2025年上半期に浮上したサイバー脅威の実態

　アクロニス・ジャパンは9月12日、「アクロニスサイバー脅威レポート2025年上半期版(1月〜6月)」に関する説明会を開催した。本説明会では、同レポートで示された四つの主要トピックが解説された。

　トピックの一つ目が、ランサムウェア被害の増加だ。2025年上半期の被害件数は、2023年、2024年の同時期と比較して約70%増加した。背景には、AIによるフィッシングメールの高度化や攻撃プロセスの自動化、中小企業などセキュリティ体制の脆弱な組織が狙われるようになったことが挙げられる。特に2月には脅威アクター「Clop」の活動が活発化し、キャンペーン的な攻撃が増加した。その結果、被害件数は前年同月の2倍以上となる955件に上った。一方で4〜6月にかけては、ランサムウェアをサービスとして提供する「Ransomware as a Service」の一部閉鎖や、脅威アクターの逮捕・再編などの影響により、攻撃件数はやや落ち着いた。

　二つ目が、マネージドサービスプロバイダー(MSP)に対する攻撃の変化だ。多要素認証の普及により、リモートデスクトッププロトコルを狙った攻撃は前年の24%から3%へと大幅に減少した。その一方で、フィッシング攻撃が前年の30%から52%に急増している。AIの進化によってフィッシングサイトやメールの文章が自然になり、ユーザーが騙されやすくなっていることが背景にある。

　三つ目が、コラボレーションツールに対する攻撃の変化だ。マルウェアによる被害は減少傾向にあるものの、フィッシングや高度な標的型攻撃は増加している。その背景にはMSPに対する攻撃と同様に、AIによる自然言語生成の進化が影響しているとみられる。

　四つ目が、生成AIの悪用だ。Acronis脅威リサーチユニット シニアソリューションズエンジニア 後藤匡貴氏は、AIによる攻撃の変化について次のように語った。「AIを悪用したフィッシングサイトやマルウェアの作成だけでなく、北朝鮮の工作員がディープフェイクのアバターを使ってIT企業の面接に参加し、言語や位置情報を偽装して内部情報を取得した事例など、ディープフェイクの悪用が目立ちます。また大規模言語モデル『DeepSeek』への攻撃など、AIモデルそのものを標的としたケースも増えています」

　本説明会では、日本と世界のデータ比較も発表された。日本が世界と比べて被害の多い傾向にあるものに、ランサムウェアが挙げられる。ワークロード1万件当たりのランサムウェア検出数において、日本は世界第2位となっている。

　後藤氏は「セキュリティに関する知識や対策が他国と比べて十分でない場合、攻撃の成功率が高まります。また、ランサムウェアの目的が身代金の支払いによる収益化であることから、比較的裕福で、実際に身代金を支払う傾向のある国は狙われやすいです」と警告した。

　東芝は9月12日、インフラ設備やプラント設備の点検業務に活用可能な画像異常検知AIの開発を発表した。本技術では、画像を用いた検知手法と言語を用いた検知手法の二つを、画像と言語を組み合わせたAIモデル「Vision︲Language Model」(VLM)上で融合させることで、過検知の抑制を実現している。

　画像による検知は、東芝が2022年5月に発表した、数枚の正常画像と点検画像の比較で変状箇所を特定する画像検知手法「差分検知型画像異変検知技術」がベースとなっている。この技術は、点検画像の撮影位置や角度が正常画像とずれていても高精度に変状箇所を検知でき、過検知の抑制が可能であった。しかし、背景や周囲の構造物が複雑な画像では、過検知の抑制に限界があった。

　そこで東芝は、画像検知に言語指示を組み合わせることで、さらなる精度向上を図った。だが、利用者の言語指示の仕方によって検知精度が変化する課題が浮上した。これに対し、AIがユーザーの言語指示に対して類似表現を自動生成し、それらを検知候補としてVLMにインプットする仕組みを導入したのだ。例えば道路上の「障害物」を検知対象とする場合、ユーザーが「障害物は検知対象」と入力するだけで、AIが「障壁物」「妨げ物」などの類似表現を自動生成する。そして障害物を検知対象として扱えるようにすることで、最適な検知対象領域を選定していく。この仕組みにより、さらなる過検知の抑制を実現しているのだ。

　東芝 総合研究所 AIデジタルR&Dセンター アナリティクスAI研究部 エキスパート 瀧本崇博氏は「今後は鉄道や道路、工場、電力、プラントなど、さまざまな設備保全への活用を目指し、実用化に向けて研究開発を加速させていきます」と意気込みを語った。