Forescout Research Labsはこのほど、「Midyear Threat Report: Numbers Grow in Nearly All the Wrong Places」において、同社の脅威インテリジェンス部門であるVedere Labsによる「2025年上半期脅威レポート」を発表した。

レポートは2025年1月1日から6月30日までの期間に観測されたサイバー脅威の傾向をまとめたもので、運用・制御技術(OT: Operational Technology)インフラに対する攻撃の増加、イランを含む国家支援型ハクティビストの活動、ランサムウェアやインフォスティーラーの拡大といった分野で顕著な変化が確認されている。

  • Midyear Threat Report: Numbers Grow in Nearly All the Wrong Places

    Midyear Threat Report: Numbers Grow in Nearly All the Wrong Places

OTを狙った攻撃の増加とプロトコルへの関心

Forescoutは、OT環境に対する攻撃が2024年と比較して継続的に増加していると報告。とりわけ、Modbusプロトコルへのスキャン活動が著しく増加しており、同社が展開するハニーポット環境におけるOTインタラクションの57%を占める結果となった(前年同期は40%)。BACnetおよびEtherNet/IPに対する関心も引き続き高く、OT関連プロトコルが攻撃者にとって有力な標的となっている現状が浮き彫りになった。

イラン系ハクティビストの動向と新たな脅威「APT IRAN」

レポートでは、国家との関係が疑われるハクティビストによるOT/ICS (産業用制御システム)への攻撃事例が分析されている。「APT IRAN」と呼ばれる新たな攻撃グループについて詳しく説明されている。同グループは、2023年に注目を集めた「CyberAv3ngers」の手口を踏襲しており、PLC (プログラマブル・ロジック・コントローラー)に対する破壊的活動を展開した。

Forescoutは、APT IRANを既存の国家支援型グループの変種とみており、プロパガンダと実際の能力を交差させた心理的影響を狙った活動が観測されている。

ランサムウェアとインフォスティーラーによる広範な攻撃

2025年上半期には、ランサムウェア攻撃が前年同期比で36%増加し、計3,649件の攻撃が記録された。1日平均では20件、1カ月あたりでは608件のペースとなっている。対象となった業種は多岐にわたり、サービス、製造、テクノロジー、小売、医療が上位を占めた。特に小売業(66%増)、テクノロジー(48%増)、製造業(24%増)に対する攻撃が顕著に増加した。

また、インフォスティーラーの配布手段として「ClickFix」キャンペーンの利用が拡大した。これはPowerShellコマンドをユーザーに実行させる手法であり、ランサムウェアと組み合わせた攻撃が確認されている。

医療機関への脅威と被害拡大

医療分野は依然としてサイバー攻撃の主要標的となっている。Health-ISACの報告によれば、VPNの脆弱性や漏洩した認証情報を悪用した侵害が多発しているという。2025年上半期には、500人以上に影響を与える医療機関のデータ侵害が米国で341件報告され、計29,799,648人の個人情報が影響を受けた。全体の76%がIT関連の侵害によるものであり、62%のケースでサーバ内に格納されたデータが侵害対象となった。

防御策と推奨事項

Forescoutは、ネットワーク境界、OTシステム、医療機器、IoTデバイスに対して総合的かつ能動的な可視化と制御を導入することを推奨している。

  • エージェントレスソリューションによるネットワーク内のデバイス把握
  • 通信パターンや実行中のソフトウェアの監視
  • 初期侵入点から最終ターゲットに至るまでの横展開への対応
  • 脅威検知ソリューションの多様なデバイスへの対応と複数ソースからのデータ取得
  • 未使用サービスの無効化や既知の脆弱性の修正
  • パスワードの強化と多要素認証(MFA: Multi-Factor Authentication)の導入
  • データの暗号化とネットワークのセグメンテーションによる攻撃範囲の制限

また、疑わしいドメインの遮断、Webブラウザー制御の強化、ソーシャルエンジニアリングへの対策教育の実施といった追加的措置も求められている。

レポートの結論と今後の展望

Forescoutによる今回の報告は、サイバー攻撃の手口と対象の多様化、ならびに国家的意図を持つ攻撃者の戦術変化に関する実態を網羅的に示すものだ。OT分野や医療分野においては、これまで以上に緻密な可視化と事前の脆弱性管理が求められることが明確となった。全体を通して、攻撃の質と量の両面での高度化が進んでいる現状に対応すべく、組織には包括的なセキュリティ体制の構築が必要であるとForescoutは指摘している。