IBM X-Force脅威インテリジェンス・インデックス2025を公開:大規模な認証情報の窃盗が拡大し、脅威アクターはより隠密な戦術へとシフト
-サイバー攻撃のほぼ半数がデータまたは認証情報の窃盗取に至る結果に
-認証情報の悪用が主な侵入経路として利用された
-アジア太平洋地域が2024年の攻撃の3分の1以上を占めた
-アジア太平洋地域で観測された全攻撃で最も多いのは約66%を占めた日本
日本IBMは本日、IBM X-Force脅威インテリジェンス・インデックス2025の日本語版を発表しました。本調査では、サイバー犯罪者がより目立たない手法へと戦術を転換し、認証情報の窃取が急増する一方で、企業に対するランサムウェア攻撃が減少したことが明らかになりました。IBM X-Forceは、2024年に情報窃取型マルウェア(インフォスティーラー)を運ぶメールの数が前年と比べて84%増加したことを確認しました。
2025年の調査では、インシデント対応、ダークウェブ、その他の脅威インテリジェンス・ソースから得られた新たな傾向や既知の攻撃パターンを追跡しています。
本レポートの主な調査結果は以下の通りです。
-
IBM X-Forceが対応した全攻撃の70%が重要インフラ企業を対象としており、そのうち4分の1以上が脆弱性の悪用によるものでした。
-
より多くのサイバー犯罪者がデータの暗号化(11%)よりも窃取(18%)を選択しました。これは高度な検出技術と法執行機関の取り締まり強化により、サイバー犯罪者がより迅速な撤退経路を求めているためです。
-
2024年に観測されたインシデントの約3分の1が認証情報の窃取に至っており、攻撃者がログイン情報への迅速なアクセス、流出、収益化を図るために複数の手段に投資していることが示されています。
IBMサイバーセキュリティー・サービス担当グローバル・マネージング・パートナーであるマーク・ヒューズ(Mark Hughes)は、次のように述べています。「サイバー犯罪者は、複雑なハイブリッドクラウド環境から生じるアイデンティティーのギャップを利用して、破壊を伴わずに侵入しています。企業は、場当たり的な予防策から脱却し、認証管理の近代化、多要素認証の抜け穴の封じ込め、さらには機密データが漏洩する前に隠れた脅威を特定するリアルタイムの脅威ハンティングといった、積極的な対策に注力する必要があります」
パッチ適用の課題が重要インフラ企業を高度な脅威にさらす
レガシー技術への依存とパッチ適用の遅れは、重要なインフラ企業にとって依然として根強い課題であり、昨年この分野でIBM X-Forceが対応したインシデントの4分の1以上で、サイバー犯罪者が脆弱性を悪用していたことが明らかになりました。
ダークウェブのフォーラムで最も頻繁に言及された共通脆弱性識別子(CVE)を調査したところ、IBM X-Forceは、上位10件のうち4件が高度な脅威アクター・グループ、特に国家支援型攻撃者と関連していることを発見しました。これにより、インフラの混乱、スパイ行為、金銭的脅迫のリスクが高まっています。これらのCVEに対するエクスプロイト・コードは多数のフォーラムで公然と流通しており、電力網、医療ネットワーク、産業システムを標的とした犯罪市場の拡大を助長しています。経済的動機を持つ攻撃者と国家支援を受けた攻撃者の間で情報が共有されていることは、パッチ管理戦略の策定や、脆弱性が悪用される前に潜在的な脅威を検出したりするために、ダークウェブの監視がますます重要になっていることを浮き彫りにしています。
自動化された認証情報の窃取が連鎖反応を引き起こす
2024年、IBM X-Forceは、情報窃取型マルウェア(インフォスティーラー)を配信するフィッシング・メールの増加を観測しており、2025年初頭のデータにおいても、2023年と比較してその数はさらに180%増加しています。アカウント乗っ取り攻撃につながるこの増加傾向は、攻撃者がAIを活用して大規模にフィッシング・メールを作成していることに起因している可能性があります。
認証情報を狙ったフィッシングやインフォスティーラーの登場により、脅威アクターにとって、アイデンティティー攻撃は安価で拡張性が高く、非常に利益の大きい手段となっています。インフォスティーラーはデータの迅速な流出を可能にし、標的への滞在時間を短縮し、痕跡をほとんど残しません。2024年には、上位5種類のインフォスティーラーだけでダークウェブ上に800万件以上の広告が出されており、それぞれのリストには数百の認証情報が含まれている可能性があります。さらに脅威アクターは、多要素認証(MFA)を回避するための「中間者攻撃(AITM)」用のフィッシング・キットやカスタムのAITM攻撃サービスもダークウェブ上で販売しています。このように、漏洩した認証情報やMFA回避手法が蔓延している現状は、不正アクセスに対する需要が高く、その勢いが衰える気配がないことを示しています。
ランサムウェア運用者がリスクの低いモデルへと移行
2024年においてランサムウェアはマルウェア全体の28%を占め、依然として最大の割合を占めていましたが、IBM X-Forceは前年と比較してランサムウェアのインシデント全体が減少し、その隙をつくようにアイデンティティー攻撃が急増したことを確認しました。
国際的な摘発活動により、ランサムウェアの攻撃者たちは高リスクなモデルを再編成し、より分散されリスクの低い運用へと移行しつつあります。たとえば、IBM X-Forceは、かつて広く使用されていたマルウェアファミリーであるITG23(別名Wizard Spider、Trickbot Group)やITG26(QakBot、Pikabot)が、完全に活動を停止するか、あるいは短命の新しいマルウェアファミリーの使用を含め、別のマルウェアへと移行していることを観測しています。これは、昨年無力化されたボットネットの代替手段を模索するサイバー犯罪グループの動きによるものです。
本レポートの追加調査結果は以下の通りです。
-
進化するAIの脅威:2024年にはAI技術に対する大規模な攻撃は確認されなかったものの、セキュリティー研究者たちはサイバー犯罪者に悪用される前に脆弱性を特定し修正するために対応しています。IBM X-ForceがAIエージェントを構築するフレームワークで発見したリモートコード実行の脆弱性のような問題は今後さらに頻繁に発生すると見られています。2025年にAIの導入が進むにつれ、AIを標的とした専用の攻撃ツールキットを開発する動機も高まります。そのため、企業はAIのパイプライン、すなわちデータやモデル、使用法、そしてそれらモデルを取り巻くインフラストラクチャーを初期段階から確実に保護することが不可欠です。
-
アジア太平洋(APAC)と北米が最も攻撃を受けた地域:IBM X-Forceが世界中で対応した全攻撃のうち、アジア太平洋(34%)と北米(24%)が合わせて約60%を占め、2024年に最も多くのサイバー攻撃を受けた地域となりました。アジア太平洋地域で最も攻撃を受けたのは日本で、約66%を占めました。
-
製造業がランサムウェア攻撃の矢面に:4年連続で製造業が最も攻撃を受けた業界となりました。昨年、同業界は最多のランサムウェア被害に直面しており、極端にダウンタイムに対する耐性が低いことから、暗号化による金銭的リターンが依然として高い分野となっています。
-
Linuxに対する脅威:Red Hat Insightsとの協力により、IBM X-ForceはRed Hat Enterprise Linuxの顧客環境の半数以上が、少なくとも1つの重大なCVEに対してパッチを適用していないことを確認しました。また、18%の組織では5つ以上のCVEが未修正のままとなっていました。同時に、IBM X-Forceは、Akira、Clop、Lockbit、RansomHubといった最も活動的なランサムウェア・ファミリーが、現在ではWindowsとLinuxの両方に対応していることを明らかにしています。
補足資料
-
IBM X-Force脅威インテリジェンス・インデックス2025は、こちらからダウンロード可能です。
-
IBM X-Force チームに連絡し、調査結果の個別レビューを受けることができます。
-
本レポートの主な調査結果についてこちらのブログでさらに詳しく読むことができます。
当報道資料は、2025年4月17日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳をもとにしています。原文はこちらを参照ください。
IBM、IBMロゴ、ibm.com、watsonxは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、ibm.com/trademarkをご覧ください。
