急増する「アイデンティティ型攻撃」:企業が直面する新たなサイバーリスクの実態

セキュリティニュース

投稿日時: 更新日時:

急増する「アイデンティティ型攻撃」:企業が直面する新たなサイバーリスクの実態

2025年、サイバー攻撃の主戦場は“システムの脆弱性”から“人の認証情報”へと劇的に変化しています。

eSentire社の脅威調査部門(Threat Response Unit、以下TRU)が発表した最新レポートによると、アイデンティティベースの脅威は過去2年間で156%増加し、2025年第1四半期には全体の59%を占める最大の攻撃手法となっています。

攻撃の本丸は「認証情報」

かつてのサイバー攻撃は、システムやアプリケーションの技術的な脆弱性を狙うものでしたが、今や攻撃者たちは「IDとパスワード」を盗むことで、正規ユーザーになりすまして容易に内部ネットワークへアクセスしています。

しかも、これらの情報はダークウェブ上のサイバー犯罪市場で即座に売買される状況にあります。

サービス化されたサイバー犯罪:「Tycoon2FA」による脅威の民主化

このトレンドを加速させているのが「Phishing-as-a-Service(PhaaS)」と呼ばれる犯罪インフラです。なかでも注目されているのが「Tycoon2FA」というPhaaSプラットフォームで、月額200〜300ドルで高度なフィッシング機能が提供され、MFA(二要素認証)すら回避できる“Adversary-in-the-Middle”技術を備えています。

Tycoon2FAは、Microsoft 365やGmailなどのアカウントのセッションクッキーを盗み出す機能を持ち、通信の中継・暗号化・CAPTCHAのカスタマイズなども実装されています。TRUの観測によれば、2025年のアカウント乗っ取り事例の58%がこのツールに関連しているとのことです。

インフォスティーラー:個人と組織のIDを丸ごと狙うマルウェア

もう一つの主力ツールが「Infostealer(情報窃取型マルウェア)」です。これは単なるパスワード窃取にとどまらず、パスワードマネージャーのデータベースやVPN設定、SSHキー、暗号資産ウォレットまでを狙います。盗まれた情報は**“地下マーケット”で自動的に整理・価格付けされて販売**され、即座に悪用されます。

特に話題となっているのがLumma StealerAcreed Infostealer。前者は2024〜25年にかけて最も多く検出されたマルウェアで、2025年5月には国際的な摘発が行われるも、新興のAcreedがその市場を引き継ぎつつあります。

攻撃は「見えない場所」から侵入する

TRUの分析では、未管理端末・シャドーIT・サードパーティ(MSP)が攻撃者の標的になっていると警告しています。たとえば、VPNの監視がされていない企業では、盗まれた認証情報を使ってネットワークへ侵入→バックアップ削除→ランサムウェア展開という流れが確認されています。

また、MSPのRMM(リモート監視管理)ツールが乗っ取られ、顧客企業に連鎖的な影響を及ぼす「サプライチェーン攻撃」も多発しています。

防衛戦略:ゼロトラストと即応性が鍵

レポートは、以下の対策を推奨しています。

  • FIDO2/WebAuthnなどによるフィッシング耐性MFAの導入

  • ゼロトラスト」モデルの構築(デバイス状態・地理・行動パターンを元にリアルタイム認証)

  • ダークウェブでの認証情報監視と即座のアクション(セッション終了、パスワードリセット)

  • SOCとIAM部門が連携した“即時封じ込め”体制の確立

攻撃から被害までの時間軸が「数時間」単位になっている今、対応スピードが勝負を分けます。レポートでは、検知から1時間以内に封じ込めを完了させる体制構築を目標としています。

参照

https://esentire-dot-com-assets.s3.amazonaws.com/assets/resourcefiles/eSentire_Report_Identity-Centric-Threats.pdf