侵入経路は「正規アカウント」が最多 認証情報の“盗まれ方”にはある変化も：IBM X-Forceが脅威動向を調査

IBMの分析レポート「X-Force脅威インテリジェンス・インデックス2025」によれば、ランサムウェア感染インシデントは減少傾向だが、製造業や重要インフラを狙った攻撃はいまだ多数発生している。その現状とは。

[渡邉利和，著]

　日本アイ・ビー・エム（日本IBM）は2025年6月3日、脅威状況の分析レポート「IBM X-Force脅威インテリジェンス・インデックス2025」日本語版を発表した。IBM X-Forceは「ハッカー、対応者、研究者、アナリストで構成される」チームで、世界170カ国／地域でサービスを提供するセキュリティ組織。同レポートは「X-Force IRが対応したインシデント」「X-Force Redが実施したペネトレーション・テスト」「X-Force TIによる脆弱（ぜいじゃく）性やマルウェアの研究結果」などをまとめた年次レポートで、今回は2024年1〜12月が分析対象期間となっている。

　今回のハイライトとして、「攻撃者はユーザーの認証情報を大規模に収集・販売」「ランサムウェア感染インシデントは減少。攻撃者は“静かな”手段を選択」「重要インフラの脆弱性がターゲットに」「AIに対する脅威の高まり」の4点が挙げられている。同レポートの分析を基に、脅威の動向や求められる対策を解説する。

正規アカウントの悪用が最多　認証情報“摂取”の手口にはある変化が

併せて読みたいお薦め記事

脅威情報の読み解き方

• IPA「情報セキュリティ10大脅威」を単なるランキングで終わらせない方法
• 「情報窃取型マルウェア」と「ランサムウェア被害」の関連が浮上　その実態は？

　初期侵入の手口として、何らかの形で入手した正規のアカウント情報を悪用してシステムにログインする例が増えており、2024年にX-Forceが対応したインシデントの30％でこの手段が使われていたという。アカウント情報の搾取には「情報窃取型マルウェア（インフォスティーラー）」やフィッシングメールなどが広く用いられ、情報窃取型マルウェア感染を狙うメールは前年比で84％増となった。ダークWebで販売されている認証情報については、インフォスティーラー由来のものは12％増と分析されている。ランサムウェアが減少傾向にあることと合わせ、攻撃者が「アカウント情報を搾取してそれを販売する」方向にシフトしつつある傾向も読み取れる。

初期侵入の手口（提供：日本アイ・ビー・エム）《クリックで拡大》

　一方、X-Forceが対応したランサムウェア感染インシデントの件数は3年連続で減少している。同社の窪田豪史氏（コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者）は、ランサムウェア攻撃による身代金支払い額が過去最高を記録した2023年に比べて35％減少したとみられると説明。その上で、背景について次にのように分析した。「法執行機関による国際的なテイクダウンの取り組みや、EDR（Endpoint Detection and Response）／XDR（Extended Detection and Response）といった対策ソフトウェアの普及によって被害企業のシステム内部で長期間活動することが困難になってきた。被害企業が身代金支払いに応じなくなってきたことも背景にある」

日本アイ・ビー・エムの窪田豪史氏

　全体的にはランサムウェアの被害は減少傾向だが、パッチ適用に消極的な傾向のある重要インフラを狙った攻撃は増加しているという。2024年にX-Forceが対応したインシデントの約半数が重要インフラ事業者に関連したものとなっており、これらのインシデントのうち40％でマルウェアが使用され、うち30％はランサムウェアだったという。また、重要インフラ事業者に対する攻撃の25％で脆弱性が悪用されており、その大半は既知の脆弱性であったことから、セキュリティパッチをきちんと適用することの重要性が伺える。

　最後に、AI（人工知能）に関する脅威についても言及された。X-Forceは2024年に「単一のテクノロジーが市場シェアの50％に近づいた場合、または市場が3つ以下のテクノロジーに統合された場合に、攻撃者はAIを標的とした攻撃ツールキットへの投資を加速させるだろう」との予測を発表したが、現時点でこの予測の前提条件はまだ満たされていない状況だという。一方で、「生成AIの活用が進む中で、セキュリティが確保されているプロジェクトは全体の4分の1未満にとどまっている」とも報告されており、今後AI技術が実運用フェーズに入っていくことが見込まれる現在、考えておくべき課題となっていることが指摘された。

認証情報を狙う攻撃が増加

　この他、興味深いデータが幾つか紹介されている。

　「攻撃により組織に生じた影響」では、1位が「認証情報の収集」で、29％を占める。次いで「データ窃取」（18％）、「調査行為」（14％）、「脅迫」（13％）、「データ漏えい」（11％）と続く。下位の「データ破壊」（2％）とデータ窃取、脅迫、データ漏えいはランサムウェア関連の被害としてまとめることもできそうだが、認証情報を狙った攻撃が確実に増加していることが分かる。それを反映するように、初期侵入経路では「正規アカウント」と「外部公開されたアプリケーションへの攻撃（脆弱性）」がいずれも30％となっている。システムに侵入した後の攻撃者の活動も、侵入先システムのOS標準ツールや正規版のアプリケーションなどが使われる例が目立つが、これらはEDR／XDRなどの検知ツールによる発見を遅らせるための配慮とみられる。マルウェア等を利用する場合に比べ、正規のIDでログインしてシステム標準のソフトウェアを実行している場合は検知されにくいためだ。

攻撃により組織に生じた影響（提供：日本アイ・ビー・エム）《クリックで拡大》

　地域別トレンドでは、インシデント数が最も多かったのは日本を含むアジア・太平洋地域で、次が北米となっている。アジア・太平洋地域では、インシデントの40％が製造業で、日本を含む多くの製造業のアジア拠点が侵害を受けているという。業種別トレンドでは4年連続で製造業が1位となっている。こうした傾向から、攻撃者から見て価値の高い知財やデータなどを保有している製造業の、防御が手薄になりがちなアジア圏の海外拠点が狙われることが多いと言えそうだ。

日本アイ・ビー・エムの藏本雄一氏

　こうした状況を踏まえて窪田氏は、「認証情報の窃取リスクを軽減する」「認証情報を保護するため、IDとデータの拡散に対処する」「攻撃者に侵入を許してしまう前に認証を強化する」「安全で拡張性のあるAIを作成する」という4点を推奨事項として挙げた。

　同社の藏本雄一氏（執行役員 コンサルティング事業本部 成長戦略統括事業部 サイバーセキュリティ事業 セキュリティー・ソリューション＆デリバリ担当）は、今すぐ取るべきアクションとして「正規のIDを確実に保護する」ことと「重要インフラ関係社は細心の注意を」の2点を挙げた。