「バックアップで復旧」は古い 子会社が狙われるランサムウェアの“残酷な手口”：Microsoftが明かす「2025年の脅威」と防御策

Microsoftは2025年版の「デジタル防衛レポート」について同社のイベントで紹介した。AIによって巧妙化する攻撃手法をはじめとした、企業が直面するサイバー脅威とその対策を紹介した。

[TechTargetジャパン]

　「多くの攻撃は、高度なゼロデイ攻撃ではなく、人の行動を操作するアクションから始まる」――。Microsoftは2025年11月、年次イベント「Microsoft Ignite 2025」を開催。「Inside the Threat Landscape：2025 Digital Defense Report Takeaways」と題したセッションで同社のエンジニア3人が登壇した。このセッションでは、同社が毎年公開する「Microsoftデジタル防衛レポート」（Microsoft Digital Defense Report：MDDR）2025年版の要点と、企業が取るべき防御の方向性が語られた。

レポートで注目すべきポイントは

併せて読みたいお薦め記事

サイバー攻撃とAI

• AIはセキュリティの「敵」か「味方」か――AIが分析　果たして結論は？
• “文章力がすごい”AI型フィッシングメールに対抗するための「最先端の防御策」

　MDDRの作成には、23部門の従業員約200人が参加。脅威の全体像と防御の実践的な指針をまとめている。セッションの登壇者は、特にCISO向けの年間の投資判断と優先度整理の指針としてMDDRを活用できると説明する。

まず押さえるべきポイント

• AIにより、ソーシャルエンジニアリング攻撃は高速化、大規模化している。
• ランサムウェア（身代金要求型マルウェア）は、暗号化型から恐喝型へ移行しつつある。
• Microsoftは、情報窃取型マルウェア「Lumma Stealer」の運用の中核を成す不正ドメイン約3200件の動きを停止する措置を講じた。

3分で分かる要点まとめ

• 研究機関と中小企業が主要な標的になっている。
  • 年商5000万ドル以下の企業がランサムウェアの主要ターゲットになっており、大企業グループ内の子会社、拠点も狙われやすい。
• ビジネスメール詐欺（BEC）は、URLを使わない文章主体の攻撃へ進化している。
• 国家支援型攻撃の発信源は4カ国が中心となっている。

新しい情報は

• AIが認証情報探索などの作業を自動化するようになりつつある。
• ランサムウェアは、業務停止より情報の暴露を狙う傾向が強まりつつある。

IT部門のネクストアクションは

• BECなど文章主体の詐欺を前提にした従業員教育を強化する。
• 初期侵入段階を検知するログ分析と多層防御の状態を再点検する。

セッションを深掘りする

　登壇者によると、BECはテキストのみで意思決定者や経理担当者をだまして送金させる「武器化されたコミュニケーション」へと進化している。特に、AIを使うことで、テキストの文面に自然さと説得力が増しているという。

　AIが攻撃者にとって「新しいデータインタフェース」になっている実態も紹介された。登壇者によると、攻撃者は過去のデータ侵害から有用な認証情報を効率的に抽出する手法を確立しているという。Microsoft内部だけでも40種類以上の認証情報形式（IDやパスワード、サービスプリンシパル、トークン、証明書など）が存在するが、AIモデルを侵害データに学習させれば、複雑な正規表現を書かなくても大量データから認証情報の組み合わせを一括抽出できるという。正規表現のような厳密な構文を書く手間が不要となり、AIが文脈を理解して多様な形式を自動認識する点を、登壇者は「データへの新しいインタフェース」と評している。これにより、攻撃者はランサムウェアの準備工程を劇的に効率化できるという。IT部門は防御する側として、こうしたAI活用を前提に認証情報の管理を急ぐ必要がある。

　AIが自動生成したフィッシングメールは、従来比でクリック率が4.5倍になるというMicrosoftの調査結果も紹介され、メールが到達した場合のリスク増大が数字で示された。

　一方登壇者は、「AIは脅威だが万能ではない」とも指摘する。AIにより文面が高度化しても、送信元ドメインやインフラ、振る舞いといった検知に使う多くのシグナルは変わらない。そのため、適切なセキュリティ製品とルールを導入すれば多くの攻撃は到達前に止められる可能性があるという。

　ランサムウェアについては、「暗号化して業務停止させる」モデルから「データ窃取と恐喝」に軸足を移す傾向が具体的な数字とともに示された。攻撃が暗号化フェーズに到達した件数の増加率は、2023年から2024年にかけて102％だったのに対し、2024年から2025年の成長率は7％にとどまった。代わりに、データ窃取後に機密情報を人質にとる手口が増えていると登壇者は指摘する。この背景として、「EDR」（Endpoint Detection and Response）製品が暗号化の挙動を検知しやすくなったことや、暗号化・復旧よりも窃取データを使った恐喝の方が攻撃者にとって投資対効果（ROI）が高いことが挙げられた。

　ランサムウェア被害を受けやすい企業の地理的特徴や企業規模の偏りについても言及された。登壇者によると、ランサムウェア事案の50％超は米国企業で発生しており、特に年商5000万ドル以下の企業が最も狙われやすいセグメントだ。これは、日本の大企業配下の中堅子会社や地方拠点が、グローバル基準で見ると「中小規模で防御が手薄なターゲット」とみなされる可能性があることを示唆するものだ。本社レベルでの横串のセキュリティ投資が必要であることを裏付ける内容となっている。

　犯罪者側のエコシステムも紹介された。登壇者によると、「インフォスティーラ」（情報窃盗に特化したマルウェア）と、「初期アクセス」を開拓する「初期アクセスブローカー」（Initial Access Broker：IAB）のビジネス化が進んでいるという。インフォスティーラはモジュール構造で、ブラウザの保存パスワード、暗号資産ウォレット、SNSやメールのログイン情報などを一括窃取できる「サイバー犯罪のスイスアーミーナイフ」のような存在になっている。加えて、盗んだ認証情報や端末へのアクセスをまとめて販売する初期アクセスブローカーが、ランサムウェアを含むさまざまな攻撃の起点となっている。

　家庭や小規模オフィスの古いルータが、中国拠点の攻撃者に「踏み台」として悪用されている動きも紹介された。サポート切れの機器が更新されずに放置されると、企業ネットワークとは別の経路から攻撃基盤として使われるリスクがある。登壇者は「家族や小規模オフィスのルータ更新も、広い意味での防御につながる」と呼びかけた。

　防御側の取り組みとして、Microsoftのグローバルなサイバー犯罪対策チームDigital Crimes Unit（DCU）の活動が紹介された。具体的な活動として、Lumma Stealerをサービスとして提供するサイバー犯罪集団が活動に使う不正ドメイン約3200件を2024年3〜5月にかけて押収したことを明らかにした。このほかにも、PhaaS（Phishing as a Service）を提供する組織の活動を停止させる活動に取り組んでいる。「完全な撲滅はできなくても、攻撃者に再構築コストを強いることで被害拡大を抑える」というMicrosoftの方針が示された。

　セッションの最後、登壇者は防御する立場を担う場合に押さえるべきポイントを2つ紹介した。1つ目は、「攻撃の多くは高度な技術ではなく、人の行動を操作するソーシャルエンジニアリングから始まる。そのため、人間の挙動を理解した対策が不可欠であること」。2つ目は、「AIは脅威である一方で、すべての攻撃を不可避にする“魔法の道具”ではない。適切な検知、防御システムを整えればさまざまなAI活用攻撃を事前に止められる可能性があること」だ。2つのポイントは、経営層に対し、「人とAIの両方を前提にしたセキュリティ投資」が今まさに必要であると訴える材料になり得る。