ベライゾン「2025年度 データ漏洩/侵害調査報告書（DBIR）」日本語版を公開

本年度のポイント

• ソーシャルエンジニアリング：ソーシャルエンジニアリングによる侵害の絶対数は2021年から減少傾向にあり、2025年には侵害の20%を占めるに留まっています。これは、システム侵入の急増が要因の一つです。

• マルウェア：データ侵害におけるマルウェアの割合は大幅に増加し、昨年の58%から今年83%に跳ね上がりました。メールがさまざまな種類のマルウェアを配布する主要なベクターとなっています。

• ランサムウェア：この地域における総侵害件数の51%を占め、脅威アクターが侵害を公表するケースが多いため、依然として高い注目度を維持しています

ベライゾン・ビジネスグループ（日本法人：ベライゾンジャパン合同会社、所在地：東京都千代田区、代表執行役員社長：山崎隆太、以下「ベライゾン」）は、今年で18年目となるサイバーセキュリティに関する報告書、「2025年度 データ漏洩/侵害調査報告書（DBIR）」のエグゼクティブサマリー日本語版を公開しました。今回の報告書では、139カ国で発生した22,052件のセキュリティインシデントを分析し、そのうち12,195件のデータ侵害/漏洩であることを確認しました。この結果は、単一の報告書で分析した侵害件数としては過去最多となります。

「2025年度 データ漏洩/侵害調査報告書」は、専用ページhttps://www.verizon.com/business/ja-jp/resources/reports/dbir/からご確認ください。 

ランサムウェアの動向：2024年版と比較して37％増加

当社のデータセットにおけるランサムウェアの存在（暗号化の有無にかかわらず）も大幅な成長を見せ、昨年の報告書から37%増加しました。レビューしたすべての侵害の44%にランサムウェアが存在し、32%から増加しています。また、ランサムウェアは中小企業に不均衡な影響を与えています。

大企業では、ランサムウェアは39%の侵害の構成要素ですが、中小企業（SMB）では、ランサムウェア関連の侵害が全体で88%に達しました。サイバー犯罪者へのランサムウェア支払いの額は$115,000に達しており、多くの中小企業にとってこれは重大な金額です。サイバーセキュリティに積極的かつ包括的なアプローチを採用することで、企業は資産を保護し、顧客を守り、ますますデジタル化する世界での長期的な成功を確保できます。

生成AIによる新たなリスク：企業機密データが生成AIプラットフォーム自体に漏洩する可能性

2025年初頭の時点で、生成AI（GenAI）はまだ世界を席巻しているとは言えませんが、AIプラットフォーム自体が報告しているように、脅威アクターによる利用の証拠は存在します。

従業員の15％が会社のデバイスで日常的に（少なくとも15日に一度）生成AIシステムにアクセスしているため、企業機密データがGenAIプラットフォーム自体に漏洩する可能性があります。

これらの従業員の多くは、アカウントの識別子として企業以外のメールを使用（72％）しているか、統合認証システムなしで企業メールを使用（17％）しており、ほとんどの場合、その利用が企業ポリシー外であることを示唆しています。

業界別の動向

2025年DBIRは業界別の傾向にも光を当て、製造と医療業界における諜報目的の攻撃の急増、教育、金融、小売業界への継続的な脅威を明らかにしました。報告書はまた、ランサムウェアが中小企業（SMB）に与える不均衡な影響にも言及しています。

製造業はスパイ活動目的の侵害が昨年3%から20%に急増し、ほぼ6倍に跳ね上がりました。医療業界もスパイ脅威の増加に直面しており、教育と金融業界も継続的なサイバーセキュリティ課題と闘っています。

小売業界は2024年以降、サイバーインシデントが15%増加しており、攻撃者は支払いカードデータから顧客の認証情報、事業計画、報告書など、より容易な標的へと移行しています。

 

IDCのセキュリティサービス部門リサーチバイスプレジデント、クレイグ・ロビンソン氏は、「今年のDBIRの調査結果は、好悪が混在した結果を示しています。楽観的な見方をする人は、ランサムウェアの支払いを拒否した被害組織の割合が64%（2年前は50%）に増加した点を歓迎するでしょう。一方、悲観的な見方をする人は、DBIRから、適切なITとサイバーセキュリティの成熟度を持たない組織（多くは中小企業）が、その規模の代償を支払っていることを指摘できます。ランサムウェアは、侵害の88%で確認されています。サイバーセキュリティ攻撃の痛みを軽減する魔法の薬はありませんが、Verizonが攻撃者の動機、戦術、技術に関する一般向けの教育でリードしていることは、グローバルな意識向上とサイバー準備態勢の強化における重要な先行優位性です。」と述べています。

 

今年の調査結果は、アジア太平洋地域を含む世界中の企業に対し、即時の決定的な行動を講じるよう重要な警告を発しています。企業は、これらの進化する脅威に対抗するため、サイバーセキュリティ対策を強化し、重要な資産を保護し、顧客の信頼を維持し、デジタル時代における持続可能な成功を確保する必要があります。

 

今年度報告書のその他のポイント

• 脆弱性の悪用：この最初の攻撃ベクトルは34%増加し、特にゼロデイ脆弱性を標的とした周辺デバイスとVPNへの攻撃が注目されました。

• ランサムウェア：ランサムウェア攻撃は前年比37%増加し、侵害の44%で確認されました。ただし、支払われた身代金額は顕著に減少しました

• 第三者関与：第三者が関与した侵害の割合は倍増し、サプライチェーンやパートナーエコシステムに関連するリスクが浮き彫りになりました。

• 人的要因：侵害における人的関与は依然高く、ソーシャルエンジニアリングと資格情報濫用の間で大きな重複が見られました

エグゼクティブコメント

ベライゾン・ビジネスグループ

グローバル・サイバーセキュリティ・ソリューションズ部門バイスプレジデント

クリス・ノバック（Chris Novak）

「DBIRの調査結果は、多層防御戦略の重要性を浮き彫りにしています。企業は、強固なパスワードポリシー、脆弱性の迅速なパッチ適用、従業員向けの包括的なセキュリティ意識向上トレーニングを含む、堅固なセキュリティ対策への投資が必要です」

 

ベライゾン・ビジネスグループ

アジア太平洋地域バイスプレジデント

ロバート・ル・バスク（Robert Le Busque）

「今年の報告書は、世界中の組織が直面するサイバー脅威の複雑さと持続性の高まりを再確認しています。特にアジア太平洋地域では、外部アクターが重要なインフラを標的とし、第三者の脆弱性を悪用しています。データ漏洩の増加は、企業がリスク管理フレームワークを見直す必要性を浮き彫りにしています」

DBIRについて

2025年度のDBIRは第18版であり、139カ国で発生した22,000件を超えるセキュリティインシデントを分析し、そのうち12,195件のデータ漏洩/侵害が確認されました。分析に使われたデータは、2023年11月1日～2024年10月31日の期間を対象に、数カ国の法執行機関、法医学組織、法律事務所、CERTおよびISAC、政府機関など、国内外の87カ所のデータ寄与協力組織から収集されたものです。

「2025年度 データ漏洩/侵害調査報告書」は、専用ページhttps://www.verizon.com/business/ja-jp/resources/reports/dbir/からご確認ください。

  

ベライゾンについて

ベライゾン・コミュニケーションズ（NYSE, Nasdaq: VZ）は、2000年6月30日に設立された、テクノロジーおよび通信サービスを提供する世界有数のプロバイダーです。ニューヨークに本社を置き、世界中に拠点を有するベライゾンは、2022年に1,368億ドルの売上高を記録しました。同社は、受賞歴を誇るネットワークとプラットフォーム上でデータ、ビデオ、音声サービス、ソリューションを提供し、モビリティ、信頼性の高いネットワーク接続、セキュリティ、コントロールに対する顧客の要望に応えています。

ベライゾンのオンラインメディアセンター: ニュースリリース、記事、メディア窓口、その他のリソースは次のサイトhttps://www.verizon.com/about/news-centerで入手可能です。また、ニュースリリースはRSSフィードから購読可能です。購読するには、以下のサイトにアクセスください：www.verizon.com/about/rss-feeds/