The Hackett Praxis, LLC News

Microsoft Office and Project Management Training Schedule

We offer a variety of instructor led classes.  They can be conducted in person, virtual, or hybrid settings.  Call us at 304.945.3072 or e-mail us at info@thehackettpraxis.com for more information.

RSS CIO Magazine

  • 오픈텍스트, 2025 IDC 마켓스케이프 ‘범용 지식 검색 소프트웨어’ 부문 리더로 선정 December 15, 2025
    오픈텍스트는 최근 AI 데이터 플랫폼 로드맵을 발표했으며, 해당 로드맵에서 지식 검색은 대규모이면서 복잡한 데이터 세트로부터 실행 가능한 인사이트를 도출하도록 지원하는 핵심 요소로 자리 잡았다. 오픈텍스트는 구조화 데이터와 비구조화 데이터를 결합하기 위해 통합된 개방형 데이터 및 AI 프레임워크와 서비스 포트폴리오를 구축했다. 현재 제공 중인 모듈 중 하나인 ‘오픈텍스트 놀리지 디스커버리(OpenText Knowledge Discovery)’는 AI 기반의 확장 가능한 […]
  • 【受賞者を発表】ビジネスの成長に貢献したCIOを表彰する「CIO 30 Awards JAPAN 2025」を発表 December 15, 2025
    ビジネスを支えるIT施策で成長に貢献した企業とリーダーを選出 日本での開催が初となる「CIO 30 Awards JAPAN」は、企業の成長に貢献しているCIOやIT部門のリーダーが主導したテクノロジーによる価値創出の成果を広く社会に発信し、その取り組みを評価・表彰することで、組織内でのプレゼンス向上や対外的な信頼獲得につなげていただくことを目的としています。 急速に進化するDX(デジタルトランスフォーメーション)や生成AIの社会実装が進む中、企業におけるCIOおよびIT部門の役割はますます重要性を増しています。CIO 30 Awards JAPANは、そのような環境下で先進的な取り組みに挑戦し、ビジネス成果を創出してきた企業とリーダーを選出いたしました。 CIO 30 Awards JAPAN 2025概要 【受賞者】 CIOグランプリ(最優秀賞):上田 晃穂 氏 関西電力株式会社 IT戦略室長 理事 ストラテジー賞:久本 英司 氏 株式会社星野リゾート 情報システムグループ グループディレクター デジタルトランスフォーメーション(DX)賞:小笠原 暁史 氏 株式会社ヤオコー デジタル統括部 執行役員 CDO 兼 デジタル統括部長 AI賞:森 正弥 氏 株式会社博報堂DYホールディングス 執行役員 CAIO タレント賞:岸 和良 氏 住友生命保険相互会社 エグゼクティブ・フェロー デジタル共創オフィサー デジタル&データ本部 事務局長 審査員特別賞 チーム:太古 無限 氏 ダイハツ工業株式会社 DX推進室 デジタル変革グループ長 兼) […]
  • 証券口座を狙うサイバー攻撃——巧妙化する手口と防衛策 December 15, 2025
    フィッシングとマルウェア——乗っ取りの2大ルート 証券口座を狙ったサイバー攻撃が急増している。楽天証券や野村証券など大手6社で乗っ取り被害が確認され、金融庁の調査(2025年2月1日〜4月16日)では、わずか3カ月間で1454件、「売却額:約506億円」「買付額:約448億円」に及ぶ不正取引が発生した。背景には、NISA制度の拡充による投資人口の増加と、巧妙化する攻撃手法の進化がある。 証券口座乗っ取りの主な手口は、大きく分けて「フィッシング」と「マルウェア感染」の2つに分類される。 トレンドマイクロのシニアスペシャリスト、成田直翔氏は次のように語る。 「フィッシングは、証券会社を装った偽メールやSMSを送り、ユーザーを偽サイトに誘導してIDやパスワードを入力させる手法です。最近では、サイトのデザインやURLが本物と見分けがつかないほど精巧に作られており、従来の『日本語の違和感』や『ドメインの不一致』といった見破り方は通用しなくなっています。一方、マルウェア感染は、ユーザーをだまして悪意のあるコマンドを自ら実行させるCllickFixや偽メールに添付されたファイルを通じて端末に不正プログラム(インフォスティーラー(情報窃取型マルウェア)が侵入し、ブラウザに保存された認証情報を盗み取るというものです。感染しても画面上に異常が現れないため、ユーザーが被害に気づきにくいのが特徴です」 2025年4月に公開されたセキュリティ企業マクニカとイスラエルのKELAによる共同調査によると、証券口座のID・パスワードが10万件以上、ダークウェブで流通していることが判明した。その大半はフィッシングによるものとされるが、インフォスティーラーによる漏洩も含まれている可能性が高い。 レジデンシャルプロキシとIoT機器——不可視化される攻撃者の足跡 攻撃者は単に認証情報を盗むだけではない。自らの痕跡を隠すために、家庭内のIoT機器を「踏み台」として悪用するケースが増えている。特に、セットトップボックス(STB)やインターネット接続型テレビ、監視カメラ、家庭用ルーターなどが標的となっている。 「こうした機器は、セキュリティのアップデートは行われているものの、サポートが終了した古い機器を使い続けているケースが多く見られます。中には『10年間ずっと同じルーターを使っています』という方も珍しくありません。こうしたサポート切れの機器を使い続けていると、定期的な更新がされないまま、ネットワークへの接続がずっと維持されてしまうことになります。その結果、セキュリティ上のリスクが高まる危険性があります」(成田氏) これらの機器は、セキュリティアップデートが不十分なまま放置されていることが多く、攻撃者にとっては格好の標的だ。乗っ取られた機器は「レジデンシャルプロキシ(Residential Proxy、家庭用ネット回線を経由する偽装アクセス手段)」として利用され、日本国内からのアクセスを装うことで、証券会社の不正検知を回避する。 「攻撃者はセットトップボックスを“踏み台”として利用することで、自分の居場所や使っているサーバーのIPアドレスを隠すことができます。その結果、外から見ると『日本から通信が来ている』ように見えますが、実際には攻撃者がその機器を通して攻撃しているだけなのです」(成田氏) このようなプロキシは、闇市場でも「日本IP保証」として販売されており、ランサムウェアのようにマーケット化が進んでいる。つまり、攻撃者は自らのインフラを持たずとも、他人のIoT機器を経由して攻撃を仕掛けることが可能になっているのだ。 相場操縦型の不正取引——乗っ取られた口座の“提灯”利用 証券口座を乗っ取った後、攻撃者が行うのは単なる資金の引き出しではない。これらの口座を使って市場に影響を与えるような「相場操縦型」の不正取引が行われている。 「攻撃者はまず流動性の低い銘柄、特に中国株などを事前に安値で仕込んでおく。そして、乗っ取った複数の口座を使ってその銘柄を一斉に大量購入することで、株価を吊り上げる。この“提灯”行為によって価格が高騰したタイミングで、攻撃者自身の口座から売却を行い、利益を得るという仕組みです。つまり、乗っ取られた口座は『相場を盛り上げるための道具』として利用されているのです。被害者の口座は、知らぬ間に相場操縦の片棒を担がされ、場合によっては損失を被ることもあります」(成田氏) このような手口は、金融商品取引法に抵触する可能性があり、証券取引等監視委員会も注視している。だが、攻撃者が海外からアクセスしている場合、摘発は容易ではない。警察庁や金融庁は国際連携を強化し、犯罪集団の特定と被害防止に取り組んでいる。 個人ユーザーが直面するリスクと落とし穴 証券口座の乗っ取りは、単なる技術的な問題ではない。個人ユーザーの行動や意識が、被害の有無を左右する重要な要素となる。特にフィッシング詐欺に関しては、「見破ろうとする」こと自体が落とし穴になるケースがある。 かつては、メールの文面に不自然な日本語が含まれていたり、URLが本物と異なっていたりすることで、偽サイトを見分けることができた。しかし現在では、偽サイトの精度が非常に高く、見た目だけでは判別が困難になっている。証券会社のロゴや配色、文面のトーンまで本物そっくりに再現されており、ユーザーが「違和感を探す」こと自体が非現実的になっている。 そのため、最も有効な対策は「見破る」のではなく「踏まない」ことだ。つまり、メールやSMSに記載されたリンクをクリックせず、必ず公式アプリや事前に登録したブックマークからアクセスするという行動習慣を徹底することである。 多要素認証と通知設定——個人が取るべき防衛策 こうした攻撃に対抗するため、個人ユーザーが取るべき防衛策は複数ある。まず第一に、多要素認証(MFA)の導入が挙げられる。これは、ID・パスワードに加えて、指紋認証やワンタイムパスワード(OTP)など、複数の認証手段を組み合わせることで、認証情報が漏洩してもログインを防ぐ仕組みだ。 日本証券業協会は、会員58社に対してMFAの原則必須化を進めており、今後はより多くの証券会社がこの仕組みを標準化していくとみられる。ただし、現時点ではユーザーが任意で設定する形式の会社も多く、セキュリティ水準が低いままの口座も少なくない。 さらに一歩進んだ対策として、パスワードそのものを不要にする「パスキー」という新しい認証技術も普及し始めている。パスキーは、生体認証や端末固有の暗号鍵を用いることで、フィッシング攻撃に強く、パスワードの使い回しや漏洩のリスクを根本から排除できる。対応サービスでは、MFAよりもさらに高い安全性が期待できる次世代の認証手段と言える。 次に重要なのが、取引通知の設定である。証券会社の多くは、売買やログインが行われた際に、メールやアプリ通知でユーザーに知らせる機能を提供している。これを有効にしておくことで、身に覚えのない取引に即座に気づき、被害の拡大を防ぐことができる。 さらに、端末管理も欠かせない。ClickFixで用いられる不審なWebサイトやメールから取得したコマンドのコピー&ペーストを避け、セキュリティソフトを導入する。ブラウザにパスワードを保存しない設定にすることで、インフォスティーラーによる漏洩リスクを減らすことができる。 補償制度の現状と課題 証券口座の乗っ取りによって発生した損失に対して、どのような補償がなされるのか。この点は、被害者にとって極めて切実な問題である。 現状では、証券会社ごとに補償方針が異なっており、満額補償を行う企業もあれば、一定割合のみの補償にとどまる企業もある。補償の可否や金額は、被害の発生経緯やユーザー側の過失の有無など、個別の事情によって判断される。 たとえば、ユーザーがフィッシングサイトに自ら情報を入力していた場合、「重大な過失」と見なされ、補償の対象外となる可能性もある。一方で、インフォスティーラーによる情報漏洩のように、ユーザーが被害に気づきにくいケースでは、補償の判断がより複雑になる。 このような補償制度の不透明さは、被害者にとって二重の苦しみとなりうる。制度の明確化と、迅速かつ誠実な対応が求められている。 国際連携と犯罪インフラの解体 証券口座乗っ取りの背後には、国際的なサイバー犯罪集団の存在があるとされる。彼らは、フィッシングサイトの構築、マルウェアの配布、レジデンシャルプロキシの販売などを分業体制で行っており、まるで一つの“産業”のように機能している。 このような犯罪インフラを解体するには、国内の法制度だけでは限界がある。警察庁や証券取引等監視委員会は、海外の捜査機関やセキュリティ企業と連携し、情報収集と摘発に取り組んでいるが、摘発の難易度は依然として高い。 特に、IoT機器を踏み台にした“なりすまし”攻撃では、通信の発信元が日本国内に見えるため、追跡が困難になる。こうした技術的な障壁を乗り越えるには、国際的な情報共有と、民間企業との協働が不可欠である。 安心して投資できる環境づくりへ NISA制度の拡充により、投資はもはや一部の富裕層だけのものではなくなった。家計の資産形成手段として、証券口座は広く一般に普及しつつある。だからこそ、誰もが安心して取引できる環境を整えることは、金融行政にとって喫緊の課題である。 そのためには、制度の整備だけでなく、ユーザー教育やリテラシー向上、そして何よりも「被害に遭ったときに守られる」という信頼の構築が不可欠だ。サイバー攻撃は防ぎきれないこともある。だが、被害を最小限に抑え、迅速に回復できる仕組みがあれば、人々は再び安心して投資に向き合うことができる。 証券口座を狙うサイバー攻撃は、単なる技術的な問題ではない。それは、制度の隙間を突き、個人の油断を狙い、社会の信頼を揺るがす“構造的な脅威”である。 だが同時に、私たちにはそれに立ち向かう手段もある。多要素認証やパスキーの導入、公式アプリからのアクセス、通知設定、信頼できるIoT機器の選定——これら一つひとつの行動が、サイバー攻撃の連鎖を断ち切る鍵となる。 「IoT機器のセキュリティに関心を持ってチェックしている人は、まだ少ないのではないかと思います。こうした分野の重要性は急速に高まっていると感じます。たとえばセットトップボックスに関して言えば、中国のメーカーが製造している製品も多く見られます。中には、あまり知られていないメーカーの製品を『安いから』という理由で使っている人もいますが、そうした製品にはセキュリティ上の脆弱性があるケースも少なくありません。できるだけ信頼性のあるメーカーの製品を選ぶ方が安心だと思います。また、IoT機器のセキュリティ対策については、経済産業省を中心に取り組みが進められており、現在『JC-STAR』というラベリング制度が始まっています。この制度では、セキュリティ対策が施されたIoT機器に『JC-STAR ラベル』が貼付されるようになっており、消費者が製品を選ぶ際の判断材料として活用できるようになっています。このラベルが貼られている製品は、一定のセキュリティ基準を満たしていることを示しているため、今後はこうしたラベルの有無が製品選びの基準のひとつになるのではないかと思います」(成田氏) 制度と個人、企業と行政が連携し、透明性と信頼性を軸にしたセキュリティ文化を築くこと。それこそが、デジタル時代の資産を守るための最も確かな道である。
  • Stop mimicking and start anchoring December 15, 2025
    The mimicry trap CIOs today face unprecedented pressure from board, business and shareholders to mirror big tech success stories. The software industry spends 19% of its revenue on IT, while hospitality spends less than 3%. In our understanding, this isn’t an anomaly; it’s a fundamental truth that most CIOs are ignoring in their rush to […]