日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態：Mandiantの年次脅威レポートから読み解く

セキュリティベンダーMandiantがまとめた調査レポートによると、脆弱性が侵入経路として広く悪用される傾向に変わりはないが、侵入経路の2番目には前年までとは異なる新たな項目が浮上した。

≫ 2025年04月24日 05時00分公開

攻撃グループの活動実態や、侵入経路の変化

併せて読みたいお薦め記事

脅威動向を読み解く

　Mandiantは2025年4月23日（米国時間）、年次報告書「Mandiant M-Trends 2025 Report」を公表した。Mandiant Consultingによる、2024年1月1日～12月31日までの期間に実施された調査結果をまとめたもの。

　攻撃者の属性分類では、活動が検知された攻撃グループのうちの55％が「金銭目的」と判断されている。時系列で見ると、金銭目的の攻撃グループは2022年は全体の48％、2023年は52％で、年々増加傾向にある。こうした傾向から、サイバー攻撃が犯罪組織の資金源となっている実態が伺える。

　地政学的な緊張が高まる中では、国家支援型攻撃グループの活動が活発化することも懸念されるが、諜報活動を目的とする脅威グループは全体の8％にとどまり、2023年の10％からわずかに減少傾向にある。

　初期侵入経路では、5年連続で「脆弱性（Exploits）」（33％）が最多となった。「盗まれた認証情報（Stolen Credentials）」が16％で2位に浮上している。この順位は過去最高位で、認証情報の盗難が拡大している状況が伺える。以下、「メールフィッシング」（14％）、「Webサイトの侵害」（9％）、「過去の侵害」（8％）が続く。

　被攻撃組織の業種別順位では、金融業界（17.4％）、ビジネス／プロフェッショナル・サービス（11.1％）、ハイテク（10.6％）、政府公共機関（9.5％）、ヘルスケア（9.3％）が上位を占める。この順位は従来からあまり変化していない。

　被害組織が不正を検知したきっかけは、57％が外部組織からの通報（43％は法執行機関やサイバーセキュリティベンダーから、14％はランサムウェアにおける身代金要求などの攻撃者からの連絡）、43％が組織内部での検知となっている。ランサムウェアに限定すると、攻撃者からの連絡が49％、外部機関からの連絡が30％、内部での検知は30％となっている。

　侵入に成功された後組織内に潜伏して活動している期間（Dwell-Time）の中央値は11日で、2023年の10日からやや増加した。ただし2022年の16日よりは短縮されており、攻撃者の活動が迅速化している状況は大きくは変わっていない。

日本を含むアジア太平洋地域の状況

　日本およびアジア太平洋地域（JAPAC）を対象とした分析では、初期進入経路として「脆弱性」（64％）、「盗まれた認証方法」（14％）、「Webサイトの侵害」（7％）が上位を占める。特に脆弱性はグローバルの2倍近くに達しており、対策の遅れが懸念される状況となっている。認証情報の窃盗から不正侵入につながる例が急増している傾向はグローバルと同様で、情報窃取型マルウェア（インフォスティーラー）を通じて認証情報等が窃取される例が増えている。

　不正検知のきっかけでは、外部組織からの通報が69％、内部検知は31％で、グローバルと比べて内部検知の比率がやや低い。

　日本に対する攻撃では、中国の政府支援型攻撃組織とみられる攻撃者がIvanti製VPN（仮想プライベートネットワーク）デバイスのゼロデイ脆弱性（CVE-2023-46805、CVE-2024-21887）を突いた攻撃により、2023年12月および2024年初頭に幾つかの組織への侵入を成功させたことも報告されている。

推奨される対策

　同レポートでは、推奨される対応策として以下の項目が挙げられている。

EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）、高度な分析機能などを含む先進的な脅威検知技術の導入
定期的な脆弱性スキャンやセキュリティパッチ適用の自動化
最小権限の原則に基づくアクセス制御の強化や多要素認証の導入、定期的なアクセスログの監査
インシデント・レスポンス／復旧計画の作成と定期的な検査
レッドチーム演習の実行
従業員教育／トレーニングへの投資

TechTargetジャパントップセキュリティ