At-Bayの2025年InsurSecレポートによると、サイバー保険請求の90%がメールとVPNに起因し、大企業が依然として主要な標的となっている。
攻撃者の手口がますます巧妙化している一方で、昔ながらの手法がいまだに有効であることが明らかになっています。
サイバー保険会社At-Bayの2025 InsurSecランキングレポートによると、メールとリモートアクセスは依然として最も顕著なサイバー脅威の経路であり、2024年のサイバー保険請求の90%を占めています。
そして予想通り、大企業が最も大きな被害を受け続けています。しかし興味深いことに、多くの企業が頼りにしている仮想プライベートネットワーク(VPN)は、一般的な認識とは裏腹に、決して安全ではありません。
「私たちのデータから、フィッシングメールはメールフィルターをすり抜けてユーザーの受信箱に届いていることが分かっています」とBeauceron SecurityのDavid Shipleyは述べています。「これは保険データの観点から、その結果を興味深く示しています。」
メールはいまだに最も弱いポイント
At-Bayは2021年から2025年第1四半期までのサイバー請求を包括的に分析しました。その結果、昔ながらのメールが攻撃の主な侵入口であり続けていることが判明しました(2024年の全インシデントの43%)。これに関連して、メールを含む請求の頻度は2024年に前年比30%増加しています。
これらの攻撃は「ビジネスにとって最も急速に増加し、持続的なリスク」であり、ハッカーが生成AIを積極的に活用するようになったことで「劇的に加速している」と研究者らは指摘しています。
驚くべきことに、詐欺攻撃の83%がメールから始まっているとされ、その結果は高額です:1件あたりの平均送金額は28万6,000ドル、最大の単一取引は500万ドルに上ります。
レポートはメール詐欺攻撃の手口を以下のように説明しています:
- 侵入:ハッカーが認証情報を盗み、メールシステムに侵入して関係性や取引情報を探ります。
- 準備:攻撃者は従業員から顧客への請求書を見つけ、従業員の本物のドメインに「ほぼ完璧に一致する」ドメイン(例:acme.coとacme.com)を登録します。
- なりすまし:脅威者は新しい偽ドメインでメールアカウントを作成し、本物の従業員と同じ名前、アドレス、署名を使用します。
- 依頼:ハッカーは請求書を送った顧客にメールを送り、支払い先の変更を依頼します。元のスレッドも含めて正当性を装います。
- 支払い:被害者が依頼に応じ、詐欺がリアルタイムで検知されなければ、攻撃者が資金を手にします。
研究者らは、これらの場合、被害組織にセキュリティの失敗はなく、単に従業員が騙されただけだと指摘しています。「被害者が異常や悪意のある活動に気付く機会はほとんどなく、気付いた時には手遅れです」と述べています。
レポートによると、Google Workspaceは最も安全なメールプロバイダーですが、このプラットフォームに関する請求も前年比で3倍に増加しました。Microsoft 365ユーザーも請求が増加しましたが、At-Bayはその増加率を明らかにしていません。
大企業が最もリスクが高い
調査によると、大企業は魅力的な標的となっています。売上高が1億ドルから5億ドルの企業は、売上高2,500万ドル未満の企業に比べてメール請求の頻度が3倍以上でした。さらに、大企業による請求は1年で70%増加しました。
「大企業は日常的に大規模な金融取引を行い、高額な残高を管理し、多くの支払いを処理するため、攻撃者にとって魅力的です」と研究者らは記しています。広範なベンダーネットワークや複雑な組織構造も弱点を増やし、ハッカーが通信を傍受し、組織内に溶け込むことを可能にします。
研究者によると、メールセキュリティツールを利用する顧客の請求頻度は前年比53%増加しました。ほぼすべてのメールセキュリティツール利用者で請求頻度が高くなっていましたが、Sophosだけは例外でした。At-Bayは、Sophosが自然言語処理(NLP)への早期投資により詐欺を検知できたことを理由としています。他に分析対象となったプラットフォームにはProofpoint、Mimecast、Barracuda、Intermedia、Appriverが含まれます。
VPNとリモートアクセスの危険性
仮想プライベートネットワーク(VPN)も大きな侵入経路であることがAt-Bayの調査で明らかになりました。例えば2024年には、ランサムウェア攻撃の80%がリモートアクセスツールから始まり、そのうち83%がVPNを含んでいました。
興味深いことに、自己管理型のオンプレミスVPNが最もリスクが高く、その利用者はクラウド型VPNやVPN未使用の企業に比べて4倍もランサムウェア被害に遭いやすいことが分かりました。特にCiscoとCitrixは2024年で最もリスクの高いVPNであり、これらを使用する企業はランサムウェア被害に遭う確率がほぼ7倍でした。
これは、At-Bayの顧客向けCISOであるAdam Tyraによれば、現代のリモートアクセスデバイスがますます複雑化し脆弱になっているためであり、「ランサムウェアの侵入を防ぐことが難しく、より避けられないものになっている」と述べています。プロによる管理型検知・対応(MDR)が、ランサムウェアによる完全な暗号化を一貫して阻止できた唯一の対策のようです。
「ネットワークセキュリティデバイスへの攻撃の影響を見るのは驚きません。今年一年で見てきた事例と一致しています」とBeauceronのShipley氏も付け加えています。「悪いニュースは、CVE公開からわずか15分、たった1ドルで脆弱性が武器化できる今、2026年にはさらに悪化する可能性が高いということです。」
企業は警戒を怠ってはならない
At-Bayの研究者は、管理型検知・対応(MDR)ツールが暗号化を防ぐのに役立った一方で、セキュアメールゲートウェイ(SEG)プラットフォームは、メールの悪用やスレッド内の偽情報、同一企業内ユーザー間で送信される悪意あるメールの検知に繰り返し失敗していたと指摘しています。
「テストしたほとんどのメールセキュリティツールが詐欺メールをほとんど検知できなかったことに驚きました」と研究者らは述べています。「うまく機能したのは、最初からAIを活用して構築された最新のツールだけでした。これは、詐欺メールが従来のルールベースツールでは検知できない明白な兆候を示さないことが多いためです。」
AIベースのツールは、言語パターン(ユーザーの口調や文体)を識別して異常を検知したり、見落としやすい特徴やホモグリフ(見た目が似ているが異なるコードを持つ文字、例:「I」と「1」)を検出したり、電話番号・署名・ヘッダーなどの微妙な変更や他のトリックを見抜くことができます。
「このデータは、サイバー防御の多層化にはセキュリティ意識の向上が不可欠であり、メールフィルターなどのサイバーセキュリティツールだけに頼るべきではない理由を示しています」とShipley氏は述べています。
企業は十分な速さでパッチを適用できていないと彼は指摘し、ネットワークセキュリティベンダーによる製品品質の向上こそが唯一の解決策だと強調しています。
「しかし、バイデン政権時代の大統領令終了により米国の規制リーダーシップが失われた今、将来はやや暗いものに見えます」とShipley氏は述べています。
攻撃者の戦術の変化も状況を悪化させています。Jim Routh氏(Saviyntのチーフトラストオフィサー)は、脅威者がAIを約50%の確率で利用し、フィッシングメールやSMSをより説得力のあるものにしており、その結果、ラテラルムーブメント(横展開)にかかる時間が約18分に短縮されていると指摘しています。
これに対し、企業は過去に検証されたパターンとオンライン属性を比較し逸脱スコアを算出できるデータサイエンスツールによって「デジタル免疫システム」を構築すべきだと彼は述べています。あらかじめ設定した閾値によって自動ワークフローが発動し、組織が「ミリ秒単位」でインシデントから回復・対応できるようになります。
「このアプローチはAIを必要としませんが、ワークフローをサポートするエージェントには役立ちます」とRouth氏は述べています。
