“`json
{
“title”: “2025年サイバーセキュリティとサイバー攻撃の主要動向:最も大きな影響を与えた15の出来事”,
“content”: “
はじめに
2025年はサイバーセキュリティにとって激動の年となりました。大規模なサイバー攻撃、データ侵害、新たな脅威グループの台頭、そしてゼロデイ脆弱性の悪用が頻発しました。ここでは、BleepingComputerが特に影響が大きく、読者の関心を集めた2025年のサイバーセキュリティに関する15の主要なトピックを、その影響とともに振り返ります。
15. PornHubデータ侵害
ハッカー集団ShinyHuntersが、PornHubのプレミアム会員活動データを第三者分析プロバイダーMixpanelから盗み出し、PornHubを恐喝しました。攻撃者は、購読者の閲覧、検索、ダウンロード履歴を含む約2億件の記録、94GBのデータを盗んだと主張し、身代金が支払われなければ公開すると脅迫しています。金融情報は含まれていませんが、詳細な成人向けコンテンツの活動が公開される可能性は、影響を受けたユーザーに深刻な個人的および評判上の影響を与える恐れがあります。
14. ClickFixソーシャルエンジニアリング攻撃の台頭
2025年、ClickFix攻撃は、国家支援型ハッキンググループやランサムウェア集団を含む多数の脅威アクターによって広く採用されました。当初はWindowsマルウェアキャンペーンとして始まりましたが、macOSやLinuxにも拡大し、インフォスティーラー、RAT、その他のマルウェアをインストールする攻撃が確認されました。ClickFix攻撃は、偽のエラーメッセージやセキュリティ警告、CAPTCHAチャレンジ、更新通知などを用いて、PowerShellやシェルコマンドを実行させて問題を解決するように誘導し、被害者自身にマルウェアを感染させるソーシャルエンジニアリングの手法です。最近では、Microsoftアカウントを乗っ取るConsentFixや、Windowsエクスプローラーのアドレスバーを悪用するFileFixなどの変種も登場し、さらにはClickFixを自動化する有料プラットフォーム「ErrTraffic」も商業化されています。
13. ByBitの15億ドル相当の仮想通貨窃盗事件
過去最大級の仮想通貨盗難事件の一つとして、2025年2月にByBitのコールドウォレットから約15億ドル相当のイーサリアムが盗まれました。この窃盗は北朝鮮のハッキンググループLazarusに関連付けられ、FBIもこれを認めています。ByBitのウォレット運用に関与していたSafe{Wallet}開発者のマシンが侵害され、攻撃者は取引承認を操作してコールドウォレットから資金を流出させました。この事件の他にも、Phemexからの8500万ドル、Cetus Protocolからの2億2300万ドルなど、複数の仮想通貨取引所やウォレットが攻撃の標的となりました。
12. Oracleデータ窃盗攻撃
Oracleは、Clop恐喝グループがOracle E-Business Suite (EBS) の複数のゼロデイ脆弱性を悪用した、広範なデータ窃盗キャンペーンの標的となりました。Clopは未パッチのゼロデイ脆弱性「CVE-2025-61882」を悪用してサーバーに侵入し、データを盗みました。攻撃は7月から始まり、8月にデータ窃盗が最高潮に達し、10月にはClopが影響を受けた企業に恐喝メールを送りつけました。また、別のOracleゼロデイ脆弱性「CVE-2025-61884」もShinyHuntersによってPoCエクスプロイトが公開されました。この攻撃により、ハーバード大学、ダートマス大学、ペンシルベニア大学、ユニバーシティ・オブ・フェニックス、Logitechなど、多数の組織が被害を受けました。
11. DDoS攻撃の強度の増加
2025年は、世界中の組織を標的とした記録破りの分散型サービス拒否(DDoS)攻撃が多発しました。Cloudflareが軽減した複数のインシデントでは、DDoSプラットフォームの攻撃能力が増大していることが示され、攻撃は5.6 Tbps、7.3 Tbps、11.5 Tbps、そして22.2 Tbpsというピークに達しました。この成長の多くは、史上最大のDDoS攻撃の一部を担ったAisuruボットネットに起因するとされています。Microsoftは、AisuruがAzureを標的とした15 Tbpsの攻撃で50万以上のIPアドレスを利用したと報告し、Cloudflareはさらに大規模な29.7 TbpsのDDoS攻撃もAisuruによるものだと報告しました。一方、DDoS運用は世界中の法執行機関の標的となり、複数のDDoSアズ・ア・サービスが摘発され、管理者が逮捕されました。
10. 開発者サプライチェーン攻撃の増加
サイバー犯罪者は、オープンソースのパッケージリポジトリや拡張機能リポジトリを悪用し、それらをマルウェア配布サイトに変えることで、開発者を標的にするケースが増加しました。npmでは、IndonesianFoodsキャンペーンが何十万ものスパムおよび悪意のあるパッケージを溢れさせ、Shai-Huludマルウェアキャンペーンは数百のnpmパッケージに感染し、開発者の秘密やAPIキーを盗みました。また、MicrosoftのVSCode MarketplaceやOpenVSXなどのIDE拡張機能マーケットプレイスも繰り返し標的となり、GlasswormキャンペーンはVSCode拡張機能を悪用してマルウェアを配布し、仮想通貨を盗み、暗号通貨マイナーをインストールしました。Python Package Index (PyPI) も同様に標的となり、PyPIは悪意のある更新を制限するための新しい制御機能を導入しました。
9. 北朝鮮IT労働者による脅威
2025年、北朝鮮のIT労働者が欧米企業に潜入し、組織にとって深刻なID脅威となりました。米国政府は、これらの労働者が収入を北朝鮮政権に送り、その兵器プログラムなどを資金援助していると指摘しています。北朝鮮のアクターは、ソフトウェアの脆弱性を悪用するのではなく、偽のID、仲介者、正規の雇用を通じて欧米企業へのアクセスを獲得し、長期にわたって検出されないままでいるケースが増加しました。米国当局は、少なくとも16州で「ラップトップファーム」作戦を発見し、現地協力者が北朝鮮のアクターのために会社支給のラップトップを受け取り、北朝鮮からの企業環境へのリモートアクセスを可能にしていたことを明らかにしました。また、エンジニアを募集し、そのIDを貸与または販売させるキャンペーンも明らかになり、5人がこれらの計画を幇助した罪で有罪を認めました。
8. Salt Typhoon通信事業者攻撃の継続
2024年に初めて報告されたSalt Typhoon攻撃は2025年も続き、世界の通信インフラを標的とした最も損害の大きいサイバースパイ活動の一つとなりました。これらの攻撃は中国政府と連携するアクター集団Salt Typhoonに関連しており、通信ネットワークへの長期的かつ永続的なアクセスに重点を置いていました。年を通じて、米国、カナダなどの主要プロバイダーで追加の侵入が確認されました。脅威アクターは、未パッチのCiscoネットワークデバイスを悪用し、特権アクセスを不正利用し、通信環境向けに設計されたカスタムマルウェアを展開して、ネットワーク構成の収集、トラフィックの監視、通信の傍受を行いました。これらの攻撃は、米国家警備隊を含む軍事ネットワークへの侵害にも関連付けられ、ネットワークの詳細、設定ファイル、管理者資格情報が盗まれました。政府やセキュリティ機関は、これらのSalt Typhoonによる侵害を3つの中国系テクノロジー企業に公に帰属させました。
7. AIプロンプトインジェクション攻撃
2025年、AIシステムがほとんどすべての生産性ツール、ブラウザ、開発環境に組み込まれるにつれて、研究者たちはプロンプトインジェクション攻撃という新しいクラスの脆弱性を特定しました。従来のソフトウェアの欠陥とは異なり、プロンプトインジェクションはAIモデルが指示を解釈する方法を悪用し、攻撃者が特別に細工された隠れた入力をAIに与えることで、その元のガイダンスや保護機能を上書きまたはバイパスして、AIの動作を操作することを可能にします。これにより、AIシステムは機密データを漏洩させたり、悪意のある出力を生成したり、意図しないアクションを実行したりする可能性があります。
- Microsoft 365 Copilotでのゼロクリックデータ漏洩
- Google Geminiでのメール要約やカレンダー招待を介したプロンプトインジェクション
- AIコーディングアシスタントの悪用
- PerplexityのComet AIブラウザを悪用した「CometJacking」攻撃
などが確認されました。
6. ソーシャルエンジニアリングによるヘルプデスクの標的化
2025年、脅威アクターは、企業ネットワークに侵入するために、ビジネスプロセスアウトソーシング(BPO)プロバイダーやITヘルプデスクを標的としたソーシャルエンジニアリングキャンペーンに重点を置きました。攻撃者はソフトウェアのバグやマルウェアに頼るのではなく、ヘルプデスクを騙してセキュリティ制御を迂回させ、従業員のアカウントへのアクセスを許可させました。Scattered Spiderに関連するハッカーは、従業員を装ってCognizantのヘルプデスクを騙し、アカウントへのアクセス権を獲得したと報じられています。このソーシャルエンジニアリング攻撃は、Cognizantに対する3億8000万ドルの訴訟の焦点となりました。Googleは、Scattered Spiderがアウトソーシングされたサポートデスクを悪用して内部システムへのアクセスを獲得することで、米国の保険会社を標的としたと報告しました。小売企業も、ヘルプデスクに対するソーシャルエンジニアリング攻撃が、大規模なランサムウェア攻撃やデータ窃盗に直接つながったことを認めました。
5. 内部脅威
2025年、内部脅威は甚大な影響を与え、信頼できるアクセス権を持つ従業員やコンサルタントが、意図的に悪用したか、あるいは契約終了後にアクセス権が失効しなかったかに関わらず、大規模な損害につながった高名な事例が複数発生しました。Coinbaseは69,461人の顧客に影響を与えるデータ侵害を公表し、その後、ハッカーがシステムにアクセスするのを手助けしたとされる元Coinbaseサポートエージェントが逮捕されました。CrowdStrikeは、内部関係者がハッカーに情報を提供していることを検出し、内部システムのスクリーンショットが含まれていました。この内部関係者は、「Scattered Lapsus$ Hunters」と名乗るグループから25,000ドルを受け取っていたと報じられています。また、銀行従業員がわずか920ドルで自分の認証情報を販売し、それがブラジルの中央銀行での1億4000万ドルの銀行強盗に利用された事件も発生しました。退職した従業員がシステムアクセスを維持していたためにCoupanで侵害が発生したり、ランサムウェア集団がBBCジャーナリストをリクルートしようとしたりする事例も報告されました。
4. 大規模IT障害
2025年には、一連の大規模なIT障害が世界中のサービスとプラットフォームを停止させ、グローバルな商取引がいかにクラウドインフラに依存しているかを浮き彫りにしました。これらのインシデントはサイバーセキュリティ侵害によるものではありませんが、その影響は非常に大きく、今年のトップニュースとして言及する価値があります。
- Herokuのグローバル障害
- Microsoft DNS障害
- GoogleのAPI管理問題による広範囲な障害
- AWS障害(Amazon Prime Video、Fortnite、Perplexityなどに影響)
- Cloudflareの複数インシデント(React2Shell脆弱性に対する緊急パッチ展開に起因)
などが挙げられます。
3. Salesforceデータ窃盗攻撃
2025年、Salesforceは大規模なデータ窃盗と恐喝キャンペーンの標的となることが頻繁にありました。Salesforce自体が侵害されたわけではありませんが、攻撃者は侵害されたアカウント、OAuthトークン、および第三者サービスを通じて顧客データに繰り返しアクセスし、高名なデータ侵害が相次ぎました。これらの攻撃は主にShinyHunters恐喝グループに関連しており、テクノロジー、航空、サイバーセキュリティ、保険、小売、高級品など、幅広い業界の企業に影響を与えました。影響を受けた企業には、Google、Cisco、Chanel、Pandora、Allianz Life、Farmers Insuranceなどが含まれます。ShinyHuntersは最終的に、これらの攻撃によって影響を受けた企業を恐喝するためにデータ漏洩サイトを立ち上げました。これらの攻撃の重要な要素は、Salesforceと直接連携する第三者SaaSプラットフォームの侵害でした。Salesloft Driftのようなサービスが侵害され、接続されたSalesforceインスタンスへのアクセスを許可するOAuthトークンと認証情報が盗まれました。これにより、Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networksなど、多数の企業が影響を受けました。
2. ゼロデイ攻撃
2025年、ゼロデイ脆弱性は、データ窃盗、サイバースパイ活動、ランサムウェア攻撃のために企業ネットワークへのアクセスを獲得するための広く使われる方法であり続けました。ネットワークエッジデバイスとインターネットに公開されたサービスは、インターネットと内部ネットワークの間に位置するため、悪用の主要な標的となりました。Cisco (ASAファイアウォール、IOS、AsyncOS、ISE)、Fortinet (FortiWeb、FortiVoice)、Citrix NetScaler、Ivanti Connect Secure、SonicWall、FreePBX、CrushFTPのゼロデイ脆弱性が実際に悪用されました。Microsoft SharePointは、ToolShell脆弱性が中国の脅威アクターや後にランサムウェア集団に関連付けられるなど、年間で最大のゼロデイ標的の一つでした。これらの脆弱性は、ウェブシェルを展開し、機密データを盗み、企業ネットワーク内に永続性を維持するために利用されました。Windowsの脆弱性も繰り返し悪用され、ショートカット処理やログサービスにおける欠陥も含まれました。また、消費者向けおよび企業向けソフトウェアも役割を果たし、7-ZipやWinRARのゼロデイ脆弱性がフィッシングキャンペーンで悪用され、セキュリティ保護を迂回してマルウェアをインストールしました。
“,
“status”: “publish”
}
“`