシーズンに限った一時的な課題ではありません。これは、2026年まで続く攻撃ツールと収益化のより広範なトレンドを反映しています。

この現実を踏まえると、組織は、eコマース、プラグイン、テーマ、サードパーティ統合にわたるすべてのテクノロジー プラットフォームを完全に更新し、使用されていないコンテンツを削除する必要があります。

すべての場所でHTTPS暗号化を適用し、セッションCookie、管理ページ、決済フローを保護します。管理者アカウントと高リスクアカウントには多要素認証（MFA）を必須とし、強力なパスワードポリシーを適用します。

ボット管理、レート制限、異常検出ツールを使用して、ログインの不正使用を最小限に抑えます。

ブランドを偽装した不正なドメインや類似のドメインを監視し、削除に迅速に対応します。

不正なスクリプトの変更をスキャンし、チェックアウトページでの詐欺やスキマーを検出するための制御を実装します。

ログ監査を一元管理し、不審な管理操作、セッションハイジャック、異常なデータベースアクセスを監視します。不正行為対策、セキュリティ対策、カスタマーサポートの各チームが、ホリデーシーズンを通して共通のサイバーセキュリティインシデントエスカレーションロードマップを確実に遵守できるようにします。

ログイン情報や支払い情報を入力する前に、ウェブサイトのアドレスを必ず確認してください。詐欺対策機能を備えた信頼できるクレジットカードや決済代行業者を利用しましょう。ショッピング、メール、銀行口座のアカウントでは多要素認証（MFA）を有効にしましょう。購入や金融口座の管理を行う際は、公共Wi-Fiの使用を避けるか、VPNをご利用ください。

迷惑メッセージや非現実的なプロモーション、特に配送や割引に関するものには注意してください。

フォーティネットのセキュリティソリューションは、本レポートで概説されているマルウェアの手法、インフラストラクチャ、および活動に対して、多層的な保護を提供します。FortiGate、FortiMail、FortiClient、FortiEDRはすべて、このホリデーシーズンの複数のキャンペーンで使用された悪意のあるファイル、ペイロード、およびログ窃取型マルウェアファミリーを検知・ブロックするFortiGuardアンチウイルスサービスをサポートしています。FortiGuardの最新バージョンをご利用のお客様は、ネットワーク全体、エンドポイント、そしてメール全体を保護できます。

FortiMailは、偽のプロモーション、詐欺的な店舗、配送詐欺といったフィッシング行為を阻止する上で中心的な役割を果たします。FortiMailは、ホリデーシーズンの買い物客や小売店の従業員を狙う際によく使用される、悪意のあるURL、偽装された送信元ドメイン、認証情報収集フォームを識別し、隔離します。

さらに、フォーティネットのセキュリティ認識およびトレーニング サービスは、FortiPhish フィッシング シミュレーション プラットフォームと連携して、組織が人的防御を強化するのに役立ちます...

出典: https://doanhnghiepvn.vn/kinh-te/tieu-dung/cac-moi-de-doa-an-ninh-mang-hang-dau-mua-le-hoi-2025/20251205052612895