ExtraHopの2025年脅威動向レポート：主な知見

組織が直面する脅威の状況は、重大な転換点に達しています。かつては孤立したセキュリティインシデントだったものが、今や業界全体を麻痺させるシステミックなリスクへと進化しました。ExtraHopの2025年グローバル脅威動向レポートは、厳しい現実を明らかにしています。組織が経験するランサムウェア攻撃は全体的に減少しているものの、発生した場合の被害やコストはこれまでになく深刻化しています。

本分析では、データセキュリティとコンプライアンスの観点からレポートの知見を検証し、CISO、コンプライアンス担当者、リスクマネージャーが直面する具体的な課題を特定します。攻撃対象領域の拡大、検知までの長期化、運用上の対応ギャップがどのように規制リスクを生むのか、そして統合型データガバナンスプラットフォームがこれらの課題にどう立ち向かえるのかを探ります。

主なポイント

1. ランサムウェア攻撃は減少傾向だが、被害はより深刻に。 組織が経験するインシデントは25%減少しましたが、平均身代金は360万ドルに上昇（2024年比100万ドル増）。医療業界は最高額の750万ドルを支払い、影響を受けた組織の70%が最終的に身代金を支払っています。
2. 検知までの長期化が規制リスクを拡大。 ランサムウェア攻撃者は検知されるまで平均2週間アクセスを維持し、封じ込めにはさらに2週間を要します。この4週間の猶予は、GDPRの72時間通知義務やHIPAAの60日通知要件の遵守を極めて困難にしています。
3. パブリッククラウドとサードパーティ連携が主要な攻撃対象。 クラウド環境が最大のサイバーセキュリティ懸念（53.8%）、次いでサードパーティサービス（43.7%）。Snowflake（165社が被害）やSalt Typhoonの大規模侵害は、被害が顧客全体に波及することを示しています。
4. フィッシングが依然として攻撃者の主な侵入口。 ソーシャルエンジニアリングやフィッシングが初期侵入経路の33.7%を占め、次いでソフトウェア脆弱性（19.4%）。認証情報の侵害により、攻撃者は横展開や権限昇格、長期間の潜伏活動を可能にします。
5. 分断されたセキュリティツールがSOCの有効性を損なう。 環境全体の可視性不足（40.98%）、人員不足（38.53%）、統合性の低いツール（34.04%）が脅威対応を妨げています。全データ交換チャネルの統合監視により、死角を排除し、インシデントの迅速な相関分析が可能になります。

攻撃対象領域の拡大とサードパーティリスク

組織は、あらゆる接続ポイントが潜在的なリスクとなる、ますます複雑化するデジタルエコシステムに直面しています。ExtraHopレポートは、セキュリティリーダーが最も重大なサイバーセキュリティリスクと見なす3つの攻撃対象領域を特定しています。

• パブリッククラウド環境 が53.8%で最も高い懸念事項となっており、特に米国（61.6%）やテクノロジー業界（59.2%）で顕著です。2024年のSnowflake侵害は、クラウドプラットフォームの侵害が顧客全体に波及することを示しました。Pure StorageやAT&Tなどを含む少なくとも165社のSnowflake顧客がデータ漏洩を経験し、その顧客にも影響が及びました。
• サードパーティサービスおよび連携 は43.7%で2番目に高い懸念事項です。通信業界では、パブリッククラウドインフラと並ぶ最重要リスクと見なされています。この認識は、Salt Typhoon攻撃のように、脅威アクターがサードパーティベンダーや請負業者を介してVerizon、AT&T、T-Mobile、Lumen Technologiesなどの大手プロバイダーを侵害した実例に基づいています。
• 生成AIアプリケーション は41.9%で3番目の懸念事項となり、レガシーシステム（23.5%）やエンドポイントデバイス（30.6%）を上回っています。AI関連リスクへの懸念が最も高いのはフランス（59%）、最も低いのはUAE（36.8%）です。

攻撃対象領域拡大のコンプライアンスへの影響

外部接続ごとにデータ主権や監査証跡のリスクが生じます。複数のSaaSプラットフォーム、メールゲートウェイ、管理されていないファイル共有サービスを利用することで、統制が分断され、コンプライアンス証明が極めて困難になります。

NIST CSF 2.0、ISO 27001、GDPR第28条のプロセッサ責任要件を考慮してください。これらのフレームワークは、組織がインフラ全体およびサードパーティとの関係を通じてデータがどのように移動するかを包括的に可視化することを求めています。分断されたシステムでは、監査人が求める証拠の提示がほぼ不可能です。

Kiteworksのプライベートデータネットワークは、この課題を統合的なコントロールポイントでデータ交換チャネルを集約することで解決します。組織は、ファイル転送、メール、Webフォームのワークフロー全体で一貫した可視性とポリシー適用を実現し、コンプライアンス証明やサプライチェーンリスク最小化に不可欠な機能を得られます。

データ交換チャネルを統合コントロールポイントで集約することで、組織はファイル転送、メール、フォームワークフロー全体で可視性とポリシーの一貫性を確保でき、コンプライアンス証明やサプライチェーンリスクの最小化に不可欠です。

CISAは、サードパーティリスクを軽減したい組織向けにガイダンスを公開しています。推奨事項には、外部接続を受け入れるすべてのデバイスの監視、ユーザーおよびサービスアカウントのログイン異常の追跡、最新のデバイス・ファームウェアのインベントリ維持、アラートルールを伴う行動ベースラインの確立、すべての対応プロトコルでのTLS 1.3実装の確認が含まれます。

ランサムウェア経済：攻撃減少とリスク増大

ランサムウェアの状況は根本的に変化しています。組織が経験するインシデントは減少しましたが、1件あたりの被害は大幅に深刻化しており、サイバー犯罪者が無差別な機会主義的攻撃から、財務的インパクトを最大化する標的型作戦へと戦略を転換していることが反映されています。

グローバル脅威動向レポートによると、調査回答者は過去12か月間に平均5～6件のランサムウェアインシデントを報告しており、これは2024年のほぼ8件から約25%の減少です。しかし、この全体的な減少の裏には懸念すべき傾向が隠れています。年間20件以上のランサムウェアインシデントを経験した組織の割合は3倍に増加し、前年比0%から3%に上昇しています。

この攻撃の集中化は、特に重要インフラ分野で顕著です。医療機関の20%が年間20件以上のインシデントを経験し、政府機関では10%が該当します。

財務的インパクト

身代金を支払った組織では、コストが大幅に増加しています。平均身代金は360万ドルに達し、2024年の平均250万ドルから100万ドル増加しました。ただし、この金額は地域や業界によって大きく異なります。

• UAEは世界で最も高い負担を抱えており、平均7件のランサムウェアインシデントを経験し、身代金支払い額は世界平均より26%高い540万ドルに達しています。
• 対照的にオーストラリアは、年間わずか4件と最も少ないインシデント数で、平均支払い額も250万ドルと最低水準です。

業界別分析では、医療機関が最高額の750万ドル、次いで政府機関がほぼ750万ドル、金融サービスが380万ドルの身代金を支払っています。

これらの数字は、今年最も注目された高額支払いと比べると見劣りします。あるFortune 50企業は7500万ドル、CDK Globalは5000万ドル、Change Healthcareは2200万ドルを支払いました。

コストが増加する中でも、影響を受けた組織の70%が最終的に身代金を支払っています。ただし、決して支払わない組織の割合も3倍に増加し、前年比9%から30%に上昇しています。

潜伏期間と検知の課題

組織は、ランサムウェア攻撃者が検知されるまで平均2週間システムへのアクセスを維持していたと推定しています。政府や教育分野では、この潜伏期間がそれぞれ約7週間、5週間と大幅に長くなっています。

レポートによると、回答者の約3分の1（30.6%）は、データ流出が始まってから、またはその最中に初めてランサムウェア攻撃の標的になっていることに気付きました。偵察段階で脅威を検知できたのはわずか17.59%、初期アクセス段階での検知は29.27%、横展開や権限昇格時の検知は22%でした。

コンプライアンスと規制リスク

潜伏期間の長期化は、重大な通知コンプライアンス問題を引き起こします。検知後も、組織はアラート対応や封じ込めまでに平均2週間を要します。米国では平均2.8週間、政府や運輸などの重要分野では3週間を超える対応期間が必要です。

この4週間の侵害から封じ込めまでの期間は、重大な規制上の課題を生みます。GDPRはインシデント認知から72時間以内の通知を要求し、HIPAAは500人以上に影響する侵害について60日以内の通知を義務付けています。CMMCもコンプライアンス維持のためのインシデント報告要件を含みます。

包括的なフォレンジック監査証跡がなければ、組織はデータの流れや影響を受けた個人の特定に苦慮し、規制義務を果たすための基本要件を満たせません。どのデータが、いつ、誰にアクセスされたかを迅速に特定できなければ、攻撃による運用・財務被害に加え、規制上のペナルティリスクも高まります。

Kiteworksは、予防、異常検知、不変のフォレンジック機能を組み合わせることで、4週間の侵害から封じ込めまでの期間を短縮し、規制リスクと財務的インパクトを軽減します。

SOCの効率とツールの分断

セキュリティオペレーションセンター（SOC）は、複数の課題が重なり合い、その有効性が損なわれています。ExtraHopレポートによると、迅速な脅威対応を最も妨げている障害については、複数の重要分野でほぼ均等に分布していることが判明しました。

• 環境全体の可視性不足が40.98%で最も多く、次いで人員不足・スキルギャップが38.53%です。
• アラートの過多は34.15%、分断され統合性の低いツールは34.04%の組織に影響しています。
• 非効率的または手作業のSOCワークフローは33.70%、予算や経営層の支援不足は29.09%です。
• 組織内のサイロ化も26.04%で課題となっています。

可視性の課題は、特定分野で特に深刻です。テクノロジー企業では44.96%、通信業界43.90%、教育分野51.02%、金融42.22%、旅行・レジャー52.63%が可視性の制限を報告しています。

ガバナンスへの影響

分断された監視体制は、監査時の証拠の完全性に重大な弱点を生みます。セキュリティテレメトリが複数の分断されたプラットフォームから供給されると、組織は一貫したデータ保持ポリシーの維持や、規制調査時の包括的なインシデントタイムラインの作成に苦慮します。

分散したログは、データ保持や報告の不整合リスクを高めます。監査人は、すべての通信・データ転送チャネルにわたる完全かつ相関された証拠を期待します。ファイル共有、メール、Webフォームがそれぞれ異なるシステムで行われている場合、防御可能な監査証跡の構築は飛躍的に困難になります。

主要なSIEMシステムとの統合や統合テレメトリにより、組織は死角を排除し、すべてのデータチャネルにわたる防御可能な監査証跡を維持できます。Kiteworksプラットフォームは、セキュリティチームが既存のセキュリティ情報イベント管理（SIEM）ツールに供給できる集中ログと監視を提供し、既存投資を置き換えることなく包括的な可視性を実現します。

アイデンティティ、アクセス、メールセキュリティ

脅威動向分析によると、フィッシングやソーシャルエンジニアリングが全インシデントの33.7%で主な初期侵入経路となっています。ソフトウェア脆弱性が19.4%で2番目に多く、サードパーティやサプライチェーンの侵害が13.4%で続きます。

認証情報の侵害は初期アクセスベクトルの12.2%を占め、攻撃者の主要な侵入口として増加傾向にあります。一度認証情報が盗まれると、悪意のあるアクターは不正アクセス、ネットワーク内での横展開、より機密性の高いシステムへの権限昇格、さらなるマルウェアやランサムウェア攻撃の展開など、長期間にわたり発見されずに活動できます。

データ保護との関連性

アイデンティティ侵害は、データ流出やサプライチェーン侵害の前段階として頻発します。規制フレームワークは、アイデンティティ証明や最小権限の徹底を基本的なセキュリティコントロールとして重視しています。

攻撃者は、多要素認証（MFA）の実装不備、シングルサインオンの設定ミス、横断的な信頼関係を悪用します。Scattered Spider脅威グループはこの手法の代表例で、調査回答者の約4分の1が検知を報告しています。同グループはMFAを回避し、ヘルプデスクを侵害して初期ネットワークアクセスを獲得、その後ALPHV/BlackCatやRansomHubなどのランサムウェアグループにアクセスを販売しています。

機密性の高い通信をプライベートなメールオーバーレイで分離することで、最も一般的なランサムウェアやデータ窃取の侵入口を遮断できます。Kiteworksは、エンタープライズIDプロバイダーとの連携、MFA要件の強制、最小権限アクセスを全データ交換チャネルで実現するきめ細かな権限モデルなど、強化されたアイデンティティ・アクセス制御を提供します。

ファイル転送、サプライチェーンセキュリティ、データ交換の完全性

サードパーティのファイル転送サービスは、依然として高価値な侵入ターゲットです。攻撃者は、旧式のマネージドファイル転送システムや安全でないAPIを利用してデータ流出を図り、重大なコンプライアンスリスクを生み出します。

サプライチェーンの完全性は、現在CMMC 2.0 レベル2、NIS2、DORAの中核要件です。規制当局は、転送時の暗号化、パートナーごとのセグメンテーション、全データ交換接点での継続的監視を求めています。

Kiteworksプラットフォームは、ファイル転送とサプライチェーンセキュリティに対し、複数の仕組みで対応します。すべてのデータは、FIPS 140-2認証済み暗号モジュールを用いて転送中・保存中ともに暗号化されます。組織はパートナーごとにセキュリティポリシーを適用でき、異なる外部関係間の横展開を防ぐセグメント化環境を構築可能です。継続的監視と自動アラートにより、侵害やデータ窃取の兆候となる異常なファイル転送パターンを検出します。

Kiteworksプライベートデータネットワークを利用する組織は、継続的な監視機能とデータレジデンシー保証を得られ、現代のサプライチェーンセキュリティフレームワークの厳格な要件を満たしつつ、ビジネス関係に必要な運用柔軟性も維持できます。

侵害対応力と規制責任

グローバル脅威動向レポートによると、封じ込めまでの平均期間は2週間を超えています。多くの組織では、自動化されたフォレンジックログや検証可能なデータアクセス履歴がなく、法的防御力に重大な課題があります。

運用への影響

回答者は、サイバーセキュリティインシデント1件あたり平均37時間のダウンタイムを報告しています。半数以上（55%）が平均11時間以上のダウンタイムを経験し、約3分の1は2日以上のダウンタイムが発生しています。

業界別の影響を見ると、運輸分野が平均74時間と最長のダウンタイムを報告しています。これは、2024年8月に発生したシアトル港へのRhysidaランサムウェア攻撃（シアトル・タコマ国際空港で3週間以上システムが停止）などの大規模インシデントと一致しています。

法的防御力要件

改ざん不可能な監査ログは、規制調査や訴訟時のデューデリジェンスを証明する上で不可欠です。証拠の自動化は、GDPR、HIPAA、PCI DSS、CMMCなど複数規格にまたがる報告を支援します。

Kiteworksの不変監査・系統追跡機能は、インシデント後の調査を検証可能で規制対応可能なドキュメントに変換します。すべてのファイルアクセス、メール送信、フォーム送信は、何が・いつ・誰によって行われたかを正確に記録する改ざん防止ログエントリを生成し、コンプライアンス証拠の基礎を築きます。

組織は、手作業による証拠収集なしで、特定フレームワーク要件への準拠を示すコンプライアンスレポートを自動生成できます。この機能は、通知期限が迫る中でリソースが限られるインシデント対応時に特に有用です。

Webフォームと外部エンドポイント

CISAは、フォームやその他の受信インターフェースが横展開の主要な侵入口となると警告しています。不十分なフォーム検証や過剰な個人識別情報の収集は、プライバシー規制下で報告義務のある侵害を引き起こす可能性があります。

プライバシー・バイ・デザインの原則では、収集・保持の最小化が求められます。組織は、必要最小限の情報のみを収集し、目的に必要な期間のみデータを保持し、保持期間終了時には安全に廃棄する仕組みを導入しなければなりません。

Webフォームによるセキュアなデータ収集は、メールやファイル転送の保護と組み合わせることで、組織境界を出入りする機密コンテンツの主要チャネルすべてをカバーできます。

CISO・コンプライアンスチームの即時アクションプラン

ExtraHopレポートは、特定された脆弱性への即時対応を組織に推奨しています。セキュリティ・コンプライアンスリーダーは、次の3つの主要施策を優先すべきです。

1. 包括的な攻撃対象領域インベントリ
   • すべてのクラウドサービス、サードパーティ連携、外部データ交換ポイントの詳細なインベントリ作成
   • 組織境界をまたぐデータフローをマッピングし、機密情報が内部システムと外部間でどこを通過するか特定
   • 各接続ポイントのセキュリティ状況を評価（認証方式、暗号化実装、アクセス制御など）
   • 中央監視・ガバナンス外でデータ交換が発生している可視性のギャップを特定
2. 統合監視と検知
   • ファイル転送、メール、API、Webフォームなど、すべてのデータ交換チャネルを横断的に可視化できるソリューションを導入
   • 異常な活動を即座に検知できる行動ベースラインを確立
   • 不審なパターン発生時に即時通知する自動アラート機構を導入
   • データ交換テレメトリを既存SIEMプラットフォームと連携し、機密コンテンツの動きと他のセキュリティイベントを相関分析
3. コンプライアンス証拠の自動生成
   • すべてのデータアクセス・送信イベントに対し、不変の監査ログを自動生成するプラットフォームを導入
   • 規制要件と運用ニーズを両立する保持ポリシーを実装
   • 特定フレームワークコントロールへの準拠を示す自動レポート機能を構築
   • インシデント対応時、通知期限が迫る中でも迅速に証拠を取得できるプロセスを確立

これらの施策により、レポートのガイダンスを測定可能な運用成果へと転換し、調査で特定された攻撃対象領域の拡大、検知遅延、コンプライアンス課題に直接対応できます。

セキュリティリーダーが知っておくべきこと

2025年グローバル脅威動向レポートは、現代サイバーセキュリティに関する3つの本質的事実を明らかにしています。第一に、クラウドサービス、サードパーティ連携、生成AIなどの新技術導入により攻撃対象領域が拡大し、各接続ポイントが新たなリスクをもたらしています。第二に、検知・対応までの期間が危険なほど長期化し、攻撃者に数週間の持続的活動を許しています。第三に、こうした運用上のセキュリティ課題が、通知要件の遵守やデューデリジェンス証拠の提出に苦慮することで、直接的な規制リスクを生み出しています。

無差別な大量攻撃から標的型キャンペーンへのシフトにより、すべての組織が優先ターゲットとなる可能性に直面しています。身代金要求額の増加、潜伏期間の長期化、運用混乱の拡大は、サイバー犯罪者がインパクトと収益最大化のため手法を洗練させている証拠です。

CISOやコンプライアンス担当者にとって、この環境はセキュリティアーキテクチャの抜本的な見直しを迫ります。かつて十分だった分断システムは、今や巧妙な攻撃者に容易に悪用される死角を生みます。現代の規制フレームワークが課す証拠要件は、手作業や分断されたログシステムでは満たせません。

組織には、すべてのデータ交換チャネルを横断する統合的な可視性とコントロールが必要です。プロアクティブなセキュリティ監視とリアクティブなインシデント対応の両方を支える自動証拠生成が求められます。攻撃者に1か月もの活動猶予を与えている検知から封じ込めまでのタイムラインを短縮しなければなりません。

Kiteworksプライベートデータネットワークは、ExtraHop調査で特定されたすべての優先領域に対し、具体的な対応策を提供します。ファイル転送、メール、セキュアフォーム、APIを統合ガバナンス下に集約することで、攻撃対象領域を縮小しつつ可視性を向上。自動ログ生成とコンプライアンス報告により、規制リスクの原因となる証拠生成課題を解消します。既存セキュリティインフラとの連携で、全面的な技術刷新なしに相関分析・可視化を実現します。

脅威の状況は今後も進化し続けますが、基本要件は変わりません。「何を持っているか把握し、何が起きているかを見極め、適切に対応したことを証明する」。これらの能力を確立した組織こそが、現在の脅威にも将来の課題にも対応できるのです。

2025年グローバル脅威動向レポートで特定された攻撃ベクトルにKiteworksがどのように直接対応するか、詳細な評価をご希望の場合は、デモのご依頼やKiteworksチームへのエグゼクティブ向け個別説明をご相談ください。