多くの企業では進化を続けるサイバー脅威から自社を守るためにさまざまなセキュリティ対策を講じています。ところが、2024年のサイバー攻撃の被害件数は過去最大になるなど、セキュリティインシデントの件数は年々増加傾向にあることが明らかになりました。
今回は、2024年に発生したセキュリティインシデントを踏まえた最新の攻撃・被害の傾向や今後講じるべきセキュリティ対策について徹底解説します。
まず、IPA(独立行政法人情報処理推進機構)が2025年1月に発表した「情報セキュリティ10大脅威2025」のうち、法人の10大脅威のランキングについてご紹介します。
「情報セキュリティ10大脅威2025」とは、IPAが2024年に発生した情報セキュリティの事案より脅威候補を選出し、そこから情報セキュリティ分野の研究者・企業の実務担当者など約200名が審議・投票を行い、決定したものです。
![情報セキュリティ10大脅威 2025 [組織]](https://snx.co.jp/wp-content/uploads/2025/02/情報セキュリティ10大脅威2025-1.jpg)
1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」の順位は前年と同様の順位でした。「システムの脆弱性を突いた攻撃」が7位から3位に順位を上げたり、新たに新設された「*地政学的リスクに起因するサイバー攻撃」が7位に選出したりするなど、年々サイバー攻撃が多様化・巧妙化していることが伺えます。
そのため、最新のサイバー攻撃やセキュリティ対策について継続的に情報収集することや各脅威が自社で発生した場合のリスクを明確にしておくこと、そして現在使用している機器・サービスへの適切なセキュリティ対策を行うことが重要です。
*地政学的リスク
地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのこと。
< セキュリティインシデントの関連記事はこちら>
次に、2024年にトレンドマイクロ社が発表した国内企業のサイバー被害の報告件数について解説します。
コンピューターやインターネット用のセキュリティ関連製品の開発・販売を行っているセキュリティベンダーのトレンドマイクロ社の発表によると、2024年1月1日~2024年12月15日の期間の中で国内企業より公表されたセキュリティインシデント(紛失・メール誤送信・設定ミスによる意図しない公開のうち不正アクセスが確認されていないもの等は対象外)のサイバー被害の総件数は587件で、前年の383件よりも増加していました。
また、収集・分析を行った期間(350日)を平均すると日々1~2組織がセキュリティインシデントを公表していることになり、常にサイバー攻撃に遭う危険性を伴っていることが窺えます。
2024年にセキュリティインシデントの公表件数が増加した要因の一つに「サイバー攻撃の二次被害の増加」が挙げられることがわかりました。2023年に公表された二次被害件数は81件(年間に公表された被害件数は916件)であったのに対し、2024年(2024年1月1日~2024年12月15日)に公表された二次被害件数は213件にものぼりました。つまり、年間に公表された被害件数587件のうち36.3%が二次被害により公表された件数であったことが明らかになりました。
また、二次被害の報告件数が増加したほとんどの原因は、データを保管している業務委託先がサイバー攻撃を受けたことにより、顧客(委託元)も同様に情報漏えい被害を公表する責任が生じたためでした。
出典元:トレンドマイクロ社「2024年年間セキュリティインシデントを振り返る」
出典元:デジタルアーツ株式会社「[2024年4月公開]過去3年分の国内セキュリティインシデント集計」
サイバー攻撃は年々巧妙化しており、近年ではAI技術を悪用したサイバー攻撃が懸念されるようになっています。英国NCSC(英国国家サイバーセキュリティセンター)が行ったAIのサイバー攻撃への活用可能性と攻撃の脅威に関する調査結果によると、2025年までにAIによるサイバー攻撃の量は増加し、影響力を高めることで「ほぼ間違いない(almost certainly)」と結論付けました。
次に、AI技術の活用によりサイバー攻撃に及ぼす影響について解説します。
AIを悪用することで今後さらなるサイバー攻撃の増加が懸念されています。AI技術を活用することにより、低スキルの攻撃者や初心者ハッカーは偵察能力・フィッシング能力を著しく高めることができます。また、ITを熟知していない人物であっても低コストかつ簡単にサイバー攻撃用のプログラムが作成できるため、金銭・機密情報・いたずらといった目的を問わずサイバー犯罪に参入しやすくなっています。
AIを悪用することで脆弱性・弱点が発見されるスピードが早まることや攻撃の巧妙化が懸念されています。AI技術を活用することでシステムの脆弱性や弱点を探す行為を自動化することができます。また、フィッシング詐欺では、言語問わず違和感のない自然な文章でメールを簡単に作成できるようになります。
生成AIを悪用しマルウェアを作成したとして2024年5月27日に国内で初めてとなる逮捕者が出ました。容疑者はこれまでIT分野に精通していなかったものの、複数の生成AIサービスを悪用することで特定のファイルを暗号化する・仮想通貨口座への送金を要求する文章を表示するプログラムのソースコードを作成するなど、悪意あるコンピュータープログラムを作成していました。
次に、2024年に国内で発生したサイバー被害の中から抜粋した被害事例をご紹介します。
KADOKAWAグループのサーバーが暗号化され、動画配信プラットフォームや出版物の物流システムなど複数のサービスが一時停止しました。また、社員・取引先・利用者の個人情報25万件以上の流出やSNSで流出情報が拡散されるなど、スパムメール等の二次被害も発生しました。
この被害により、社内業務・出版業務への影響だけでなく、顧客離れが発生するなど企業のブランドイメージにも悪影響を及ぼしました。
東京海上日動火災保険の税務・会計業務を委託していた某税理士法人事務所がランサムウェア攻撃を受け、保険契約者・取引先・従業員の個人情報が約6万3200件流出しました。また、委託先の損害保険鑑定会社でも同様にランサムウェア攻撃を受け、損害査定関連書類への影響や約7万2000件の保険契約者等の個人情報が暗号化されるなど、複数の委託先がランサムウェアの被害に遭いました。
国内に住む中学生2人が国内の企業や自身が通っている学校の関連ウェブサイトにサイバー攻撃を仕掛けたとして書類送検されたことが明らかになりました。中学生はYouTubeやオンラインゲームでDDoS攻撃を知り、海外のDDoS攻撃の代行サービスを利用していました。
株式会社イセトーの情報処理センターや営業拠点で使用している端末・サーバーが不正アクセスされ、受託業務の過程で取り扱われていたデータなど約150万件の機密情報が窃取される・リークサイトに流出される被害を受けました。
最後に、2024年のサイバー攻撃の傾向から2025年に講じるべきセキュリティ対策について解説します。
2024年のサイバー攻撃は、大規模なランサムウェア攻撃や生成AI技術を悪用した攻撃が際立ちました。また、依然としてVPN・システムの脆弱性や標的型攻撃メールを見分けるスキルといったセキュリティリテラシーの不足などの弱点を突いた攻撃も多かったです。
さらに、AI技術を活用することで低コストかつ簡単にサイバー攻撃を実行できるようになり、サイバー犯罪に参入しやすくなりました。ネットワークやシステム・ソフトウェアなどの未知の脆弱性が見つかりやすくなるため、今後さらなるサイバー攻撃の増加が推測されます。
もちろん、AI技術は攻撃者側だけでなく企業側のさまざまなセキュリティ対策に活用することができます。AIを活用することにより防御策の自動化や早いスピードでマルウェアの検出をすることができ、サイバー攻撃の防止や被害の軽減が可能になります。しかし、AIを活用した攻撃と防御では、いたちごっことなりセキュリティ対策を強化できているとは言い難いです。
そのため、2025年のセキュリティ対策では『 ウイルス対策ソフト・UTM・ファイアウォールなどのセキュリティ機器を活用する 』『 最新版のソフトウェア・OSに更新し、利用する』『 定期的にクラウドサービスの設定を見直す 』『 パスワードを強化する 』『 従業員に向けた情報セキュリティ教育を実施する 』『 最新のサイバー攻撃とセキュリティ対策の情報を継続的に収集する 』といった従来のセキュリティ対策を講じつつ、各脅威の被害に遭った場合に自組織の事業や体制にどのようなリスクが生じるのかを洗い出すことが重要です。
以上、2024年に発生したセキュリティインシデントを踏まえた最新の攻撃・被害の傾向や今後講じるべきセキュリティ対策について徹底解説しました。
― 2024年の脅威ランキング
― 2024年におけるサイバー攻撃の被害件数
― 生成AIを悪用したサイバー攻撃
― 2024年に発生したサイバー攻撃の被害事例
― サイバー被害の対策
近年では生成AIを悪用することでITを熟知していない人物であってもサイバー犯罪に参入しやすくなっているため、今後さらなるサイバー攻撃の増加が予想されます。また、業務委託先や取引先がサイバー攻撃を受けたことにより二次被害に遭うリスクも高まっています。
「これまでもサイバー攻撃を受けたことがないし自社では対策する必要はない」と他人事にせず、自社が被害に遭った場合のリスクを洗い出し、自社のセキュリティ対策について今一度見直しましょう。
ソニックスでは、セカンドオピニオンのサービスとして現状のセキュリティ対策の見直しや改善案などもご案内しています。ご不安な点やお困り事などありましたらお気軽にソニックスにお問い合わせください。
