日本IBMは、「X-Force脅威インテリジェンスインデックス 2025」に関する説明会を開催した。同調査は、IBM X-Forceが、グローバルで発生しているサイバー脅威の事例や攻撃パターンを分析し、傾向や特徴をまとめたもの。130カ国超を対象に2024年1~12月までの1年間、インシデントやペネトレーションテスト、脆弱(ぜいじゃく)性およびマルウェアの研究結果を分析した結果を公開している。
日本IBM 窪田氏
まず、日本IBM コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者の窪田豪史氏が、2025年の脅威トレンドのハイライトについて説明した。調査によると、攻撃者は引き続きユーザーの認証情報を狙っており、X-Forceが2024年に対応したインシデントのうち、初期侵入経路の30%が正規アカウントの悪用によるものだった。これは、情報窃取型マルウェアの感染や、AIを用いたより自然な文章のフィッシングメールの増加が背景にあるという。
認証情報を狙う攻撃の起点としてフィッシングメールの利用があり、情報窃取型のマルウェア感染を狙うメールは84%増加している。また、ダークウェブ上で販売される情報窃取マルウェア由来の認証情報は12%増加。これは、認証情報や、多要素認証を突破する攻撃(AiTM)ツールを購入できる環境が整っており、多要素認証を突破する難易度が低下していることが背景にあるという。
他方、国際的な法執行機関によるランサムウェアグループの摘発やインフラの遮断などの取り組みにより、ランサムウェア感染に関する相談件数は減少傾向にある。加えて、EDRやXDRなどのセキュリティサービスにより、継続的に動くバックドアや暗号処理が検知されやすくなり、攻撃者はターゲットに長期間とどまることが難しくなってきていることも挙げられるという。
一方で攻撃者は、静かに認証情報を持ち出すといった“静かな”攻撃手段を選択する傾向にあるとしている。派手な活動を行わずとも、正規のプロセスやファイルレスで活動ができ、検知されづらいケースもあることから、攻撃者は認証情報窃取のための戦略に切り替えているという。
2024年にX-Forceが対応したインシデントのうち、約半数が重要インフラ事業者に関連したものだった。このインシデントのうち、40%でマルウェアが利用されており、侵入経路の26%が脆弱性の悪用によるものだ。
窪田氏は「これは、重要インフラ事業に限らず、古いシステムの利用やタイムリーなアップデートが困難なシステム状況であると脆弱性を悪用され、侵害されてしまうという課題が浮き彫りになっている」と指摘する。フォーラムやマーケットプレイス、チャットルームなどに認証情報や機密情報、エクスプロイトコードの共有情報が流通してないかを確認することで、未知のリスクを把握して管理可能な脅威に変える活動が必要になると述べる。
また、AIに対する脅威も高まりをみせている。現状ではAIを標的とした大規模な攻撃は具体化していないが、ビジネスにおけるAI導入は加速しており、攻撃者のAIを狙うモチベーションが高まっているという。IBMの別の調査では、生成AIの活用が進む中で、セキュリティが確保されているプロジェクトは25%未満にとどまっているという結果が明らかになっている。今後、AIを安全に活用するには、設計段階からAIを組み込み、AIのライフサイクル全体を保護することが不可欠だとした。
攻撃が組織に与える影響としても最多は「認証情報の収集」(29%)だった。窃取した認証情報をダークウェブで販売したり、別の攻撃に利用したりすることが目的だという。次に「データ窃取」(18%)が挙げられ、認証情報の収集と合わせて機密情報を含むデータも持ち出され、一部のケースではデータ窃取後に脅迫されたケースもあった。
前回の調査で24%あった「脅迫」は13%に低下したものの、継続した被害を確認している。「ランサムウェア感染の相談は減少しているが、取引先の企業でランサムウェア感染がありデータが持ち出された際の自社への影響の確認や検証の相談は増えていた。自社だけでなく関連企業のインシデントに影響を受けているケースもある」(同氏)
攻撃により組織に生じた影響
攻撃者の手口としては、「マルウェア」の利用が42%と大きな割合を占めた。マルウェアの内訳としては「ランサムウェア」(28%)、「バックドア」(20%)、「Webシェル」(13%)、「情報摂取マルウェア」(8%)だった。日本でも情報窃取型マルウェアに感染し、システム情報が持ち出された事例が確認されている。また海外では、業務で使うアプリの海賊版に情報窃取型マルウェアが含まれていた事例も報告されているという。
マルウェアの次に多く見られた手口は「正規ツールの悪用」(31%)だった。SSHやリモートデスクトップといったツールが初期侵入だけでなく、横展開にも利用されるケースがあった。正規ツールは一般的に利用されているプログラムであるため、アンチウイルスやEDRに検知されにくいこともあり、悪用されるケースが見られるという。
初期侵入経路については「正規アカウントの悪用」「脆弱性の悪用」がともに30%と最も高く、これらは前回の調査とほぼ同じ数値であるという。ほかにも「フィッシング(メール経由の攻撃)」による侵入も25%と依然として高いが、添付ファイルや本文中のリンクをクリックさせる侵害手段は、脆弱性や正規アカウントの悪用と比較して成功しづらくなっているとしている。
初期侵入経路の内訳
