エグゼクティブサマリー
2025年の世界的なサイバーセキュリティ環境は、進化する脅威、防御技術の進展、そして根強い脆弱性が複雑に絡み合うことで特徴づけられています。データ侵害の世界平均コストは9%減少して444万ドルとなった一方で、この数値は米国での憂慮すべき急増を覆い隠しています。米国では、規制当局による罰金と検知費用の増大により、コストが過去最高の1,022万ドルに達しました。組織の対応能力は向上しており、侵害の特定と封じ込めに要する平均時間は241日と、9年ぶりの低水準まで短縮されています。しかし人的要因は依然として重大な弱点であり、全侵害の60%に関与しています。
人工知能(AI)は諸刃の剣として台頭しています。脅威アクターは高度な攻撃にAIを活用しており、2025年の侵害の6件に1件は、高度なフィッシングやディープフェイクといったAI駆動の手法が関与しています。一方で、セキュリティAIと自動化を広範に活用する組織は、対応時間が80日短縮され、侵害1件あたり約190万ドルのコスト削減など、大きな効果を得ています。
主要な攻撃ベクトルは引き続き、公開アプリケーションの悪用と有効な認証情報の使用が中心です。サプライチェーン侵害は急増し、発生頻度で2番目、コストでも2番目に高い攻撃ベクトルとなり、平均491万ドルに達しています。ランサムウェアは依然として支配的な脅威であり、侵害の最大44%に関与し、2025年には重要インフラ分野への攻撃の半数を占めています。
2026年に向けては、自律型の「エージェントAI(agentic AI)」による地殻変動的な変化が予測されています。これは主要な標的であると同時に攻撃ツールにもなり、新たな「自律型内部者」脅威というクラスを生み出します。アイデンティティは新たなセキュリティ境界として定着し、機械対人間のアイデンティティ比が82:1になるとの予測により、巨大な新しい攻撃面が生まれます。敵対者による「今収集し、後で復号(harvest now, decrypt later)」という戦略は、耐量子暗号(PQC)の必要性を加速させる一方、ならず者AIの行為に関して経営層の個人責任を確立する法的先例が形成される見込みです。
I. 現在のデータ侵害の状況:2025年の主要統計
データ侵害の財務的・運用上の影響は依然として大きいものの、世界的な傾向には微妙な変化が見られます。IBM、Verizon、Identity Theft Resource Center(ITRC)などの権威ある分析は、現在の環境を詳細に描き出しています。
財務的影響
|
指標 |
2025年の値 |
比較/背景 |
出典 |
|
世界平均の侵害コスト |
444万ドル |
2024年の過去最高(488万ドル)から9%減;2023年水準に回帰。 |
IBM |
|
米国平均の侵害コスト |
1,022万ドル |
あらゆる地域で過去最高;2024年から9%増。 |
IBM |
|
医療分野の侵害コスト |
742万ドル |
最もコストが高い業種の一つ。 |
Bright Defense |
|
事業損失コスト |
138万ドル |
システム停止、顧客喪失、評判毀損を含む。 |
IBM |
|
侵害通知コスト |
39万ドル |
2024年の43万ドルから約10%減。 |
IBM |
|
レコード当たりコスト(顧客PII) |
160ドル |
個人識別情報は依然として高価値の標的。 |
IBM |
|
レコード当たりコスト(知的財産) |
178ドル |
レコード当たりで最も高価なデータ種別。 |
IBM |
データ侵害の総コストには、いくつかの要因が大きく影響します:
- コスト増幅要因:コストを最も押し上げる要因には、サプライチェーン侵害、セキュリティシステムの複雑性、シャドーAI、規制不遵守、セキュリティ人材不足が含まれます。高度なスキル不足は、平均侵害コストを43%増(365万ドルから522万ドルへ)させ得ます。
- コスト抑制要因:コストを低減する上位要因は、DevSecOpsアプローチの実装、AIおよび機械学習に基づく洞察の活用、セキュリティ分析(SIEM)の採用、脅威インテリジェンスの活用、従業員教育の徹底です。ゼロトラスト・アーキテクチャの採用は、侵害コストを平均176万ドル削減することが確認されました。
- 消費者への転嫁:侵害を受けた組織の45%が、侵害費用を相殺するためにサービスや製品の価格を引き上げたと報告しています。
侵害ライフサイクルと検知
|
指標 |
2025年の値 |
比較/背景 |
出典 |
|
特定&封じ込めまでの平均時間 |
241日 |
9年ぶりの低水準。 |
Secureframe |
|
特定までの平均時間(2024年) |
194日 |
2023年からわずかに減少。 |
Varonis(IBMを引用) |
|
封じ込めまでの平均時間(2024年) |
64日 |
2023年より9日短い。 |
Varonis(IBMを引用) |
|
ライフサイクルが200日未満の侵害 |
N/A |
コストを29%削減(114万ドル)することと関連。 |
IBM |
|
内部チームによる特定 |
50% |
2024年の42%、2023年の33%から大幅増。 |
IBM |
- 検知元が重要:セキュリティチームが内部で特定した侵害の平均コストは418万ドルであるのに対し、攻撃者によって開示された場合は508万ドルです。
- 脅威インテリジェンスの優位性:脅威インテリジェンスを利用する組織は、平均で28日早く脅威を特定します。
II. 支配的な攻撃ベクトルと脅威アクターの戦術
サイバー攻撃者は、確立された手法と進化する手法を組み合わせて用いており、認証情報、サプライチェーン、自動化ツールの悪用へと明確に傾いています。
初期侵入と侵害手法
- 主要な初期侵入ベクトル:最も一般的な初期攻撃ベクトルは、公開アプリケーションの悪用と有効なアカウント認証情報の使用で、いずれもIBM X-Forceが対応したインシデントの30%を占めます。
- 盗難認証情報:盗難または侵害された認証情報の使用は、全データ侵害の53%に関与しており(Verizon DBIR 2025)、これらの侵害は解決まで最も時間がかかります(ライフサイクル292日)。
- フィッシング:フィッシングは主要ベクトルであり続け、侵害の16%に存在し、平均コストは480万ドルです。
- マルウェア不要の攻撃:攻撃者は従来型マルウェアから移行しています。2024年には、マルウェア不要の活動が検知の79%を占め、2019年の40%から大幅に増加しました(CrowdStrike)。
- 脆弱性悪用:重要インフラに対する攻撃では、インシデントの26%が公開アプリケーションの脆弱性を悪用していました。特筆すべき点として、ダークウェブで議論された上位10件の脆弱性のうち60%は、公開から2週間以内に公開エクスプロイトコードが利用可能になっていました。
ランサムウェアと恐喝
ランサムウェアは、最も破壊的で財務的損害の大きい脅威の一つであり、高コストと広範な影響を特徴とします。
- 蔓延度:ランサムウェアは侵害の23%〜44%に関与し、恐喝と合わせると、金銭目的のサイバー攻撃の59〜66%を占めます。
- コスト:ランサムウェアまたは恐喝インシデントの平均コストは高く、508万ドルです。
- 検知時間:ランサムウェア侵害は、他のインシデント種別より検知に約49日長くかかります。
- 被害組織の対応:2025年には大半の組織(63%)が身代金の支払いを拒否し、37%が支払いに同意しました。同時に、法執行機関を関与させる組織は減少しており、関与率は2024年の52%から2025年には40%へ低下しました。
- 重要インフラへの影響:重要インフラ組織の28%が破壊的ランサムウェア攻撃に直面しました。世界的には、2025年(1〜9月)のランサムウェア攻撃の50%が重要セクターを標的としており、製造、医療、エネルギーが主要標的でした。
サプライチェーンとサードパーティリスク
サプライチェーンを狙う攻撃は、広範で連鎖的な影響をもたらすため、主要な懸念事項となっています。
- 蔓延度とコスト:サプライチェーン侵害は侵害の15%の発生源であり、発生頻度で2番目の攻撃ベクトルです。またコストでも2番目に高く、インシデント当たり平均**491万ドル**で、悪意ある内部者攻撃(492万ドル)にわずかに次ぎます。
- 不釣り合いな影響:2025年上半期、サプライチェーン攻撃は全侵害の5%未満であったにもかかわらず、侵害の影響を受けた個人のほぼ半数(47%)に影響しました。
悪意ある内部者
内部者脅威は、悪意によるものでも過失によるものでも、依然として重大かつ高コストなリスクです。
- コスト:悪意ある内部者攻撃は、単一の侵害種別として最も高額で、平均492万ドルです。
- 蔓延度:内部アクターは侵害の29%に責任がありました(Verizon DBIR 2025)。人的ミスだけでも侵害の26%を引き起こしています(IBM)。
III. サイバーセキュリティにおける人工知能の台頭
AIは、攻撃者と防御側の対立構造を根本から作り替えており、強力な武器であると同時に不可欠な盾として機能しています。
攻撃側によるAIの利用
攻撃者はAIを活用して、キャンペーンの規模、速度、巧妙さを高めています。
- 蔓延度:2025年の全データ侵害の16%で、攻撃者がAIを使用していました。
- 主要なAI攻撃手法:最も一般的な手法は、AI生成フィッシング(37%)とディープフェイク(35%)でした。
- 能力:攻撃者はAIを用いて、説得力のあるフィッシング文面を数分で作成し、欠点のないリアルタイムのディープフェイク(例:「CEOのそっくりさん」)を生成し、脆弱性を大規模に悪用します。
- シャドーAI:組織内で承認されていないAIツールの利用(「シャドーAI」)は、侵害コストを増加させる主要因であり、平均インシデントに約67万ドルを上乗せします。
防御側によるAIと自動化の活用
セキュリティチームは、高度な脅威に対抗し、逼迫した人員を補完するために、AI搭載ツールの採用を加速させています。
- コストと時間の削減:セキュリティAIと自動化を広範に活用する組織は、侵害の特定と封じ込めが80日早く、AI未使用の組織と比べてコストを約190万ドル削減しました。
- 主要な防御能力:
- 大量データを分析して異常活動を検知する。
- リアルタイムの脅威インテリジェンスを用いて悪性URLやファイルをブロックする。
- 誤検知を減らしアラートの優先順位付けを行うことで、セキュリティチームを補強する。
- EDR、MFA、パスキーなどの多層防御を支援する。
IV. 戦略的脆弱性:重要インフラとホリデー期間
脅威アクターは、高価値・高影響のセクターを狙い、組織の警戒が緩む時期を突くことで、戦略的計画性を示しています。
重要インフラへの攻撃
重要インフラ、特に電力網を標的とすることは、サイバー攻撃が社会全体に広範な混乱を引き起こし得ることを示しています。ロシアによるウクライナ電力網へのサイバー攻撃は、主要なケーススタディです。
- 電力網の構造:攻撃は大きく3領域(発電、送電、配電)を標的にし得ます。
- ケーススタディ:2015年 Sandworm攻撃(ウクライナ):
- 初期侵入:悪性のMicrosoft Officeマクロを用いたスピアフィッシングにより、BlackEnergy 3ツールキットがインストールされました。
- 偵察&認証情報窃取:このツールキットは、Mimikatzプラグインとともに、NTLMおよびKerberos認証プロトコルの弱点を突いてWindowsメモリから認証情報を収集するために使用されました。
- 攻撃の実行:多方面からの攻撃として、ヒューマン・マシン・インターフェース(HMI)の乗っ取り、指揮統制センターを妨害するための電話DoS(TDoS)攻撃、さらに30超の変電所でシリアル-イーサネット変換器を恒久的に「文鎮化」するファームウェア攻撃の展開が含まれていました。
- ケーススタディ:2016年 Electrum攻撃(ウクライナ):
- 手法:より洗練されたこの攻撃では、高度に自動化された産業制御システムを攻撃するために設計された新プログラムCRASHOVERRIDEが使用されました。ベンダー固有ではないため、より幅広いコンポーネントを標的にできました。
- 実行:CRASHOVERRIDEは遮断器の開閉に使用され、その後、リモートリセットに必要な重要Windowsファイルを消去するデータワイパーコンポーネントが続きました。保護リレーを無効化する計画された第3段階は失敗し、物理的被害は限定されました。
ホリデー期間の侵害ウィンドウ
11月中旬から1月上旬にかけての期間は、人員の減少とオンライン活動の増加が重なるため、戦略的に悪用される時間帯であり、高リスク環境を生み出します。
- 脅威量の増加:祝祭日や公休日の期間中、サイバー攻撃の試行が30〜40%増加するとの報告があります。
- 攻撃者の戦略:脅威アクターは「ホリデーの閑散期」を、詳細な偵察、ラテラルムーブメント、攻撃の仕込みに利用し、発見が1月まで遅れることが少なくありません。これにより、第4四半期に発生した侵害が1月に公表されるという一貫した「1月開示トレンド」が生まれます。
- 主要な脅威:
- フィッシングとソーシャルエンジニアリング:ホリデーを題材にした詐欺が急増し、2024年にはブラックフライデー関連フィッシングが692%、クリスマス関連フィッシングが327%増加しました。
- 認証情報の悪用:2025年ホリデーシーズン前の3か月間に、主要ECサイトに紐づくログインアカウントが、スティーラーログから157万件超収集されました。
- ECの脆弱性:攻撃者は、Adobe/Magento(CVE-2025-54236)、Oracle E-Business Suite(CVE-2025-61882)、WooCommerce(CVE-2025-47569)などのプラットフォームの脆弱性を積極的に悪用しています。
V. 組織の対応、レジリエンス、緩和策
効果的なサイバーセキュリティには、技術、堅牢なプロセス、十分に訓練された人材を統合した能動的な姿勢が必要です。
インシデント対応と備え
包括的なインシデント対応計画(IRP)は不可欠であり、侵害は「起きるかどうか」ではなく「いつ起きるか」の問題であることを前提とします。
- IRPの主要要素:IRPは、検知、対応、復旧の手順を定め、役割・責任・連絡経路を明確にする必要があります。
- 訓練とシミュレーション:定期的な机上演習や訓練は、計画を検証し、スタッフの習熟を確保するために不可欠です。
- 人的要因:オンコール方針は明確に定義されるべきで、期待される対応時間、報酬(呼び出し単位または最低時間)、心理的負担(例:アラート疲れ、着信音によるPTSD)に対処し、燃え尽きを防いで有効性を維持する必要があります。
推奨される緩和戦略
|
戦略 |
説明 |
|
従業員トレーニングの強化 |
内部者リスクやフィッシングを軽減するには、定期的で参加しやすいセキュリティ意識向上トレーニングが重要です。教育された従業員は侵害を引き起こしにくくなります。 |
|
厳格なアクセス制御の実装 |
最小権限の原則を徹底し、必要なリソースにのみアクセスを付与します。「権限の肥大化」を防ぐため、定期的な監査を実施します。 |
|
DevSecOpsアプローチの採用 |
開発ライフサイクルにセキュリティを統合することは、侵害コスト削減の主要因です。 |
|
暗号化の活用 |
保存データおよび転送中データに対する強力な暗号化は、コスト抑制の主要因であり、盗まれたデータを使用不能にできます。 |
|
アプリケーション・ホワイトリスティングの展開 |
CISAが推奨するこの手法は、HMIコンピュータのような固定的システム上で事前承認されたプログラムのみの実行を許可し、多くのエクスプロイトを防ぎます。 |
|
セキュリティAIと自動化への投資 |
GRC自動化プラットフォームやAI駆動ツールを用いて、継続的監視、リスク評価、ベンダー管理、自動修復を実現します。 |
|
年末メンテナンスの実施 |
ホリデー期間前に、組織はITの全監査を実施すべきです:全ソフトウェアとファームウェアの更新、バックアップの検証、休眠アカウントの無効化、デフォルトパスワードの変更、ベンダーSLAの見直し。 |
組織の投資動向
- 侵害後の支出:2025年に侵害後のセキュリティ支出を増やす予定だとした組織は49%にとどまり、2024年の63%から顕著に低下しました。
- 復旧時間:2025年に侵害から完全復旧したと報告した組織は35%に過ぎないものの、2024年の12%からは大幅に増加しました。ただし、復旧した組織のうち76%は100日超を要しました。
VI. 2026年の予測と将来展望
サイバーセキュリティの状況は、主としてAIの成熟と武器化により、2026年に大きな変革を遂げると見込まれます。
AI中心の脅威と防御
- エージェントAI攻撃の台頭:自律型AIエージェントが、人間の介入を最小限にして複雑な多段階攻撃を実行し、強力な独立脅威となります。
- AI「内部者」脅威:特権アクセスを持つ信頼された自律エージェントが、新たな内部者脅威クラスとなり、侵害や悪用を防ぐために、専用のAIファイアウォール・ガバナンスが必要になります。
- AI駆動のソーシャルエンジニアリング:欠点のないディープフェイクと超パーソナライズされたAIにより、ビジネスメール詐欺や恐喝詐欺は、人間にはほぼ検知不可能になります。
- データ汚染(Data Poisoning):新たな攻撃フロンティアとして、AIモデルの学習に使われるデータを目に見えない形で汚染し、隠れたバックドアと「データ信頼の危機」を生み出す手法が登場します。
インフラとセキュリティのパラダイムシフト
- 新たな境界としてのアイデンティティ:機械対人間のアイデンティティ比が82:1になるとの予測により、従来のネットワーク境界やVPNは陳腐化します。人間、機械、AIエージェントのすべてのアイデンティティを保護することが、主要な防御戦略となります。
- 量子の必然性:敵対者が現在暗号化データを盗み、将来の量子コンピュータで復号する「今収集し、後で復号」という脅威により、量子対応のタイムラインは10年問題から3年問題へと短縮されています。これにより、耐量子暗号(PQC)への大規模かつ複雑な移行が強いられます。
- ワークスペースとしてのブラウザ:ブラウザがタスクを実行するエージェント基盤へ進化するにつれ、新たな企業OSとなり、最大の未保護な攻撃面になります。これにより、ブラウザ内でゼロトラストを強制するクラウドネイティブモデルの採用が迫られます。
脅威アクターと組織の進化
- APTとサイバー犯罪の収斂:国家主体と犯罪ギャングの境界は、インフラや戦術の共有によって曖昧になり、世界的攻撃の規模と巧妙さが加速します。
- AIに対する経営層の説明責任:急速なAI導入と成熟したセキュリティのギャップにより、ならず者AIの行為について経営層の個人責任を問う初の大型訴訟が発生し、AIリスクは取締役会レベルの重大な責任へと格上げされます。
- 批判的思考の萎縮:生成AIの広範な利用により「怠惰な思考の急増」が起きると予測され、50%の組織が、独立した問題解決能力を担保するため、採用において「AI不使用」のスキル評価を導入すると見込まれます。
翻訳元: https://breached.company/cybersecurity-threat-landscape-and-2026-outlook/
