ランサムウェア攻撃が相次ぐ今、100兆件超の兆候を分析したMicrosoftが10のセキュリティ対策を提言：攻撃者の3分の1は比較的単純な手口を用いる

Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。

[＠IT]

　Microsoftは2025年10月16日（米国時間）、サイバーセキュリティ動向に関する年次レポートの最新版「Microsoft Digital Defense Report 2025」を公開した。

　Microsoftは毎年、100兆件を超えるセキュリティシグナルを処理し、約450万件の新たなマルウェア攻撃をブロックし、3800万件のIDリスクを検出／分析し、50億件のメールを対象にマルウェアやフィッシングの有無をスクリーニングしている。

　同レポートはこれらのデータを分析し、サイバー攻撃の脅威動向や洞察をまとめたものだ。

「Microsoft Digital Defense Report 2025」のハイライト

動機が判明しているサイバー攻撃の52％が金銭目的

　動機が判明しているサイバー攻撃のうち、半数以上が恐喝やランサムウェアによるものだった。52％が金銭を狙った攻撃であり、諜報活動のみを目的とした攻撃は4％にとどまっている。

　現在、組織が直面している多くの攻撃は、組織の弱点を突いて金銭を得ようとする悪意のある攻撃者によるものだ。

重要な公共サービスが主要な標的に　現実世界にも深刻な影響

　悪意のある攻撃者は、人々の生活に直接かつ即時の影響を及ぼす可能性のある重要な公共サービスへの攻撃に注力している。特に、ランサムウェア攻撃者は、選択肢が限られている重要な分野を狙う傾向にある。

　病院や地方自治体は機密性の高いデータを保有する一方、セキュリティ予算が限られており、インシデント対応能力が不十分だ。その結果、古いソフトウェアを使用しているケースが多い。病院ではシステムが暗号化されたままでは患者の命に関わる可能性があるため、迅速な復旧が求められ、身代金の支払い以外に選択肢がないケースもある。

　政府機関、病院、研究機関は、違法マーケットで売買されることで収益が生まれる機密データを保有しているため、標的になりやすい状況となっている。

　過去1年間に病院や地方自治体が標的となったサイバー攻撃は、現実世界に深刻な影響をもたらした。緊急医療の遅延、緊急サービスの中断、学校の授業のキャンセル、交通システムの停止などが報告されている。

国家の関与が疑われる攻撃者によるサイバー攻撃が拡大

　地政学的要因により、国家の関与が疑われるサイバー活動は急増している。特に、通信・研究・学術分野への攻撃対象の拡大が顕著となっている。

　Microsoftは主なインサイトとして次の4カ国によるサイバー活動をまとめている。

中国

　各業界にわたってスパイ活動を行い、機密データの窃取を継続している。中国の関与が疑われる攻撃者はNGO（非政府組織）への攻撃を強化しており、秘匿ネットワークやインターネットに接続された脆弱（ぜいじゃく）なデバイスを利用して侵入し、検知を回避している。新たに公開された脆弱性を悪用するまでのスピードも短縮している。

イラン

　中東から北米までスパイ活動が拡大している。最近では、欧州およびペルシャ湾の海運・物流企業を攻撃し、機密データにアクセスした。商業船舶の運航に干渉する能力を準備している可能性がある。

ロシア

　ウクライナを支援する国々の中小企業を標的にしていることを確認している。ロシアのサイバー活動の影響を最も受けているのは全てNATO加盟国であり、2024年比で25％増加している。ロシアの攻撃者は中小企業を足掛かりにして、大規模組織への侵入を図っている可能性がある。

北朝鮮

　数千人の北朝鮮ITエンジニアが世界中の企業にテレワーカーとして就職し、給与を政府に送金している。発覚した場合、一部の技術者はさらなる資金獲得手段として恐喝に転じるケースが見られる。

攻撃者も防御側もAI活用を加速

　悪意のある攻撃者は、フィッシングの自動化、ソーシャルエンジニアリングの拡大、合成メディアの作成、脆弱性の迅速な発見、自己適応型マルウェアの生成などにAI（人工知能）を悪用している。国家の関与が疑われる攻撃者も、AIを悪用する動きを継続させており、過去6カ月間で活動は加速している。

　防御側にとっても、AIは非常に有用なツールとなっている。Microsoftでも、AIを活用して脅威を検出し、検知の抜け漏れを補い、フィッシングの試みを見抜き、脆弱なユーザーを保護している。

攻撃者は侵入しているのではなく、「サインイン」している

　2025年上半期だけでも、ID（アイデンティティー）ベースの攻撃が32％増加している。

　悪意のあるサインイン試行の大半は、大規模なパスワード総当たり攻撃（ブルートフォース）によるものであり、攻撃者は「過去に漏えいした認証情報」や「情報窃取型マルウェア（インフォスティーラー）により盗み出された認証情報」を悪用している。

　こうしたID情報は違法マーケットで流通しており、誰でも簡単にアカウントにアクセスできる状況を生み出している。

組織におけるサイバーセキュリティの取り組み、10の提言

　Microsoftは同レポートを踏まえ、組織におけるサイバーセキュリティの取り組みについて、10の推奨事項を次のようにまとめている。

1. 経営層レベルでサイバーリスクを管理する

　サイバーセキュリティを財務、法務と同等のビジネスリスクとして扱う。企業のCEO（代表取締役社長）や取締役会は、自組織におけるセキュリティ上の弱点を理解する必要がある。

　多要素認証（MFA）の導入率、パッチ適用の遅延（パッチレイテンシ）、インシデント件数、インシデント対応時間といったメトリクス（指標）を追跡し、自組織の潜在的な脆弱性と、サイバーセキュリティインシデント発生時の備えの両方について包括的な理解を深める。

2. ID保護を優先する

　IDが主要な攻撃経路（攻撃ベクトル）であるため、管理者アカウントを含む全てのアカウントで、耐フィッシング性のあるMFAを強制させる。

3. ツールだけでなく、人材にも投資する

　サイバーセキュリティは、IT部門だけでなく組織全体の取り組みとなる。従業員のセキュリティスキルを向上させる方法を見つけ、セキュリティへの貢献度を業績評価の一部とすることを検討する。

　組織の防御力やレジリエンス（回復力）を支える要素として、導入するテクノロジーだけでなく（セキュリティ意識の）文化とインシデントへの即時体制も重要だ。

4. 自社の境界を防御する

　攻撃者の3分の1は、外部に公開されている組織の資産に対して、比較的単純な手口を用いて攻撃を仕掛けている。その際、組織が直接管理するシステムだけではなく、インターネットに面したWeb資産（18％）、リモートサービス（VPNなど）（12％）、サプライチェーン（3％）など、信頼して接続しているベンダーやサプライチェーンも標的にする。

　自社の境界の全範囲を正確に把握し、信頼できるパートナーにのみアクセス権を許可しているかどうかを定期的に監査し、外部に公開されている攻撃対象領域（アタックサーフェス）の脆弱性には全てパッチを適用させることが重要だ。これにより、攻撃者の侵入を格段に困難にできる。

5. 自社の弱点を把握し、侵害に備えた事前計画を立案する

　組織が公開している資産全体の情報と、ビジネスリスクを組み合わせ、将来の侵害に対応するための計画を策定する。取締役会が理解できる言葉でセキュリティ対策とビジネスリスクを結び付ける。侵害は「もしも」ではなく「いつか」の問題であるため、インシデント対応（IR）計画を策定、テスト、実践する。

　これには、業務に対する最も破壊的でコストのかかる脅威の一つであるランサムウェア攻撃の具体的なシナリオを含めるべきだ。システムを隔離したり、認証情報を失効させたりするのに、どれくらいの速さで対応できるのか、確認する必要がある。

6. クラウドアセットを把握し、監視する

　クラウドは今や攻撃者の主要な標的となっている。組織内の全てのクラウドワークロード、API、IDの棚卸し（インベントリの作成）をし、不正な仮想マシン（VM）、設定ミス、不正アクセスを監視する。同時に、アプリケーションのガバナンス、条件付きアクセスポリシー、継続的なトークン監視をプロアクティブに実施する

7. レジリエンスを構築し、訓練する

　侵害がほぼ避けられないものであるなら、レジリエンスとリカバリー（復旧）が鍵となる。バックアップは、テスト済みで、隔離され、復元可能である必要があり、組織はIDシステムとクラウド環境のためのクリーンな（汚染されていない）再構築手順を持つべきだ。

8. インテリジェンス（脅威情報）共有に参加する

　サイバー攻撃からの防御は個人戦ではなく団体戦だ。同業者、業界団体、政府とリアルタイムの脅威データを共有し、受け取ることによって、サイバー攻撃者の目的達成をより困難にさせることができる。

9. 規制の変更に備える

　組織にとって、EU（欧州連合）のサイバーレジリエンス法や米国の重要インフラ指令のような、新たに登場しつつある法律に準拠することが、これまで以上に重要になっている。

　これらの法律は、特定の期間内でのサイバーインシデント報告や、セキュア・バイ・デザインの実践を要件とする可能性がある。これらの規制は、迅速なインシデント報告と、組織のサイバーセキュリティの取り組みに対するより強力な内部監督の重要性を示すものだ。

10. AIと量子コンピューティングのリスク計画を開始する

　最先端技術の動向を常に把握する。組織内でのAI利用のメリットとリスクの両方を理解し、それに応じて、リスク計画、アタックサーフェス、脅威モデルを適切に見直し、調整する。

　耐量子暗号（Post-Quantum Cryptography：PQC）の普及に備えるため、時間をかけて暗号化技術が使用されている場所を棚卸しし、進化するPQCの標準にアップグレードする計画を作成する。

---

　ランサムウェア攻撃の被害に遭った企業や病院が業務停止に追い込まれたケースは日本国内でも報告されている。直近では2025年9月にアサヒグループホールディングスが、2025年10月にアスクルがランサムウェア攻撃の被害に遭ったことを発表した。事業停止により、取引先や消費者にも影響が及んでいることは、日々の報道からも明らかとなっている。

　Microsoftが示すように、サイバー攻撃の被害に遭うのは「もしも」ではなく「いつか起きる」と捉え、10の推奨事項について、できるところから対策に取り組む必要があるのではないだろうか。