AI悪用攻撃・フィッシング・ランサムウェアが急増、アクロニスが「サイバー脅威レポート2025下半期」を公開

アクロニス・ジャパン（アクロニス）は、年2回発行されるサイバー脅威レポートの2025年下半期版の調査結果を公開した。「アクロニス サイバー脅威レポート 2025年下半期版 脆弱性攻撃からAIを悪用した攻撃へ」と題された同レポートは、Acronis Threat Research Unit（アクロニス脅威リサーチユニット：TRU）とアクロニスの収集したテレメトリデータに基づき、世界のサイバー脅威アクティビティを分析している。レポートでは、日本の主な調査結果とあわせて、2025年に観測された主要な動向を取り上げ、とくに下半期に焦点を当て解説している。

●コラボレーションツールへの攻撃が31％に急増

　調査結果から、サイバー攻撃の増加傾向が継続していることが明らかになった。メールを起点とする攻撃は、前年比で組織あたり16％増、ユーザーあたりで20％増となった。一方、フィッシングは依然として主要な侵入経路であり、マネージドサービスプロバイダ（MSP）を標的とした攻撃の52％を占めている。コラボレーションプラットフォームを狙った高度な攻撃は、2024年の12％から2025年には31％へと急増し、より甚大な影響をおよぼす二次的攻撃チャネルへの転換が示されている。
　日本に関する調査では、マルウェア攻撃の多くが初期段階で阻止され、エンドポイントへの到達が効果的に防がれていることが明らかになった。一方で、wscriptやPowerShellを悪用したスクリプト主導型の攻撃、情報窃取やラテラルムーブメント（横移動）といった静かに進行する侵入型攻撃、さらにランサムウェアによる持続的な脅威が引き続き確認されている。これらの結果は、日本が業務妨害や金銭的利益を狙う攻撃者にとって依然として魅力的な標的であることを示している。こうした静かな侵入を早期に検知・阻止するため、EDR／XDR、挙動検知、権限監視の重要性がさらに高まっている。
　2025年には、AIを悪用したサイバー犯罪も激増した。攻撃者は、AIを悪用して攻撃の規模を拡大し、偵察活動を自動化するとともに、恐喝戦略の高度化を図った。例として、GLOBAL GROUPはAI主導システムを用いて、複数の被害者に対するランサムウェア交渉を効率的に管理した。一方、GTG-2002はAI支援の偵察活動やデータ窃取を通じて、攻撃のインパクトを最大化した。ソーシャルエンジニアリング攻撃も進化し、仮想誘拐詐欺では、AIを使って説得力のある「生存証明」画像を生成し、被害者を欺き心理的な圧迫を増幅させた。こうした進化は、攻撃の高速化、高度化、そして規模の拡大によって従来型の防御体制を揺さぶり、サイバー犯罪が新たな時代に突入したことを示唆している。
　ランサムウェアは、依然として脅威環境の中心的存在となっている。MSPと通信事業者の約150社が直接標的となり、世界全体で7600件を超える被害が公表された。活動が最も活発だったランサムウェアグループとその被害件数は、Qilin（962件）、Akira（726件）、Cl0p（517件）だった。製造、テクノロジー、医療業界がとくに深刻な影響を受け、被害件数は米国が3243件と最多を記録した。2025年下半期には、Sinobi、TheGentlemen、CoinbaseCartelといった新たなランサムウェアグループも出現している。
　サプライチェーンとMSPを標的とした攻撃は、依然として深刻な問題となっている。攻撃者はAnyDeskやTeamViewerといったRMMツールを悪用し、1200社以上のサードパーティとサプライチェーンが被害を受けた。国別では米国が最多で、574件にのぼる。これらの攻撃の中心的存在となったのがAkiraとCl0pであり、MSPとその顧客に対する継続的なリスクが浮き彫りになった。
　Acronisの国別EDR／XDR検出件数トップ10のひとつである日本では、wscriptやPowerShellを悪用したスクリプト主導型の攻撃が顕著で、キーロギングを含む不正なスクリプト活動が継続的に検知された。初期侵入経路として悪意のある文書ファイルが依然有効な手法であり、一部ではSMBを利用したラテラルムーブメントも観測されている。さらに、暗号資産マイニングやcurlを用いたデータ外部送信（情報漏えい型行動）といった攻撃パターンも確認された。スクリプトを起点とした攻撃によって、情報窃取・ラテラルムーブメント・マネタイズが組み合わさった脅威傾向が浮き彫りになった。また、2025年を通して特に顕著であった脅威として、トロイの木馬 GenericSCH.Wscript.AやAMSI.Suspicious.PowerShellKeyloggingActivity.T1056が挙げられる。
　日本は、ドイツ、韓国に続いてランサムウェア脅威が著しく高い結果となった。2024年から続いて持続的な上昇傾向を示し、年初は低い一ケタ台の数値から、5月から二ケタ台（11.04～14.6）へと移行し、攻撃者の関心が高まっていることを示している。ランサムウェアは依然として重大な脅威であり、一度のランサムウェア感染が事業継続にかかわる深刻な業務的・財務的損害を引き起こす可能性がある。
　一方で、日本はマルウェア検知では「低リスク国」（シンガポール、カナダ、英国と同列）として分類され、2025年を通じてマルウェア検知とURLベースの脅威が一貫して低水準（1.46～3.64％）で推移した。2025年後半も一定数のURL検知は見られたものの、多くの攻撃が初期段階で阻止されており、同様のフィッシングや不正URLを起点としたキャンペーンが日本にも到達していたにもかかわらず、実際のマルウェア実行に至るケースは他国と比べて少ない結果となった。