最新のサイバー攻撃手法まとめ 最初に何が狙われるのか

サイバー攻撃の傾向が変わってきた。最終的に金銭や秘密の情報を奪取するという点は以前のままだが、サイバー攻撃がスタートする段階に変化が現れている。どのような対策が有効なのだろうか。

[David Jones，Cybersecurity Dive]

　サイバー攻撃というと未知の脆弱（ぜいじゃく）性を利用したり、高度なマルウェアを利用したりするというイメージがある。確かにそのような攻撃もある。だが、主に備えなければならないのはこれらではない。

　攻撃者は高度化した新しい技術を利用しながらも、昔から持つある特性を悪用することで、企業のITシステムへたやすく侵入できる。

最新のサイバー攻撃手法まとめ　最初に何が狙われるのか

　攻撃者が最初に狙うのは人間だ。

　攻撃者はディープフェイク動画やAIによる音声クローンなどを駆使する。その目的は人を攻撃するためだ。企業の経営幹部や政府高官、影響力のある人物を狙った標的型攻撃を多数仕掛けてくる。これらの攻撃は「攻撃対象に合わせて高度にカスタマイズされている」ことが特徴だ。なりすましや恐喝、主要産業への深刻な混乱をもたらすことなどが攻撃の目的だ。

　サイバーセキュリティ事業を営むPalo Alto Networksが2025年7月に発表した報告書によると（注1）、2024年5月〜2025年5月に同社がインシデント対応した案件のうち、ソーシャルエンジニアリングが最も多い初期侵入経路だった。攻撃対象に合わせて高度にカスタマイズされているという意味がこれだ。

　Palo Alto Networksが調査したインシデントの36％で、攻撃者はソーシャルエンジニアリングの助けを借りてシステムへ侵入していた。さらに、そのうち3分の2のケースでは、特権アカウントまたは経営幹部のアカウントが標的になっており、そこを足掛かりにシステムへのアクセスが試みられていた。

　Palo Alto NetworksのセキュリティチームであるUnit 42に所属するサム・ルービン氏（シニアバイスプレジデント）は次のように語った。

　「機密情報や事業において重要なシステムへの広範なアクセス権限を経営陣が持っており、企業の鍵を握っている。攻撃者はより大きな被害を実現して高額の利益を狙うために、経営陣こそ割の良いターゲットだと深く理解している」

　ソーシャルエンジニアリング攻撃の半数以上で、攻撃者は機密データへのアクセスに成功していた。さらに、重要な事業機能が妨害されたり、企業の業務パフォーマンスに一定の影響が生じたりするケースが増えている。

セキュリティ対策をすり抜けるなりすまし

　攻撃者は特定の話者の音声を模倣（クローン）したり、ディープフェイクなどの生成AIベースの技術を使ったりして、経営幹部レベルの人物になりすます手口を多用している。頻度は上がる一方だ。

　一部のケースでは、攻撃者が経営幹部本人を直接狙って恐喝したり、音声を模倣してなりすましに利用したりしている。攻撃者が幹部の声を模倣して、電子メールの連絡先にアクセスしたり、写真をコピーしたりすると何が起こるだろうか。パスワードをリセットするための依頼をヘルプデスクに送らせたり、役職の高くない従業員に対して詐欺的な指示や要求を送ったりできる。

　Google Threat Intelligence Group（GTIG）のスコット・マッカラム氏（プリンシパル・インテリジェンスアナリスト）は、『Cybersecurity Dive』に対して次のように語った。

　「AI時代では、経営幹部の声や映像を偽装するスプーフィングは現実的で深刻なリスクだ。何も疑っていない従業員が、幹部からの依頼だと思い込んでしまう。彼らがデータやアクセス権を求める電話やメッセージを受け取れば、企業のセキュリティに深刻なリスクが生じる」

　最近、攻撃者はソーシャルエンジニアリング攻撃を悪用して、さまざまな業界に対して高度な攻撃を仕掛けている（注2）。攻撃対象には小売や航空、保険といった業界の複数の企業が含まれている。

　2025年に最も注目を集めた攻撃の一つは、英国の小売企業であるCo-operative Group（Co-op）が狙われた件だ。この攻撃ではCo-opに2億7500万ドル相当の売上損失が起きた（注3）。

　Co-opのロブ・エルジー氏（最高デジタル情報責任者《CDIO》）は英国下院の小委員会で、「攻撃者が従業員になりすまし、幾つかのセキュリティ質問に答えることで自社のネットワークに侵入した」と証言した。その結果、攻撃者は従業員のアカウントの認証情報をリセットできた。

　エルジー氏は2025年7月に開催された英国のビジネス貿易小委員会の公聴会で、次のように述べた（注4）。

　「攻撃者が実際にアカウントを悪用し始める約1時間前にこの不正行為が実行済みだった」

　同社の広報担当者がCybersecurity Diveに語ったところによると、その後、同社は今回のような攻撃を防ぐために追加の本人確認対策を導入し、さらに攻撃経路を完全に排除するよう内部プロセスを更新したという。

　他の多くの組織と同様に、Co-opも模擬攻撃やレッドチームによる演習を通じて、この種のインシデントに備えていた。しかし、サイバー犯罪グループ「Scattered Spider」が数カ月にわたって続けた攻撃でも見られたように、実際のインシデント発生時の緊迫した状況下では、攻撃防止や被害軽減のために依存していた多くの企業の戦略が回避されてしまうのだ。

　Co-opへの攻撃は、Scattered Spiderが注目を再び集めるきっかけとなった。本グループは、若い英語話者の攻撃者たちで構成され、The Comと呼ばれる緩やかに結びついた地下ネットワークで複数のアフィリエイターと協力しながら活動している。

　2025年8月、ERPサービスを提供するWorkdayはソーシャルエンジニアリング攻撃を受けたことを認めた（注5）。攻撃者がIT部門や人事部門の担当者になりすまして、従業員をだました。従業員自ら自分のアカウントのパスワードをリセットさせた結果、攻撃者は外部の顧客関係管理（CRM）プラットフォームに保存されていた情報へアクセスできた。

どのように攻撃手法が進化したのか

　サイバーセキュリティやインシデント対応の専門家によると、ソーシャルエンジニアリング攻撃の手法は近年大きく進化した。これまで攻撃者は電子メールに添付したファイルに仕込んだマルウェアを人々にダウンロードさせるという手口に重点を置いていた。しかし、多要素認証（MFA）の普及や、その他の高度なセキュリティ対策の強化があり、この手法は通じにくくなった。その結果、攻撃者はより創造的で、より個人的な方法を用いて初期侵入を試みるようになった。

　サイバーセキュリティ事業を営むProofpointの研究者によると、変化の大きな要因の一つは、MicrosoftがOffice製品で「Microsoft Excel 4.0」の古いマクロ言語（XL4マクロ）とVBAマクロを無効化したことだという（注6）。これらのマクロは、攻撃者が長年悪用してきた主要な攻撃手法だった。

　Proofpointの脅威研究員であり、インテリジェンス分析や戦略立案の責任者を務めるセレナ・ラーソン氏は、Cybersecurity Diveに対し「その結果、攻撃者は圧縮された実行ファイルや代替的なファイル形式、ますます複雑化した攻撃チェーンへと手法を切り替えた」と説明した。

　2024年以降、攻撃者は初期侵入の方法を新たなものへと変更しつつある。代表例が、認証情報の窃取や金融詐欺に広く悪用されている手法「ClickFix」だ（注7）。

価値の高いターゲットは何か

　2025年6月、情報セキュリティに関する調査と研究、教育に特化したPonemon Instituteと、サイバーセキュリティ事業を展開するBlackCloakは報告書を発表した（注8）。報告書には企業の経営幹部や富裕層の個人を狙ったソーシャルエンジニアリング攻撃が増加していると記されている。回答者の約4割がディープフェイクによるなりすまし攻撃を経験したとも報告した。

　BlackCloakのセキュリティオペレーション業務の責任者を務めるブライアン・ヒル氏は、Cybersecurity Diveに対して次のように語った。

　「現在最も一般的な攻撃は、信頼されている人物や組織になりすまして金銭や情報を要求するものだ。経営幹部の多くは、デジタルの攻撃が物理的な危害にまで発展する可能性を懸念している」

　ヒル氏によると、攻撃者が家族やその他の個人的な知人を標的にするようになるにつれて、ソーシャルエンジニアリング攻撃はますます侵入に成功しやすい攻撃になっているという。

　企業や経営幹部は、将来の攻撃からシステムをより確実に守り、自身の身の安全を高めるために、幾つかの対策がある。

・旅行を含む個人的な活動をソーシャルメディアに投稿しないこと
・家族についての情報を公開しないこと
・フィッシングに強い多要素認証を利用すること
・パスワード変更や多要素認証のリセット、銀行情報の更新などには別の経路、つまり、そのような依頼が来たメールやツールではなく、事前に登録されている電話番号などを使うこと

　GTIGでカスタムインテリジェンスを担当するサム・ルイス氏（マネジャー）は、Cybersecurity Diveに対して次のように語った。

　「自身や家族、自分の企業に関する情報はオンラインで容易に集まる。そのため、経営幹部が狙われやすくなっている」

出典：Social engineering gains ground as preferred method of initial access（Cybersecurity Dive）
注1：2025 Unit 42 Global Incident Response Report: Social Engineering Edition（Palo Alto Networks, UNIT42）
注2：Defending Against UNC3944: Cybercrime Hardening Guidance from the Frontlines（Google Cloud Blog）
注3：Co-op’s Underlying Strength Allows The Group To Navigate External Pressures（Co-operative Group）
注4：Business and Trade Sub-Committee（House of Commons）
注5：Hackers target Workday in social engineering attack（Cybersecurity Dive）
注6：Threat actors shifting tactics as Microsoft blocks, unblocks and reblocks macros（Cybersecurity Dive）
注7：Phishing campaign impersonates Booking.com, delivers a suite of credential-stealing malware（Microsoft）
注8：Cybercriminals target C-suite, family members with sophisticated attacks（Cybersecurity Dive）

/kn/articles/2507/29/news014.html,i

/kn/articles/2506/27/news004.html,i

/kn/articles/2510/08/news019.html,i

原文へのリンク