マルウェア最新トレンド2024-2025｜進化する脅威と新たな攻撃手法

2024-2025年のマルウェア脅威概況

全体的な傾向と統計

2024年から2025年にかけて、マルウェアによるサイバー攻撃は量的にも質的にも深刻化を続けています。警察庁の統計によると、2024年上半期のランサムウェア被害件数は114件と、依然として高い水準を維持しています。また、世界的にもランサムウェアによる被害額は年間数百億ドル規模に達しています。

指標	2023年	2024年（予測/速報）	傾向
ランサムウェア被害件数（日本）	約200件	約220件以上	増加
平均身代金要求額	約5億円	約6億円	増加
平均復旧コスト	約2.5億円	約3億円	増加
データ窃取を伴う攻撃の割合	約70%	約80%以上	増加
ファイルレス攻撃の割合	約40%	約50%	増加

攻撃の高度化も顕著です。単純な暗号化型ランサムウェアは減少し、データ窃取と身代金要求を組み合わせた多重恐喝型が主流となっています。また、ファイルレスマルウェアやLiving off the Land攻撃の使用率が上昇し、従来の検知手法では対応が困難になっています。

地政学的要因の影響

2024-2025年のサイバー脅威は、地政学的な状況と密接に関連しています。

ウクライナ情勢の継続

ロシア・ウクライナ紛争に関連するサイバー攻撃は継続しており、ウクライナ支援国への攻撃も発生しています。ワイパー型マルウェア（データ破壊目的）の使用が増加し、ランサムウェアに偽装した破壊活動も確認されています。

米中対立と経済安全保障

技術覇権争いを背景に、知的財産や機密情報を狙った国家支援型のサイバースパイ活動が活発化しています。半導体、AI、防衛産業などが主な標的となっています。

国家支援型攻撃の増加

APT（標的型攻撃）グループによる高度な攻撃が増加しています。これらのグループは、金銭目的だけでなく、政治的・戦略的目的でマルウェアを使用します。

---

ランサムウェアの進化

RaaS（Ransomware as a Service）の成熟

RaaSは、ランサムウェアをサービスとして提供するビジネスモデルであり、2024-2025年においてさらに成熟しています。

RaaSプラットフォーム	活動状況（2024年時点）	特徴
LockBit	法執行機関の作戦後も活動継続	高速暗号化、広範なアフィリエイト網
BlackCat/ALPHV	2024年に活動停止報道も再編成の可能性	Rust言語、クロスプラットフォーム
Play	活発に活動中	初期アクセスにFortinetなどの脆弱性悪用
8Base	活発に活動中	中小企業をターゲット
Akira	活発に活動中	Conti派生、医療機関を標的

RaaSモデルでは、ランサムウェアの開発者とアフィリエイト（実行犯）が分業しています。開発者はマルウェア本体、リークサイト、交渉ツールを提供し、アフィリエイトは実際の攻撃を行います。身代金は通常70〜80%がアフィリエイトに、残りが開発者に分配されます。

この分業体制により、技術力の低い攻撃者でも高度なランサムウェア攻撃を実行できるようになり、攻撃の裾野が広がっています。

多重恐喝の標準化

2024-2025年のランサムウェア攻撃では、多重恐喝（Multi-Extortion）が標準的な手法となっています。

二重恐喝（Double Extortion）

暗号化に加え、事前にデータを窃取し、身代金を支払わなければリークサイトで公開すると脅迫します。バックアップから復旧できても、情報漏洩の脅威が残ります。

三重恐喝（Triple Extortion）

二重恐喝に加え、被害組織の顧客や取引先に直接連絡し、データ公開の脅威を通知することで、さらなる圧力をかけます。

四重恐喝（Quadruple Extortion）

三重恐喝に加え、DDoS攻撃を仕掛け、復旧作業を妨害しながら身代金支払いを迫ります。

この多重恐喝の進化により、バックアップ戦略だけではランサムウェア被害から完全には守れなくなっています。データ漏洩防止の対策が併せて必要です。

新たな標的の拡大

ランサムウェア攻撃の標的は拡大しています。

業種	被害増加の背景	特有のリスク
医療機関	患者データの価値、緊急性への依存	人命への影響、HIPAA等規制違反
教育機関	セキュリティ予算の制約、オープンな環境	学生・研究データの漏洩
中小企業	セキュリティ対策の不足、サプライチェーンの踏み台	事業継続への致命的影響
クラウド環境	設定ミス、アイデンティティ管理の弱点	広範囲への波及、データ主権問題
製造業/OT	IT/OT融合の進展	生産停止、安全への影響

特に医療機関への攻撃は深刻で、患者データの漏洩だけでなく、医療サービスの停止が人命に関わる可能性があります。製造業・OTセキュリティの観点からも、IoT/OTマルウェアへの対策が急務となっています。

主要ランサムウェアグループの動向

2024年には、法執行機関による国際的な取り締まり作戦が複数実行されました。

Operation Cronos（2024年2月）

国際法執行機関による協調作戦で、LockBitのインフラが押収されました。しかし、グループは活動を再開し、依然として脅威となっています。

BlackCat/ALPHVの動向

2024年初頭に活動停止が報じられましたが、メンバーが他のグループに移動または新グループを結成している可能性があります。

グループの再編と派生

Contiの解散後、そのメンバーはRoyal、Black Basta、Akiraなど複数のグループに分散しました。このパターンは今後も続くと予想されます。

ランサムウェアグループの詳細については、専門ページで解説しています。

---

AI/機械学習の悪用

生成AIを活用した攻撃の現状

2023年以降の生成AI（ChatGPT、Claude等）の普及は、サイバー攻撃にも影響を与えています。

AI悪用の形態	影響	対策の難易度
フィッシングメールの高度化	文法・表現の自然化、多言語対応	高
ディープフェイク詐欺	音声・映像の偽造、なりすまし	高
マルウェアコード生成	開発の効率化（ただし限定的）	中
ソーシャルエンジニアリング	標的調査の自動化、対話の自然化	高
脆弱性発見の自動化	探索効率の向上（将来的脅威）	中

フィッシングとソーシャルエンジニアリングの高度化

生成AIにより、フィッシング詐欺の品質が向上しています。

言語の壁の解消

従来、日本語のフィッシングメールは不自然な表現で見分けやすかったですが、生成AIにより自然な日本語でのフィッシングが可能になりました。海外の攻撃者も質の高い日本語メールを送れるようになっています。

パーソナライズされた攻撃

SNSや公開情報から標的の情報を収集し、AIを使って個人に最適化されたフィッシングメールを作成できます。これにより、ビジネスメール詐欺（BEC）の成功率が向上しています。

大量生成の効率化

AIにより、様々なバリエーションのフィッシングメールを短時間で大量に生成できます。これにより、メールフィルタの検知を回避しやすくなっています。

ディープフェイク詐欺

音声や映像を偽造するディープフェイク技術を悪用した詐欺が増加しています。

2024年には、香港の企業が偽のビデオ会議（CFOを含む複数の幹部がディープフェイクで偽造された）で約2,500万ドルを騙し取られる事件が発生しました。また、経営者の声を模倣した音声で送金指示を出す「ボイスフィッシング（ビッシング）」も報告されています。

ディープフェイク詐欺への対策として、重要な指示には必ず別チャネルでの確認プロセスを設けることが推奨されます。

AI vs AI：防御側の活用

攻撃者がAIを活用する一方、防御側もAI/機械学習を活用しています。

異常検知の高度化

機械学習モデルにより、ネットワークトラフィックやユーザー行動の異常をリアルタイムで検知できます。EDR/XDR製品の多くがAI/MLを活用しています。

フィッシング検知

自然言語処理（NLP）により、フィッシングメールの特徴を学習し、検知精度を向上させています。

脅威インテリジェンスの自動化

大量の脅威情報を自動的に収集・分析し、関連性の高い情報を抽出することが可能になっています。

今後、AI同士の攻防が激化することが予想されます。

---

サプライチェーン攻撃の高度化

ソフトウェアサプライチェーンへの攻撃

サプライチェーン攻撃は、2024-2025年においても主要な脅威の一つです。

攻撃タイプ	手法	代表的な事例
ソフトウェア更新の侵害	正規アップデートにマルウェアを混入	SolarWinds（2020年）、3CX（2023年）
オープンソースの悪用	人気ライブラリへの悪意あるコード挿入	event-stream（2018年）、xz-utils（2024年）
CI/CD攻撃	開発パイプラインへの侵入	Codecov（2021年）
コードリポジトリ汚染	GitHubなどへの悪意あるコード投稿	タイポスクワッティング多数

2024年3月に発覚したxz-utilsバックドア事件は、オープンソースサプライチェーン攻撃の深刻さを示しました。信頼されたメンテナーになりすました攻撃者が、数年をかけてバックドアを仕込もうとした高度な攻撃でした。

サービスプロバイダー経由の攻撃

直接攻撃が困難な大企業に対し、そのサービスプロバイダーを経由して侵入する手法が増加しています。

MSP/MSSP（マネージドサービスプロバイダー）への攻撃

複数のクライアントを管理するMSPに侵入することで、一度に多数の組織にアクセスできます。Kaseyaへの攻撃（2021年）では、MSP経由で1,500以上の組織が影響を受けました。

クラウドサービス侵害

SaaS/IaaSプロバイダーへの攻撃により、そのサービスを利用する多数の組織のデータが危険にさらされます。

ID/認証サービスへの攻撃

Okta、LastPassなどのアイデンティティ管理サービスへの攻撃が報告されています。これらが侵害されると、連携するすべてのサービスに影響が及びます。

対策の進展

サプライチェーン攻撃への対策として、以下の取り組みが進んでいます。

SBOM（Software Bill of Materials）の普及

ソフトウェアに含まれるコンポーネントを一覧化したSBOMの作成・共有が進んでいます。米国では政府調達においてSBOMが義務化されつつあり、日本でも経済産業省が手引きを公開しています。

ゼロトラストアーキテクチャ

サプライヤーやベンダーからのアクセスも「信頼しない」前提で検証するゼロトラストの考え方が浸透しています。

サプライヤー評価の強化

取引先のセキュリティ対策状況を評価し、リスクの高いサプライヤーへの依存を減らす取り組みが広がっています。

---

その他の注目トレンド

インフォスティーラーの流行

インフォスティーラー（情報窃取型マルウェア）は、認証情報、ブラウザデータ、暗号通貨ウォレットなどを窃取するマルウェアです。2024年も活発な活動が続いています。

主要なインフォスティーラー

RedLine、Raccoon、Vidar、LummaC2などが代表的です。これらはMaaS（Malware as a Service）として提供され、技術力の低い攻撃者でも利用できます。

窃取データの流通

インフォスティーラーで窃取された認証情報は、ダークウェブのマーケットプレイスで売買されます。これらの情報は、ランサムウェア攻撃の初期アクセスに利用されることがあります。

セッションハイジャック

パスワードだけでなく、セッションCookie（ログイン済みの状態を保持するデータ）を窃取することで、多要素認証をバイパスする攻撃が増加しています。

モバイルマルウェア

モバイルデバイスを標的としたマルウェアも進化しています。

マルウェアタイプ	主なプラットフォーム	手口
バンキングトロイ	Android	偽の銀行アプリ、オーバーレイ攻撃
スパイウェア	Android/iOS	通話・SMS傍受、位置追跡
アドウェア	Android	過剰な広告表示、リソース消費
クリプトマイナー	Android	暗号通貨マイニング

Androidでは、アクセシビリティサービスの悪用が深刻な問題となっています。このサービスは本来、障害者支援のための機能ですが、マルウェアがこれを悪用して画面の読み取り、自動タップ、パスワード入力の傍受などを行います。

クラウド環境への攻撃

クラウド環境を標的とした攻撃も増加しています。

クラウド設定ミスの悪用

S3バケットの公開設定ミス、過剰なIAM権限など、クラウド設定不備を悪用した攻撃が継続しています。

コンテナ/Kubernetes攻撃

コンテナ環境の設定ミスや脆弱性を悪用し、クラスター全体に侵入する攻撃が増加しています。コンテナエスケープは深刻な脅威です。

クラウドネイティブマルウェア

クラウド環境で動作することを前提に設計されたマルウェアが出現しています。クラウドAPIを悪用した横展開、サーバーレス環境での永続化などの手法が確認されています。

---

防御側の対応と展望

セキュリティ技術の進化

脅威の進化に対応して、防御技術も進化しています。

技術	進化のポイント	効果
XDR（Extended Detection and Response）	エンドポイント、ネットワーク、クラウドの統合監視	サイロ化の解消、検知率向上
AI/ML活用セキュリティ	振る舞い検知、異常検出の高度化	未知の脅威への対応
ゼロトラスト	「信頼しない、常に検証」の実装	侵入後の被害限定
SOAR	セキュリティ運用の自動化	対応時間の短縮
脅威インテリジェンス	共有・活用の効率化	先手の防御

特にXDRの普及は、従来のサイロ化されたセキュリティツール（EDR、NDR、SIEM等）を統合し、より包括的な脅威検知を可能にしています。マルウェア感染対策においても、XDRの導入が推奨されます。

今後の予測

2025年以降の脅威予測として、以下が挙げられます。

AIを活用した攻撃の更なる高度化

攻撃者によるAI活用はまだ初期段階であり、今後より高度な自動化や適応型攻撃が登場する可能性があります。

量子コンピューティングへの備え

量子コンピュータが現在の暗号を解読できるようになる「Q-Day」に備え、ポスト量子暗号への移行が始まっています。これを狙った「Harvest Now, Decrypt Later（今収集して後で解読）」攻撃への懸念があります。

OT/IoT環境への攻撃増加

IT/OT融合、スマートシティ、コネクテッドカーなど、攻撃対象の拡大が続きます。物理的な影響を及ぼす攻撃のリスクが高まります。

規制の強化

サイバーセキュリティに関する規制・開示義務が世界的に強化されています。インシデント報告の義務化、経営責任の明確化などが進んでいます。

組織として備えるべき対策

これらの脅威動向を踏まえ、組織は以下の対策を優先的に実施することが推奨されます。

1. 多層防御の強化：EDR/XDR、ネットワーク監視、メールセキュリティなど複数層での防御
2. バックアップ戦略の見直し：イミュータブルバックアップ、オフラインバックアップの実装
3. ゼロトラスト導入：境界防御からゼロトラストへの移行
4. AI対策：AI生成フィッシングへの意識向上、多チャネル確認プロセスの導入
5. サプライチェーンリスク管理：サプライヤー評価、SBOM活用
6. インシデント対応能力の向上：インシデント対応計画の策定・訓練

---

よくある質問

Q: 2024-2025年で最も警戒すべきマルウェア脅威は何ですか？

A: 多重恐喝型ランサムウェアとAIを活用した高度なフィッシング/ソーシャルエンジニアリングが最も警戒すべき脅威です。特にRaaS（Ransomware as a Service）の成熟により、技術力の低い攻撃者でも高度なランサムウェア攻撃が可能になっています。また、生成AIによる巧妙なフィッシングメールは、従来の対策では検知が困難です。

Q: 中小企業でも最新の脅威への対策は必要ですか？

A: 必要です。むしろ中小企業は、セキュリティ予算や人材の制約から、攻撃者にとって「容易な標的」と見なされています。また、大企業へのサプライチェーン攻撃の踏み台として狙われるケースも増加しています。限られたリソースでも実施可能な対策（多要素認証、バックアップ、従業員教育など）から始めることが重要です。

Q: 生成AIによるサイバー攻撃にはどう対策すればよいですか？

A: 技術的対策としては、AI/MLを活用したセキュリティ製品の導入、メールフィルタリングの強化があります。しかし、AIによる巧妙なフィッシングは完全にフィルタリングすることが困難です。そのため、従業員教育の強化、重要な指示（送金、機密情報提供など）には別チャネルでの確認を必須とするプロセスの導入が重要です。また、ディープフェイク対策として、重要な会議には対面または確実な本人確認を組み合わせることを推奨します。

Q: ランサムウェアグループが法執行機関に摘発されても、脅威は続くのですか？

A: はい、続きます。LockBitの例に見られるように、インフラが押収されても活動を再開するケースがあります。また、グループのメンバーが新たなグループを結成したり、他のグループに参加したりすることで、ノウハウや技術が継承されます。法執行機関の取り組みは重要ですが、組織としての防御対策を継続することが不可欠です。

---

まとめ

2024-2025年のマルウェア脅威は、RaaSの成熟による高度なランサムウェア攻撃、生成AIの悪用による巧妙なソーシャルエンジニアリング、サプライチェーン攻撃の高度化が主要なトレンドとなっています。

これらの脅威に対応するためには、技術的対策（XDR、ゼロトラスト、AI活用セキュリティ）と組織的対策（セキュリティガバナンス、従業員教育、インシデント対応能力）の両方が必要です。

脅威は常に進化しているため、最新の情報を継続的に収集し、対策を更新し続けることが重要です。IPAの情報セキュリティ10大脅威、JPCERT/CCの注意喚起、各セキュリティベンダーのレポートなどを定期的に確認することをお勧めします。

---

---