タグ:

サイバー攻撃の主因は恐喝とランサムウェア:半数以上を占める脅威  

Hiro image for Extortion and ransomware drive over half of cyberattacks

著者 エイミー ホーガン – バーニー(Amy Hogan-Burney)   マイクロソフト カスタマーセキュリティ & トラスト部門 コーポレート バイス プレジデント    

※本ブログは、米国時間 2025 年10 月16 日に公開された ” Extortion and ransomware drive over half of cyberattacks” の抄訳を基に掲載しています。   

昨年、マイクロソフトのセキュリティ チームが調査したサイバー インシデントの 80% において、攻撃者はデータの窃取を目的としていました。これは、諜報活動よりも金銭的な利益を動機とする傾向が強まっていることを示しています。最新の Microsoft Digital Defense Report によると、マイクロソフトの最高情報セキュリティ責任者であるイゴール ツィガンスキー (Igor Tsyganskiy) とともに執筆されたこのレポートでは、動機が判明しているサイバー攻撃のうち、半数以上が恐喝やランサムウェアによるものでした。つまり、少なくとも 52% のインシデントが金銭を狙った攻撃であり、諜報活動のみを目的とした攻撃はわずか 4% にとどまっています。国家が関与する脅威は依然として深刻かつ継続的なリスクですが、現在、組織が直面している多くの攻撃は、隙を突く機会を狙って金銭を得ようとする犯罪者によるものです。 

マイクロソフトでは毎日、100 兆件を超えるシグナルを処理し、約 450 万件の新たなマルウェア攻撃をブロックし、3,800 万件の ID リスク検出を分析し、50 億件のメールをマルウェアやフィッシングの有無についてスクリーニングしています。自動化の進化と市販のツールの普及により、高度な技術を持たないサイバー犯罪者でも活動の規模を大幅に拡大できるようになりました。さらに、AI の活用がこの傾向を加速させており、サイバー犯罪者はマルウェアの開発を迅速化し、よりリアルな合成コンテンツを作成することで、フィッシングやランサムウェア攻撃などの効率を高めています。その結果、隙を突いて利益を狙う悪意ある攻撃者は、規模の大小を問わずあらゆる対象を狙うようになり、サイバー犯罪は私たちの日常生活にまで影響を及ぼす普遍的かつ常に存在する脅威となっています。 

このような環境下では、組織のリーダーはサイバーセキュリティを単に IT の課題としてではなく、優先すべき戦略の中核として捉える必要があります。テクノロジーと業務に回復力(レジリエンス)を根本から組み込む必要があります。2024 年 7 月から 2025 年 6 月までの傾向を取り上げた、マイクロソフトの第 6 回年次レポート Microsoft Digital Defense Report では、今までのセキュリティ対策ではもはや不十分であることを強調しています。脅威の進化に対応するには、AI を活用した最新の防御策と、業界や政府間の強力な連携が不可欠です。個人レベルでも、強力なセキュリティ ツール、特に — フィッシング耐性のある多要素認証(MFA) —  を使用することで、大きな効果が得られます。MFA を導入することで、ID ベースの攻撃の 99% 以上を防ぐことができます。 以下に、主な調査結果を紹介します。 

World Map of Cyberattacks

重要な公共サービスは、現実世界に影響を及ぼす主要な標的 

悪意のある攻撃者は、依然として人々の生活に直接かつ即時の影響を及ぼす可能性のある重要な公共サービスへの攻撃に注力しています。たとえば、病院や地方自治体などは、機密性の高いデータを保有しているほか、サイバーセキュリティ予算が限られており、インシデント対応能力が十分でないことが多く、結果として古いソフトウェアを使用しているケースも少なくありません。過去 1 年間にこれらの分野で発生したサイバー攻撃は、現実世界に深刻な影響をもたらしました。具体的には、緊急医療の遅延、緊急サービスの中断、学校の授業のキャンセル、交通システムの停止などが報告されています。 

特にランサムウェア攻撃者は、選択肢が限られている重要な分野を狙う傾向があります。たとえば、病院ではシステムが暗号化されたままでは患者の命に関わる可能性があるため、迅速な復旧が求められ、身代金の支払い以外に選択肢がない場合もあります。さらに、政府機関、病院、研究機関などは、犯罪者が盗み出してダークウェブの違法マーケットで収益化できる機密データを保有しているため、標的になりやすい状況です。こうしたデータの流出は、二次的な犯罪活動を助長する要因にもなっています。政府と産業界が連携することで、特に脆弱な分野におけるサイバーセキュリティの強化が可能になります。これらの取り組みは、地域社会を守り、医療や教育、緊急対応の継続性を確保するために不可欠です。 

国家関与の攻撃者によるサイバー攻撃が拡大 

サイバー犯罪者が件数ベースで最大の脅威である一方で、国家が関与する攻撃者も依然として主要産業や地域を標的にしており、諜報活動に加えて、場合によっては金銭的な利益を目的とするケースも見られます。地政学的な目的が、国家支援によるサイバー活動の急増を引き続き促進しており、通信、研究、学術分野への攻撃対象の拡大が顕著になっています。 

Graph of most targeted sectors

主なインサイト: 

  • 中国は、各業界にわたってスパイ活動を行い、機密データを盗み出すための広範な取り組みを継続しています。国家関係の攻撃者は、洞察を広げるために非政府組織(NGO)への攻撃を強化しており、秘匿ネットワークやインターネットに接続された脆弱なデバイスを利用して侵入し、検知を回避しています。また、新たに公開された脆弱性の実用化も迅速化しています。 
  • イランは、これまで以上に広範な標的を狙っており、中東から北米までを含むスパイ活動の拡大が見られます。最近では、イラン国家関係の攻撃者 3 グループが、ヨーロッパおよびペルシャ湾の海運、物流企業を攻撃し、機密商業データへの継続的なアクセスを確保しました。これにより、イランが商業船舶の運航に干渉する能力を事前に準備している可能性が示唆されています。 
  • ロシアは依然としてウクライナ戦争に注力していますが、標的の範囲を拡大しています。たとえば、マイクロソフトは、ロシア国家関係の攻撃者がウクライナを支援する国々の中小企業を標的にしていることを確認しています。実際、ウクライナ以外でロシアのサイバー活動の影響を最も受けている上位 10 カ国はすべて NATO 加盟国であり、昨年比で 25% 増加しています。ロシアの攻撃者は、リソース消費の少ない中小企業を足がかりにして、大規模組織への侵入を図っている可能性があります。また、サイバー犯罪エコシステムを活用した攻撃も増加しています。 
  • 北朝鮮は、引き続き収益獲得とスパイ活動に注力しています。注目すべき傾向として、数千人の国家関係の北朝鮮 IT 技術者が世界中の企業にリモートで就職し、給与を政府に送金しています。発覚した場合、一部の技術者は体制の資金獲得手段として恐喝に転じるケースも見られます。 

国家が関与するサイバー脅威は、ますます広範かつ予測困難になっています。さらに、一部の国家関係の攻撃者がサイバー犯罪エコシステムを積極的に活用し始めていることにより、攻撃の発信元を特定することが一層困難になっています。このような状況は、組織が自社の業界に対する脅威の最新情報を常に把握し、業界の仲間や政府と連携して国家関係の攻撃者がもたらす脅威に立ち向かう必要性を強く示しています。 

2025 年は、攻撃者と防御側の双方による AI 活用が加速 

過去 1 年間で、攻撃者も防御側も生成 AI の力を活用するようになりました。脅威アクターは、フィッシングの自動化、ソーシャル エンジニアリングの拡大、合成メディアの作成、脆弱性の迅速な発見、自己適応型マルウェアの生成などに AI を活用し、攻撃を強化しています。国家関係の攻撃者も、サイバー影響工作に AI を組み込む動きを継続しており、過去 6 か月間でこの活動は加速しています。彼らはこの技術を活用することで、より高度で、拡張性があり、標的を絞った攻撃を可能にしています。

Graph of AI content surge by nation-states

防御側にとっても、AI は非常に有用なツールとなっています。たとえば、マイクロソフトでは、AI を活用して脅威を検出し、検知の抜け漏れを補い、フィッシングの試みを見抜き、脆弱なユーザーを保護しています。AI によるリスクと可能性が急速に進化する中、組織はAI ツールのセキュリティ確保とチームの教育を優先する必要があります。業界から政府まで、すべての関係者が積極的に取り組むことで、高度化する攻撃者に対抗し、防御側が常に一歩先を行くことが可能になります。 

攻撃者は侵入しているのではなく、サインインしている 

サイバー脅威がますます高度化する中、注目すべき統計があります。ID 攻撃の 97% 以上がパスワード攻撃であるという事実です。2025 年上半期だけでも、ID ベースの攻撃は 32% 増加しました。これは、組織が受ける悪意のあるサインイン試行の大半が、大規模なパスワード総当たり攻撃によるものであることを意味します。攻撃者は、こうした一括攻撃のために使用するユーザー名とパスワード(認証情報)を主に認証情報の漏洩 から入手しています。 

しかし、認証情報の漏洩だけが攻撃者の入手経路ではありません。今年、サイバー犯罪者による情報窃取型マルウェアの使用が急増しています。これは、ブラウザーのセッション トークンなどのオンライン アカウント情報や認証情報を密かに大量に収集することができます。サイバー犯罪者は、こうして盗み出された情報をサイバー犯罪フォーラムで購入し、ランサムウェアの配信などを目的として、誰でも簡単にアカウントへアクセスできる状況を生み出しています。 

幸いなことに、ID 情報の侵害に対する解決策はシンプルです。フィッシング耐性のある多要素認証(MFA)を導入することで、攻撃者が正しいユーザー名とパスワードの組み合わせを持っていたとしても、この種の攻撃の 99% 以上を防ぐことができます。マイクロソフトのDigital Crimes Unit(DCU)は、情報窃取型マルウェアを悪用するサイバー犯罪者に対抗するため、悪意あるサプライ チェーンへの対策にも取り組んでいます。今年 5 月には、DCU が米国司法省およびユーロポールと連携し、最も広く使われていた 「Lumma Stealer 」の活動を阻止しました。 

今後に向けて:サイバーセキュリティは共通の防御課題 

脅威アクターがますます巧妙かつ執拗になり、隙を突く手口も増す中、組織は常に警戒を怠らず、防御策を継続的に更新し、インテリジェンスを共有していく必要があります。 マイクロソフトは、Secure Future Initiative を通じて製品とサービスの強化に取り組み続けています。また、脅威の追跡、標的となったお客様への通知、必要に応じて一般公開向けにインサイトを共有するなど、他の関係者との連携も継続しています。 

しかし、セキュリティは技術的な課題であるだけでなく、ガバナンス上の重要課題でもあります。防御策だけでは、国家関係の攻撃者を抑止するには不十分です。政府は、国際ルールに違反する悪意ある活動に対して、信頼性があり、かつ適切な対処が行われることを示す枠組みを構築する必要があります。前向きな動きとして、政府はサイバー攻撃の発信元を特定し、起訴や制裁を行うケースが増えています。こうした透明性と説明責任の向上は、集団的な抑止力の構築に向けた重要な一歩です。AI の進展によりデジタル トランスフォーメーションが加速するなかで、サイバー脅威は経済の安定、ガバナンス、個人の安全にまで影響を及ぼすリスクとなっています。これらの課題に対処するには、技術革新だけでなく、社会全体での連携と取り組みが求められます。 

———————————  

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。