情報セキュリティ白書2025は、国内外の情勢を踏まえて2024年度の主要なインシデントと政策動向を総括している。序文では、サイバー空間を巡る脅威が年々「質・量ともに増大」しており、2024年もランサムウェア攻撃、標的型攻撃、DDoS攻撃など様々な攻撃が国内外で発生したことが指摘される。さらに、取引先や委託先などサプライチェーンの脆弱性や生成AIを悪用した攻撃など、手口の高度化・巧妙化も強調されている。本稿では、白書が挙げる本質的な脅威とその傾向、実際の事例を概観し、読者の皆様が2025年以降の対策を検討する際の基盤を提供する。
ランサムウェア攻撃の高度化と多重恐喝
白書は、ランサムウェアを「ransom(身代金)」と「software(ソフトウェア)」を組み合わせた造語として定義し、システムをロックしたりファイルを暗号化して身代金を要求するサイバー攻撃を総称して「ランサムウェア攻撃」と呼ぶ。従来の攻撃はメール添付やリンクを用いたばらまき型が主流であったが、近年は侵入型攻撃に変化し、攻撃者が被害組織のネットワークに密かに侵入した後、侵害範囲を拡大し大量のデータを暗号化するという手口に進化している。侵入型攻撃では「二重恐喝」や「三重恐喝」が一般的となり、暗号化前に窃取したデータの公開をちらつかせるなどして身代金を引き上げる。最近ではデータの暗号化を伴わずに窃取・脅迫を行う「ノーウェアランサム」も確認されており、警察庁はデータ窃取と対価要求を行う手口をそう呼称している。
ランサムウェア攻撃の報告件数は高止まりしている。警察庁資料によれば、2024年の企業・団体等における被害報告件数は上半期114件、下半期108件と、2022年上期以降高い水準が続いている。また、ノーウェアランサムの報告件数も2024年上半期14件、下期8件と継続的に発生している。被害増加の要因として、ランサムウェアをサービスとして提供する「RaaS(Ransomware as a Service)」というビジネスモデルが確立し、攻撃者の組織化と分業化が進んでいることが挙げられる。ランサムウェアの開発者や認証情報を売買する業者が攻撃者にツールを提供し、技術力が乏しくても攻撃を実行できる環境が整っている。
侵入経路としては、VPN機器やリモートデスクトップからの侵入が全体の約86%を占め、インターネットから直接アクセスできる箇所が狙われやすい。暗号化しないノーウェアランサムは、被害が表面化しにくいため被害組織が秘密裏に身代金を支払うリスクが高いとされる。さらに、標的型攻撃グループがランサムウェアを利用する事例も報告され、資金調達や証拠隠滅など多様な目的が指摘されている。
実際の被害事例
2024年6月、総合エンターテインメント企業KADOKAWAの子会社ドワンゴなどがランサムウェア攻撃を受け、「ニコニコ動画」を含む主要サービスが全面停止した。調査結果によると、従業員や在校生など25万超の個人情報が漏えいし、一部取引先の契約書など機微な情報も流出した。攻撃グループ「BlackSuit」は1.5TBのデータを窃取したと主張し、ダークウェブ上でデータの一部を公開して身代金を要求する二重恐喝を行った。同社は被害後、IDサービスの復旧に約6ヵ月を要し、利用者への返金対応など事後対応に追われた。また、印刷大手イセトーは5月26日にランサムウェア攻撃を受け、複数サーバーが暗号化されたうえ7月にはリークサイトに情報が公開されるなど、情報窃取と二次被害が発生した。これらの事例は、サプライチェーン企業への攻撃が最終的に多数の顧客や取引先に影響することを示している。
標的型攻撃とAPTの脅威
白書では、「標的型攻撃」という用語には明確な定義がないものの、特定の企業や組織を標的に機密情報の窃取やシステム破壊を目的として行われる攻撃と説明する。侵入の手口としては、スピアフィッシングなど特定の人物に送る攻撃メールのほか、VPN機器やWebサーバーの脆弱性を悪用してネットワーク境界を突破する「ネットワーク貫通型攻撃」が挙げられる。侵入後は、マルウェアのインストールや遠隔操作、水平展開による侵害範囲拡大を経て目的の情報を窃取する。中国の国家支援型グループ「Volt Typhoon」のように、侵入後に正規ツールを悪用するLiving Off the Land(LOTL)戦術で長期潜伏する攻撃者も存在し、調査が困難になる。
国家支援型APT攻撃は、標的に合わせて改変したマルウェアを使い長期間潜伏するなど、持続的かつ高度な手法が特徴である。2024年度には、国内の学術機関やシンクタンク、メディア関係者を狙った攻撃キャンペーン「MirrorFace」が報告され、スピアフィッシングメールを用いて感染させ、LOTL戦術で証跡を残さず情報を窃取する手口が確認された。こうした攻撃は情報漏えいにとどまらず、組織の信頼や国家安全保障にも影響を与える。
DDoS攻撃とIoTボットネットの拡大
分散型サービス拒否(DDoS)攻撃も脅威の一つである。最近は攻撃停止と引き換えに金銭を要求する「ランサムDDoS」が増加し、とあるサービスプロバイダーの調査では標的となったユーザーの12%が脅迫を受けたと報告され、前四半期比78%増の急増が指摘されている。白書は2024年末から2025年初頭にかけて国内で発生した主なDDoS攻撃事例を紹介している。日本航空では航空券販売やサービスが停止し、三菱UFJ銀行やりそな銀行など複数の金融機関、NTTドコモや日本気象協会などの通信・サービス事業者でもオンラインサービスが利用しづらい事象が相次いだ。
これらの攻撃の背後にはIoT機器を悪用したボットネットが存在する。トレンドマイクロ社はMiraiやBashliteに由来するマルウェアによる大規模ボットネットを観測し、日本を含む世界各地にDDoS攻撃を仕掛けていたと報告した。ボットネットによるDDoS攻撃では、感染したコンピューターや家庭用ルーター、ネットワークカメラなどのIoT機器がC&Cサーバーからの指令で一斉にパケットを送信し、標的のサーバーやネットワークに過負荷を与える。特に初期設定のままの推測されやすいパスワードや脆弱な設定のIoT機器が多く、攻撃基盤として悪用されやすいことが課題である。
サプライチェーン攻撃と情報システムの脆弱性
序文で指摘されているように、攻撃者は取引先や委託先などサプライチェーン上のセキュリティ対策が不十分な部分を入口にして侵入し、複雑なソフトウェアのサプライチェーンの脆弱性を狙う手口が増えている。海外拠点や子会社を足掛かりに本社ネットワークに侵入する事例も確認され、サプライチェーン全体への影響が懸念される。また、情報システムの脆弱性を悪用した攻撃や脆弱性公開後の早期悪用なども問題となっており、特にソフトウェアのサプライチェーン管理(SBOM)や委託先へのセキュリティ要求の強化が重要だ。
AIセーフティと偽・誤情報の脅威
第2章ではAIセーフティと偽・誤情報が新たな注目事象として取り上げられている。生成AIは急速に発展し、ソフトウェア開発やオフィス業務など多様な分野に活用される一方で、リスクや攻撃の温床にもなっている。生成AIを悪用したフェイクコンテンツやフィッシングメールの自動生成は、サイバー攻撃の効率化と社会的な混乱を招く恐れがある。偽・誤情報は社会的混乱や企業のブランド毀損につながるため、情報の出所確認やメディアリテラシーの向上が求められる。白書はAIセーフティに関する国内外の政策や技術的取り組みも紹介しており、今後はAI安全性の評価・規制が重要になる。
エバンジェリストとしての広報ポイント
混在した読者層へ伝える際は、専門的な用語をかみ砕き、最新の脅威動向と実例を示すことが効果的である。ランサムウェアの多重恐喝やRaaSの存在、標的型攻撃の手口とAPTの特徴、DDoS攻撃がもたらす社会的影響、サプライチェーン攻撃の波及効果、生成AIと偽情報のリスクなどを具体的に説明しよう。また、対策として以下の点を強調したい。
- セキュア・バイ・デザインと能動防御
- 白書は設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」や能動的なサイバー防御体制の整備を政策面で推進している。企業は製品開発やシステム導入時に脅威モデルを検討し、更新管理や監査を徹底する必要がある。
- ゼロトラストと多層防御
- 侵入型ランサムウェアやネットワーク貫通型攻撃に対抗するには、ネットワーク境界を前提としないゼロトラストモデルを採用し、多層的なアクセス制御と監視を実装することが重要だ。
- サプライチェーン管理の徹底
- 委託先や海外拠点のセキュリティを含めたサプライチェーン全体の管理が求められる。SBOMの整備や定期的なリスク評価を実施し、契約時にセキュリティ要件を明確化する。
- 従業員教育とインシデント対応訓練
- スピアフィッシングやマルウェア感染を防ぐには従業員の意識向上が欠かせない。定期的な教育と模擬訓練により、攻撃検知・報告・対応の速度を高めよう。
- AIと情報リテラシーの強化
- 生成AIの利活用とリスクを理解し、偽・誤情報の見極め方を学ぶことが必要だ。AIセーフティに関する国内外の最新動向をフォローし、組織としてのガイドラインを整備しよう。
本稿では白書の冒頭に示される主要な脅威を概観した。次回以降の記事では、各分野の詳しい分析や政策動向、対策の詳細を取り上げる予定である。サイバーセキュリティは一部の専門家だけでなくすべての人々が関与すべき課題であり、適切な知識共有と実践が社会全体の安全につながる。
