Cisco Talosが発表したQ4 2025サイバーセキュリティレポート

Ciscoの脅威インテリジェンスチームTalosは、2025年第4四半期のサイバーセキュリティ脅威に関する詳細なレポートを公開しました。この期間、サイバー攻撃の初期侵入経路として「脆弱性悪用」が依然として主要であり、フィッシングを上回っています。しかし、その割合は第3四半期の62%から40%に減少しました。

また、ランサムウェア攻撃の件数も顕著に減少しており、第3四半期の20%、上半期の50%から第4四半期には13%となりました。注目すべき点として、Ciscoは「これまで確認されていない新しいランサムウェアの亜種には対応しなかった」と述べています。

特定の脆弱性と攻撃事例

第4四半期には、第3四半期に見られたToolShellキャンペーンのような大規模な悪用活動はありませんでしたが、特定の脆弱性が攻撃者の標的となりました。特に注目されたのは、Oracle E-Business Suiteの脆弱性とReact Server Componentsの脆弱性が悪用された事例です。

• Oracleの脆弱性は、Ciscoによれば「幹部を恐喝する大規模キャンペーンと関連している可能性が高い」攻撃で利用されました。
• Reactの脆弱性は、攻撃者によってクリプトマイニングマルウェアの展開に悪用されました。Ciscoは、パッチが適用されていないシステムを迅速に悪用しようとする脅威アクターの行動として、クリプトマイニングは多くの種類の一つに過ぎないと指摘しています。

フィッシングの脅威と新たな標的

初期侵入経路としては、脆弱性悪用に次いでフィッシングが2番目に多く観測されました。Ciscoは、脅威インテリジェンスレポートではあまり取り上げられない特定のコミュニティ、すなわちネイティブアメリカンの部族組織を標的としたキャンペーンを詳細に分析しました。

ある事例では、脅威アクターが侵害されたメールアカウントとウェブサイトを悪用し、信用性の高いメッセージを通じてマルウェアを配布していました。研究者らは「メールアカウントの悪用を超えた横方向の移動は確認できなかった」としつつも、「被害者環境内の追加アカウントや外部の受信者の露出は、より広範な影響の可能性を示唆している」と記しています。また、同様の特性を持つ別のフィッシングキャンペーンも観測されました。

ランサムウェアの現状と主要な標的セクター

ランサムウェアの分野では、Qilinランサムウェアグループが依然として支配的であり、Ciscoが対応したランサムウェア攻撃の過半数で確認されました。また、約1年間確認されていなかったDragonForceランサムウェアによる攻撃にも対応しました。

Ciscoのインシデント対応エンゲージメントにおいて、最も標的となったセクターは政府機関であり、これは第3四半期の傾向が継続したものです。これに続き、通信、教育、医療分野が上位を占めました。

Ciscoからの推奨事項

Ciscoは、今回の調査結果に基づき、組織がサイバーセキュリティ対策を強化するための具体的な推奨事項を提示しています。

• システムへのパッチを定期的に適用し、既知の脆弱性を解消すること。
• 堅牢なログ記録を有効化し、不審な活動の検出と調査を支援すること。
• 迅速な対応を実践し、インシデント発生時の被害を最小限に抑えること。
• MFA（多要素認証）の悪用を特定するための検出を導入し、強力なMFAポリシーを有効にすること。

---

元記事: https://www.cybersecuritydive.com/news/cisco-threat-report-exploitation-phishing/810977/