マイクロソフトの最新「Digital Defense Report 2025」によると、2024年7月〜2025年6月に観測されたサイバー攻撃の過半は恐喝やランサムウェアを目的とし、インシデントの約8割でデータ窃取が確認されました。初期侵入はフィッシングや未パッチの外部資産が中心で、IDを狙う攻撃の97%超がパスワード攻撃。一方で、フィッシング耐性のある多要素認証(MFA)はこうした試行の99%以上を阻止できます。攻撃者がAIと自動化で攻撃の速度と規模を拡大するなか、クラウドとオンプレをまたぐハイブリッド被害も増加しており、企業にはゼロトラストを軸にID・脆弱性・クラウド資産の管理を最優先で再設計することが求められます。
目次
金銭目的が主流、データ窃取が「標準」に
動機が判明した攻撃のうち、過半数は恐喝やランサムウェアなどの金銭目的でした。純粋に諜報だけを狙う攻撃は全体の4%にとどまっています。さらに、インシデント対応の現場では、8割のケースでデータの収集・持ち出しが確認され、情報窃取が攻撃プロセスの標準的な段階になっていることが分かりました。
直近6か月で影響が大きかった国としては、米国(24.8%)、英国(5.6%)などが挙げられ、先進各国に攻撃が集中する傾向が読み取れます。
初期侵入は「よく知られた経路」に集中
対応事例の分析では、初期侵入の主な経路は
フィッシング/ソーシャルエンジニアリング(28%)、
未パッチのWeb資産(18%)、
露出したリモートサービス(12%)でした。
2025年は、ユーザーをフィッシングサイトで操作誘導してマルウェアをダウンロードさせ「ClickFix(クリックフィックス)」型の手口が多用され、既知脆弱性の悪用スピードも一段と速まっています。
IDへの攻撃起点が増加
IDに対する攻撃の97%以上は、パスワードスプレーや総当たりによるものでした。
これに対し、フィッシング耐性を備えた多要素認証(MFA)は、ID侵害リスクを99%以上抑制できることが確認されています。前半期にはID起点の攻撃がさらに32%増加しており、攻撃者がソーシャルエンジニアリングや自動化を組み合わせて規模を拡大させている状況がうかがえます。
また、MFAを導入していても、OAuthの「アプリ同意」悪用やデバイスコード・フィッシング、Key Vaultなどのシークレットを起点に横展開する(キー・ピボット)動きにより、アプリやサービスなどの非人間IDが狙われる場面が増えています。
ID防御は人だけでなくワークロードIDにも広げ、明示的検証・最小権限・侵害前提の設計を徹底する必要があります。
パスワードスプレーの実態:20 ASNに偏在
大規模なパスワードスプレーは、実際には少数のネットワーク群(ASN)に活動が集中しており、全体の0.04%に当たる20 ASNで悪用の8割超を占めました。攻撃者は多数のIPを用いて低速・分散で試行し検知回避を図りますが、防御側もインフラ起点の検知と遮断で十分に対処可能です。
一方、1,220万アカウントを対象にした観測では、MFAの導入により正しい資格情報を使った試行の98.5%が未遂で止められました。これはMFAの効果を示すと同時に、なお多くのアカウントでMFA未導入の余地が残っていることも意味します。
脆弱性悪用は依然として「静かで確実」
ユーザー操作を必要としない脆弱性悪用は、初期侵入の静かで確実な手段として高止まりしています。リモートコード実行(RCE)や認証ロジックの欠陥、設定不備などが狙われ、基盤層に直接踏み込む傾向が目立ちます。対策としては、重大CVEの優先パッチ、管理系インターフェースの分離、侵入後の挙動検知など、多層的な強化が有効です。
ランサムウェア:戦術の移行とハイブリッド化
ランサムウェアは規模や業種を問わず組織を狙い続け、今年は120種の系統が71業種に対して使われました。
被害の約53%が米国内で発生し、売上5,000万ドル以下の中堅・中小企業が約半数を占めています。初期侵入の獲得は従来のフィッシング偏重から、ビッシングやサポート詐欺などで資格情報を奪う手法へシフトし、Teams経由の連絡やQuick Assistの悪用も報告されています。
加えて、クラウド環境に対する破壊的なキャンペーンは前年比で87%増加。オンプレとクラウドをまたぐハイブリッド型の攻撃が4割超に達し、被害の様相は複雑化しています。
攻撃者はAIで加速、防御側もAIで対抗
攻撃側は、脆弱性の探索、フィッシングの自動化、マルウェアやディープフェイクの生成、盗んだデータの分析などにAIを広く活用し、速度と量を引き上げています。一方、防御側もAIによるふるまい検知や大規模信号の相関により、検知ギャップの解消や要注意インフラの早期遮断を進めています。取り組みが進むほど、モデルやプロンプト、ツール権限、学習データといったAI運用の管理が重要になります。
業種別傾向と人材・運用の課題
研究・学術分野は、運用の分散やユーザーの入れ替わり、MFAの徹底不足などから、パスワードスプレーの標的になりやすく、観測全体の52%を占めました。漏えい資格情報の再利用も深刻で、同一ユーザー名が複数の漏えいログに現れる事例が目立ちます。全社的な資格情報管理の徹底が急務です。
実務者のための「10の推奨」
報告書は、経営と現場を貫く10項目の推奨を提示しています。取締役会レベルでのリスク管理、ID防御の最優先、人的投資、外部に露出する資産の把握と防御、侵害を前提にした事前計画、クラウド資産の棚卸しと監視、バックアップと再構築の回復力、脅威情報の共有、制度・規制変化への備え、そしてAIや量子時代を見据えたリスク計画が柱です。
具体的には、
(1)MFAを全アカウント(特に管理者)に強制
(2)Web面・リモート・サプライチェーンなど外向きの露出を洗い出してパッチとアクセス制御を強化
(3)クラウドのワークロード/API/IDを可視化して、アプリのガバナンスとトークン監視を継続することが挙げられます。
経営アクション:測る・備える・訓練する
サイバーはITだけの課題ではなく、経営リスクです。MFAの適用率、パッチの適用遅延、インシデント件数、検知から封じ込めまでの時間などを経営指標として定期レビューし、侵害を前提にした想定訓練(特にランサム対応)と、ID・クラウドの「クリーン再構築手順」の整備を進めておくことが、復旧時間や損害の最小化につながります。
出典
Microsoft Digital Defense Report 2025
関連記事
ロシアがウクライナ軍の新兵へAndroidとWindowsのマルウェアを活用しサイバー攻撃
能動的サイバー防御とは 概要や問題点を専門家が解説
全Webトラフィックの51%がbot。AIが支える「悪性bot」の進化と企業への影響
ランサムウェアの事例 【2025年】
【2025年】サイバー攻撃の事例
2025年 病院・クリニックへのサイバー攻撃やインシデントによる情報漏洩 事例と対策
クラウドフレア、2,050万件のDDoS攻撃を防御 前年比358%増加-2025年第1四半期レポート
複数の太陽光発電システムに深刻な脆弱性、 インバーターの乗っ取りが電力網の不安定化を招く可能性も
サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実
