概要
2025年7月、Mandiantによる年次脅威レポート「M-Trends 2025 日本語版」が公開されました。M-Trendsは、サイバーセキュリティの現場で得られた実践的な知見と、進化し続ける攻撃者の戦術・手法に関するインテリジェンスをまとめた年次レポートです。今年のM-Trends 2025は、2024年1月1日から12月31日までにMandiant Consultingが対応した標的型攻撃活動に関するインシデント調査に基づいています。
第16版となる今号では、ランサムウェア、クラウド侵害、国家系スパイ活動、マルウェアの変遷など、2024年に世界各地で観測された重大なインシデントを取り上げ、今後の防御態勢構築に役立つ情報を提供しています。
レポートの内容(抜粋)
Dwell Time(滞留時間)
攻撃者が侵入してから検出されるまでの「滞留時間」の世界全体の中央値は11日で、前年比+1日となりました。特に攻撃者からの通知によって検出されたケースでは5日と短く、一方で外部機関通知は26日と差が見られました。
初期感染ベクトルの変化
最も多かった初期侵入経路は、5年連続で脆弱性の悪用(33%)。続いて認証情報の窃取(16%)、メールフィッシング(14%)、ウェブ侵害(9%)と続きました。認証情報の窃取は前年の10%から増加し、フィッシングを上回る結果となっています。
検出ソースの傾向
検出元としては、外部通知が57%、内部検出が43%と、前年とほぼ同水準を維持。特にランサムウェア関連のインシデントでは、攻撃者からの通知が約半数(49%)を占めました。
ランサムウェアの脅威
全インシデントのうち21%がランサムウェア関連で、最も多く観測されたランサムウェアファミリーは「RANSOMHUB」および「REDBIKE(Akira)」。攻撃者は認証情報の窃取やブルートフォース、脆弱性悪用を通じて侵入を図り、暗号化だけでなくデータ恐喝を目的とするケースが目立ちます。
マルウェアのトレンド
2024年に新たに追跡対象となったマルウェアファミリーは632種類。うちLinux対応の割合が増加傾向にあり、エンタープライズ領域での影響が拡大しています。観測されたマルウェアのカテゴリで最も多かったのは「バックドア」(31%)でした。
クラウド環境における脅威
メールフィッシング(39%)と認証情報窃取(35%)がクラウド侵害の主な入り口。SSOを悪用した権限昇格やクラウド同期ツールを利用したデータ移転など、高度化する手法が報告されています。
国家系アクターの活動
- ロシア支援のAPT44はウクライナなどに対するスパイ活動・妨害行動を継続。
- 北朝鮮のAPT45は金融機関やインフラを狙い、偽装就労によるインサイダー侵入も拡大。
- 中国系クラスタによるゼロデイ悪用、エッジデバイス攻撃が顕著。
MITRE ATT&CKによる分析
最も頻繁に使われた手法は「コマンドとスクリプトのインタープリタ(T1059)」、「データ暗号化(T1486)」、「外部リモートサービスの使用(T1133)」など。特にランサムウェア関連で暗号化が顕著に増えています。
補足コンテンツ
各セクションの概要と重要なポイントに絞ったレポートであるエグゼクティブエディションや、レポートに掲載されているデータやインサイトについてエキスパートが詳しく解説するウェブセミナー動画もご覧いただけます。
