キヤノンMJ、2025年サイバーセキュリティレポート公開 ClickFix新攻撃とIoT認証制度を詳述

キヤノンマーケティングジャパンは2026年4月7日、「2025年サイバーセキュリティレポート」を公開しました。同レポートでは、ソーシャルエンジニアリング型攻撃「ClickFix」の新たな派生手法や、IoT機器を標的とする脅威、そして各国で進むセキュリティ認証制度の動向について詳細に解説しています。

「ClickFix」の進化と新たな攻撃手法

見出し

1 「ClickFix」の進化と新たな攻撃手法
2 IoT機器を狙う脅威と広がるセキュリティ認証制度
3 その他の主な分析内容
- 3.1 ソース元

同レポートで特に注目されているのは、2024年以降に急速に拡大したソーシャルエンジニアリング型攻撃「ClickFix」の拡大と進化です。ClickFixは、偽のCAPTCHA認証画面などを用いて、ユーザー自身に危険な操作を実行させる手口が特徴です。2025年には、FileFix、TerminalFix、JackFixといった新たな亜種が次々に登場し、ユーザーの心理や操作環境に応じて手口を変化させる傾向が確認されました。レポートでは、これら4手法の比較分析を通じて、ユーザーが騙される要因や攻撃成立に至る操作の特徴を明らかにしています。

今後、ClickFix系の攻撃は、サポート詐欺や生成AIの悪用、検知回避技術と結びつくことで、より巧妙な形へ進化する可能性が指摘されています。

IoT機器を狙う脅威と広がるセキュリティ認証制度

IoT機器を標的とするサイバー攻撃も依然として活発であり、DDoS攻撃の踏み台やレジデンシャルプロキシ※としての悪用、監視カメラなどを通じた不正アクセス事例が確認されています。レポートでは、こうした脅威の実態に加え、日本で開始されたIoT機器向けセキュリティラベリング制度「JC-STAR」の概要が解説されています。

また、英国のPSTI法、EUのCyber Resilience Act（CRA）、米国のU.S. Cyber Trust Markなど、海外における制度動向との比較を交えながら、IoTセキュリティを取り巻く環境変化について考察が加えられています。

※レジデンシャルプロキシ：家庭用デバイス（コンピュータやスマートフォン、ホームルータなど）に割り当てられたIPアドレスを利用してインターネットアクセスを仲介するプロキシサーバーのこと。

その他の主な分析内容

レポートでは、ESET製品で検出された脅威に関する月別推移や検出数TOP10、ファイル形式別・カテゴリー別の統計が考察されています。特に、2025年12月3日に公開されたReact Server Componentsの脆弱性「CVE-2025-55182（React2Shell）」は、公開から1カ月も経たないうちに年間検出数TOP10の第2位に入るなど、極めて短期間で悪用が拡大したことが報告されています。この脆弱性は認証不要でサーバー側の任意コード実行につながる可能性があり、速やかなアップデート対応の重要性が強調されています。

また、プレスリリースなどの公開情報をもとに収集したインシデント情報を分析し、インシデントの発生から発覚、公表に至るまでの期間に着目した考察も行われています。サンシグマ法などを用いた外れ値分析により、特に非公開期間が長期化するインシデントの特徴が整理された結果、Webサイト改ざんを含む改ざん系のインシデント、なかでもECサイト改ざんは発見から公表までに時間とコストを要しやすい傾向が確認されました。これらの長期化するインシデントは、技術的要因だけでなく、組織的な対応体制や判断プロセスとも密接に関係していると推測されます。

本レポートは、企業・組織のセキュリティ対策に役立つ情報を網羅的に提供しています。