エグゼクティブサマリー
2025年のサイバーセキュリティ環境は、攻撃の速度と高度化が加速していることを特徴とし、敵対者は人工知能を活用し、サプライチェーン依存を悪用し、重要インフラを体系的に標的にしています。ボストン・コンサルティング・グループの世界調査では、企業の60%が過去1年にAIを用いたサイバー攻撃を受けたと考えている一方で、AI対応の防御を導入しているのは7%にとどまり、能力ギャップの大きさが浮き彫りになっています。
主要なトレンドは、脅威アクターがグローバル規模で活動していることを示しており、ランサムウェアは依然として支配的で、かつコストが増大する脅威のままです。KELAのデータによれば、2025年1月から9月の間にランサムウェアのインシデントは4,701件に急増し、その半数が製造、医療、エネルギーといった重要インフラ分野を標的としていました。第三者およびサプライチェーンの侵害は主要な初期侵入ベクターとなり、2025年の全侵害の44%を占め、前年の32%から大幅に増加しました。
ロシア、中国、北朝鮮、イランの国家主体アクターは、諜報、妨害、金銭目的のキャンペーンを継続して実施しており、重要サービスを標的にし、ハクティビスト集団を代理勢力として用いることも少なくありません。同時に規制圧力も強まっており、SECのような機関は執行を強化し、CMMC 2.0やCISAのCybersecurity Performance Goals 2.0といった枠組みがレジリエンスの新たな基準線を設定しています。この環境では受動的防御は時代遅れであり、生き残りは、強固な第三者リスク管理、継続的な監視、そして内部脅威とソーシャルエンジニアリングの緩和に深く焦点を当てた、能動的で多層的なセキュリティ戦略にかかっています。
I. 2025年に進化する脅威ランドスケープ
2024年および2025年を通じたインシデント分析は、急速な適応、システム的弱点の戦略的標的化、そして新興技術の武器化によって定義される脅威環境を明らかにしています。
高度化と規模拡大
2025年のサイバー攻撃は、実行までの速度が増し、よりグローバルな規模へと拡大しています。国家主体アクターはサイバー能力を活用して、多国籍企業、重要インフラ、国際サプライチェーンを標的にしています。これらの作戦は、国家支援アクター、サイバー犯罪集団、ハクティビストの国境を越えた協力を伴うことが多く、国際的なサイバーセキュリティの取り組みに大きな課題を突き付けています。
人工知能(AI)の普及
AIは、攻撃者と防御者の双方にとって変革的な力として台頭しています。ボストン・コンサルティング・グループのレポートAI Is Raising the Stakes in Cybersecurityは、AIが防御よりも攻撃をより速く加速させていることを示しています。
- 攻撃側AI:攻撃者はAIを用いて、ランサムウェア、高度なフィッシングキャンペーン、音声クローン、ディープフェイク動画詐欺といった手口を強化し、脅威を「より速く、より欺瞞的で、よりスケーラブル」にしています。
- 防御側AI:組織の88%がAI対応の防御ツールを導入する計画を持つ一方で、実際に導入済みなのは7%にすぎません。この導入の遅れにより、多くの企業が「時代遅れのツールと資金不足の戦略に縛られ、高い露出状態に置かれている」のが現状です。
BCGのCenter for Leadership in Cyber StrategyのグローバルディレクターであるVanessa Lyonは、「攻撃者は機械の速度で動いている。唯一の勝ち筋は、自律性には自律性で対抗することだ」と述べています。
ランサムウェアとデータ恐喝の支配
ランサムウェアは国家のレジリエンスに対するシステム的脅威へと進化しました。UNC5227やREDBIKE(別名Akira)のアフィリエイトのような金銭目的の脅威クラスターは非常に活発で、身代金が支払われない場合に公開すると脅すためにデータを暗号化し、同時に持ち出す「二重恐喝」モデルをしばしば用います。
- 攻撃件数:2025年1月から9月の間に記録されたランサムウェア・インシデントは4,701件で、2024年の同期間の3,219件から大幅に増加しました。
- 重要分野の標的化:2025年のランサムウェア攻撃の50%(2,332件)は重要インフラ分野を標的としており、これら産業への攻撃件数は前年比34%増でした。製造業は増加幅が最大で、攻撃は520件から838件へと61%急増しました。
II. 主な攻撃ベクターと脆弱性
敵対者は初期アクセス獲得のために、技術的エクスプロイトと人間の操作を組み合わせた手法に引き続き依存しており、サプライチェーンと内部脅威はリスクが拡大している領域です。
第三者およびサプライチェーンの侵害
サプライチェーンのパートナー、ベンダー、ソフトウェア提供者を標的とする攻撃は主要な侵入手段となり、脅威アクターが従来の境界防御を迂回できるようにしています。このベクターは2025年の侵害の44%の原因となりました。
- ソフトウェア脆弱性:Boeingの侵害(2023年10月)は、Citrixのソフトウェア(Citrix Bleed)の脆弱性に起因し、LockBit 3.0ランサムウェア集団に悪用されました。Western Alliance Bankの侵害(2025年3月)は、Cleoのセキュアファイル転送ツールにおけるゼロデイ脆弱性に端を発し、Clopランサムウェア集団に悪用されました。
- 侵害されたサービスプロバイダー:多国籍エネルギー企業Schneider Electricに対するCactus集団の攻撃(2024年1月)は、PepsiCo、Walmart、Hiltonなど著名企業にコンサルティングを提供する同社のSustainability Business Divisionを侵害し、産業制御システムに関連する機微データを露出させました。同様に、Marks & Spencer、Harrods、Volvo Groupでの侵害も、いずれも侵害された第三者ベンダーに起因していました。
- SaaSプラットフォームの悪用:2025年の大規模キャンペーンでは、ハッカーがSalesloft DriftアプリケーションのOAuthトークンを侵害し、Google、TransUnion、Stellantisを含む数百社の顧客のSalesforce環境へ不正アクセスを得ました。
内部脅威
組織内部に起因するデータ侵害は依然として重大な懸念であり、動機は金銭的利益から背信行為まで多岐にわたります。
- 悪意ある内部者:2024年3月、GoogleのソフトウェアエンジニアであるLinwei Dingは、内部アクセスを悪用して、同社のAIチップ設計およびスーパーコンピューティング・データセンターに関する機密ファイル500件を盗み出しました。
- 侵害された内部者:2025年5月に公表された侵害では、Coinbaseの海外カスタマーサポート請負業者が買収され、約7万人分のユーザーの個人データが漏えいしました。
- 国家支援の潜入:Mandiantは、北朝鮮のIT労働者が盗用または捏造した身元情報を用いて西側企業に就職するという、特異な内部脅威UNC5267を追跡しています。目的は北朝鮮政権の収益獲得であり、彼らの高いアクセス権限はデータ窃取や恐喝の重大なリスクとなります。
認証情報の窃取とソーシャルエンジニアリング
フィッシングと認証情報の悪用は、依然として主要な初期侵入手段です。認証情報やブラウザCookieなどの機微なユーザー情報を収集するインフォスティーラー型マルウェアは、大規模侵入の主要な促進要因となっています。
- Snowflakeキャンペーン:2024年4月に始まり、脅威アクターUNC5537は主にインフォスティーラー型マルウェアで盗まれた認証情報を用いて、Ticketmaster(5億6,000万人の顧客が影響)を含む複数組織のSnowflake顧客インスタンスにアクセスしました。
- ソーシャルエンジニアリング:従業員を狙ったソーシャルエンジニアリング詐欺により、2025年10月にDoorDashでデータ侵害が発生し、顧客の連絡先情報が露出しました。脅威集団Scattered Spiderは、ソーシャルエンジニアリングでITヘルプデスクをだましてシステムアクセスを付与させ、MFA保護を迂回する手口で特に効果を上げています。
既知およびゼロデイ脆弱性の悪用
攻撃者はソフトウェアの欠陥を引き続き悪用しており、権限昇格の脆弱性が主要な焦点となっています。TenableのリサーチエンジニアであるSatnam Narangは、「過去2年間、権限昇格の欠陥が先頭を走っており、2025年はこれまでのところ、悪用されたゼロデイの半数超を占めている」と述べています。注目すべき例として、Windows Common Log File System(CLFS)のゼロデイ欠陥であるCVE-2025-29824があり、Storm-2460集団がこれを悪用してランサムウェアを展開しました。
III. 影響の大きいインシデントと分野別の脅威
重要インフラの戦略的標的化と、メガ侵害におけるデータ露出の規模が、2025年のサイバーインシデントの影響を決定づけました。
重要インフラの標的化
FBIのInternet Crime Complaint Center(IC3)は、16の重要分野の中で医療がランサムウェア攻撃の最頻標的であると特定しています。国家支援集団は、必須サービスを妨害する能力と意図の双方を示しています。
- 医療:30の病院を運営するArdent Health Servicesへのランサムウェア攻撃(2023年11月)は、救急外来患者の転送を余儀なくし、少なくとも3州で医療処置の再予約を引き起こしました。
- 水道システム:米司法省は、ロシアGRU資金提供の集団CyberArmyofRussia_Reborn (CARR)における役割により、Victoria Eduardovna Dubranovaを起訴しました。同集団は、米国の複数州にわたる公共飲料水システムを改ざんし、制御装置に損害を与え、数十万ガロンの水を流出させた疑いがあります。EPAのCraig Pritzlaffは、「これらの刑事告発は、悪意あるサイバーアクターに対する明確な警告となる…EPAの刑事捜査部門は…我が国の水インフラへの脅威を容認しない」と述べました。
- 金融:ICBC Financial Servicesへのランサムウェア攻撃(2023年11月)は、米国債取引の清算を混乱させ、一時的に同ブローカーがBNY Mellonに90億ドルの債務を負う状態となり、相互接続された金融市場におけるサイバーインシデントのシステムリスクを浮き彫りにしました。
- 輸送・物流:国内最大級の港湾運営会社の一つであるDP World Australiaへのサイバー攻撃(2023年11月)は、港湾業務を3日間停止させ、約3万個の海上コンテナの滞留を生みました。
注目すべきデータ侵害とメガ・インシデント(2024-2025)
この期間には前例のない規模の侵害が複数発生し、世界中で数十億人分の個人情報が露出しました。
|
被害組織 |
発生/公表日 |
影響 |
攻撃ベクター/原因 |
|
中国の監視ネットワーク |
2025年6月 |
40億件の記録が漏えい(住所、生体情報) |
警察および監視データベースの公開露出 |
|
National Public Data Broker |
2024年4月 |
29億件の記録(米国、英国、カナダの市民) |
未公表の侵害;データにはSSNと住所が含まれる |
|
Ticketmaster |
2024年5月 |
5億6,000万人の顧客(個人情報および決済情報) |
Snowflakeのデータウェアハウスアカウントに対するクレデンシャルスタッフィング |
|
UnitedHealth |
2024年2月 |
1億9,270万人 |
侵害されたCitrixポータル経由のBlackCatランサムウェア攻撃 |
|
PowerSchool |
2024年後半/2025年初頭 |
生徒6,200万人&教員1,000万人 |
請負業者の認証情報の窃取 |
|
Mr. Cooper |
2023年10月 |
1,470万人の顧客、コスト2,500万ドル |
ランサムウェア攻撃 |
|
Marks & Spencer |
2025年4月 |
1,690万人の顧客、コスト2,700万ドル |
Scattered Spiderに関連するサイバー攻撃 |
|
700Credit |
2025年5月~10月 |
580万件の記録(SSN、氏名、住所) |
Webアプリケーション700Dealer.comへの不正アクセス |
|
TransUnion |
2025年7月 |
440万人 |
第三者アプリケーションの侵害 |
IV. 規制・法務・政府の対応
政府および規制当局は、脅威環境の激化に対し、新たな枠組み、執行強化、国際的な法執行措置で対応してきました。
更新されたサイバーセキュリティ枠組み
2025年12月、米国のCybersecurity and Infrastructure Security Agency(CISA)はCybersecurity Performance Goals (CPG) 2.0を公表しました。この更新はNIST Cybersecurity Framework (CSF) 2.0と整合し、リーダーシップの説明責任とリスク管理をサイバーセキュリティ実務に統合する新たな「Govern」機能を導入しています。CPG 2.0には第三者プロバイダー由来の脅威に対処する新たな目標も含まれ、ゼロトラスト原則を強調しています。防衛サプライチェーンに属する組織にとって、CMMC 2.0への準拠は引き続き重要要件です。
規制および執行の動向
米国証券取引委員会(SEC)はサイバーセキュリティを引き続き優先事項としています。
- 2025年2月、SECはサイバー関連の不正行為に対処するため、Cyber and Emerging Technologies Unit (CETU)を設置しました。
- SECの検査部門はサイバーセキュリティを「恒常的な検査優先事項」と位置付け、人工知能に関連するセキュリティ統制に新たな焦点を当てています。
- 連邦判事が、サイバーセキュリティ統制の不備が法定の内部会計統制要件に違反するというSECの新たな理論を退けたことを受け、SECは2025年後半にSolarWindsおよび同社CISOに対する訴訟を任意に取り下げました。
法執行および国際的措置
米国政府は国家支援の脅威アクターに対して直接行動を取っています。FBIのOperation Red Circusは、ロシア国家支援のサイバー脅威を妨害する継続的な取り組みです。その一環として、司法省はロシア支援集団CARRおよびNoName057(16)による攻撃に関与したとして、Victoria Dubranovaに対する起訴状を公開しました。米財務省も、米国の重要インフラに対するサイバー作戦での役割を理由に、他のCARRメンバーを制裁対象としています。
V. 主要な防御戦略と推奨事項
ソース資料は総じて、反応的防御から、能動的でレジリエントなセキュリティ態勢への戦略的転換を示しています。主な推奨事項は以下のとおりです。
- 強固な第三者リスク管理(TPRM)の実装:組織は、ベンダーのセキュリティ態勢を評価し、セキュリティ要件を満たしていることを確認し、時間の経過とともに遵守状況を監視するための正式なプロセスを確立する必要があります。これには、ベンダーのデューデリジェンスおよび契約上の保護措置の見直しが含まれます。
- ゼロトラストとセキュア・バイ・デザイン原則の採用:想定上の信頼ではなく、検証された必要性に基づいてアクセスを制限します。すべてのアクセス要求は、認証トークンを発行する前に侵害の兆候について評価されるべきです。システムは、後付けではなく、基盤要素としてセキュリティを組み込んで構築する必要があります。
- アイデンティティおよびアクセス管理の強化:ハードウェアセキュリティキーなど、フィッシング耐性のある多要素認証(MFA)方式を強制します。侵害された認証情報の寿命を短くするため、Cookieの有効期限設定とパスワードのローテーション方針を実装します。
- セキュリティ意識向上トレーニングの強化:攻撃者が初期足場を得るのを防ぐため、全従業員、とりわけITおよびヘルプデスクチームに対し、フィッシングやなりすましなどのソーシャルエンジニアリング手口を教育します。
- インシデント対応計画の策定とテスト:文書化されたインシデント対応計画を持つことは重要ですが、現実的な机上演習でテストし、弱点の特定、手順の洗練、実インシデント時のダウンタイム削減につなげる必要があります。
- 継続的な監視と可視性の維持:攻撃者は迅速に動くため、リアルタイムの脅威検知が不可欠です。オンプレミス、クラウド、SaaS環境全体にわたる包括的なログ取得と監視により、不審な挙動、不正な変更、設定不備を悪用前に発見することが求められます。
- 脆弱性管理の優先:脆弱性を発見・分類し、修正の優先順位を付けるための強固な脆弱性管理プログラムが必要です。攻撃者が古く低リスクと見なされがちな脆弱性を新たなエクスプロイトと連鎖させるケースが増えているため、これは極めて重要です。
- データ中心のセキュリティの採用:データ中心の暗号化などの対策を実装し、仮にデータが持ち出されても攻撃者にとって利用不能な状態を確保します。
2025年の主要データ侵害およびサイバーインシデント95件(XLSX)
翻訳元: https://breached.company/briefing-2025-cybersecurity-threat-landscape-and-incident-analysis/
