サイト内の現在位置を表示しています。

NECスレットランドスケープ 2024 ~サイバー脅威の振り返り、2025年予測~

サイバーインテリジェンス

2025年1月31日

企業や組織のサイバーセキュリティ対策強化のためには、影響が大きい脅威を正確に把握し、適切にリソースを配分することが不可欠です。しかし、増大する脅威の前に対策強化の優先度付けが難しい現状では、自組織に関連するサイバー脅威の情勢を「スレットランドスケープ」(組織を取り巻くサイバー脅威の全体像)として把握することが、効果的なリスク理解と対策への近道となります。
NECでは、NECグループに関わるサイバー脅威の概況を「スレットランドスケープ」として毎年社内に展開し、社員のセキュリティアウェアネス向上やお客様に提供する製品・システム・サービスのセキュリティ実装に役立てています。
2024年を振り返り、AIを悪用した攻撃や窃取した正規アカウントによる侵入、勢いの衰えないランサムウェア被害、偽情報・情報操作など、NECのサイバーインテリジェンスアナリストの視点でまとめた「NEC スレットランドスケープ 2024 ~サイバー脅威の振り返り、2025年予測~」を公開いたします。本レポートを活用し、効率的な対策検討にお役立てください。

目次

2024年サイバー脅威の振り返り

2024年はサイバー攻撃やその対策の傾向に変化が見える年となりました。AIを使用したマルウェア作成と配布による逮捕者[1]、AIで作成した偽装プロフィールで北朝鮮IT労働者がセキュリティ企業に雇用されるなど[2]、AIと既存技術の組み合わせによる攻撃は2023年よりもさらに具体的なものとなっています。また、ゼロデイ脆弱性の悪用や該当製品を持つ企業数の増加[3]、ここ数年7割近い数字を維持してきた国内ランサムウェア侵入口のVPN割合が半数を下回りRDPと並ぶなど[4]、単純にVPNを守ればよいという訳でもなくなってしまいました。インフォスティーラーを使用した攻撃が大規模な情報漏洩事件に繋がった事例など[5]、アカウント管理と窃取のコストバランスが大きく攻撃者有利となっています。
一方、国際共同捜査によって違法なDDoS攻撃サービスを押収して各国でその利用者情報を共有する[6]、司法から許可を得た企業が攻撃に使用されたドメインを差し押さえるなど[7]、防御側の関係者が連携した対策も着実に成果を上げつつあります。
ただ、攻撃は組織を狙ったものだけではありません。クレジットカード不正利用[8]やサポート詐欺[9]、豚の屠殺場詐欺[10]など、防御の弱い個人を狙った犯罪もなかなか減少していない状況です。企業向けのセキュリティ保険拡充など、組織へのサポートは年々充実していますが、そこからこぼれた個人をどう守るかの課題が浮き彫りになっているように思われます。

ここからは、NECのサイバーインテリジェンスアナリストの視点で、より影響が大きいと思われる脅威や動向を、ピックアップして解説していきます。

正規のアカウントを使用した侵入

IPAが公開した「情報セキュリティ10大脅威 2024」[1]では「組織」向けの脅威の10位に「犯罪のビジネス化(アンダーグラウンドサービス)」が挙げられていますが、別項で挙げている「ランサムウェア」をサービスとして提供する「RaaS(ランサムウェア・アズ・ア・サービス)」のほか、RaaS利用者が攻撃対象とする組織へのアクセス手段を販売する「IAB(イニシャルアクセスブローカー)」という犯罪者ビジネスもあり、これらを合わせて利用することでサイバー攻撃者は攻撃を容易に行うことができます[2]。IABが販売する組織へのアクセス手段はフィッシングなどにより収集した「正規のアカウント」であることも多く、正規のアカウントを利用すればたとえシステムに脆弱性がなくとも攻撃者はシステムに侵入することが可能です[3]。また正規のアカウントによる不正アクセスを防ぐには多要素認証が有効な手段となりますが、中間者攻撃により多要素認証後のトークンを奪い、それを利用して多要素認証を回避してシステムにアクセスされる場合もあるため[4]、多要素認証を設定したから大丈夫だとは必ずしも言えないことには注意が必要です。

ランサムウェア

2024年もランサムウェアによる脅威は国内外で継続しました。国内では特にドワンゴ社への攻撃事例[1]にて数か月間サービスが停止する等、ランサムウェア攻撃の脅威が改めて世間に広く認知されることとなりました。「Lockbit」ランサムウェアグループ関係者の摘発やインフラストラクチャのテイクダウン[2]が国際法執行機関により2024年は積極的に行われましたが、「RansomHub」をはじめとした新興勢力が代わりに猛威を振るっています。攻撃者の摘発規模は広がりつつありますが、これまでと同じくいたちごっこの状態にあるといってよいでしょう。

偽情報・情報操作

日本においては、災害時(例:令和6年能登半島地震)における偽情報の流布が確認されました[1]。また、選挙イヤーであった2024年は、特にアメリカの選挙での偽情報や情報操作が懸念されていました。実際に、ロシアやイランから発せられたものが確認されています[2]。アメリカ以外の選挙では、政府関与は不明ではあるもののロシア語圏の攻撃者が行うモルドバの選挙等に関する偽情報キャンペーンも報告されています[3]。これまでにもロシアは影響力工作「Doppelgänger」作戦を行っており、2024年も欧米を対象に報告されました[4]。選挙や災害以外では、韓国の戒厳令関連時での流布[5]が確認されており、情勢が不安定であると拡散されやすい傾向は変わっていません。生成AIについては、各社が偽情報の拡散を懸念してコンテンツ監視に関するポリシーを報告しました[6,7,8,9]。選挙等の政治的な場面で多大な影響を与えるレベルの悪用はまだ確認されていませんが、今後偽情報の流布に使用される懸念は依然としてあるため注視が必要です。

法整備

各国でサイバーセキュリティの特にAIやプライバシーに関する法整備が進んでいます。欧州連合(EU)ではEUデータ法[1]やAI規制法[2]が発効し、米国では商務省産業安全保障局(BIS)によるAI開発者やクラウドプロバイダーに米政府へのサイバーセキュリティーに関する報告義務を課す規則案[3]の公示、米国版GDPRといわれるプライバシー権法 (APRA)[4]の議会再提出が行われました。日本でも改正個人情報保護法[5]の施行により漏えいによる報告義務の対象が拡大されました。中国では2025年から施行されるネットワークデータセキュリティ管理規定[6]が公布されました。

さかんに議論されているアクティブサイバーディフェンス(ACD)はサイバー攻撃に対する能動的な防御戦略であり、攻撃に対する緊密な監視や無力化を含みます。早期対処による被害抑制がメリットですが、法的リスクも存在します。諸外国のみならず日本でもサイバー安全保障分野での対応能力の向上に向けた提言[7]が発出されるなど議論が進んでいます。

生成AIの悪用・活用リスク

2024年、AIはその存在感をさらに大きくしました。日本では、生成AIを悪用しランサムウェアを作成した男性が逮捕される事件[1]があり、日本で初めての事例となりました。世界では、ディープフェイクを悪用した詐欺事件や偽情報・フェイクニュースの流布が発生しています[2]。なお、中国やロシアなどの攻撃者は、昨年から生成AIの悪用を始めており、ディープフェイクによる影響力工作を続けています[3]。

日本企業の生成AI導入率は約17%と低く、AI運用の人材やノウハウ不足が懸念されています[4]。これに伴い、生成AIの利用を許可していない企業の従業員が、隠れて生成AIを利用するシャドーAIが問題となっています[5]。シャドーAIは情報漏えいにつながる恐れがあるため、組織として、生成AIの管理体制を整備することが重要です。

2025年の脅威予測

これらをふまえて2025年に注目すべき重要なサイバー脅威予測をいくつか紹介します。

サイバー攻撃の成功確率を高めるための手間を惜しまない

多要素認証が徐々に普及しつつある[1]もクレデンシャルスタッフィング攻撃[2]が脅威として継続、IABの存在[3]により攻撃面で脅威にさらされています。一方、戦果の面に目を向けると、サイバー犯罪目的であれ、経済利得であれ手間をかけてでも攻撃の成功確率を高めてくる工夫をしてくるでしょう。標的組織の文脈に合わせたビデオ通話による詐欺[4]、決裁者に対する直接の身代金の要求[5]、攻撃の痕跡を残さない姿勢[6]などからその様子をうかがうことができます。

創造性をもって業務プロセスの中に自然な形で入り込む

正規サービスの通知メールでマルウェア配布[1]のきっかけとしたり、MFAを突破するPhaaS(Phishing as a Service)を展開したり[2]と、創造性をもって検知を回避したり防御網をすり抜けようとしてきています。特に、正規のクラウドサービスの評判を悪用する戦術であり、信頼できる有名なウェブサイトを悪用したLOTS(Living off Trusted Sites)[3]は新しい手法ではないがあまりコストがかからず効果的なことから2025年も続くでしょう。

生成AIを悪用した攻撃の底上げが進み、AIエージェントによる効率を高める工夫も

生成AIの進化が早く[1]性能の向上が頻繁に行われている状況です。一方、生成AI悪用の実態は目に見える形では一部しか明らかになっていませんが[2]、着々と進んでいると考えるのが自然でしょう。2025年はそのような悪用の戦果を刈り取る時期にくることが予想されます。さらに、時代は生成AIからAIエージェントへ向かっており[3]、サイバー犯罪グループにおいてもAIエージェントへの投資や、悪用や不正を視野に入れたAIaaS(AI as a Service)が登場する日も遠くないかもしれません。

攻撃者サイドの活動や主張を検証・追及し、信頼を低下させる

データ流出が過去の攻撃の複製であったり[1]、公開情報を盗んだ情報と主張していたり[2]、実際にはデータを窃取していない状態で脅迫するということが起こっています。イギリスの国家犯罪庁(NCA)等がリークサイトを掌握し活動を妨害する作戦が実行され、犯罪グループの活動状況が公開されました[3]。ランサムウェア攻撃グループのブランドを破壊し、活動の信頼を低下させることが弱体化につながっていくでしょう。

さいごに

サイバー脅威の情勢は、その時々の状況に合わせて攻撃者サイドも手法や活動領域を新たに 適用させている姿勢が反映されています。
セキュア開発や脆弱性管理、フィッシングの手口を知るなど基本的な対策ができていないことから、被害を受けているケースも依然としてある状況です。まずは世の中でどのようなサイバー攻撃が観測されているのか、その全体像を把握出来ていないと、細かい手法に都度着目しても安定した対策は実施できません。新たな脅威にも目を向けつつも、二要素認証のような基本的な対策を着実に進めることが大切です。また、セキュリティ対策の議論をセキュリティ業界だけに閉じるのではなく、セキュリティ業界外との連携を進めることがますます必要となって くるでしょう。

「NEC スレットランドスケープ 2024」に関するアンケート

「NEC スレットランドスケープ 2024」をご覧いただきありがとうございます。
本レポートに関するご意見・ご感想やサイバーインテリジェンスに関する状況などについてお聞かせください。
今後のサイバーインテリジェンス活動の参考にさせていただきます。

(個人情報の入力は不要です)

この記事を執筆したアナリスト

代表執筆者

郡 義弘(Kori Yoshihiro)
専門分野:脅威インテリジェンス、PSIRT

社内外への脅威インテリジェンス提供や普及活動に従事。脆弱性ハンドリングや社内の脆弱性対策に関与するPSIRT活動にも携わり、セキュア開発の推進も行っている。CISSP、GIAC(GCTI)、情報処理安全確保支援士(RISS)を保持。

執筆者一覧

  • 角丸 貴洋(Kakumaru Takahiro)
  • 勝瀬 陸(Katsuse Riku)
  • 川北 将(Kawakita Masaru)
  • 郡司 啓(Gunji Satoshi)
  • 藤 聡子(To Akiko)
  • 前田 大輔(Maeda Daisuke)