サイバー脅威アクターが2025年に認証情報盗難に全力で取り組み、eSentireが前年比389%のアカウント侵害の増加を報告し、同社が観測したすべての攻撃の55%を占めています。
同社の2025年レビュー&2026年脅威展望レポートは2026年1月15日に公開され、認証情報アクセスが同社の脅威対応ユニット(TRU)が報告期間中に現実で観測した悪意のある活動の75%を占めていたことを示しています。
その3分の2はアカウント乗っ取りの実行を目的としており、残りの3分の1はフィッシングキャンペーンの配信を目的としていました。Microsoft 365アカウントが主な標的だったとeSentireは指摘しています。
一方、マルウェアは依然として主要な脅威であり、現実で観測された脅威の25%を占めていますが、2024年データと比較して4ポイント減少しました。
PHaaS(フィッシング・アズ・ア・サービス)がビジネスメール詐欺を加速
有効な認証情報を使用してメールベースの悪意のあるキャンペーンを展開することは、2000以上のeSentire顧客が経験したインシデント中で最大の初期アクセスベクトルであり、年間で37%から55%に上昇しました。
これらの攻撃のほとんどは、フィッシング・アズ・ア・サービス(PhaaS)キットで可能にされた操作から生じており、これはすべてのアカウント侵害インシデントの63%を占めています。
さらに、レポートは脅威アクターがTycoon2FA、FlowerStorm、EvilProxyなどのPhaaS操作を使用してビジネスメール詐欺(BEC)攻撃を実行していることに言及しています。
TRUのシニアマネージャーおよびレポートの主任調査官であるSpence Hutchinsonは、一部のPHaaSキットの高度な特性を強調しました。「これらのPhaaS キットは単純なテンプレートではなく、多要素認証(MFA)などの最新のセキュリティコントロールをバイパスするために設計された包括的で継続的に更新されるオファリングです。これらのPhaaS キットの広範な利用可能性と継続的な進化が、ビジネスに影響を与えているアカウント乗っ取りの流行に火をつけています。」
BECは2025年に観測された悪意のある活動の10%未満を占めており、2024年と比較して21ポイント減少しましたが、企業にとって最大の脅威であり続けたとTRU研究者は述べています。
「ハッカーは、対象者の企業ログイン認証情報とセッショントークンをキャプチャし、対象者のITネットワークに正常に侵入した後、わずか14分でメール受信トレイ転送ルールの作成などのBEC操作を開始できます」とレポートに記載されています。
不動産、金融、小売、建設業界の企業がBEC攻撃の最大の標的となっています。
eSentireの2025年脅威レポートの主要なハイライト
eSentireレポートからの他の主要なハイライトは以下の通りです:
- メールボム爆撃とITヘルプデスク詐称攻撃の組み合わせを含むセキュリティインシデントが14倍増加し、法律業界の企業が最も標的にされている
- ClickFix誘い文句が300%増加し、すべてのマルウェア配信ケースの30%以上を占めている
- ソフトウェア業界が2025年に最大数のセキュリティインシデントを経験し(2024年比+15%)、次に製造業が前年比32%増加し、ビジネスサービスが前年比8%増加している
- 建設業界および接客業と法律セクターが2025年のサイバーインシデントの減少から恩恵を受けている
翻訳元: https://www.infosecurity-magazine.com/news/account-compromise-surged-2025/
