サイバー攻撃の動機と手口はどのように変化したのか Google子会社が調査

サイバー攻撃に対応するには犯罪者がどのような動機を持ち、どうやって最初に攻撃を仕掛けてくるのかを理解しなければならない。Mandiantの報告を紹介する。

[David Jones，Cybersecurity Dive]

　Googleの子会社でセキュリティに特化したMandiantのレポート「M-Trends 2025 Report」によると、サイバー攻撃者の動機が徐々に変化していることが分かった。

　さらに攻撃の初期に被害者のシステムにアクセスするための方法も変わってきたという。

サイバー攻撃の動機と手口が変化　Google子会社が調査

　攻撃の動機のうち最も大きなものは経済的な利益だ。これは以前から変わらない。変わったのはその比率だ。2022年に48％だった比率が、2023年には52％、2024年には55％を占めた。2024年の数値は、同年に活動した全てのサイバー犯罪者を対象にしたものだ。

　被害者に対して最初にアクセスする方法はどのように変化したのだろうか。過去5年間、脆弱（ぜいじゃく）性の悪用が最も頻繁に発生した主要な攻撃手法であり続けている。2024年には全体の33％を占めた。変化したのは盗み出した認証情報の利用だ。2024年には脆弱性の悪用に次いで2番目に割合が高い。それまではメールによるフィッシングが初期アクセスの2位を占めていた。

　サイバー犯罪者のグループは適切に保護されていないデータリポジトリを狙っている。この傾向は強まっており、セキュリティ対策が不十分な企業や組織を危険にさらしている。

認証情報の窃取はどう変わってきたのか

　「Cybersecurity Dive」によれば、このレポートの中で最も意外な事実は認証情報の窃取の増加だという。犯罪者たちはユーザーの認証情報の収集と悪用にますます注力するようになっているようだ。

　Mandiantの研究者によると、インフォスティーラー（情報窃取型のマルウェア）は長年、懸念されていたツールだ。これを使う攻撃が最近になって再び増えているという。

　Mandiant Consultingのユルゲン・クッチャー氏（バイスプレジデント）は、Cybersecurity Diveに対して次のように述べた。

　「メールは（ヘッダー情報や添付ファイル、リンクなど）ノイズとなる情報が多いため、フィッシング検知により見つかりやすい傾向がある。これに対して、盗まれた認証情報の販売と悪用はそうではない。これが認証情報の窃盗がサイバー犯罪ビジネスとして成り立っている理由だ」

　クッチャー氏によると、個人のPCなど企業のシステムに守られていない環境からの認証情報の窃取が増加しているという。これらのシステムでは、EDRやネットワーク監視といった企業レベルのセキュリティ対策が施されていないことが多いためだ。

　クッチャー氏は「従業員や外部委託業者が無許可のソフトウェアをインストールする目的でウイルス対策ソフトを無効化することがある。このときリスクがさらに高まる」と述べた。

　M-Trends 2025 Reportは2024年に世界各地でMandiant Consultingが行った攻撃調査に基づいており、同社が45万時間以上に及ぶインシデント対応業務を通じて収集したデータを分析したものだ。

出典：Financial gain still drives majority of cyber threat activity（Cybersecurity Dive）
注1：M-Trends 2025: Data, Insights, and Recommendations From the Frontlines（Google Cloud Blog）