こんにちは。CSIRT(Computer Security Incident Response Team)でフォレンジックアナリストを務めている私が、Microsoftから発表された最新のセキュリティレポートをもとに、2025年のサイバー脅威の深刻な変化について解説します。
結論から言うと、攻撃者はもはや「システムの穴」を狙うより「あなたのID(身元情報)」を狙う戦略に大きくシフトしています。これは単なるトレンドの変化ではありません。攻撃の成功率が圧倒的に高いからです。
ID攻撃が急増している恐ろしい現実
Microsoft Digital Defense Report 2025の調査結果を見て、正直ゾッとしました。ID起点の攻撃が前年比で32%も増加しているんです。
私が実際に対応したインシデント事例をお話しします。先月、ある中小企業から「社員のメールアカウントが乗っ取られて、顧客に怪しいメールが送られている」という相談を受けました。
調査してみると、攻撃者は数千回にわたってパスワードを試行し、ついに弱いパスワード「company123」を使っていた営業部長のアカウントに侵入していました。そこから社内システムに横展開され、最終的に顧客データベースまで到達されていたのです。
驚くべきことに、ID攻撃の97%以上がパスワードスプレーや総当たり攻撃という古典的な手法なんです。つまり、基本的な対策さえ取っていれば防げたはずの攻撃がほとんどなのに、多くの個人や企業が被害に遭っているという現実があります。
フィッシング攻撃の手口が巧妙化
今年特に注目すべきは「ClickFix(クリックフィックス)」という新しい手口です。一見すると正当なWebサイトのエラーメッセージのように見せかけて、「このエラーを修正するにはここをクリック」と誘導し、マルウェアをダウンロードさせる手法です。
実際に私が分析した事例では、大手通販サイトのエラーページを完璧に模倣したフィッシングサイトが確認されました。被害者は「配送エラーを修正するため」として不正なソフトウェアをインストールしてしまい、結果的にランサムウェアに感染してしまいました。
ランサムウェア攻撃の現状
レポートによると、今年だけで120種類ものランサムウェア系統が71の業種に対して使用されました。特に深刻なのは、被害の約半数が売上5,000万ドル以下の中堅・中小企業だという点です。
先日対応した印刷会社のケースでは、社員が業務に関する問い合わせを装った電話(ビッシング)を受け、「セキュリティ確認のため」として自社のログイン情報を伝えてしまいました。攻撃者はMicrosoft Teamsを通じてさらに巧妙に接触し、Quick Assistという正規のリモートサポートツールを悪用して完全にシステムを制御されてしまったのです。
幸い、事前にバックアップ体制を整えていたため、3日間の業務停止で復旧できましたが、復旧費用だけで300万円以上かかりました。
個人ができる実践的な対策
1. 多要素認証(MFA)の導入は最優先
レポートでは、フィッシング耐性を備えた多要素認証でID侵害リスクを99%以上抑制できることが確認されています。これは統計的に証明された驚異的な効果です。
特にGoogleやMicrosoft、Appleなどの主要サービスでは、必ずMFAを有効にしてください。スマートフォンのアプリやSMSでの認証に加え、可能であればハードウェアキー(YubiKeyなど)の使用をお勧めします。
2. 包括的なセキュリティソフトの導入
ClickFix型攻撃やゼロデイ攻撃に対抗するには、従来型のウイルス対策だけでは不十分です。アンチウイルスソフト
のような、AI技術を活用した振る舞い検知機能を持つソフトが効果的です。
私が個人的に推奨するのは、Webサイトの安全性をリアルタイムでチェックし、フィッシングサイトへのアクセスを事前にブロックする機能です。特に、家族でパソコンを共有している場合は、ITリテラシーの違いによる脆弱性を補完してくれます。
3. VPN使用でネットワークレベルの防御
パスワードスプレー攻撃の多くは、特定のネットワーク群(ASN)に集中していることが判明しています。VPN
を使用することで、攻撃者からの直接的なアクセス試行を回避できるだけでなく、通信の暗号化により中間者攻撃からも保護されます。
特にカフェや空港などの公共Wi-Fiを使用する際は、VPNは必須です。攻撃者は公共Wi-Fiを監視して、ログイン情報を窃取する「Evil Twin攻撃」を頻繁に仕掛けています。
企業・法人向けの対策
1. ゼロトラスト・アーキテクチャの導入
Microsoftのレポートでは「明示的検証・最小権限・侵害前提の設計」の重要性が強調されています。つまり、社内ネットワークであっても「信頼しない」前提でセキュリティを設計する必要があります。
私が支援した製造業では、社内ネットワークを複数のセグメントに分割し、各部署の業務に必要な最小限のアクセス権限のみを付与する設計に変更しました。結果、ランサムウェア感染時の被害範囲を大幅に限定できました。
2. Webサイト・システムの脆弱性管理
初期侵入経路として「未パッチのWeb資産」が18%を占めています。企業のWebサイトやWebアプリケーションは、攻撃者にとって格好の標的です。
Webサイト脆弱性診断サービス
のような専門的な診断サービスを定期的に利用することで、自社では気づけない脆弱性を発見できます。特にSQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性は、発見次第すぐに修正が必要です。
ある小売業のクライアントでは、ECサイトにSQLインジェクション脆弱性があることを診断で発見し、修正前に攻撃を受けていれば顧客の個人情報約10万件が流出する可能性がありました。
3. クラウド環境のセキュリティ強化
レポートでは、クラウド環境に対する破壊的攻撃が前年比87%増加していることが報告されています。オンプレミスとクラウドをまたぐハイブリッド型攻撃も4割超に達しています。
クラウド移行時によく見落とされるのが、API(Application Programming Interface)の認証設定です。適切な認証なしにAPIを公開していると、攻撃者に直接データベースにアクセスされる危険性があります。
AIを活用した攻撃への対処
攻撃者もAIを積極的に活用し、フィッシングメールの自動生成、マルウェアの開発、さらにはディープフェイクを使った詐欺まで行っています。
先日、ある企業の経理部長が「CEO(実際はAIが生成した音声)」からの電話で緊急送金を指示され、危うく1,000万円を送金しそうになった事例がありました。幸い、社内の承認プロセスにより未遂で終わりましたが、AI技術の悪用は新たなレベルに達しています。
対策として重要なのは、AIによる検知技術の活用です。不審な通信パターンやファイルの振る舞いをAIが学習し、未知の攻撃でも高精度で検出できるシステムの導入が効果的です。
インシデント発生時の対応計画
残念ながら、完璧なセキュリティは存在しません。重要なのは「侵害を前提とした事前計画」です。
私が推奨するのは以下の準備です:
- 定期的なバックアップとリストア訓練:データのバックアップだけでなく、実際に復旧作業を行う訓練を定期実施
- インシデント対応チームの編成:社内外の連絡先、役割分担を明確化
- コミュニケーション計画:顧客、取引先、監督官庁への報告手順の整備
- 法務・広報との連携:情報漏洩時の損害賠償や風評被害への対応準備
実際のインシデント対応では、技術的な復旧作業よりも、ステークホルダーとのコミュニケーションに時間を要するケースが多いのが現実です。
まとめ:今すぐ実行すべきアクション
サイバー攻撃の脅威は確実に高まっていますが、適切な対策を講じることで大幅にリスクを軽減できます。
個人の方は今すぐ:
- すべてのオンラインアカウントでMFA有効化
- アンチウイルスソフト
の導入でリアルタイム防御強化 - VPN
でネットワーク通信の保護
- 定期的なパスワード変更とパスワードマネージャーの使用
企業・法人の方は:
- 全社的なMFA強制導入
- Webサイト脆弱性診断サービス
による定期的な脆弱性診断
- インシデント対応計画の策定と訓練実施
- クラウド環境のセキュリティ設定見直し
サイバーセキュリティは「ITだけの問題」ではありません。経営リスク、個人の生活リスクとして捉え、継続的な改善を続けていくことが重要です。
攻撃者は休むことなく手法を進化させています。私たちも常に最新の脅威情報にアンテナを張り、適切な対策を講じ続けましょう。
