日本IBMは6月3日、「IBM X-Force脅威インテリジェンス・インデックス2025」の日本語版を発表。2024年に行われた同調査において、サイバー犯罪者がより目立たない手法へと戦術を転換し、認証情報の窃取が急増する一方で、企業に対するランサムウェア攻撃が減少傾向にあることが明らかになったと発表した。

この発表に際し日本IBMは、同レポートに関する記者説明会をオンラインで実施。日本IBM 執行役員 コンサルティング事業本部 セキュリティー・ソリューション&デリバリー担当の藏本雄一氏、同事業本部 X-Forceインシデント・レスポンス 日本責任者の窪田豪史氏が登壇し、最新のサイバー攻撃トレンドや被害を回避するために必要なセキュリティの取り組みについて説明した。

急増するインフォスティーラーと減少するランサムウェア

IBM X-Force脅威インテリジェンス・インデックスは、IBMコンサルティングのセキュリティサービス部門であるIBM X-Forceが、グローバルで発生するサイバー脅威の事例や攻撃パターンを分析し、その傾向や特徴を整理したレポート。今回発表されたのは、2024年1月から12月にかけての1年間において、IBM X-Force IRが対応したインシデントやIBM X-Force Redが実施したペネトレーション・テスト、X-Force TIによる脆弱性・マルウェアの研究結果などを対象としたものだ。

  • 「IBM X-Force脅威インテリジェンス・インデックス2025」の概要

    「IBM X-Force脅威インテリジェンス・インデックス2025」の概要(出所:日本IBM)

認証情報を標的とした“インフォスティーラー”が増加

レポートでは初めに、攻撃者がこれまでと変わらず正規ユーザーアカウントの認証情報を悪用する傾向にあると言及された。2024年にIBM X-Forceが対応したインシデントのうち約30%は、その初期侵入経路として正規アカウントが悪用されていたとのこと。なお悪用された認証情報は、情報窃取マルウェア(インフォスティーラー)への感染によって取得されたものであり、その経路となるフィッシングメールの数は前年比で約84%増加していた。

またAIの活用による文面精度向上なども作用したのか、ダークウェブ上で販売されるインフォスティーラー由来の認証情報は約12%増加しているといい、その他にも多要素認証を回避するための攻撃ツールなどが流通しているとのこと。窪田氏は「現在、多要素認証を突破する難易度は未だかつてないほどに低下している」とコメントし、認証情報の悪用が今後もしばらく続いていくと推測した。

ランサムウェアは減少し“静かな手段”へと転換

その一方で、企業に対するランサムウェア攻撃は3年連続で減少しており、国際的なテイクダウン活動などが攻撃者に対する圧力として効果を発揮しているとする。また、各企業がEDR(Endpoint Detection and Response)をはじめとするセキュリティツールに対し積極的な投資を行っており、攻撃者がターゲットのもとに長期間留まることが困難に。そのためランサムウェアのような検知されやすい手段ではなく、インフォスティーラーのような“静かな手段”へと転換しているとされた。

さらにランサムウェア攻撃が減少している一因として、攻撃者が得られる利益が縮小していることも影響すると推測。実際に2023年には約12.5億ドルという過去最高額に上った被害が、2024年には約8.1億ドルに減少。日本国内でも“身代金を支払わない”という選択をする企業が増えているといい、そうした背景から攻撃回数も減っていると考えられるとした。

重要インフラの脆弱性は大きなターゲットに

また、2024年にIBM X-Forceが対応したインシデントのうち、重要インフラ事業者に関連したものは約半数を占め、そのうち約26%が脆弱性を悪用したものだったとする。同年にダークウェブ上で言及された脆弱性のうち、上位10件はエクスプロイト・コードが公開されているか、放置された状態で積極的に悪用されていたものだといい、企業としては脆弱性が無いか常に確認するのに加え、確認された場合の迅速な対応が重要。そして予兆検知活動としてダークウェブ上の監視を強め、リスクを軽減させる必要があるとしている。

そして、前年のレポートにおいてIBM X-Forceが予測した、AIを標的とする攻撃ツールキットへの投資加速については、さまざまなテクノロジーが市場に乱立する現状にあって、未だ表面化していないとのこと。しかし一方で、急速に活用が広がる生成AIについてはセキュリティの確保に課題が残されているといい、窪田氏は「生成AIの脅威に適切に対処するには、設計段階からセキュリティを組み込み、生成AIのライフサイクル全体を保護する必要がある」と述べた。

インシデントの約3分の1はアジア・太平洋地域が標的

今回のレポートでは、サイバー攻撃によって生じた影響や攻撃者が用いた手口の内訳についても言及され、攻撃により生じた影響として最も多くの割合を占めたのは、前述の通り認証情報の収集であった。それに続くのがデータ窃取であり、上位2項目を合わせると約47%と、インシデントのおよそ半数で情報が持ち出されていたとのこと。またランサムウェアをはじめとする脅迫の割合は低下したものの、それでも10%以上を占めており一定の脅威は残されている。なお、攻撃者が用いた手段として最も多かったのはマルウェアで、およそ42%であった。

  • 2024年に攻撃者が用いた手口の内訳

    2024年に目標達成のために攻撃者が用いた手口の内訳(出所:日本IBM)

窪田氏は説明会の中で、地域別に見たインシデントのトレンドについても解説。2024年に最も多くのインシデントが発生したのは日本を含むアジア・太平洋地域で、全体の約34%まで割合が増加した。その特徴としては40%ほどを製造業が占めているといい、特にグローバルに展開する企業のアジア拠点が侵害を受ける事例が多く見られたとする。中にはそうした拠点の攻撃から本社機能にまで影響が及んだケースもあったといい、窪田氏は「海外拠点についても侵入を防ぎセキュリティを確保することが重要」とした。なお、アジア・太平洋地域に次いでインシデントが多かったのは、北米地域(約24%)、ヨーロッパ(約24%)だった。また製造業については、グローバル全体で見ても約26%と、最も多く攻撃を受けた業種となった。

  • 地域別のインシデント割合とトレンド

    地域別のインシデント割合とトレンド(出所:日本IBM)

正規IDの保護を徹底することが最重要

これらの調査結果を受け、窪田氏は以下4点を踏まえた取り組みを推奨するとしている。

  • 認証情報の窃取リスク低減
  • 認証情報保護のためのID・データ拡散への対処
  • 攻撃者に侵入を許さない認証の強化
  • 安全で拡張性のあるAIの作成

ダークウェブの監視や従業員に対するセキュリティ意識の教育といった地道な取り組みに加え、ID管理統合システムを構築しIDやデータのサイロ化を防ぐなどといった大規模な取り組み、また脅威を検知するAIの活用など、インシデント防止のために必要となる施策は多い。

そうした中で今すぐとるべきアクションとして、蔵元氏は、「まずは正規のIDを確実に保護し、多要素認証などそのための取り組みを強化していくこと」を重要視する。また、サイバー攻撃の標的となりやすい重要インフラに関係する企業に対しては、「経済安全保障の観点から見ても、特に細心の注意を払っていただきたい」と強調した。

  • 日本IBM 執行役員の藏本雄一氏

    日本IBM 執行役員 コンサルティング事業本部 セキュリティー・ソリューション&デリバリー担当の藏本雄一氏(出所:日本IBM)