年間サイバーリスクレポート2025年版を公開

トレンドマイクロ株式会社（本社：東京都新宿区、代表取締役社長 兼 CEO：エバ・チェン　東証プライム：4704、以下、トレンドマイクロ）は、日本国内の脅威情報および海外におけるリスク動向を分析した報告書「サイバーリスクレポート2025年版」を公開したことをお知らせします。

「年間サイバーリスクレポート2025年版」全文はこちら

主なトピック

■【国内法人組織】国内のランサムウェアの被害公表数は84件で過去最多

組織規模を問わず連日国内で被害が発表されているランサムウェアですが、2024年もその傾向は続いています。2024年1年間に国内法人が公表したランサムウェア被害はトレンドマイクロで確認しただけでも84件となり、過去最多件数を更新しました。

特に、2024年に注目をされたランサムウェア攻撃の事例として、イセトー社の被害が挙げられます。この事例ではイセトー社に業務委託していた委託元50組織以上の150万件ものデータが漏洩し、その規模の大きさからデータサプライチェーンにおける大きな課題が示された事例として注目されました。現在の業務委託の関係性の中で、委託元の情報が、委託先の被害によって漏洩するリスクが改めて浮き彫りになりました。ランサムウェア被害に限らず、委託先からの情報漏洩事例はその漏洩規模が拡大しており、すべての組織にとってデータサプライチェーンのリスクを見直す必要があるものと言えます。

事業に大きな影響を与えるランサムウェア攻撃に対しては、事業継続上の大きな脅威として被害に遭わないためのリスク管理を進めていく必要があります。公表されているランサムウェア被害の原因を探っていくと、VPNやRDPなどネットワーク上の弱点が存在していた組織で被害が発生しているケースが大多数です。そもそも攻撃者につけ入る隙を与えないよう、自組織ネットワークのアタックサーフェスとそこに存在する弱点を把握し、能動的にリスクを最小化する取り組みが必要です。

■【国内個人利用者】旧NTTが割り当てた電話番号を標的にするフィッシング詐欺を確認

ここ数年、個人利用者におけるネット上の危険は「ネット詐欺」に集約されてきました。2024年1年間における各種詐欺サイトへの誘導件数はおよそ160万件となりました。全体としては緩やかな減少傾向に見えますが、個々のネット詐欺の具体的な事例はより悪質化、巧妙化が進んでいます。

特に国内のフィッシング詐欺については、各種ネットバンキングやクレジットカードの不正利用を目的とするものを多数確認しています。特にネットバンキングを狙うフィッシングサイトでは、ほとんどがワンタイムパスワードなどの追加のセキュリティを突破するためのリアルタイムフィッシングを行うものとなっています。トレンドマイクロの観測では、都市銀行中心に狙うグループや、ネット銀行、地方銀行から信託銀行、労働金庫といった中小規模まで幅広く攻撃対象とするグループなどの存在を確認しています。また、地方銀行を偽装するスミッシング（SMSを利用した詐欺で個人情報を盗み取ったり、マルウェアに感染させたりする手法）においては、その地銀の地元の旧NTT地域会社に割り当てられていた電話番号を対象に送信されていた例も観測しています。これは例えば、北海道の地銀であれば旧NTT北海道に割り当てられていた番号に送信することにより、その地域の利用者が受信する確率が高まることを狙ったものと考えられます。

フィッシングをはじめとするネット詐欺は利用者を騙して操るものであるため、個人がその手口を知って警戒することが有効な対策の１つです。加えて、技術的対策により偽のサイトやメール、メッセージ、さらに詐欺に使用された電話番号を判定し、警告やブロックを行うことも重要です。

また、サイバー犯罪者は既に流出している情報をもとにネット詐欺を仕掛けてくることがあります。最近ではアンダーグラウンドで流通している情報を知らせてくれるサービスなどもありますので、自身に関する情報がどの程度流出しているかを知ることが事前の心構えとして有効です。

■日本組織の平均パッチ適用時間は27.5日、適用時間は組織規模に比例

トレンドマイクロのエンタープライズサイバーセキュリティプラットフォーム「Trend Vision One™ 」のCREM（Cyber Risk Exposure Management）ソリューションにおけるMTTP（Mean Time To Patch：パッチ適用までの平均時間）のデータは、各カテゴリーにおいて企業が脆弱性に対処するまでにかかる平均日数を示しています。地域別では、ヨーロッパが最も迅速にパッチを適用しており、リスク低減に直結することで、レポート前半で紹介したCRIの月別推移でも示されているように、低いCRIにつながっています。日本は2番目に速く、2024年におけるCRIの低さをテレメトリが裏付けています。一方で、アメリカ大陸地域（Americas）とアジア・中東・アフリカ地域（AMEA）は、CRI改善のためにもパッチ適用の迅速化が求められています。
※本レポートでは、2024年2月から12月までのテレメトリを対象としています。

業界別では、非営利団体が最も早くパッチを適用しており、それに続くのがサービス業とテクノロジー業界です。農業、建設、運輸といった他の業界でも、他業界と比較すると良好なMTTPを記録しています。一方で、ヘルスケアのMTTPは41.5日と唯一40日を超える結果となっており、業界として脆弱性対策に課題があることが見受けられます。

大規模な企業では、より複雑なネットワーク環境を抱えていることから、脆弱性に対するパッチの適用には多くの作業が伴います。今回の結果では、おおよそ組織規模が大きくなるにつれて、MTTPが長くなる傾向にあることがわかりました。社員数が10,000を超えると、MTTPが41.3日となり、脆弱性が長期間にわたって放置される傾向にあります。

毎日のように新たな脆弱性が発見される環境では、すべての脆弱性に対して、迅速に対応することは実質的に困難です。自社環境における影響度を考慮し、ビジネスクリティカルな資産に関わる脆弱性を優先的に修正する戦略を取るべきと言えます。継続的にリスクを発見・評価・緩和していくプロアクティブ（能動的）なアプローチにより、組織は攻撃対象領域をリスクごとに分類し、限られたリソースを活用して攻撃を未然に防ぐための実行計画を立てることができます。