2025年10月、世界各国で「サイバーセキュリティ月間(Cybersecurity Awareness Month)」が幕を開けました。今年のテーマは 「Stay Safe Online」。オンラインの安全性はこれまで以上に社会全体の課題となっており、政府機関、企業、教育機関、そして私たち一人ひとりにとって避けて通れないテーマです。
現代の生活は、仕事、学習、買い物、エンターテインメントまで、あらゆる場面がインターネットを介してつながっています。利便性が高まる一方で、個人情報の漏えい、アカウント乗っ取り、マルウェア感染、そして日常的に送られてくるフィッシング詐欺やスキャムの脅威も増加しています。さらにAI技術の進歩により、詐欺メールや偽サイトの見分けが難しくなりつつあることも懸念材料です。
こうした背景のもとで打ち出された「Stay Safe Online」は、単にセキュリティ専門家のためではなく、誰もが取り組めるシンプルな行動習慣を広めることを目的としています。推奨されている「Core 4(コア4)」は、日々の小さな行動改善を通じて、大規模な被害を防ぐための最初のステップとなるものです。
本記事では、この「Stay Safe Online」の意義を踏まえ、具体的にどのような行動が推奨されているのか、最新の認証技術であるパスキーの動向、そして詐欺やスキャムを見抜くための実践的なポイントについて詳しく解説していきます。
Core 4(コア4)の基本行動
サイバーセキュリティ月間で強調されているのが、「Core 4(コア4)」 と呼ばれる4つの基本行動です。これは難解な技術ではなく、誰でも日常生活の中で実践できるシンプルなステップとして設計されています。以下にそれぞれの内容と背景を詳しく見ていきます。
1. 強力でユニークなパスワードを使い、パスワードマネージャを活用する
依然として「123456」「password」といった推測しやすいパスワードが広く使われています。こうした単純なパスワードは数秒で突破される可能性が高く、実際に大規模な情報漏えいの原因となってきました。
また、複数のサービスで同じパスワードを使い回すことも大きなリスクです。一つのサイトで情報が漏れた場合、他のサービスでも芋づる式にアカウントが乗っ取られてしまいます。
その解決策として推奨されているのが パスワードマネージャの活用 です。自分で複雑な文字列を覚える必要はなく、ツールに生成・保存を任せることで、より強固でユニークなパスワードを簡単に運用できます。
2. 多要素認証(MFA)を有効化する
パスワードだけでは不十分であることは周知の事実です。攻撃者はパスワードリスト攻撃やフィッシングによって容易に認証情報を取得することができます。
そこで有効なのが 多要素認証(MFA) です。パスワードに加えて、スマートフォンのアプリ、ハードウェアキー、生体認証など「別の要素」を組み合わせることで、仮にパスワードが漏えいしても不正ログインを防ぐことができます。
特に金融系サービスや業務システムではMFAの導入が標準化しつつあり、個人ユーザーにとっても最低限の防御策として不可欠になっています。
3. 詐欺・スキャムを見抜き、報告する意識を高める
サイバー攻撃の多くは、最新のマルウェアやゼロデイ脆弱性ではなく、「人間の油断」 を突いてきます。たとえば「至急対応してください」といった緊急性を煽るメール、偽装した銀行や配送業者からの通知、SNS経由の怪しいリンクなどです。
これらの詐欺・スキャムを完全に防ぐことは難しいため、まずは「怪しいかもしれない」という感覚を持ち、冷静に確認することが第一歩です。さらに、受け取った詐欺メールやフィッシングサイトを放置せず、組織やサービス提供元に報告することが、被害拡大を防ぐ上で重要な役割を果たします。
サイバーセキュリティ月間では、こうした 「見抜く力」と「報告する文化」 の普及が強調されています。
4. ソフトウェアを常に最新に保つ(アップデート適用)
最後の基本行動は、すべての利用者が簡単に実践できる「アップデート」です。多くの攻撃は、すでに修正パッチが公開されている既知の脆弱性を突いています。つまり、古いソフトウェアやOSを放置することは、自ら攻撃者に扉を開けているのと同じことです。
自動更新機能を有効にする、あるいは定期的に手動で更新を確認することは、サイバー攻撃から身を守る最もシンプルかつ効果的な方法です。特にIoT機器やスマートフォンアプリも更新対象として忘れがちですが、こうしたデバイスも攻撃経路になるため注意が必要です。
この「Core 4」はどれも難しい技術ではなく、誰でもすぐに始められるものばかりです。小さな習慣の積み重ねこそが、大きな攻撃被害を防ぐ最前線になるという点が強調されています。
多要素認証とパスキー ― どちらが有効か?
オンラインサービスにログインする際、かつては「ユーザーIDとパスワード」だけで十分と考えられていました。しかし近年は、パスワード漏えいや不正利用の被害が後を絶たず、「パスワードだけに依存する時代は終わった」 と言われています。そこで導入が進んだのが 多要素認証(MFA: Multi-Factor Authentication) であり、さらに次のステップとして パスキー(Passkeys) という新しい仕組みが登場しています。
多要素認証(MFA)の位置づけ
MFAとは、「知識(パスワードなど)」「所持(スマホや物理キー)」「生体(指紋や顔認証)」 の異なる要素を組み合わせて認証を行う仕組みです。例えば、パスワード入力に加えてスマートフォンに送られるワンタイムコードを入力する、あるいは専用アプリの通知を承認する、といった方法が一般的です。
MFAの強みは、パスワードが漏洩したとしても追加要素がなければ攻撃者がログインできない点にあります。そのため、多くの銀行やクラウドサービスではMFAを必須とし、セキュリティ標準の一部として定着しました。
ただし課題も存在します。SMSコードは「SIMスワップ攻撃」によって奪われる可能性があり、TOTP(認証アプリ)のコードもフィッシングサイトを介した中間者攻撃で盗まれることがあります。また最近では、攻撃者が大量のプッシュ通知を送りつけ、利用者が誤って承認してしまう 「MFA疲労攻撃」 も報告されています。つまり、MFAは有効ではあるものの「万能」ではないのです。
パスキー(Passkeys)の登場
この課題を解決する次世代技術として注目されているのが パスキー(Passkeys) です。これは公開鍵暗号方式を利用した仕組みで、ユーザー端末に秘密鍵を保持し、サービス側には公開鍵のみを登録します。ログイン時には生体認証やPINで端末を解錠し、秘密鍵で署名を返すことで本人確認が行われます。
最大の特徴は、偽サイトでは認証が成立しない という点です。パスキーは「どのWebサイトで利用するものか」を紐づけて管理しているため、攻撃者がそっくりなフィッシングサイトを作っても秘密鍵は反応せず、認証自体が失敗します。これにより従来のMFAが抱えていた「フィッシング耐性の弱さ」を克服できるのです。
さらにユーザー体験の面でも優れています。パスワードのように長い文字列を覚える必要はなく、スマートフォンの指紋認証やPCの顔認証など、直感的でシームレスな操作でログインが完了します。これにより「セキュリティを強化すると利便性が下がる」という従来のジレンマを解消する可能性があります。
実際の導入状況と課題
Apple、Google、Microsoftといった大手はすでにパスキーの標準対応を進めており、多くのWebサービスも導入を開始しています。たとえばiCloud、Gmail、GitHubなどではパスキーが利用可能です。
しかし現時点では、すべてのサービスがパスキーに対応しているわけではなく、「サービスごとに対応状況がバラバラ」 という現実があります。また、パスキーには「端末に限定した保存」と「クラウド経由で同期する保存」という方式があり、利便性とセキュリティのバランスをどう取るかも議論が続いています。クラウド同期は利便性が高い一方で、そのクラウド基盤自体が攻撃対象になりうるリスクを孕んでいます。
結論
現状では、MFAが依然として重要なセキュリティの基盤であることに変わりはありません。しかし、長期的にはパスキーが「パスワード+MFA」を置き換えると予想されており、業界全体がその方向に動いています。
つまり、「今すぐの実践はMFA、将来の主流はパスキー」 というのが現実的な答えです。企業や個人は、自分が利用するサービスの対応状況を確認しつつ、徐々にパスキーへの移行を進めていくのが望ましいでしょう。
詐欺・スキャムを見抜く具体的ポイント
サイバー攻撃は必ずしも高度な技術だけで成立するものではありません。むしろ現実には、人の心理的な隙を突く「社会工学的手口」 が依然として大きな割合を占めています。その代表例が フィッシング詐欺 と スキャム(scam) です。
スキャムとは、一般に「詐欺行為」や「だまし取る手口」を意味する言葉で、特にインターネット上では「お金や個人情報を不正に得るための不正行為」を指します。具体的には「当選しました」と偽って金銭を送らせる典型的な詐欺メールや、「銀行口座の確認が必要」と装うフィッシングサイトへの誘導などが含まれます。
こうした詐欺やスキャムは日々進化しており、AIによる自然な文章生成や偽装された電話番号・差出人アドレスの利用によって、見抜くのがますます難しくなっています。そこで重要になるのが、日常の中での「違和感に気づく力」です。以下に、代表的な確認ポイントを整理します。
1. URL・ドメインの確認
- 正規サービスに似せた偽サイトが横行しています。例として paypa1.com(Lではなく1)や amaz0n.co(Oではなく0)といったドメインが用いられることがあります。
- サイトが HTTPS化されていない、あるいは 証明書の発行元が不審 である場合も注意が必要です。ブラウザの鍵マークを確認し、必ず正規ドメインであることを確かめましょう。
2. メールや通知文の特徴
- 差出人アドレスが公式とは異なるドメインから送られてくるケースが多く見られます。送信者名は「Amazon」や「銀行」など正規に見せかけていても、実際のメールアドレスは不審なものであることがよくあります。
- 内容にも特徴があり、「至急対応してください」「アカウントが停止されます」といった 緊急性を強調する表現 が含まれることが典型的です。これはユーザーに冷静な判断をさせず、即座にリンクをクリックさせる心理誘導です。
3. ファイル添付・リンク
- .exe や .scr など実行形式のファイル、あるいはマクロ付きのOffice文書が添付されている場合は高確率でマルウェアです。
- 短縮URLやQRコードで偽サイトに誘導するケースも増えています。リンクを展開して実際の遷移先を確認する習慣を持つと安全性が高まります。
4. ログイン要求や個人情報入力
- 偽サイトはしばしば「パスワードだけ入力させる」など、通常のログイン画面とは異なる挙動を見せます。
- 本当に必要か疑わしい個人情報(マイナンバー、クレジットカード番号、ワンタイムパスワードなど)を入力させようとする場合は要注意です。正規サービスは通常、メール経由で直接こうした入力を求めることはありません。
5. MFA疲労攻撃(MFA Fatigue Attack)
- 最近の傾向として、攻撃者が大量のプッシュ通知を送りつけ、利用者に「うるさいから承認してしまえ」と思わせる攻撃が報告されています。
- 不審な通知が連続して届いた場合は、むやみに承認せず、アカウントに不正アクセスの兆候がないか確認しましょう。
6. ソーシャルエンジニアリング
- サポートを装った電話や、知人を偽るメッセージで「今すぐ送金が必要」などと迫るケースがあります。
- 実際に相手の言葉が本当かどうかは、別の公式チャネル(正規サポート番号や別の連絡手段)を用いて確認するのが有効です。
最新の傾向
AI技術の発展により、詐欺メールやスキャムの文章は以前よりも自然で流暢になり、従来の「不自然な日本語で見抜ける」段階を超えつつあります。また、ディープフェイク音声を利用した電話詐欺や、正規のロゴを巧妙に組み込んだ偽サイトなども一般化しています。
したがって「表面的に違和感があるかどうか」だけではなく、差出人のドメイン・リンク先URL・要求される行動の妥当性 といった多角的な視点で判断する必要があります。
まとめ
スキャムは「騙して金銭や情報を奪う不正行為」であり、フィッシング詐欺やマルウェア配布と並んで最も広範に行われています。これらは最先端の技術ではなく、むしろ「人の心理を狙った攻撃」であることが特徴です。
だからこそ、「常に疑って確認する姿勢」を持つことが最大の防御策になります。メールや通知を受け取ったときに一呼吸置いて確認するだけでも、被害を避ける確率は大幅に高まります。
おわりに
2025年のサイバーセキュリティ月間のテーマである 「Stay Safe Online」 は、技術的に難しいことを要求するものではなく、誰もが今日から実践できるシンプルな行動を広めることを目的としています。強力なパスワードの利用、多要素認証やパスキーといった最新の認証技術の導入、日常的に詐欺やスキャムを見抜く意識、そしてソフトウェアを常に最新に保つこと。これらの「Core 4(コア4)」は、どれも単体では小さな行動かもしれませんが、積み重ねることで大きな防御力を生み出します。
特に注目すべきは、認証技術の進化と人の心理を狙った攻撃の巧妙化です。MFAは長年にわたり有効な対策として普及してきましたが、フィッシングやMFA疲労攻撃といった新しい攻撃手口に直面しています。その一方で、パスキーは公開鍵暗号方式をベースに、フィッシング耐性と利便性を兼ね備えた仕組みとして期待されています。今後数年の間に、多くのサービスがパスキーを標準化し、パスワードレス認証が当たり前になる未来が現実味を帯びてきています。
一方で、攻撃者もまた進化を続けています。AIによる自然なフィッシングメールの生成、ディープフェイクを用いた音声詐欺、SNSを悪用したなりすましなど、従来の「怪しい表現や誤字脱字に注意する」だけでは通用しない状況が増えています。したがって、「怪しいと感じたら立ち止まる」「正規チャネルで確認する」といった基本動作がますます重要になっているのです。
サイバーセキュリティは、企業や政府だけの問題ではなく、私たち一人ひとりの行動が大きく影響します。家庭でのパソコンやスマートフォンの設定、職場でのセキュリティ教育、学校でのリテラシー向上、こうした日常的な取り組みが社会全体の安全性を高める土台になります。
結論として、「Stay Safe Online」は単なるスローガンではなく、未来に向けた行動の合言葉です。この10月をきっかけに、自分自身や所属組織のセキュリティを見直し、小さな改善から始めてみることが、これからの時代を安全に生き抜くための第一歩になるでしょう。
参考文献
- Cybersecurity Awareness Month – Stay Safe Online
https://www.staysafeonline.org/cybersecurity-awareness-month - Online Safety Basics – Stay Safe Online
https://www.staysafeonline.org/articles/online-safety-basics - Core 4 Webinars – Stay Safe Online
https://www.staysafeonline.org/events/core-4-webinars - Cybersecurity for Business – Videos – Stay Safe Online
https://www.staysafeonline.org/resources/cybersecurity-for-business/videos - Secure Our World Cybersecurity Awareness Month Resources | CISA
https://www.cisa.gov/resources-tools/resources/secure-our-world-cybersecurity-awareness-month-resources - Get started with phishing-resistant passwordless authentication deployment in Microsoft Entra ID – Microsoft Learn
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication - Passkeys and Their Impact on 2FA and MFA – Dashlane Blog
https://www.dashlane.com/blog/passkeys-impact-2fa-mfa - Phishing-Resistant MFA vs. Standard MFA: What’s the Difference? | Rublon
https://rublon.com/blog/phishing-resistant-mfa-vs-standard-mfa - Passkeys Phishing: Why Passkeys are Phishing-Resistant | Corbado
https://www.corbado.com/blog/passkeys-phishing-resistant - Device-Bound vs. Synced Credentials: A Comparative Evaluation of Passkey Authentication – arXiv
https://arxiv.org/abs/2501.07380 - URLTran: Improving Phishing URL Detection Using Transformers – arXiv
https://arxiv.org/abs/2106.05256
