トレンドマイクロ社は、「サイバーリスクレポート2025年版」を公開し、日本国内におけるサイバー脅威の最新動向と、海外のリスク状況についての分析結果を発表した。
レポートによると、国内法人組織におけるランサムウェア被害は過去最多を記録。
個人利用者を狙うネット詐欺も手口が巧妙化・悪質化していることが明らかになったという。
ランサムウェア被害84件で過去最多、サプライチェーンリスクも深刻化
2024年の年間に国内法人が公表したランサムウェア被害は、トレンドマイクロが確認しただけで84件にのぼり、過去最多を更新。
これは2023年の69件から増加しており、2021年の34件と比較すると倍以上の件数となっている。
特に注目されるのは、データサプライチェーンにおけるリスクの増大とされる。
2024年に発生したイセトー社の被害事例では、同社に業務委託していた50以上の組織から150万件ものデータが流出。
この事例は、委託先のセキュリティ侵害が委託元の情報流出に直結するリスクを改めて浮き彫りにしたと指摘している。
実際に、委託先への攻撃による情報流出事案では、流出する情報件数が大幅に増加する傾向が見られる。
2024年下期には情報流出件数が340万件を超え、サイバー攻撃を受けた委託元の数は176組織に達している。
トレンドマイクロ社は、これらランサムウェア被害の多くが、VPNやRDP(リモートデスクトッププロトコル)といったネットワーク上の弱点を突かれたものであると分析。
組織に対し、自組織のネットワークにおける攻撃対象領域(アタックサーフェス)とそこに存在する弱点を把握し、能動的にリスクを最小化する取り組みの必要性を訴えている。
ネット詐欺の手口が悪質化・巧妙化
個人利用者を対象としたネット上の脅威は、依然として「ネット詐欺」が中心という。
2024年の年間における各種詐欺サイトへの誘導件数は約160万件で、全体としては緩やかな減少傾向にあるものの、個々の手口はより悪質かつ巧妙になっているとレポートは警告している。
特にフィッシング詐欺では、都市銀行やネット銀行だけでなく、地方銀行、信託銀行、労働金庫など、中小規模の金融機関を狙うグループも確認されている。
これらの多くは、ワンタイムパスワードなどの追加認証を突破するためのリアルタイムフィッシングを行うものという。
また、地方銀行を偽装したスミッシング(SMSを利用した詐欺)においては、その銀行の地元エリアで使われていた旧NTT地域会社割り当ての電話番号を標的としてSMSを送信する手口も観測された。
これは、特定の地域の利用者が受信する確率を高める狙いがあるとみられている。
対策として、個人が手口を知り警戒することに加え、偽サイトや不審なメッセージ、電話番号を検知して警告・ブロックする技術的対策の重要性が指摘されている。
平均パッチ適用時間は27.5日、組織規模で長期化傾向
トレンドマイクロの「Trend Vision One™」のテレメトリデータ(2024年2月~12月)に基づき、脆弱性が発見されてから修正パッチが適用されるまでの平均時間(MTTP:Mean Time To Patch)も分析されている。
日本の組織におけるMTTPは平均27.5日で、地域別比較ではヨーロッパ地域(23.5日)に次いで2番目に速い結果だという。
一方で、組織の規模が大きくなるほどMTTPは長くなる傾向が見られ、社員数1万名以上の大企業では平均41.3日と、脆弱性が長期間放置される傾向が示された。
業界別では、非営利団体(19.0日)やサービス業(19.7日)が比較的迅速に対応しているのに対し、ヘルスケア業界は41.5日と最も時間がかかっており、脆弱性対策に課題があることが示唆されている。
レポートは、日々発見される全ての脆弱性に迅速に対応することは困難であるとし、自社環境への影響度を評価し、ビジネスクリティカルな資産に関わる脆弱性を優先的に修正する戦略と、継続的なリスク評価・緩和を行うプロアクティブなアプローチの重要性を強調している。
