2025年、サイバー攻撃の主戦場は“システムの脆弱性”から“人の認証情報”へと劇的に変化しています。
eSentire社の脅威調査部門(Threat Response Unit、以下TRU)が発表した最新レポートによると、アイデンティティベースの脅威は過去2年間で156%増加し、2025年第1四半期には全体の59%を占める最大の攻撃手法となっています。
目次
攻撃の本丸は「認証情報」
かつてのサイバー攻撃は、システムやアプリケーションの技術的な脆弱性を狙うものでしたが、今や攻撃者たちは「IDとパスワード」を盗むことで、正規ユーザーになりすまして容易に内部ネットワークへアクセスしています。
しかも、これらの情報はダークウェブ上のサイバー犯罪市場で即座に売買される状況にあります。
サービス化されたサイバー犯罪:「Tycoon2FA」による脅威の民主化
このトレンドを加速させているのが「Phishing-as-a-Service(PhaaS)」と呼ばれる犯罪インフラです。なかでも注目されているのが「Tycoon2FA」というPhaaSプラットフォームで、月額200〜300ドルで高度なフィッシング機能が提供され、MFA(二要素認証)すら回避できる“Adversary-in-the-Middle”技術を備えています。
Tycoon2FAは、Microsoft 365やGmailなどのアカウントのセッションクッキーを盗み出す機能を持ち、通信の中継・暗号化・CAPTCHAのカスタマイズなども実装されています。TRUの観測によれば、2025年のアカウント乗っ取り事例の58%がこのツールに関連しているとのことです。
インフォスティーラー:個人と組織のIDを丸ごと狙うマルウェア
もう一つの主力ツールが「Infostealer(情報窃取型マルウェア)」です。これは単なるパスワード窃取にとどまらず、パスワードマネージャーのデータベースやVPN設定、SSHキー、暗号資産ウォレットまでを狙います。盗まれた情報は**“地下マーケット”で自動的に整理・価格付けされて販売**され、即座に悪用されます。
特に話題となっているのがLumma StealerとAcreed Infostealer。前者は2024〜25年にかけて最も多く検出されたマルウェアで、2025年5月には国際的な摘発が行われるも、新興のAcreedがその市場を引き継ぎつつあります。
攻撃は「見えない場所」から侵入する
TRUの分析では、未管理端末・シャドーIT・サードパーティ(MSP)が攻撃者の標的になっていると警告しています。たとえば、VPNの監視がされていない企業では、盗まれた認証情報を使ってネットワークへ侵入→バックアップ削除→ランサムウェア展開という流れが確認されています。
また、MSPのRMM(リモート監視管理)ツールが乗っ取られ、顧客企業に連鎖的な影響を及ぼす「サプライチェーン攻撃」も多発しています。
防衛戦略:ゼロトラストと即応性が鍵
レポートは、以下の対策を推奨しています。
-
FIDO2/WebAuthnなどによるフィッシング耐性MFAの導入
-
「ゼロトラスト」モデルの構築(デバイス状態・地理・行動パターンを元にリアルタイム認証)
-
ダークウェブでの認証情報監視と即座のアクション(セッション終了、パスワードリセット)
-
SOCとIAM部門が連携した“即時封じ込め”体制の確立
攻撃から被害までの時間軸が「数時間」単位になっている今、対応スピードが勝負を分けます。レポートでは、検知から1時間以内に封じ込めを完了させる体制構築を目標としています。
参照








