ニュース

認証情報窃取が84%増、初期侵入の30%が正規認証情報を悪用――IBM調査

  • 藤本 京子

2025年6月4日 06:30

 日本アイ・ビー・エム株式会社(以下、日本IBM)は3日、「IBM X-Force脅威インテリジェンス・インデックス2025」の日本語版を発表し、その調査内容に関する説明会を開催した。同レポートは、IBM X-Forceがグローバルで発生したサイバー脅威の事例や攻撃パターンを分析し、傾向や特徴をまとめたものだ。

 説明にあたった日本IBM コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者の窪田豪史氏はまず、2025年の脅威トレンドとして4点を挙げた。

日本IBM コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者 窪田豪史氏

 1点目は、攻撃者がユーザーの認証情報を大規模に収集し販売していることだ。X-Forceが2024年に対応したインシデントでも、初期侵入経路の30%が正規の認証情報を利用して侵入を試みていたという。

 2点目は、ランサムウェアによるインシデントが減少する一方で、攻撃者は静かに認証情報を盗難し、見えづらい手法を選択するようになっているという点だ。ランサムウェアの減少は、国際的なランサムウェアグループの摘発などが要因だという。

 3点目は、重要インフラの脆弱性がターゲットになっている点だ。2024年にX-Forceが対応した重要インフラ業におけるインシデントの26%が、脆弱性を悪用して侵入したものだったという。ダークウェブで脆弱性情報が取引される実態もあり、それが脅威拡大の一因にもなっていると窪田氏は指摘する。

 4点目は、AIに対する脅威が高まっている点だ。AI自体への攻撃はまだ具体化していないものの、AI導入の増加が攻撃者の関心を高めているため、今後も注意が必要だとしている。

初期侵入経路

インフォスティーラーが急増

 次に窪田氏は、それぞれのトレンドについて深堀りした。まず、認証情報を取り巻く状況として、情報窃取型マルウェアであるインフォスティーラーが昨年比で84%増加しているという。日本国内での感染事例は比較的少なかったものの、「例えばLummaというインフォスティーラーに感染し、ブラウザに保存されていた認証情報が窃取される事例も発生している」と窪田氏は話す。

 また、ダークウェブ上で販売される認証情報のうち、インフォスティーラー由来の情報は12%増加しているという。さらに、AITM(Advisory in the Middle)というフィッシング攻撃では多要素認証の回避も可能で、「認証突破の難易度が大幅に低下している」と窪田氏は警告する。

 インシデント全体の約29%は認証情報の窃取が関与しており、盗まれた認証情報が別の攻撃に再利用されるケースも多いことから、窪田氏は「今後も認証情報が狙われるリスクは高い」としている。

攻撃により組織に生じた影響

ランサムウェア減少の要因は?

 ランサムウェアの減少についてはいくつかの要因が考えられるが、そのひとつとして窪田氏は、「法執行機関による国際的なテイクダウン活動が攻撃グループに大きな圧力を与えている」と語る。

 その一例として窪田氏は、2024年5月のユーロポール(欧州刑事警察機構:European Union Agency for Law Enforcement Cooperation)による「Operation Endgame」にて、ランサムグループの摘発と複数のボットネットインフラの解体が実行されたことを挙げる。「攻撃者が使用していたマルウェアの一部が利用不能となり、新規で短命なマルウェアの利用を余儀なくされている」と窪田氏は述べている。

 また、EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)などのセキュリティ製品やサービスの導入が進み、攻撃者が組織内で長期間活動することが難しくなっていることも要因だという。さらには、ランサムウェア攻撃における経済的収益も縮小しており、日本の企業を含め「身代金を支払わない企業も多く、攻撃者の収益性が低下している」と窪田氏は説明する。

 一方で、攻撃者はランサムウェアから認証情報の窃取へと戦略を移行する傾向にあるという。認証情報を盗む手法は、派手な活動やマルウェア的なファイルを必要としないため検知されにくく、盗まれた情報は販売も可能で、さらなる攻撃にも利用できるため、注意が必要だとしている。

インシデントの半数を占める重要インフラ関連

 2024年は、X-Forceが対応したインシデントの半数が重要インフラに関連しており、そのうち26%が脆弱性を入り口とする攻撃によるものだったという。ダークウェブでは脆弱性に関する攻撃コードが頻繁に言及されており、「特にトップ10に含まれる脆弱性の約60%が、発見から2週間以内に攻撃コードが公開されている状況だ」と窪田氏は指摘する。

 こうした攻撃に対応するため、「組織は先を見越した対策が必要だ」と窪田氏。その一環として、ダークウェブを監視し、自組織に関連する情報が流通していないか確認するよう窪田氏は推奨しており、「こうした監視により、未知のリスクを把握し、管理可能な脅威に変える対策ができる」と述べている。

進化するAIへの脅威

 昨年のレポートでは、「単一のAIテクノロジーが市場シェアの50%に近づく、あるいは市場が3つのテクノロジーに統合される場合、攻撃者がこれらの技術を狙う投資を加速させる」と予測していたが、窪田氏は「現時点でAIはその段階には達していない」と話す。

 ただし、AIの導入はビジネスで急速に進んでいるのも事実だ。こうした中、生成AIを活用したプロジェクトの多くはセキュリティが十分に確保されておらず、「セキュリティが確保されているプロジェクトは全体の24%未満にとどまっている」と窪田氏は指摘する。

 「今後生成AIを安全に活用するには、セキュリティが重要な課題だ」と窪田氏は述べており、「設計段階からセキュリティを組み込み、AIの開発から運用までを保護することで、生成AIへの脅威に適切に対処していく必要がある」としている。