Verizon 2025 DBIR: サードパーティリスクの爆発とデータセキュリティ戦略への影響

最新の2025年版Verizonデータ侵害調査報告書（DBIR）は驚くべき現実を明らかにしています。データ侵害における第三者の関与がわずか1年で15%から30%に倍増しました。この劇的な増加は、セキュリティリーダーが直ちに対処すべき脅威の状況における根本的な変化を示しています。組織が外部ベンダー、クラウドプラットフォーム、パートナーにますます依存する中で、セキュリティの境界が事実上消失し、機密データに対する前例のないリスクが生じています。

今年のDBIRは、12,000件以上の確認されたデータ侵害を分析しました。これは単一の報告書で調査された中で最も多い数であり、脅威アクターがどのように組織を標的にしているかについての権威ある知見を提供しています。第三者リスクの爆発的増加を超えて、報告書はランサムウェア、脆弱性の悪用、生成AIプラットフォームからの新たな脅威の大幅な増加を記録しています。

この分析では、2025年版DBIRからの最も重要な5つの発見を分解し、これらの進化する脅威に対抗するためのセキュリティ戦略を強化するための実行可能な推奨事項を提供します。

Verizonデータ侵害調査報告書とは？

Verizonデータ侵害調査報告書は、サイバーセキュリティ業界における実際のセキュリティインシデントの最も包括的で権威ある分析として位置づけられています。2008年から毎年発行されており、Verizon自身の脅威調査データと、法執行機関、フォレンジック専門家、サイバーセキュリティ企業、インテリジェンス組織を含む約100のグローバルパートナーからの貢献を組み合わせています。

DBIRが他のセキュリティ報告書と異なるのは、その厳密な方法論です。2025年版では、22,052件のセキュリティインシデントを分析し、そのうち12,195件が2023年11月1日から2024年10月31日までに発生した確認されたデータ侵害でした。これは単一のDBIR報告書で分析された中で最も多い侵害数を表しています。

DBIRチームは、VERIS（イベント記録とインシデント共有のための語彙）フレームワークを適用して、この膨大なデータセットを正規化し、業界、企業規模、地域を超えた一貫した分析を可能にしています。この標準化されたアプローチは、脅威アクターが組織を侵害するために使用する戦術、技術、手順についての信頼できる知見をセキュリティ実務者に提供します。

第三者リスクの爆発：なぜパートナーが今や最大の脅威なのか

今年のDBIRで最も懸念される進展は、第三者を通じて発生する攻撃の驚くべき増加です。この傾向は、最近の「2024年のトップ11データ侵害」報告書の発見と一致しており、第三者の脆弱性が主要な侵害の64%の入り口であったことを示しています。これは、セキュリティが最も弱いベンダーと同じくらい強いことを証明しています。

第三者の関与がすべての侵害の30%に倍増

2025年版DBIRで最も驚くべき発見は、侵害における第三者の関与が昨年の約15%から今年は30%に倍増したことです。これは単なる統計的な変動ではなく、脅威アクターが組織を標的にする方法における根本的な変化を表しています。

報告書は、この傾向を例証するいくつかの注目すべきインシデントを強調しています。Change Healthcare、CDK Global、Blue Yonderに影響を与えたサービスプロバイダーの侵害は、プライベートデータを露出させただけでなく、業界全体にわたる大規模な運用ダウンタイムを引き起こしました。これらのインシデントは、サイバーセキュリティリスクと運用リスクを効果的に組み合わせ、数千の下流組織に影響を与える連鎖的な失敗を引き起こしました。

この傾向が特に懸念されるのは、多くの組織が第三者エコシステムに対する可視性を欠いていることです。DBIRは、企業がすべての第三者依存関係を特定することさえ困難であり、関連するリスクを評価し軽減することはなおさらであると指摘しています。

GitHubの秘密情報と漏洩した認証情報：94日間の問題

第三者リスクの爆発の主な要因は、組織の境界を越えたアクセス認証情報と秘密情報の管理の課題です。DBIRは、GitHubリポジトリで発見された漏洩した秘密情報を修正するまでの中央値が驚くべき94日であることを明らかにしています。

これらの露出した秘密情報には、さまざまな認証メカニズムが含まれています：

• 39%がウェブアプリケーションインフラストラクチャの秘密情報（そのうち66%がJSON Webトークン）
• 開発およびCI/CDの秘密情報がもう一つの重要なカテゴリを占めています
• クラウドインフラストークンとデータベース接続認証情報が最も一般的なタイプを締めくくります

この長期間の露出ウィンドウは、脅威アクターにこれらの認証情報を発見し悪用する十分な時間を与えます。攻撃者がこれらの秘密情報にアクセスすると、通常のセキュリティコントロールを完全に回避し、正当なユーザーやサービスとして偽装することができます。

2024年4月のSnowflake侵害のDBIR分析は、示唆に富む例を提供します。このケースでは、脅威アクターが特定のSnowflake顧客が多要素認証（MFA）を強制していないことを特定しました。彼らは脆弱なアカウントを発見するための特定のツールを開発し、大規模に悪用し、約165の組織から機密データを流出させました。

ランサムウェアの継続的な急増：新しい戦術と変化する支払い

防御と認識が向上しているにもかかわらず、ランサムウェアはすべてのセクターで支配的な脅威であり続けています。2025年版DBIRは、セキュリティリーダーが理解すべきランサムウェアの戦術と経済の重要な変化を明らかにしています。これらの発見は、「2024年のトップ11データ侵害」報告書と一致しており、ランサムウェアがトップ11の侵害のうち3つで重要な役割を果たし、Change Healthcareの2200万ドルの身代金支払いが最も重要であることを示しています。

侵害の44%がランサムウェアを含む

ランサムウェアはその絶え間ない成長軌道を続けており、2025年版DBIRで分析されたすべての侵害の44%に登場しています。これは前年の32%から劇的に増加しています。この37%の増加は、ランサムウェアが財政的に動機付けられた脅威アクターにとって依然として好まれる攻撃手法であることを示しています。

DBIRは、この数字には従来の暗号化ランサムウェアと、盗まれたデータを公開すると脅す「純粋な恐喝、非暗号化」バリアントの両方が含まれていると指摘しています。これは、攻撃者がデータ露出の脅威が暗号化と同じくらい強力であることを認識しているため、ランサムウェアの戦術が進化し続けていることを反映しています。

特に懸念されるのは、中小企業への不均衡な影響です。ランサムウェアは大規模な組織の侵害の39%に影響を与えていますが、中小企業を標的とする侵害の88%に登場しています。この差異は、中小企業がこれらの攻撃に効果的に対抗するためのセキュリティリソースと回復能力を欠いている可能性を示唆しています。

減少する身代金：115,000ドルと64%の不払い

ランサムウェアの蔓延にもかかわらず、抵抗戦略が効果を発揮している兆候があります。2025年版DBIRは、中央値のランサムウェア支払いが115,000ドルに減少し、前年の150,000ドルから減少したことを報告しています。さらに励みになるのは、被害を受けた組織の64%が身代金を支払うことを拒否したことで、これは2年前の50%から増加しています。

この支払い拒否の増加は、ランサムウェア経済に影響を与えているようです。報告書は、2024年には95%の身代金が300万ドル未満であったと指摘しており、2023年に報告された990万ドルの数字から大幅に減少しています。DBIRチームは、これらの減少が直接関連していると示唆しています。支払いを行う組織が減少するにつれて、攻撃者は要求を下げざるを得なくなっています。

しかし、報告書は、これをランサムウェアが全体的に利益を減少させている兆候と解釈することに対して警告しています。支払い額の減少は、ランサムウェアグループが市場の現実に適応し、個々の支払い額よりもボリュームに焦点を当てることで、総収入を維持または増加させている可能性を示唆しています。

脆弱性の悪用：エッジデバイス危機

ランサムウェアの傾向から特定の脆弱性の悪用パターンに移行する中で、2025年版DBIRは、攻撃者がネットワークへの初期アクセスを求める際にエッジデバイスが主要な焦点となっていることを強調しています。この傾向は、リモートワークとクラウドの採用が加速する中で、組織が防御しなければならない攻撃面の拡大を反映しています。

エッジデバイスとVPN：悪用の800%増加

2025年版DBIRは、ネットワークエッジデバイスを標的とする攻撃の驚くべき増加を記録しており、VPNとエッジデバイスの脆弱性の悪用がほぼ8倍に増加しています。これは、脅威アクターがこれらのデバイスが他の方法では保護されたネットワークへの直接の道を提供することを認識していることを反映しています。

この傾向には、複数のベンダーとプラットフォームにわたるいくつかの注目すべき脆弱性が関与しています。報告書は、報告期間中にCISAの既知の悪用脆弱性（KEV）カタログに追加された17の重要なエッジデバイス脆弱性をサンプルとして取り上げており、7つの異なるベンダーに影響を与えています。

これらの脆弱性が特に危険なのは、それらが悪用される速度です。報告書は、エッジデバイスの脆弱性に対するCVE公開と大規模な悪用の間の中央値がゼロ日であることを発見しました。つまり、攻撃はしばしば公開と同時に（またはそれ以前に）開始され、防御者にパッチを実装する時間を与えません。

エッジデバイスの脅威に対する組織の対応

組織はエッジデバイスの脆弱性の重要性を認識しているようで、DBIRは報告期間中にこれらの脆弱性の54%が完全に修正されたと指摘しています。これは、CISA KEVカタログのすべての脆弱性の38%の修正率と、スキャンで特定されたすべての脆弱性のわずか9%と比較して好ましい結果です。

しかし、完全な修正までの中央値は依然として32日であり、ゼロデイの悪用タイムラインを考えると、かなりの露出ウィンドウを作り出しています。報告書はまた、これらの重要なエッジデバイスの脆弱性の30%が完全に未解決のままであり、成功した侵害に寄与している可能性があると指摘しています。

DBIRチームは、この状況をシーシュポスの神話に例えています。常に上り坂を押し上げる岩を押し戻すように、新たな重要な脆弱性の絶え間ない流れがパッチの終わりのないサイクルを作り出し、セキュリティチームが脅威に先んじる機会を制限しています。

人間要素と認証情報の窃盗が侵害の中心に残る

技術的な脆弱性が大きな注目を集める一方で、2025年版DBIRは、人間要因がデータ侵害において依然として重要な役割を果たしていることを思い出させます。これらの人間中心の攻撃ベクトルを理解することは、技術的および行動的なセキュリティ側面の両方に対処する効果的な防御を開発するために不可欠です。

侵害の60%が依然として人間要素を含む

攻撃の自動化が進んでいるにもかかわらず、人間要素はデータ侵害において重要な要因であり続けています。2025年版DBIRは、侵害の60%が攻撃チェーンのどこかで人間の関与を含んでいたと報告しています。これは、ソーシャルエンジニアリング、エラー、認証情報の悪用を通じて行われました。

報告書は、これらの人間中心の侵害をその構成要素に分解しています：

• ソーシャルエンジニアリング行動は侵害の24%に登場しました
• 認証情報は42%のケースで悪用されました
• エラーが侵害の15%を引き起こしました
• 人間の関与を必要とするマルウェアが44%のインシデントに関与しました

これらの人間中心の攻撃が特に難しいのは、その相互接続性です。たとえば、成功したフィッシングはしばしば認証情報の窃盗につながり、それがより広範なネットワークアクセスを可能にします。これにより、検出の機会が増えますが、同時に層状の防御が必要です。

情報窃盗マルウェアとBYOD：企業ログイン危機

認証情報の窃盗は進化を続けており、情報窃盗マルウェアがますます重要な役割を果たしています。DBIRの情報窃盗マルウェアログの分析は、侵害されたシステムの30%が企業ライセンスのデバイスであったことを明らかにしました。しかし、より懸念される発見は、企業ログインが侵害されたシステムの46%が管理されていないデバイスであったことです。

これは、BYODポリシーと仕事目的での個人デバイスの使用によるリスクの増加を示しています。組織が企業管理デバイスに強力なセキュリティコントロールを実装している場合でも、従業員はしばしば同等の保護を欠いた個人デバイスから仕事のリソースにアクセスしています。

DBIRチームは、情報窃盗認証情報の侵害とその後のランサムウェア攻撃との直接的な相関関係を発見しました。ランサムウェアの被害者に関連するドメインを分析することで、被害者の54%がランサムウェア攻撃の前に情報窃盗ログにドメインが登場し、40%が企業のメールアドレスを露出していたことを発見しました。

新たなGenAIの脅威：データ漏洩の新たなフロンティア

従来のセキュリティの懸念を超えて、2025年版DBIRは、多くの組織が認識し始めたばかりの重要な新しいリスクベクトルを特定しています。それは、生成AIプラットフォームの使用とそれが機密データを露出させる可能性です。この新たな脅威は、従業員が生産性向上のためにAIツールを急速に採用しているため、セキュリティリーダーからの即時の注意を必要とします。

従業員の15%が企業デバイスでGenAIを定期的に利用

2025年版DBIRは、新たに急速に成長しているリスクベクトルを強調しています：生成AIプラットフォーム。報告書は、従業員の15%が企業デバイスで生成AIシステムに定期的にアクセスしていることを発見しました（少なくとも15日に1回）、これにより潜在的な機密データ露出の新たなチャネルが生まれています。

これが特に懸念されるのは、この使用に関連する認証パターンです。DBIRは、AIプラットフォームにアクセスする従業員の72%がアカウント識別子として非企業メールアドレスを使用していることを発見しました。さらに17%は企業メールを使用していましたが、SAMLのような統合認証システムを使用しておらず、これらのツールが公式の企業ポリシー外で使用されていることを示唆しています。

この使用パターンは、データガバナンスの深刻な課題を生み出します。生成AIの一般的な使用ケースには要約、コーディング支援、コンテンツ作成が含まれるため、従業員はこれらのプラットフォームに機密の企業データ、知的財産、個人情報をアップロードしている可能性があります。従来のソフトウェアとは異なり、生成AIツールは通常、アップロードされたデータを保持し、他のユーザーに提供される将来の出力に要素を組み込む可能性があります。

管理されていないAIアクセスの危険性

管理されていないAIアクセスのリスクは、単純なデータ漏洩を超えています。DBIRは、AIプラットフォームが意図せずに機密データを露出させた複数の事例を記録しており、2025年1月のDeepSeekモデルが企業情報を含むチャット履歴を漏洩していることが発見された事件を含んでいます。

報告書はまた、AIがモバイルデバイスのコアオペレーティングシステム機能に統合されている方法を強調しています。音声アシスタント、メッセージングアプリ、カメラ機能がAIモデルを活用しており、これらの機能の多くはデフォルトで有効になっているため、従来のセキュリティコントロールを回避する可能性のあるプライベートデータ露出の追加ベクトルを作り出しています。

規制されたデータや貴重な知的財産を持つ組織にとって、これらのAIプラットフォームは重大なガバナンスギャップを表しています。DBIRは、従来のデータ損失防止ツールがこのタイプのデータ共有を効果的に監視または制御できない可能性があることを指摘しており、セキュリティプログラムに盲点を作り出しています。

AI生成の脅威：データ漏洩を超えて

2025年版DBIRはまた、脅威アクターによるAIの使用の増加を記録しています。メールセキュリティパートナーからの分析は、悪意のあるAIによって書かれたメールが過去2年間で約5%から10%に倍増したことを示しています。この傾向は、大規模言語モデルベースのチャットツールが広く利用可能になる前に始まり、それ以来加速しています。

OpenAIとGoogleの両方が、影響力操作、フィッシング試み、悪意のあるコード開発を強化しようとする国家支援のアクターからの使用を特定したと報告しています。プラットフォームは悪用を防ぐためのコントロールを実装していますが、報告書は脅威アクターがこれらの制限を回避する方法を見つけ続けていると指摘しています。

報告書は、AIが脅威の状況に与える影響がまだ進化していることを示唆しています。攻撃を革命的に変えるのではなく、AIは主に脅威アクターが効率、パーソナライズ、言語の質を向上させるのを助けており、ソーシャルエンジニアリングの試みをより説得力のあるものにし、検出を難しくしています。

包括的なAIセキュリティコントロール

DBIRは、AI関連のデータリスクを管理するための多層的なアプローチを推奨しています：

1. 外部AIプラットフォームと共有できるデータの種類を明確に指定するAI使用ポリシーを開発する
2. ネットワーク監視や未承認のAIサービスのブロックなど、機密データ共有を防ぐための技術的コントロールを実装する
3. 適切なデータガバナンスとセキュリティコントロールを備えた承認済みのエンタープライズグレードのAIツールを提供する
4. AIプラットフォームアクセスの認証要件を確立し、シングルサインオンとMFAを通じて行うことを推奨する
5. AIプラットフォームと機密データを共有するリスクについて従業員を教育するトレーニングプログラムを作成する
6. シャドーAIの使用を監視し、未承認のデータ共有を検出する能力を実装する

報告書は、組織がAIガバナンスを全体的なデータセキュリティ戦略の重要な要素としてアプローチすべきであり、別個の技術イニシアチブとしてではないと強調しています。

2025年以降のデータセキュリティ戦略

2025年版DBIRで特定された主要な脅威を検討した結果、組織はセキュリティ戦略を根本的に再考する必要があることが明らかです。第三者侵害の増加、ランサムウェアの進化、AIデータ漏洩のような新たな脅威の台頭は、今後の年に向けて包括的で適応可能なセキュリティ姿勢を必要としています。

第三者リスク管理の優先順位付け

第三者侵害の劇的な増加を考慮し、DBIRは包括的な第三者リスク管理の必要性を強調しています。報告書は以下を推奨しています：

1. 調達時にベンダー選定の重要な要素としてセキュリティ成果を組み込む
2. ポイントインタイム評価ではなく、第三者のセキュリティ姿勢の継続的な監視を実施する
3. 第三者侵害を考慮したインシデント対応計画を策定する
4. 契約およびサービスレベル契約に明確なセキュリティ要件を確立する
5. 第三者接続のためのネットワークセグメンテーションとアクセスコントロールを実施する
6. APIキーやサービスアカウントを含むすべての第三者アクセスに対して強力な認証を要求する

報告書は、組織が単にベンダーに適切なセキュリティを維持することを頼ることはできないと指摘しています。代わりに、組織はサプライチェーン全体でセキュリティ要件を評価、監視、強制する積極的な役割を果たす必要があります。

多層的なデータセキュリティ戦略の構築

2025年版DBIRは、境界に焦点を当てたセキュリティアプローチから、データが存在する場所に関係なく、そのライフサイクル全体を通じて機密情報を保護するデータ中心のモデルへの移行を推奨しています。この戦略の重要な要素には以下が含まれます：

1. すべてのシステムで強力な認証を実施し、すべてのユーザーに対してMFAを強制する
2. 特にエッジデバイスに対するインターネット向けシステムの脆弱性管理を優先する
3. ランサムウェアの影響を軽減するための包括的なバックアップと回復能力を構築する
4. 異常なデータアクセスや移動を特定できる検出能力を開発する
5. 初期の侵害後の横方向の移動を制限するための適切なセグメンテーションを実施する
6. AIプラットフォームのような新たなリスクに対処するデータガバナンスポリシーを確立する
7. 認証情報の保護とフィッシング認識に焦点を当てた従業員意識プログラムを作成する

報告書は、組織が純粋に予防的な対策ではなく、セキュリティのレジリエンスに焦点を当てるべきであると強調しています。いくつかの侵害は避けられないが、その影響を最小限に抑えることを目指しています。

データセキュリティ戦略のための重要なポイント

2025年版Verizon DBIRは、適応的なセキュリティ戦略を必要とする進化する脅威の状況を明確に示しています。第三者侵害の倍増は、サプライチェーンセキュリティへの新たな焦点を要求し、ランサムウェアの継続的な支配は予防的なコントロールと強力な回復能力の両方を必要とします。

エッジデバイスの悪用の爆発は、優先的な脆弱性管理を求め、人間要素の持続的な影響は、技術的なコントロールがユーザーの意識とトレーニングによって補完される必要があることを思い出させます。最後に、AIの出現がデータ漏洩の潜在的なベクトルとして、また攻撃者のツールとして新たなガバナンスアプローチを必要としています。

これらの主要なトレンドを理解し、報告書の推奨事項を実施することで、セキュリティリーダーは2025年以降の最も重要な脅威から組織をよりよく保護することができます。前進する道は、技術的なソリューションと人間要因、予防的な対策と検出および対応能力、コンプライアンス要件と実際のセキュリティ成果をバランスさせることを必要とします。

この包括的でリスクベースのアプローチを採用する組織は、今年のDBIRで明らかにされたますます複雑な脅威の状況を乗り越えるためにより良い位置に立つことができるでしょう。報告書が結論付けているように、セキュリティはすべてのリスクを排除することではなく、それらを理解し、優先順位を付け、効果的に管理することです。