IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
サイバー攻撃とは、コンピューター ネットワーク、コンピューター システム、またはデジタル・デバイスに不正にアクセスしようとする意図的な試みです。目的は、データ、アプリケーション、その他の資産を盗み、公開し、変更し、無効化し、破壊することです。
今日の脅威アクターは、単独のハッカーや組織化されたサイバー犯罪者から、長期にわたるサイバー戦争に従事する国家支援のグループまで多岐にわたります。彼らの施策は、マルウェア攻撃、ソーシャル・エンジニアリング詐欺、ゼロデイ・エクスプロイト、自己複製ワームなど、ますます多岐にわたります。
攻撃者は、パッチが適用されていないアプリケーションから誤って構成されたクラウド・サービスまで、あらゆる種類の脆弱性をエクスプロイトして、ターゲット システムを侵害し、その機能を妨害します。これらの脅威を軽減するために、組織はサイバー攻撃が大混乱を引き起こす前に防止、検知、対応できるようにするための多層防御を必要としています。
IBMニュースレター
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
サイバー攻撃は孤立して発生するものではありません。テクノロジー、人、動機が交差する場所を攻撃します。その結果は、一時的な機能停止やファイルの盗難をはるかに超えるものとなります。IBMの2025年データ侵害のコストに関する調査では、漏洩の世界平均コストは444万米ドルと見積もられています。この数字には、検知、インシデント対応、ダウンタイム、収益損失、永続的なブランドダメージなどが含まれます。1
いくつかの事件ははるかに高額な損害をもたらした。2024年3月には、1件のランサムウェア攻撃で被害者1人が7500万米ドルを支払った。一方、ビジネスEメール詐欺(BEC)による被害は、2024年だけで21,442件発生し、組織から27億7,000万米ドルの損失をもたらしました。2アナリストは、サイバー犯罪による世界の年間コストが2024年の約9.2兆米ドルから2028年には約13.8兆米ドルに増加すると予測しています。
サイバー攻撃の重要性を完全に把握するには、次の3つの側面から攻撃を調べることが重要です。
サイバー攻撃は、外部および内部の両方の幅広い悪意のある攻撃者によって引き起こされます。
外部の攻撃者は大きく異なります。組織化されたサイバー犯罪者グループは、ランサムウェア攻撃やダークウェブでの盗んだデータの販売を通じて利益を得ようとする可能性があります。中には、侵害されたシステムへのアクセスを専門とするプロのハッカーもいます。
国家レベルでは、国家支援のアクターがライバルな官公庁・自治体や企業に対してサイバー戦争やスパイ活動の長期的なキャンペーンを実施します。また、直接的な金銭的利益ではなく、政治的または社会的目的に注目を集めるためにシステムに侵入するハクティビストもいます。
内部脅威は、異なるものの同様に深刻なリスクをもたらします。不満を持った従業員は、復讐のために機密データを故意に持ち出したり、システムを破壊したりする可能性があります。また、顧客データを安全でないドライブに保存するユーザーは、敵対者が悪用するのと同じ脆弱性を意図せずに作成してしまう可能性があります。インサイダーが意図的に許可アクセスを悪用した場合にのみ、それが真のサイバー攻撃としてみなされますが、過失でも外部の敵対者への足がかりになる可能性があります。
攻撃者がシステムに侵入するのは、知的財産であれ個人データであれ、すべての資産に明確な価値があるからです。一般的なターゲットには以下が含まれます。
金融資産:直接的な盗難や転売を可能にする銀行口座、決済システム、暗号通貨ウォレット、クレジットカード番号、ログイン認証情報などが含まれます。
データと知的財産:顧客データ、製品設計、独自の研究、個人情報の盗難やダークウェブでの再販のための個人識別情報(PII)が含まれます。
クリティカルなインフラストラクチャーと官公庁・自治体システム:エネルギー・グリッド、医療システム、官公庁・自治体機関にまたがり、重要な情報システムや公共サービスを混乱させています。
一部のキャンペーンは、データを盗むのではなく、機能を機能化させることを目的としています。例えば、最近の分散型サービス妨害(DDoS)攻撃では、約35秒間、11.5テラビット/秒(Tbps)のトラフィックでターゲットを圧倒しました。。ある研究者は、「これは、わずか45秒で9,350本以上のフルサイズのHD映画をネットワークに大量に送り込むのに相当します」と述べています。
おそらく答えが最も難しい質問は、攻撃者がなぜ攻撃を仕掛けるのかという点です。動機は利益から政治、個人的な不満まで多岐にわたり、単一の侵害にはこうした力が複数関与する可能性があります。しかし、ほとんどの活動は、犯罪的、政治的、個人的な3つの大きなクラスターの要因を中心に据えています。
サイバー犯罪者は、多くの高度なツールや技術を使用してシステムを侵害します。施策は常に進化していますが、広範なサイバー脅威、高度なサイバー脅威、新たなサイバー脅威という3つの大きな層にグループ化できます。
これらの手法はサイバー犯罪の中核です。これらは業種・業務に拡張され、人間の弱点をエクスプロイトし、参考情報を必要とすることはほとんどありません。これらは非常に一般的であり、非常に効果的であるため、ほとんどのサイバーセキュリティー・インシデントのバックボーンを形成しています。
マルウェアは、感染したシステムを動作不能にする可能性のある悪意のあるソフトウェアです。マルウェアは、データを破壊したり、情報を盗んだり、オペレーティング・システムの実行機能に重要なファイルを消去したりする可能性があります。一般的なマルウェアには次のようなものがあります。
トロイの木馬:正規のプログラムを装い、ユーザーを騙してインストールさせる攻撃。リモートアクセス型トロイの木馬(RAT)は被害者のデバイスに秘密のバックドアを開き、ドロッパー型トロイの木馬は足場を築いた後に追加のマルウェアをインストールします。
ランサムウェア:強力な暗号化を使用して、身代金が支払われるまでデータまたはシステムを人質にします。
スケアウェア:偽の警告を大量に送りつけ、ダウンロードや機密情報の引き渡しを促します。
スパイウェア:ユーザー名、パスワード、クレジット・カード番号を秘密裏に収集し、攻撃者に送り返す。
ルートキット:オペレーティング・システムの管理者レベルの制御を、隠れた状態で許可します。
自己複製するワーム:アプリケーションとデバイス間で自動的に拡散します。
ソーシャル・エンジニアリング攻撃は、技術的な欠陥ではなく人間の信頼をエクスプロイトし、人々に情報を開示させたり、マルウェアをインストールさせたりします。最も一般的な例はフィッシングです。これは、Eメール、テキスト、またはソーシャル・メディア・メッセージが正当な要求を模倣し、被害者を悪意のあるリンクをクリックさせたり、感染した添付ファイルを開いたりするように被害者を誘導するフィッシングです。
より標的を絞った亜種としては、公開ソーシャル・プロフィールの詳細を使用して特定の個人を攻撃対象とするスピア・フィッシングがあります。ホエール・フィッシングは上級管理職を狙ったもので、BEC詐欺はCEOなどの信頼できる個人になりすまし、従業員を騙して送金させたり機密データを共有させたりします。
DoS攻撃と分散型サービス妨害(DDoS)攻撃は、正当な要求に応答できなくなるまで、不正なトラフィックでシステムの参考情報を圧迫します。DoS攻撃は単一のソースから発生しますが、DDoS攻撃は複数のソース(多くの場合、マルウェアに感染したノートPC、スマートフォン、IoT(モノのインターネット)デバイスのボットネット)を使用します。
アカウント侵害攻撃では、犯罪者が正規のユーザーの認証情報を乗っ取り、悪意のある活動を実行します。攻撃者は、パスワードをフィッシングしたり、ダークウェブで盗まれたデータベースを購入したり、自動化されたブルートフォース攻撃を仕掛けて、有効なパスワードが見つかるまで繰り返しパスワードを推測したりする可能性があります。
MITM攻撃は盗聴攻撃とも呼ばれ、多くの場合は安全でない公共のWi-Fiを介して、ハッカーが2者間の通信を密かに傍受するときに発生します。攻撃者は受信者に到達する前にメッセージを読んだり、変更したりすることができます。例えば、セッション・ハイジャックの亜種では、侵入者が自分の所在地を被害者の所在地と交換し、サーバーをだまして保護された参考情報への完全なアクセスを許可させます。
より多くの忍耐強い敵対者は、スキル、ステルス、忍耐力を活かしてキャンペーンを実行します。こうした施策は、秘密裏の人間オペレーターからチャットボット群まで、複数の攻撃ベクトルを組み合わせることも多く、数カ月にわたって展開される可能性があるため、早期検知が不可欠です。
攻撃者は、ソフトウェア・ベンダー、材料サプライヤー、またはその他のサービス・プロバイダーをターゲットにして企業に侵入します。ベンダーは顧客のネットワークに頻繁に接続されているため、単一の侵害が攻撃者に多くの組織へ間接的に侵入する経路を提供することがあります。
XSS攻撃は、悪意のあるコードを正規のWebページまたはWebアプリケーションに挿入します。ユーザーがサイトまたはアプリにアクセスすると、ユーザーのWebブラウザーでコードが自動的に実行され、通常は機密情報が盗まれたり、なりすましの悪意のあるWebサイトにユーザーがリダイレクトされます。攻撃者は、JavaScriptを頻繁に使用してこれらのエクスプロイトを開始します。
SQLインジェクション攻撃は、悪意のある構造化クエリ言語(SQL)コマンドをWebサイトまたはアプリケーションのバックエンド・データベースに送信します。攻撃者は、検索バーやログイン・ウィンドウなどのユーザーに表示されるフィールドからコマンドをインプットし、データベースにクレジット・カード番号やその他の顧客データなどの個人データを返すよう促します。
ドメイン・ネーム・システム(DNS)トンネリングは、悪意のあるトラフィックをDNSパケット内に隠し、ファイアウォールや侵入検知システム(IDS)などの従来のセキュリティー対策を回避できるようにします。脅威アクターはこの手法を使用して、データを潜在的に抽出したり、マルウェアをリモート・コマンドアンドコントロール(C2)サーバーに接続したりできる秘密の通信チャネルを作成します。
ゼロデイ・エクスプロイトは、開発者が修正プログラムをリリースする前に、ゼロデイ脆弱性と呼ばれるこれまで知られていない、またはパッチが適用されていないソフトウェアの欠陥を悪用します。これらの攻撃は、数日、数カ月、場合によっては数年間にわたって効果を続ける可能性があるため、高度な脅威グループに人気があります。
ファイルレス攻撃は、正規のソフトウェアプログラムの脆弱性を利用して、悪意のあるコードをコンピューターのメモリに直接挿入します。これらはメモリ内でのみ動作し、ディスク上にアーティファクトをほとんど残さないため、多くのウイルス対策ソフトウェア ソリューション、さらには一部の次世代ウイルス対策(NGAV)ツールも回避できます。攻撃者は多くの場合、PowerShellなどのスクリプト環境を活用して構成を変更したりパスワードを盗んだりします。
DNSポイズニングとも呼ばれるDNSスプーフィングは、DNSレコードを秘密裏に変更し、Webサイトの実際のIP所在地を不正なIP所在地に置き換えます。被害者が正規のサイトにアクセスしようとすると、知らないうちに、データを盗んだりマルウェアを配布したりできる悪意のあるコピーにリダイレクトされます。
悪意のある攻撃者は、インテリジェント・システムを操作し、新しいインフラストラクチャーをエクスプロイトし、さらには将来の暗号化を弱体化させることで、攻撃対象領域を拡大しています。こうしたサイバー脅威は依然として進化を続けていますが、すでにセキュリティー・オペレーション・センター(SOC)やより広範なセキュリティー・チームからの注意を必要としています。
人工知能(AI)、特に生成AIは、敵対者にとって新たなツールとなっています。ハッカーは大規模言語モデル(LLM)を使用して、超現実的なフィッシング攻撃を仕掛けたり、ディープフェイクの音声や動画を作成したり、さらには前例のない規模で偵察を自動化したりすることができます。プロンプト・インジェクションやAIジェイルブレイクなどのより高度な手法では、組み込みの安全管理やガードレールを無効にしてAIシステムを騙し、機密データを漏洩させる可能性があります。
企業はワークロードをパブリッククラウドやハイブリッドクラウドに移行し続けており、攻撃対象領域が拡大しています。誤って構成されたストレージ・バケット、公開されたアプリケーション・プログラミング・インターフェース(API)、Kubernetesなどの脆弱なコンテナ・オーケストレーション・プラットフォームにより、攻撃者はほぼリアルタイムで環境全体にアクセスする機会を得ます。クラウドの構成ミスを1つ特定すれば、脅威アクターは従来の境界防御を作動させることなく、複数のワークロードにわたって横方向に移動し、顧客データを窃取できます。
量子コンピューティングの進歩は、今日の公開鍵暗号を脅かしています。攻撃者はすでに「今すぐ収集、後で解読」ストラテジーを追求しており、将来の量子機能によって現在の暗号化アルゴリズムを破り機密情報を解き放つことができるようになることを期待して、今日暗号化されたデータを盗んでいます。この変化に備えるには、組織がポスト量子暗号(PQC)の開発を追跡し、クリティカルなシステムの移行パスの計画を開始する必要があります。
サイバー攻撃からの防御には、単一の製品やポリシーだけでは不十分です。効果的なサイバーセキュリティーは、人、テクノロジー、プロセスを融合して脅威を予測し、露出を制限し、包括的な脅威検知と対応を実現します。
強力な予防は、組織の最も貴重な資産とその周辺の攻撃対象領域を理解し、不正アクセスの機会を減らすことから始まります。一般的な安全対策には以下が含まれます。
IDおよびアクセス管理(IAM):最小限の権限アクセス、多要素認証、強力なパスワード ポリシーを適用して、適切なユーザーのみがクリティカルなシステムにアクセスできるようにします。多くの組織では、リモート ユーザーが仮想プライベート・ネットワーク(VPN)またはその他の安全なチャネルを介して接続することも要求しています。
データ・セキュリティーとデータ損失防止(DLP):機密データを暗号化し、その使用方法と保管方法を監視し、定期的なバックアップを維持して侵害の影響を制限します。
ネットワーク制御:階層化されたファイアウォールと侵入防止システム(IPS)をデプロイして、ネットワークに出入りする悪意のあるトラフィックをブロックします。これには、マルウェアによるC2サーバーへの接続の試みが含まれます。
継続的な脆弱性管理:定期的なパッチ適用とペネトレーション・テストは、攻撃者が悪用する前に弱点を解消するのに役立ちます。
攻撃対象領域管理(ASM):オンプレミス、クラウド、IoT(モノのインターネット)環境全体で公開されている資産を、攻撃者に発見される前に識別し、カタログ化して修復します。
統合エンドポイント管理(UEM):デスクトップ、ラップトップ、モバイルデバイス、クラウド・ワークロードなど、すべてのエンドポイントに一貫したセキュリティー・ポリシーを適用します。
セキュリティー意識向上トレーニング:従業員に、フィッシングEメール、ソーシャル・エンジニアリング施策、その他の一般的なエントリー・ポイントを認識する能力を向上させます。
完璧な防御は存在しないため、組織はコンピューター・ネットワークと情報システムをリアルタイムで可視化する必要があります。
セキュリティー情報およびイベント管理(SIEM):侵入検知システム、EDR(エンドポイントの検知と対応)(EDR)ツール、およびその他の監視テクノロジーからのアラートを集約して分析します。
脅威インテリジェンス:既知の脅威アクター、戦術、侵害の指標(IOC)に関するデータでアラートを強化し、トリアージを迅速化します。
Advanced分析とAI:最新の検知プラットフォームでは、異常をフラグ付けし、進行中のサイバー・インシデントを示唆する微妙なパターンを識別するために、機械学習がますます使用されています。
予防と検知によって攻撃が判明した場合、協調的な対応により被害が制限され、復旧が迅速化されます。
セキュリティー・オーケストレーション、オートメーション、対応(SOAR):異種のツールを統合し、日常的なタスクをオートメーションすることで、セキュリティー チームが複雑な調査に集中できるようにします。
拡張検知および対応(XDR):エンドポイント、ネットワーク、Eメール、アプリケーション、クラウドワークロード全体の信号を相関させ、統一されたビューとより迅速な修復を提供します。
インシデント後のレビュー:学んだ教訓を記録し、管理を更新し、新しいインテリジェンスを予防対策と検知対策にフィードバックします。
1 Cost of Data Breach 2025, IBM, Accessed 15 September 2025.
2 Federal Bureau of Investigation Internet Crime Report 2024, Internet Crime Complaint Center, Accessed 15 September 2025.