ベライゾン・ビジネスグループ(以下、ベライゾン)は、2025年で18年目となるサイバーセキュリティに関する報告書、「2025年度 データ漏洩/侵害調査報告書(DBIR)」のエグゼクティブサマリー日本語版を公開した。

ベライゾン、「2025年度 データ漏洩/侵害調査報告書」日本語版を公開

同報告書では、139カ国で発生した22,052件のセキュリティインシデントを分析し、そのうち12,195件のデータ侵害/漏洩であることを確認。同結果は、単一の報告書で分析した侵害件数としては過去最多とのことだ。

以下、報告書の内容を一部紹介する。

■ランサムウェアの動向:2024年版と比較して37%増加

同社のデータセットにおけるランサムウェアの存在(暗号化の有無にかかわらず)も大幅な成長を見せ、昨年の報告書から37%増加。レビューしたすべての侵害の44%にランサムウェアが存在し、32%から増加となっている。

また、ランサムウェアは中小企業に不均衡な影響を与えているという。

大企業では、ランサムウェアは39%の侵害の構成要素だが、中小企業(SMB)では、ランサムウェア関連の侵害が全体で88%に到達。サイバー犯罪者へのランサムウェア支払いの額は$115,000に達しており、多くの中小企業にとって重大な金額となっている。

サイバーセキュリティに積極的かつ包括的なアプローチを採用することで、企業は資産を保護し、顧客を守り、ますますデジタル化する世界での長期的な成功を確保できるとのことだ。

ランサムウェアの動向

■生成AIによる新たなリスク:企業機密データが生成AIプラットフォーム自体に漏洩する可能性

2025年初頭の時点で、生成AI(GenAI)はまだ世界を席巻しているとは言えないものの、AIプラットフォーム自体が報告しているように、脅威アクターによる利用の証拠は存在。

従業員の15%が会社のデバイスで日常的に(少なくとも15日に一度)生成AIシステムにアクセスしているため、企業機密データがGenAIプラットフォーム自体に漏洩する可能性があると同社は指摘。

これらの従業員の多くは、アカウントの識別子として企業以外のメールを使用(72%)しているか、統合認証システムなしで企業メールを使用(17%)しており、ほとんどの場合、その利用が企業ポリシー外であることを示唆しているとのことだ。

生成AIによる新たなリスク

■2025年度報告書のその他ポイント

●脆弱性の悪用:この最初の攻撃ベクトルは34%増加し、特にゼロデイ脆弱性を標的とした周辺デバイスとVPNへの攻撃が注目されている。

●第三者関与:第三者が関与した侵害の割合は倍増し、サプライチェーンやパートナーエコシステムに関連するリスクが浮き彫りに。

●人的要因:侵害における人的関与は依然高く、ソーシャルエンジニアリングと資格情報濫用の間で大きな重複が見られた。

<参考>
ベライゾン『2025年度 データ漏洩/侵害調査報告書