SpyCloud(アイデンティティ脅威保護のリーダー)は本日、2025年SpyCloudアイデンティティ脅威レポートを発表しました。このレポートによると、86%のセキュリティリーダーがIDベースの攻撃を防ぐ自信があると回答している一方で、85%の組織が過去1年以内に少なくとも1回はランサムウェアの被害を受けており、そのうち3分の1以上が6回から10回の被害を受けていることが明らかになりました。
認識されている自信と実際のリスクとのギャップをさらに示すため、北米および英国の500人以上のセキュリティリーダーを対象とした市場調査では、3分の2以上の組織がIDベースのサイバー攻撃に大きな、または極めて大きな懸念を抱いている一方で、過去のID漏洩(認証情報の使い回しなどのサイバー衛生の不備によるリスク)を検知できるのはわずか38%に留まっていることが分かりました。SaaSプラットフォーム、管理されていないデバイス、サードパーティエコシステムにまたがるデジタルIDが拡大する中、攻撃者はこれらの隙間を狙っています。
「フィッシングや情報窃取マルウェア感染、認証情報の使い回し、管理されていないアクセスなど、今日の脅威アクターは見過ごされたID漏洩を悪用しています」とSpyCloudの最高製品責任者デイモン・フルーリー氏は述べています。「これらの手法により、攻撃者は従来の防御を回避し、静かにアクセスを確立して、ランサムウェア、アカウント乗っ取り、セッションハイジャック、詐欺などの二次攻撃につなげることができます。このレポートは、多くの組織が準備ができていると感じていても、防御が攻撃者の活動範囲にまで及んでいないという重要な事実を浮き彫りにしています。」
アイデンティティの拡散が攻撃対象領域を拡大
アイデンティティは現代のサイバー脅威の重力的中心となっています。個人のデジタルIDは、企業および個人の認証情報、セッションクッキー、金融データ、個人識別情報(PII)など、SaaSプラットフォーム、管理・非管理デバイス、サードパーティアプリケーションにまたがる何百もの接点に広がっています。
これらの要素がダークネット上で漏洩すると、攻撃者にとって格好の広大で相互接続された攻撃対象領域が生まれます。SpyCloudはダークウェブから638億件のユニークなID記録を再取得しており、これは前年比24%の増加です。これは犯罪地下組織で流通するデータの前例のない規模を示しており、組織はこれらの漏洩が二次的なIDベースの攻撃の新たな侵入口となる前に遮断するために必要な可視性と自動化を欠いているため、脆弱な状態に置かれています。
この漏洩の急増は広範な懸念を引き起こしています。調査対象組織の約40%が、4つ以上のID中心の脅威を「極めて深刻な懸念」として挙げており、フィッシング(40%)、ランサムウェア(37%)、国家支援型攻撃者(36%)、管理されていないまたは許可されていないデバイス(36%)が上位を占めています。
内部脅威はID侵害から始まる
レポートはまた、内部脅威が悪意によるものであれ、無意識によるものであれ、多くの場合共通の起点としてID侵害があることを強調しています。
北朝鮮のIT工作員を含む国家支援型攻撃者は、盗まれたまたは偽造されたIDを利用して、正規の契約者や従業員を装い組織に侵入しています。SpyCloudの調査結果によれば、攻撃者はフィッシングで入手したクッキー、マルウェアで抜き取ったAPIキー、使い回された認証情報を組み合わせて偽造IDを作成し、バックグラウンドチェックや不十分なスクリーニングを通過しています。さらにこの点を強調するため、過去のSpyCloud調査では、60%の組織が依然として人事とセキュリティチーム間の手動かつアドホックなコミュニケーションに頼っていることが判明しています。候補者の過去のID悪用や犯罪インフラとの関係を可視化できる厳格なセキュリティスクリーニングがなければ、これらの攻撃者は手遅れになるまで発見されない可能性があります。
同時に、正規の従業員、契約者、パートナーも、IDが侵害されることで知らず知らずのうちにリスクを持ち込むことがあります。これらの無自覚な内部者は、フィッシングや情報窃取マルウェアを通じて頻繁に標的とされ、認証情報やセッションクッキーが盗まれ、内部システムへの持続的なアクセスを許してしまいます。
特にフィッシングは、2025年におけるランサムウェアの主な侵入口として挙げられており、全体の35%を占めており、前年より10ポイント増加しています。
防御はIDベースの脅威への対応で不十分
ID主導の脅威への認識が高まっているにもかかわらず、ほとんどの組織は効果的に対応する体制が整っていません:
- 57%が漏洩したセッションを無効化する強力な能力を持っていない
- 約3分の2が再現可能な修復ワークフローを持っていない
- 約3分の2が正式な調査プロトコルを持っていない
- 20%未満しかシステム全体でID修復を自動化できていない
自動化されたID修復プロセスを導入している組織はわずか19%です。残りは個別の調査や不完全なプレイブックに頼っており、攻撃者が悪用できる隙間を残しています。
「防御の使命は変わりました」とSpyCloudのセキュリティリサーチ責任者トレバー・ヒリゴス氏は述べています。「攻撃者は機会主義的で、盗まれたIDデータを組み合わせてあらゆるアクセス経路を探します。しかし従来の防御は行動やエンドポイントに狭く焦点を当てており、持続的かつ見過ごされたID漏洩を見逃しています。データは、組織が防御をID層まで拡大し、漏洩と修復を継続的に監視して、二次攻撃が発生する前に脅威を遮断する必要があることを示しています。」
内部脅威が深刻化する前にIDギャップを塞ぐ
レポートは、ID保護に対する包括的なアプローチの必要性を強調しています。これは、ユーザーの全デジタルフットプリント(過去と現在、個人と企業のIDを含む)にわたる漏洩を継続的に相関させ、侵害された認証情報、クッキー、PII、アクセストークンの修復を自動化することを意味します。これにより、組織はアカウントレベルの保護を超えて、脅威アクターがこれまで悪用していたIDリスクを可視化できます。
SpyCloudの包括的なIDインテリジェンスは、組織がIDベースの脅威を防ぐことを可能にします:
- アクセス権付与前に不正な求職者を検出
- デバイスや環境を横断して侵害された従業員やユーザーを特定
- 漏洩したセッションや認証情報を大規模に無効化
- ダークネット漏洩データの自動相関による調査の迅速化
「IDセキュリティに優れたチームは、どこに漏洩があるかを正確に把握し、大規模に対処し、明確な責任分担のもとで運用し、単に反応するのではなく継続的に適応しています」とフルーリー氏は付け加えました。「IDをミッションクリティカルと捉え、侵害を早期に検出し、決断力を持って対応し、脅威アクターのさらなる攻撃を阻止しながら、強固で安全な労働力を維持する組織が今後の勝者となるでしょう。」
ユーザーはこちらから完全なレポートを閲覧するか、SpyCloudにお問い合わせいただくことで詳細をご確認いただけます。
SpyCloudについて
SpyCloudは、ダークネットから再取得したデータを活用し、サイバー犯罪の撲滅に取り組んでいます。同社の自動化されたID脅威保護ソリューションは、高度な分析とAIを活用し、ランサムウェアやアカウント乗っ取りの事前防止、内部脅威の検知、従業員および消費者IDの保護、サイバー犯罪捜査の迅速化を実現します。SpyCloudのデータは、侵害、マルウェア感染デバイス、成功したフィッシングからもたらされ、多くの人気のダークウェブ監視やID盗難保護サービスにも活用されています。顧客にはFortune 10のうち7社、世界中の数百のグローバル企業、中堅企業、政府機関が含まれます。本社はテキサス州オースティンにあり、200人以上のサイバーセキュリティ専門家が、犯罪者が今まさに標的としている盗まれたIDデータから企業と消費者を守ることを使命としています。
詳細や自社の漏洩データに関するインサイトについては、spycloud.comをご覧ください。
お問い合わせ
エミリー・ブラウン
SpyCloud代理 REQ
