フォーティネット最新レポートが暴く、サイバー犯罪の「サービス化」という衝撃の実態
2025年7月、サイバーセキュリティ業界に激震が走りました。フォーティネットジャパンが発表した「2025年 フォーティネット グローバル脅威レポート」によると、2024年にはなんと17億件以上の認証情報がダークWeb市場で取引されたというのです。
現役CSIRT(Computer Security Incident Response Team)の立場から言わせていただくと、この数字は想像を絶するレベルです。毎日のように企業や個人からの被害相談を受けている私たちでさえ、この規模の拡大には驚愕しています。
「Crime as a Service(CaaS)」とは何か?身近に潜む脅威の正体
レポートで特に注目されているのが、「Crime as a Service(CaaS)」の台頭です。これは一体何でしょうか?
簡単に言うと、サイバー犯罪に必要なツールや攻撃手法を「商品」として売買するビジネスモデルのことです。従来、サイバー攻撃は高度な技術知識を持つ一部の犯罪者によって行われていました。しかし今では、まるでAmazonで商品を買うかのように、ダークWeb上で以下のようなものが簡単に購入できてしまいます:
- エクスプロイトキット(脆弱性を悪用するツール)
- 盗まれた認証情報(ID・パスワード)
- マルウェア(ウイルス)
- 攻撃代行サービス
- 偽造文書や偽装メールのテンプレート
つまり、技術的な知識がない人でも、お金さえあれば簡単にサイバー攻撃を実行できる時代になってしまったのです。
実際のフォレンジック調査で見た被害の深刻さ
私が最近担当したフォレンジック調査の事例をいくつかご紹介しましょう。
事例1:中小企業での認証情報悪用被害
昨年末、従業員30名程度の製造業A社から緊急の調査依頼がありました。突然、同社の基幹システムに不正アクセスが発生し、顧客データが暗号化されてしまったのです。
調査の結果、犯人は以下の手口を使っていました:
- 過去のデータ漏えい事件で流出したA社従業員のメールアドレスとパスワードをダークWebで購入
- その認証情報を使って同社のクラウドサービスに不正ログイン
- 社内システムへの侵入経路を確保
- ランサムウェアを展開
被害総額は約500万円、復旧に2週間を要しました。最も恐ろしいのは、この従業員は「パスワードの使い回し」をしていただけで、特別なミスをしたわけではないということです。
事例2:個人情報の大量流出と二次被害
今年春には、ある地方自治体関連のシステムから住民2万人分の個人情報が流出する事件がありました。
攻撃者は「コンボリスト」と呼ばれる、過去の漏えい事件で集められた大量の認証情報リストを使って、クレデンシャルスタッフィング攻撃を仕掛けていました。つまり、自動化されたプログラムで数百万通りのID・パスワードの組み合わせを試し、たまたま一致したアカウントに侵入したのです。
なぜ認証情報の流出がこれほど深刻化しているのか
FortiGuard Labsの調査によると、2024年の漏えいデータ総量は1000億件超で、前年比42%増という驚異的な数字になっています。
この背景には、以下の要因があります:
1. AIと自動化技術の悪用
現代の攻撃者は、AI技術を駆使して攻撃を効率化しています。例えば:
- 自然な文章のフィッシングメール自動生成
- 音声を偽装した詐欺電話(ディープフェイク音声)
- 大量の認証情報を高速で試行するボット
2. クラウドサービスの普及による攻撃対象の拡大
企業の業務システムがクラウドに移行したことで、インターネット経由でアクセス可能な攻撃対象が大幅に増加しました。
3. 在宅勤務による境界線の曖昧化
コロナ禍以降、自宅から会社システムにアクセスする機会が増え、従来のネットワーク境界による防御が困難になりました。
フォレンジック専門家が教える、今すぐできる防御策
個人レベルでできる対策
1. パスワード管理の徹底
- 絶対にパスワードを使い回さない
- 各サービスごとに異なる複雑なパスワードを設定
- パスワードマネージャーの活用
- 二段階認証(2FA)の有効化
2. セキュリティソフトの導入
個人のPCには必ず信頼できるアンチウイルスソフト
を導入してください。最新の脅威に対応するため、定期的な更新が重要です。
3. 安全なネット接続環境の確保
在宅勤務やカフェでの作業時には、VPN
を使用して通信を暗号化することを強く推奨します。特に公衆Wi-Fiは盗聴リスクが高いため、重要な作業時は必須です。
企業レベルでの対策
1. CTEM(継続的脅威エクスポージャー管理)の導入
フォーティネットが推奨するCTEMは、従来の「守る」防御から「攻撃者の視点で弱点を見つけて改善する」プロアクティブな防御への転換です。
2. 定期的な脆弱性診断
Webサイトやシステムの脆弱性を定期的にチェックすることは必須です。Webサイト脆弱性診断サービス
を活用して、攻撃者が侵入する前に弱点を発見・修正しましょう。
3. 従業員のセキュリティ教育
技術的な対策だけでなく、人的要因への対策も重要です:
- フィッシング攻撃の見分け方
- ソーシャルエンジニアリング対策
- インシデント発生時の報告ルール
AI時代のサイバー攻撃と向き合うために
フォーティネットのデレク・マンキー氏が指摘するように、「サイバー犯罪者はAIと自動化を武器に、これまでにない速度と規模で攻撃を仕掛けている」のが現実です。
実際、私たちが対応するインシデントの件数は、ここ2年で約3倍に増加しています。しかも、攻撃の手口はより巧妙化し、被害の規模も拡大する傾向にあります。
「もし攻撃を受けてしまったら」の備えも重要
完璧なセキュリティは存在しません。そのため、攻撃を受けた場合の対応計画も事前に準備しておくことが重要です:
- インシデント対応計画の策定
- 定期的なデータバックアップ
- 復旧手順の文書化とテスト
- サイバー保険の検討
まとめ:今こそプロアクティブな防御戦略への転換を
17億件という認証情報流出の規模は、もはや「他人事」では済まされません。あなたの情報も、すでにダークWebで取引されている可能性があります。
重要なのは、以下の3点です:
- 現実を受け入れる:完璧な防御は不可能という前提で対策を考える
- 多層防御の実装:単一の対策に依存せず、複数の防御策を組み合わせる
- 継続的な改善:脅威の変化に応じて対策を見直し続ける
Crime as a Service(CaaS)の台頭により、サイバー攻撃の敷居は確実に下がっています。しかし、適切な対策を講じれば、リスクを大幅に軽減することは可能です。
今回ご紹介した対策を参考に、ぜひ今日から行動を始めてください。明日の被害を防ぐのは、今日のあなたの行動にかかっているのです。
