[参考訳] Microsoft Digital Defense Report 2025 / マイクロソフト デジタル防御レポート 2025

リファレンス： https://aka.ms/mddr 学習用参考訳 石川 陽一（@ishiayaya） 2025年11月24日 ※無断転載等禁止

• https://aka.ms/mddr

パート1 脅威の状況 09 重要なポイント 10 脅威アクターがサイバーリスク環境をどのように形成しているか 16 アイデンティティ、アクセス、そしてサイバー犯罪経済 24 人間による攻撃とランサムウェア 32 詐欺とソーシャルエンジニアリング 36 ソーシャルエンジニアリングの悪用 41 クラウド脅威の傾向 43 国家敵対勢力の脅威 52 AIの両刃の剣︓デジタル環境の防衛と破壊 57 量子技術︓新しい競争における戦略的優先順位

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 15 目次 はじめに脅威の状況防御の状況 付録 脅威アクターがサイバーリスク環境をどのように形成しているか（続き） 4クラウドIDの不正利用の増加 クラウド悪用攻撃のライフサイクル段階 5ハイステークスの成長 商業侵入市場 クラウド ID システムは、永続的かつ秘密裏にアクセ スしようとする攻撃者の主な標的です。 サイバー傭兵は、ハッキングスキルやツール を雇用に提供する民間企業である。 個人情報の 侵害 攻撃者は、悪意のあるOAuth アプリを展開し、従 来の認証を悪用し、デバイスコードのフィッシングや中間者攻 撃 (AiTM)を進化させることで、これらのシステムを標的に > しています。 これらの方法はMFAを回避し、トリガーなしで長期的なアクセス とデータの引き出しを可能にします。 アラート。この脅威に対抗するには、防御側はアプリガ メールフィッシング 力ずくで パスワードの再利用 > および/または販売。商業的な攻撃的なサイバー 市場は拡大を続けており、高精度で検知されにくいエクス プ ロイトへの需要も高まっています。将来的には、これらの市場は監 視から妨害へと移行する可能性があります。例えば、サ イバー傭兵がゼロクリックインプラントを販売し、攻撃を仕 掛けるかもしれません。 バナンス、条件付きアクセスポリシー、継続的なトークン 衛星アップリンクを無効化したり、政府や 監視を実施する必要があります。 企業の競争相手。 リソース アクセス 身元 VPN クラウドサービス 新たな攻撃のプ ラットフォーム このような高度な機能により、妨害行為や政治介入活動のア ウトソーシングなどのシナリオが導入され、防御側にとって否 認の層が生まれ、帰属が複雑になります。 オンプレミス > > 偵察 メールボックスへのアクセス フォルダまたは共有アクセス 粘り強さ 将来の脅威環境は、より適応性が高く、秘密裏に 行われ、初期アクセスを達成するために人間を利用するこ とに重点が置かれるようになります。 この変化は既存のセキュリティパラダイ ムに挑戦するものとなり、公共部門と民間 部門全体でより予測的で行動ベースの防 御モデルを要求することになるでしょう 。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 16 目次 はじめに脅威の状況防御の状況 付録 アイデンティティ、アクセス、そしてサイバー犯罪経済 ア イ 攻 アイ デデ ンン ティテ ティ ィテ 攻撃ィ の 視撃 点の視点 3%未満 然 最 新 と し の て 多 I要 D素 侵 認 害 証 のリ で ス は ク 、 依 す が 。 9 最 9新 % の 以 多 上 要 軽 素 減 認 さ証 れで ま は リ ス 、 依 ク 然 が と 99 し% て以I上 D侵 軽害 減の さ 攻撃は⋯ マルウェアによるトークン盗難 2.4042% れます。 99%以上。 Bインフラストラクチャ 0.1692% アnイ E trデ a、 ン Okテ taィ 、 テ ア ィ イ イ デ ン ン フ テ ラ ィ ス テ ト ィ ラ プ ク ロ チ バ ャ イ （ ダM （icId roPs） o なft ど Mic） ro に so対 ft Eす ntrる a、 O 攻 kta撃 、 ア は イデ、 ンティティプロバイダー（IdP）など ー ク ラ ネ ウ ン ド ト コ ） は ン 、 ピ 依 ュ 然 ー と テ し ィ て ン 量 グ が （ 限 ハ ら イ れブ てリ おッ り ド、 他 コ のン攻 ポ 新 撃 に し 比 い 攻 べ 撃 て ま が れ 継 で 続 す 的が に、 発 そ見 のさ 種 れ 類 て は お 増 り 加 、 し オ て ン い プ ま レ す ミ 。が ス か 多ら いク でラ すウ 。ドへの垂直的な攻撃パスを狙うこと あ C AiTM 0.2375% D MFAへの攻撃 0.0033% 個人情報攻撃の97%以上 E同意フィッシング はパスワードスプレー攻撃ま 0.0005% たはブルートフォース攻 撃である B CDE 出典: Microsoft Defender XDR および Entra ID Protection のアラート (2025 年 4 月～6 月)

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 17 目次 はじめに脅威の状況防御の状況 付録 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く エンドユーザーからワークロードまで: アイデンティティ脅威の新たな地平 フィッシング対策の多要素認証（MFA）と条件付きアクセスによってユー ザー防御が強化されるにつれ、攻撃者はワークロードID（クラウドリソース にアクセスするアプリ、サービス、スクリプト） に目を向けるようになっている。こ れらの人間以外のIDは 高い権限を持っているが、十分な権限を持っていないことが多い * 前半では 2025年には、アイデンティティベー スの攻撃が32%増加しました。 す。 このエスカレーションは、敵対 者が非常に説得力のあるソ アプリ同意フィッシングは、ユーザーを騙して悪意のあるアプリに ーシャル エンジニアリン セキュリティ制御が不十分になり、攻撃者が悪用する盲点が拡大していま OAuth権限を付与させ、 MFAを回避し、パスワードリセット後も攻撃を継続 させます。Key Vaultピボットは、シークレットへのアクセス権を持つアプ リを侵害し、多くの場合検知されないまま、ラテラルムーブメントと権限 昇格を可能にします。マイクロソフトは、デバイスコードフィッシングとOAuth同意 フィッシングを組み合わせた多層攻撃を観測しており、ユーザーをAiTMサ イトにリダイレクトする場合もあります。侵害されたIDは、内部フィッシング やラテラルムーブメントにも利用されます。 ユーザーのなりすまし めに AI をますます利用し り、まさに攻撃者が求める昇格権限です。別の攻撃ベクトルでは 、ユーザーを誘い込んで悪意のあるアプリをインストール させ、攻撃者がユーザーまたは管理者が明示的に権限を取り消すまで ユーザーアカウントを侵害するためのより高度な手法。これには以下が 含まれます。 • 使用できる広範な権限を付与します。アプリケーションの同 意画面 は、認証情報を求めないため、一見正当で無害なように見えます。 トークンの盗難。ユーザーが認証した後にトークンを盗むため、パスワード を漏洩する必要はありません。 • スローパスワードスプレー。検出を避けるために、長期間にわたって複数の パスワードを試します。•位置情報の近接エミュレーション。 認証システムのなりすましアイデンティティ セキュリ ティにおける最も壊滅的なシナリオは署名キーの盗難であり、これ によりアイデンティティ システム全体の信頼性と整合性 している可能性があ 正当なユーザーの位置情報を利用して、地理的制限のあるポリシーを り、大規模な検出と対 回避します。 • ワンタイムコード（OTC）の傍受。ユーザーを騙してOTCを生成させ、そ れを傍受して認証する。 が損なわれます。 署名鍵とは、データの暗号化と復号化に使用される公開鍵と秘密鍵の ペア のうち、秘密鍵側の鍵のことです。署名鍵はメッセージに署名することで、シ ステムはペアの公開鍵を用いてメッセージの真正性を検証で きます。攻 撃者は署名鍵を入手すれば、認証システム自体を偽装し、認 証情報を偽造 シークレットストアの侵害シークレ べてのアイデンティティに拡張する必要があります。 ットストアは、APIを含む機密情報を保護する安全な ローカルボールトです。 キー、パスワード、トークン、証明書などのセキュリティ情報 https://aka.ms/identity-attack-techniques ツールボックスを使ってアプリケーションとユーザーを侵害し ドのハッキングやフィッシングが飛躍的に困難になるにつれ、攻撃者 は 適用し、違反を想定することによって、人間以外のアイデンティティを含むす もっと詳しく知る 悪用︓攻撃者は、同じ ます。アプリは多くの場合、必要以上の権限を持ってお ていることを反映 います。 アプリケーションのなりすましと悪意のあるアプリケーションの 組織がフィッシング耐性MFAなどの技術に移行し、パスワー グのルアーを作成するた 応に新たな課題が生じて アイデンティティ保護は、明示的に検証し、最小限の権限を ユーザーなりすまし戦術 を不正アクセスから保護し、承認されたシステムのみが 必要に応じてそれらを取得できるようにします。 Microsoft Azure Key Vault、 AWS Secret Manager、 HashiCorp Vaultなどのプラットフォームは、パッチワークに比べて大 暗号化キーの自動ローテーションを設定する 幅な改善を提供していますが、 Azure Key Vault | Microsoft Learn (2025 年 5 月) 2010 年代のソリューションでは、非常に価値のあるターゲットにもなりま した。 して保護されたリソースや高価値データにアクセスで きるようになります。

• https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
• https://aka.ms/identity-attack-techniques

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 18 目次 はじめに脅威の状況防御の状況 付録 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く 研究•学術分野に対する戦略的脅威 研究•学術部門は引き続き 敵対的なサイバー活動の戦略的インキュベーターとなっている。 1 2025 個人情報漏洩の兆候がある組織の数（業種別） （2024年12月～2025年5月） 5000 年には、高価値のIP、分散化されたセキュリティにより、脅威アクターにと って最大の標的の一つにランクされました。 と宣伝されることが多いものの、サイバー傭兵の侵入機能は 3000 、ジャーナリスト、反体制派、その他の脆弱なグ 兵市場は、高まる需要に対応して急速に拡大していま B C ンティティベースの攻撃を試行しています。 AiTMやAI強化ビジネスメール詐欺（BEC） などの技術は ますます 蔓延しています。 2025年上半期には、アイデンティティ ベ ースの攻撃が32%急増し、マイクロソフトが観測したす べてのアイデンティティ侵害インシデントのうち、研究機関と学 D E F G H 私 J K A.研究と学術 ーが含まれます。 4,647 B.サービス 841 C.テクノロジーD.製 480 造 411 E.その他 409 F.旅行 391 G.小売 371 ントと最も複雑なアイデンティティシステムを抱えており、高 H.エネルギ 334 度な攻撃の検出と対応が困難になることが多い。 ーI.物流 307 J.メディア 272 K.ヘルスケア 219 アイデンティティ攻撃。 す。大西洋評議会によると、少なくとも42カ国で430以上の組織 が活動していることが知られています。 2このエコシス テムには、侵入の専門家、投資家、仲介業者、技術プロバイダ 0 研究•学術界の環境は、あらゆる分野の中でも最も大規模なテナ 術機関によるものが39%を占めました。 政府もこの脅威を抑制するためにもっと努力する必要がある。例え ば、現在進行中のポール作戦を支援するなどだ。 モールプロセスは、周囲にガードレールを作ることを目指しています 政府の指針をサポートすることにより、市販のサイバー侵入能 力の開発、購入、使用を促進します。 ループを標的とするために広く利用されています。サイバー傭 2000 1000 グループは業界のオープンネットワークを活用して、高度なアイデ キュリティ技術協定の創設メンバーでもある。 の悪質な行為者に対する正当な行動を可能にする ットに攻撃を展開する前に、攻撃手法を予測します。 国家主体とサイバー犯罪者 い政府に攻撃を仕掛けることを可能にするため、人権 、サイバーセキュリティ、そして国際社会の安定に深 刻な脅威となる可能性がある。 サイバーオペレーション。サイバー傭兵製品は、オンライン上 4000 敵対者が高度な技術をテストし改良するために 政府機関や重要なインフラストラクチャなどの強化されたターゲ マイクロソフトは、2023年にサイバー傭兵の活動 を制限する方法に関する一連の原則を策定したサイバーセ あ インフラストラクチャ、および広範なデジタル フットプリント。 これらの条件は理想的な環境を作り出します サイバー犯罪市場の内幕︓ブローカー、傭 兵、そして収益化サイバー傭兵は、攻撃能力のな サイバー傭兵は報道によってスパイウェアと関連付けられるこ とが多いが、このグレーマーケットははるかに大きく、さらに大 きなシステムリスクをはらんでいる。例えば、ゼロデイ脆弱性 の販売は、 システム全体の侵害を通じて広範囲のターゲットを同時に危 険にさらすことで、重要なインフラストラクチャが依存 する オンライン環境とテクノロジーを不安定化させます。 * セキュリティ研究者は、責任を持っ て バグ報奨金プログラムに脆弱性を公 開することで 10,000 ドルを稼ぐこと ができますが、同じエクスプロイトをサ イバー傭兵に販売することで 100,000 ドル以上を稼ぐこともできます。 サイバーに関連する危険のため 研究と学術部門を保護することは 傭兵活動の蔓延を防ぐためには、業界パートナーが 個別に、そして協力して、拡大するサイバー傭兵市場に対抗す これは地域社会の責任であると同時に、戦略的必要性でもあり ることが重要です。例えば、マイクロソフトは、サイバー犯罪者 ます。ここで敵対的な温床を断ち切ることは、下流および に対する摘発と強制執行活動を推進するデジタル犯罪対策ユ 上流セクターの保護にとって極めて重要です。 ニット（DCU） を通じて、ハッキング請負サービスの根絶に取 出典: Microsoft Threat Intelligence、商用クラウド 詳細は67ページをご覧ください り組んでいます。 もっと詳しく知る Microsoft の企業責任|サイバーセキュリティ

• https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに脅威の状況防御の状況 付録 19 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く アクセスブローカー︓サイバー犯罪の隠れた 門番 サイバー犯罪経済の高度に専門化され、拡張性の高いエコシステムに おいて、アクセスブローカーは極めて重要な役割を果たしてい ます 。彼らは企業環境への侵入と、ランサムウェア攻撃者、データ恐喝グル ープ、サイバー傭兵などの他の犯罪者に永続的なア クセスを販売することに特化しています。 彼らのサービスは、サイバー犯罪サービス（CaaS） モデルの基盤 であり、脅威アクターが初期アクセスをアウトソーシングして収益化 に集中することを可能にする。 代わりに、これらのブローカーは、アクセスをバンドルすることがよくあります 偵察データが公開され、購入者がランサムウェアを展開したりデータを 盗み出すことがさらに容易になります。 大規模なサイバー犯罪を支えるインフラを弱体化させる広範な戦略の一 環として、マイクロソフトのDCUはアクセスブローカーの妨害に重点 的に取り組んでいる。 法的、技術的、および情報に基づいた行動の組み合わせを通じ て。 アクセスブローカーの活動によって最 アクセスブローカーが使用 提供されるトップアクセステクノロジーサ も影響を受ける10のセクター する初期アクセスベクトル イバー犯罪経済で販売されている 800 700 C D E G H あ E 600 B D 500 C B 400 C 300 D あ E F 200 100 B あ G H 私 J 0 % % 昨年、Intel 471は368人のアクセスブローカーを特定しました。 その活動は131の68の産業に影響を与えた。 A.公共部門 722 A.資格情報ベースの攻撃 4,000人以上の被害者を抱えるブローカーが、主に米国（31%）、 B.消費財および工業製品C.専門サービスおよびコ 488 B.脆弱性の悪用 英国（6%）、タイ（5%） の被害者をターゲットにしていた。 3 F ンサルティングD.製造業 E.不動産 A. RDPツール 53 17 B.企業リモートアクセスポータルC. Webサー 26 C.複数 1.25 344 D.マルウェアの動作 1.25 ーム 6 286 E.インサイダーアクセス 0.5 E.被害者所有のウェブインフラ 4 F.政府所有のウェブインフラ 2 204 G.リモートアクセスプロトコル 2 H. RMMツール 1 438 F.テクノロジー、メディア、通信266 G.エネルギー、資源、農業 H.ライフサイエンスとヘルスケア 150 I.金融サービス 142 J.非営利セクター 84 出典: Intel 471 データ 80 出典: Intel 471 データ バー技術D.電子メールプラットフォ 出典: Intel 471 データ 6

Machine Translated by Google 20 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く 脆弱性の悪用︓パッチ未適用システムの根強い脅威脆弱性の悪用は 今年、私たちが 、脅威アクターにとって、初期 観察したディフェンダーの専門家には以下が含まれます: アクセスにおける最も信頼性が高く、拡張性に優れ、かつ目立た な い手法の一つです。昨年、Microsoft Defender Expertsは、広く 利用されているエンタープライズシステムの既知の脆弱性を狙った攻撃 キャンペーンの急増を観察しました。 BeyondTrust 特権リモートアクセス (PRA) リモートサポート（RS） コマンドインジェクション脆 弱性（CVE-2024-12356） システムおよびサードパーティのITツール。ほとんどの場合、エクスプ ロイトは次の3つのいずれかの結果をもたらします。 • Fortinet FortiClient EMS SQLインジェクション脆弱性 （CVE-2023-48788） • Cleo 複数製品無制限ファイルアップロード • 保護された環境への初期アクセス、•ユーザーから管理者 への権限昇格、• 横方向の移動や永続化を可能にす • SimpleHelp RCE チェーン (CVE-2024-57726/27/28) • る 任意のコード実行 脆弱性 (CVE-2024-50623) • Apache Tomcat パス等価性脆弱性 （CVE-2025-24813） 効果的な防御は、ただパッチを素早く適用するだけではなく、 この活動は、インフラストラクチャレベルの侵害に向けた戦 異常検出、行動ベースの分析、高リスク資産の強化を通じてギャ 略的な転換が初期アクセスの新たなベースラインであることを示して います。 ップを予測し、回復力の層を構築します。 この脅威ベクトルが特に危険なのは、ユーザーの操作に依存しない 点です。 インフラソフトウェアのリモートコード実行（RCE） から認証メカ ニズムの論理的欠陥まで、 攻撃者はフィッシングを回避し、直接コードを狙うケースが増え ています。設定ミスさえも 信頼できるプラットフォームでは、価値の高いエントリ ポイントになります。 これらの攻撃のほとんどは、既知の一般的な 脆弱性と露出 (CVE) が悪用され、侵害が発生します。 「 推奨事項 脆弱性の悪用は、 パッチを迅速に、早期に適用す 脅威の攻撃者にとって、最も 信頼性が高く、拡張 特にインターネットに接続されたインフラストラクチャとリモートアクセス ツ 性があり、かつ目立た る 影響の大きいCVEへのパッチ適用を優先する。 ールにおいて顕著です。 管理インターフェースを分離します。 ない初期アクセス方法の 可能な場合は、 RMM ツールと管理コンソールを管 1 つです。 理ネットワークまたは VPN のみのアクセスに制限し ます。 エクスプロイト検出を採用します。 行動ベースの分析を使用してフラグを立てる 異常なエクスプロイト後の動作 (たとえば、ローカ ル セキュリティ機関サブシステム サービス (LSASS) アクセス、レジストリダンプ、アウトバウンドト ンネリング)。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに脅威の状況防御の状況 付録 21 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く パスワードスプレー︓大規模攻 撃の解剖 試行ごとの成功率は低いものの、パスワード スプ レー攻撃は依然として持続的かつ大規模な脅威と なっています。 これらの攻撃は実質的なインフラストラクチャに依存しており、 攻撃者は多数の IP アドレス (IP) にわたって活動を分散させることができ 攻撃者は検出を避けるために、単一のIPアドレスを使用してターゲット を絞る「ローアンドスロー」戦略を採用することが多い。 長期間にわたる少数のアイデンティティ。 より大規模な攻撃を行うために、多数のIPアドレスにまたがる攻撃を自動 化する。クラウドベースのインフラストラクチャ 攻撃者にとって特に魅力的であるのは、 仮想化、オーケストレーション、およびさまざまな IP アドレスへの アクセス。 ます。 日別に大量のパスワードスプレー攻撃に関与した IP アドレスの数 （対象ユーザーの数が50を超える場合） このグラフは、攻撃者が検出を回避する手段としてより多くのIP アドレスを使用している様子を示しています。 同時に、AIの進歩により、防御側はより疑わしいIPアドレスを特定できるようになっています。つまり、より多くのIPアドレスが不正アク セスに関与している可能性が高まっているということです。 パスワードスプレー攻撃において。 30000 詳細は72ページをご覧ください 自律システム番号（ASN） は、管理されているIPネットワークの集合 の一意の識別子です。 単一の組織による認証トラフィックは5万件以上あるのに、認証トラ フィックを運ぶASNはわずか20件しかない。 わずか0.04%のマルウェアが、悪意のあるパスワードスプレー攻 撃の80%以上を占めています。この集中ぶりは、標的型脅 威インテリジェンスとインフラストラクチャを考慮した防御の重 要性を浮き彫りにしています。 マイクロソフトはAIを活用して認証データを分析し、正規のトラフィックに 隠れたパスワードスプレー活動の微妙なパターンを検出します。 「 25000 わずか 20 個の ASN (わずか 0.04%) が、 悪意のあるパスワード スプレー 20000 アクティビティの 80% 以上を占めていま す。 15000 疑わしい場合は、 IPが識別されると、認証の試みは 一時的にブロックすることで、正当なユーザーに影響を与えることなく攻 撃者の活動を妨害します。このアプローチは 10000 リアルタイム保護を可能にし、自動化や急速な IP ローテーションなどの 進化する攻撃者の戦術に適応します。 5000 0 2025年2月 2025年3月 出典: マイクロソフトデジタル犯罪対策ユニット 2025年4月 2025年5月

Machine Translated by Google 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 22 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く 大量のパスワードスプレーIP 資格情報の不正利用パターン パスワードスプレーIPアドレスは一時的である パスワードリプレイと辞書攻撃の違い 1220万アカウントの分析 4 パスワードスプレー攻撃により、次のことが明らかになった。 40% ブロックされる前にサイバー犯罪者のログイン試行につい て: 3 正しいユーザー名とパスワードを使用してロ 30% グインを試みたものの、多要素認証に よってブロックされたログイン試行: わずか 2 20% これは、このシナリオではMFA の有効性ではなく、 MFA の 導入が限られていることを示しています。 IPパス ワード スプレ ーの割 合 IPアド レスの 数 1.5% 最新の MFA 技術は ID ベースの攻撃の 99% 以上を 防ぐことが証明されているため、すべてのアカウント 10% 1 0 で MFA の使用を拡大すると、組織のリスクが大幅に軽減さ 0 2 4 6 診察日数 出典: マイクロソフトデジタル犯罪対策ユニット 単一のユーザー名とパスワードの組み合わせによる攻 パスワードの場合、これは一般的に低速で低速なパスワード ス 撃は、ほとんどの場合、1日に1つのIPアドレスから行われま プレー攻撃を指します。この攻撃では、パスワードを推測するため す。これは通常、リプレイで見られます。 に複数回の試行が行われ、しばしば「辞書攻撃」と呼ばれます。 攻撃者は、漏洩したユーザー名とパスワードのセットを 攻撃者が同じユーザー名で複数のパスワードを短時間 に連続して Microsoft 365アカウントに対してリプレイします。ユーザ 試した場合、アカウントは一時的にロックアウト ー名が複数のIPアドレスで、または複数の日に複数のアカウント され、簡単に検出されます。 で確認された場合、 0% れます。 0 5 10 15 アクティブ日数 有効なユーザー名のパスワード が正しくありません: 出典: マイクロソフトデジタル犯罪対策ユニット 「間違ったパスワード」: 45% これは、ユーザー名が一般的に再利用されるた め、パスワードの再利用を避けることの重要性を 強調しています。 出典: Microsoft 脅威インテリジェンス

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 23 目次 はじめに脅威の状況防御の状況 付録 アイデンティティ、アクセス、そしてサイバー犯罪経済は続く 標的の人口統計とリスク研究•学術環境は依然とし てパスワードスプレー攻撃の標的として不釣り合いなほど 推奨事項 「 多く、観測されたスプレー攻撃の52%を占めています。その 要 平均すると、侵害され 因としては、分散化されたIT管理、ユーザーの高い離職率、一貫 パスワードスプレー攻撃のリスクと影響を軽減するために、組織は多層的なID保護戦略を採用する必要があります。これには、以下の対 性のないMFAの適用などが挙げられますが、これらの 策が含まれます。 状況は地方の医療など、他の脆弱な分野でも見られます。2025年 5月にHave I Been Pwnedデータベースとの比較分析を行ったとこ すべてのユーザーにフィッシング耐性MFAを強制するフィッシング 古くなったアカウントを監査して廃止する ろ、85%のユーザーがパスワードスプレー攻撃を受けていること 耐性MFAは、最も スプレー攻撃の標的となることが多い非アクティブなアカウントを定 が明らかになりました。 不正アクセスに対する効果的な制御 期的に確認し、無効にします。 侵害された認証情報の使用。攻撃者が有効なユーザー名とパ プロビジョニング解除されたアカウントがすべての認証システムから削 スプレー攻撃の標的となったユーザー名のうち、既知の認証情報漏洩事 スワードを所有している場合でも、 MFAは99%以上のケースでアクセスを 除されていることを確認します。 さを浮き彫りにして 認証情報の衛生管理についてユーザーに教育する強力 います。 例に記録されたものの割合。侵害されたユーザー名は平均し て3つの別々のログに記録されており、世界的な認証情報漏洩問題の深刻さ と、ユーザーが定期的にパスワードを変更することの重要性を 浮き彫りにしています。 ブロックします。 組織は、有効な認証情報を持つがMFAが登録されていないアカ ウントを監視する必要があります。 このギャップを埋めるために、登録ポリシーを施行する必要があり ます。また、組織は条件付きアクセスポリシーを実装し、 リスクベー スの条件付きアクセスを使用して、疑わしいIPアドレ ス、地域、または国からのサインインをブロックまたはチャレンジする必要 があります。 たユーザー名はそ で一意のパスワードの使用を推奨し、 パスワードの再利用を控えましょう。ユーザーには、Have I Been Pwnedなどの侵害データベースで認証情報を確認するよう促しましょう 。4 AIベースの検出と対応を展開AI駆動型ツールを使用して異常 なサインインパターンを検出し、潜在的なスプレー攻撃を警告しま デバイスの種類。 す。 悪意のあるIPアドレスを監視してブロックするお リアルタイム。 よびASN エラー コード 50053 やその他のスプレー アクティビティの指標について 、認証ログを継続的に監視します。 繰り返し失敗したIPアドレスとASNをブロックする サインイン試行または既知の悪意のある動作。 れぞれ 3 つの別々のログに 表示され、世界的な資 格情報漏洩問題の重大

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 24 目次 はじめに脅威の状況防御の状況 付録 人間による攻撃とランサムウェア 人間による侵入: インフォスティーラーからランサムウェアまで 今年最も懸念される傾向の一つは、インフォ スティーラーの使用の急増です。従来はエクスプ ロイト後の攻撃ツールと考えられていた Lumma Stealer、 RedLine、 Vidar、 Atomic Stealer、 Raccoon Stealerといったマルウェアファミリー が、現在では第一段階のペイロードとして使 用されるケースが増えています。 インフォスティーラーのフローチャート マルバタイジング / クリックフィックス / フィッシング インフォスティーラーが展開されました これらのツールは、通常、マルバタイジング、検索エンジン最適化 (SEO) ポイズニング、クラッキングされたソフトウェア、ClickFix などの欺 認証情報のダンプ: クッキー、パスワード、トークン 瞞技術を通じて配信され、資格情報、ブラウザ セッション トーク ン、およびシステム コンテキスト データを大規模に収集するように 設計されています。 フォーラムやアクセスマーケットで販売 この変化により、インフォスティーラーは単独の脅威から、現代のアク セス攻撃キャンペーンの基盤となる要素へと進化しました。インフォス ティ ーラーはサイバー犯罪エコシステム全体における分業体制を確立し ています。最初の攻撃者がマルウェアを展開し、アクセスブローカーが窃取し 直接アクセスに使用 ランサムウェア関連会社によって購入 たデータを収益化し、ランサムウェアグループなどのユーザーがそれを 利用して企業環境への足掛かりを築きます。 その結果、インフォスティーラーの感染は単なるローカルの侵害にとどまらず、 企業全体に及ぶより広範な侵入という戦略的なリスクをもたらします。 初期アクセス RMMツールのステージング、クラックされたCobalt Strike、ランサムウェア

Machine Translated by Google 25 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 人間による攻撃とランサムウェアは継続 推奨事項 Lumma の影響を受ける Windows デバイス (2025 年 3 月 16 日～5 月 16 日) インフォスティーラートップ5 地域: 世界全体 (トップ20) D 防御側はインフォスティーラー感染を次のように扱う必要がある。 5万 E 孤立したものではなく、より広範な妥協の前兆 あ 4万 マルウェア イベント。 B 3万 C おすすめ: 2万 あ C 10,000 D 次のようなペイロードに先行するローダーアクティビティ（特に E F G H 私 J K L HijackLoaderやLegion） の検出 M 北 お 0 B A.インド 44,197 K.ベトナム P 質問 R S T 9,310 クリップボードからシェルへの動作、特に疑わしい ダウンロード パスからの PowerShell スクリプトをブロックす B.ロシア 40,868 L.トルキエ 9,292 C.ブラジル 21,137 M.フィリピン 9,008 D.アメリカ合衆国 15,647 北コロンビア 8,303 GitHub やコンテンツ配信ネットワーク (CDN) からの、人気ソフトウ 東インドネシア 7,314 ェアを模倣した異常なダウンロードの監視 14,681 O.フランス % F.パキスタン 14,616 P.ペルー 6,618 A.ルマ•スティーラー 51 G.エジプト 12,277 Q.中国 6,086 B.アトミック 21 H.スペイン 10,598 R.バングラデシュ 6,083 C. Node.jsベースのスティーラー 16 I.アルゼンチン 10,486 南ポーランド 5,712 D. Sys01 8 J.メキシコ 9,634 T.ドイツ 5,680 E.ラダマンティス 4 Lumma Stealer（LummaC2またはLummaCとも呼ばれ 窃盗行為の活動。キャンペーンは頻度と洗練度の両方において増加 る） は、昨年最も多く確認されたインフォスティーラーでした。 しています。 Stealerは、安価で機能が豊富で、常に進化を続けています。その 機能には、リアルタイム更新、認証情報の窃取、セッションハイジャック、暗号通 貨ウォレットのドレイン（流出） などがあります。2025年初頭、 Microsoft る パスワードの保存と自動入力機能を制限する 管理されていないエンドポイントまたは共有エンドポイント 不正なダウンロード、偽の更新ページ、クラックされたツールについ てユーザーを教育する 出典: Microsoft 脅威インテリジェンス MaaS（マルウェア•アズ•ア•サービス） プラットフォームであるLumma 出典: Defender Threat Expert 通知 ルマ•スティーラー Lumma Stealer の活動の規模と影響により、 Microsoft はこれを妨害の優先ターゲットとし、 2025 年 5 月に DCU による画期 的な世界規模の介入に至りました。 はLummaの急増を確認しました。 詳細は64ページをご覧ください

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 26 目次 はじめに脅威の状況防御の状況 付録 人間による攻撃とランサムウェアは継続 ラテンアメリカのルマ•スティーラー ブラジル、アルゼンチン、メキシコなどの国はサイバー 犯罪者の標的となることが多く、ラテンアメリカ地域全体で は認証情報の盗難、フィッシング、ランサムウェアが最も一般的な脅威 となっています。 Lumma の影響を受ける Windows デバイス (2025 年 3 月 16 日～5 月 16 日) 「 地域: ラテンアメリカ (トップ10) ラテンアメリカでは、データ 2500 侵害の増加と情報窃盗マルウェアの 感染の頻発により、資格情報 データ侵害の増加とインフォスティーラーマルウェア感染の頻発により、 認証情報の盗難が最大の懸念事項となっています。 2025年3月 から5月にかけて、ブラジルは世界で3番目にLumma Stealerによる 被害を受けた国となりました。より広範には、ラテンアメリカ地 域が大 2000 の盗難が大きな懸念事項となってい あ ます。 きな影響を受けています。 このインフォスティーラー。 これらの脅威に対処するため、マイクロソフトは地域の法執行機関、コ 1500 ンピュータ緊急対応チーム（CERT）、地域のセキュリティチーム との連携を強化しました。これらの連携により、情報共有、 被害者への通知、 1000 C および積極的妨害行為 NecursやTrickbotなどの悪質なボットネットや サイバー犯罪ツールには、ラテンアメリカの医療分野への攻撃を 含む、19か国で68件を超えるランサムウェア攻撃に関連付け B D 500 E F られている「クラック版」のCobalt Strikeなどがあります。 J G H 私 0 A.ブラジル 21,137 F.チリ 5,606 B.アルゼンチン 10,486 G.ベネズエラ 2,617 C.メキシコ 9,634 H.エクアドル 2,394 D.コロンビア 8,303 I.ドミニカ共和国 1,918 6,618 J.ボリビア 1,415 東ペルー 出典: Microsoft 脅威インテリジェンス

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 27 目次 はじめに脅威の状況防御の状況 付録 人間による攻撃とランサムウェアは継続 ランサムウェアの変化する戦術 今年のランサムウェアの全体的な状況は昨年と大きく 変わらず、世界中の組織は引き続き、コモディティ ランサ ム 典型的な人間が操作するランサムウェア攻撃 アクセス アイデンティティ エンドポイント ウェアとカスタム ランサムウェアの両方を悪用する小規模なラ クラウドアプリ ワークロード ンサムウェア攻撃者集団からの攻撃の継続的な脅威に直面し ています。 フィッシングメ ール 添付フ ァイルを開く Intel 471 によるランサムウェア漏洩サイトの調査によると、71 の業界に対 アカウントをブルー 攻撃者は偵察データと トフォース攻撃 構成データを収集する 攻撃者が脱 出 機密データ するか、盗まれたアカウ ントの認証情 して 120 種類のランサムウェアが使用されました。 3被害者の半数以上 報を使用する (53%) は米国に拠点を置いており、カナダ(6%) と英国 (4%) が次に大きな影 響を受けました。 URLをクリック 規模が判明している組織のほぼ半数（48%）は年間収益が5,000万ドルで あった。 またはそれ以下。 初期アクセスの主な手段としてのフィッシングから移行を続ける中で、 ソーシャルエンジニアリング、ボ ランサムウェア攻撃者は、特にビッシングやテクニカルサポート詐 イスフィッシング、テクニカル 欺を通じて、ソーシャルエンジニアリングを認証情報の取得やリ サポート詐欺 搾取とインスト ール セットにますます活用するようになっています。例えば、今年は複数の攻撃者がヘ ルプデスクを題材にしたソーシャルエンジニアリングを実施し、標的とのコミュ ニケーションにはTeamsなどのメッセージングプラットフォームを 使用し、リモートアクセスにはWindowsユーティリティのクイックア シストを使用しました。 詳細は67ページをご覧ください ウェブサイト を閲覧する 指揮統制 ユーザー アタッカー ドメインア カウントが侵害され、特権アカウントが侵害されました サービスが 追加 停止し、バッ のホストで暗 号化されたファイ クアップが削除さ れました ル

Machine Translated by Google 28 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 人間による攻撃とランサムウェアは継続 ランサムウェアの影響を受けた上位10の業界 身代金を要求された組織 収益規模（米ドル） あ C D D E Storm-1175は、複数のプラットフォームの脆弱性を悪用したこと が も 1 つの RMM ツールが関連していました。 より深いアクセス。 H 私 0 J 500 100 150 200 収益（米ドル） 200 300 400 500 600 700 組織の数 A.工業製品およびサービスB.エンジニアリン 633 グおよび建設 532 C.小売、卸売、流通 441 D.医療提供者およびサービスE.テクノロジ 376 ーF. ITまたはテ 281 クノロジーコンサルティング 252 G.教育 251 H.法律サービスおよびコンサルティング 240 I.交通 223 J.金融および投資コンサルティング 215 出典: Intel 471 データ 今年 Microsoft が観察したランサムウェア ケースの約 79% に、少なくと 向の移動と連携して、侵入経路を確立します。 G H 100 に RMM ツールを使い続けています。 なっています。例えば、Medusaランサムウェアを展開することで知られる F G A. 10億以上 239 B. 5億～10億 124 C. 1億～5億 464 D. 5000万～1億 405 1,000万～ 5,000万 1,739 F. 500万～1000万 1,013 G. 100万～500万 4 H.収益は利用できません 1,722 最も蔓延している5つのランサムウェアファミリー （全体の割合） 過去数年と同様に、ランサムウェア攻撃者は、持続性とさらなる侵入のため 公開アプリケーションの悪用も、依然として主要な侵入経路と 確認されています。これらの悪用は、多くの場合、認証情報の窃取や横方 E F 0 コンポーネントを使用しています。2年前は5%未満でした。 ーを確認しました。 B C 今日のランサムウェア攻撃の40%以上はハイブリッド クを使用して、悪意のあるソフトウェアをダウンロードさせたり、 デバイス上でローカルにコマンドを実行させたりしている複数の脅威アクタ あ B Microsoft はまた、偽のソフトウェア更新プログラムや ClickFix テクニッ 昨年、ランサムウェア攻撃者が侵入後にセキュリティソリュ ーシ ョンを改ざんしていることを指摘しました。今年は、検出を回避する ためにウイルス対策ソフトウェア（AV）の除外設定 を悪用する動きが目立ちました。AVの除外設定は通常、 IT部門や 一方、最も洗練されたランサムウェア攻撃者であるオクト•テンペスト セキュリティ部門によって、信頼できるファイルやディレクトリのスキャンに は、高度なソーシャルエンジニアリング、SIMスワッピング、そして個人情報 AVソフトウェアがリソースを浪費するのを防ぐために使用され の侵害を駆使して特権アカウントにアクセスします。 5クラウドにおけ ます。 るラテラルムーブメントの手法で知られるこの脅威攻撃者は、今年、 攻撃者は、過剰な設定などの不適切な設定を狙います。 Dragon Force、 RansomHub、 Qilinを利用し、脅威攻撃者がRaaS間の 広範な除外設定があり、キーボードを操作して侵入する際に防御を 移動をいかに容易に行えるかを示しました。オクト•テンペストは、引 無効化または回避するために利用される可能性があります。今年、攻撃者は き続きRaaSの活用に注力しています。 、人間が操作するランサムウェアインシデントの30%において、除外設 定を利用してアンチウイルス（AV）防御を回避しました。 VMWare ESXi サーバーを標的とした攻撃で、特にハイブリッド環境では 、影響の大きい暗号化イベントが発生することがよくあります。 こうした進化する脅威にもかかわらず、暗号化段階に到達する攻撃は減 速しており、当社のインシデント追跡によると、2023～2024年の102%と比較 全体的に、ハイブリッド環境を標的とするランサムウェア攻撃は増加傾向に して、2024～2025年にはわずか7%の増加にとどまる見込みです。 EDR ソ あり、ランサムウェア攻撃者は侵害されたIDや リューションは、影響を最小限に抑えるのに非常に効果的であることが証明されて AADInternalsなどのツールを利用して、オンプレミスからクラウド います。 環境へと水平展開しています。これらの手法により、ランサムウェア攻撃者は 攻撃の82%は、防御力の向上により攻撃者がデータの窃盗に注力してい アキラ 22% 永続的なアクセスを維持し、複数のクラウドアプリケーションを侵 ることを示しています。 ランサムハブ 11% 害し、仮想マシン（VM）やバックアップシステムを削除し、クラウドストレ ランサムウェア事件を観測したところ、大規模なデータ流出が見られました ージからデータを盗み出します。 。 霧 11% 麒麟 7% 遊ぶ 5% クラウド リソースを暗号化します。 詳細は67ページをご覧ください

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 29 目次 はじめに脅威の状況防御の状況 付録 人間による攻撃とランサムウェアは継続 データの流出と影響: 準備はできていますか? 流出を効果的に解決するには、 インシデント対応活動の開始時に、対応者は通常、 影響はありません。脅威アクターの動機を理解する ことも、重要な背景情報を提供します。 「脅威アクターはどのように侵入したのか︖」と 「どのようなデータが盗まれたのか︖」という2つの主要 データ流出を示す証拠がないからといって、必ずしも な質問に答える必要があります。データの流出 を証明することは困難な場合がありますが、顧客、 例えば、金銭目的の脅威アクターは、恐喝や売買のために大量の データを求める機会主義的な傾向があります。国家と連携した 脅威アクターは、 規制機関、そして下流の組織にとって依然として重要な懸念 一方、特定の情報に焦点を当てる 事項です。 知的財産 (IP) や国家機密など。 盗難データの場合、データが抽出された明確な証拠があります。デ ータ漏洩の場合、脅威アクターが機密データにアクセスした証拠はあ りますが、その抽出プロセスは明確ではない可能性があります。 いずれの場合でも、組織は、法的リスク、業界認定 へ の影響、評判の失墜など、盗まれたデータがもたら す可能性のある深刻な結果を念頭に置く必要がありま す。 データの露出と流出への備え 目的 ステップ 1 データの分類 とインベントリ 2保護する 重要なデータ 特に機密性に基づいてデータを識別しラベル付けする 王冠の宝石（最も貴重なデータ）。 現在の保護メカニズムを評価し、 機 密情報に対する強力な保護手段。 「 目に見える形で、あるいは発生していない可能性もあります。組 織と対応者は、アクセスの証拠を探す際に、ゼロトラ ストと「常に侵害を想定する」原則を遵守する必要があ り ます。過去1年間、Microsoft Detection and Response Team (DART) は、事後対応の取り組みの51%で情報流 データアクセスとステージングを 含むデータ収集は、対応型イン 3確立する 対応手順 ジメントの 80% で確認されました。 要件。データに続く義務を理解する 法令遵守のための露出/流出 シデントの80%で確認された。 規制要件。ビジネスの回復力を確立する業 出を確認しました。 データ アクセスとステージングを含むデータ収集は、エンゲー データ漏洩後の義務を理解する/ 法規制遵守のための情報流出 務の継続性を確保するための計画。 対応エンゲージメント。 4可視性を維持する および検出機能 すべての環境を監視し、 異常なデータアクセスに対する迅速な対応を実現します。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 30 目次 はじめに脅威の状況防御の状況 付録 人間による攻撃とランサムウェアは継続 時間の研究: 躊躇 すると何が起こるでし ょうか? サイバーセキュリティにおいて、時間は極めて 重要です。セキュリティ専門家が潜在的な侵害の初期 兆候に迅速かつ効果的かつ効率的に対応 できるかどうかが、組織が制御を回復できるか、 それとも後れを取るかの鍵となります。場合によって は 、対応が1日遅れるだけでも、脅威アクターを完全に排除 し、環境を再構築する組織の能力に重大な影響を与える可 能性があります。 脅威アクターの活動期間とは、最初に確認された証 拠から、 脅威アクターの活動と最新の活動。 DARTが調査した攻 撃のうち、ほぼ半数（39%） は、特定された最初の 脅威アクターの活動から最新の活動まで0日から7日間継 続しており、残りの17%は 攻撃は7日から14日間続きました。脅威アクターの動 きはかつてないほど速くなっており、組織がそのスピー ドに対応できる適切な対策を講じることがこれまで以上に 重要になっています。 詳細は68ページをご覧ください 脅威アクターの種類別 の平均関与時間 業界別の脅威アクターの活動期間の箱ひげ図 3年 2年 平均長さ 脅威アクターの活動 58 日数 1年 6ヶ月 3ヶ月 1ヶ月 平均 滞在時間 12 日数 1週間 1日 平均時間 従事する 9 日数 他の 交通機関 <1日 政府 製造業 金融 通信 エネルギー 健康管理 研究と 学界 このグラフは、過去1年間における脅威アクターの活動期間を顧客業界別に比較したものです。水平線は活動期間の中央値（日数） を示し、長方 形の枠は範囲を示しています（該当する場合）。研究•学術機関の平均活動期間が最も長く、通信業界の平均活動期間が最も短くなりました。 これらの違いは、各業界に固有のリスクプロファイル(全体的な成熟度)と脅威アクターの目的を反映していると考えられます。 出典: Microsoft インシデント対応、検出および対応チーム(DART)

Machine Translated by Google 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 31 人間による攻撃とランサムウェアは継続 脅威アクターの動きが加速するにつれ、攻撃' チェーンもます 評価のための推奨事項イ ンシデント対応の姿勢 ます攻撃的になっています。そのため、早期検知が不可欠 です。当社の事— 後対応型セキュリティ対策の46%において、お 客様は48時間以内に脅威アクターの存在を検知しました。攻撃 の大半（59%） は、潜伏期間が7日以内と短いのが特 業界別の滞在日数の箱ひげ図 3年 — 徴です。 ' 活動期間が短い攻撃は、主に金銭目的の攻撃者によって実行されま す。脅威アクターは、主に政府機関を攻撃する際に、検出を回避し、ア クセスを維持することを優先します。 2年 あなたのセキュリティ予算は、避けられないサイバーイン ' シデントに組織が迅速に対応する能力をサポートしていま 1年 すか? 6ヶ月 明確に定義された役割がありますか セキュリティインシデントが発生した場合の責任はど 3ヶ月 うなるのでしょうか? 対応に関しては、顧客の54% が侵害を検知してから 3 日以内 検出チームまたはセキュリティ オペレーションセンター (SOC) チー に DART を利用し、約70% が 1 週間以内に利用しました。 ムによるサポートを受けていますか? 効果的なインシデント対応計画を策定することで、組織は迅速 に作業リーダーを特定し、効果的なコミュニケーションを確立し、関 脅威インテリジェンスにサポートされたプロアクティブな 1ヶ月 1週間 脅威ハンティングを実施していますか? 係者との期待値を設定し、専門家を呼ぶことができます。これらすべて が、数百万ドルの損失につながる可能性があります。 もっと詳しく知る 1日 影響の。 「 「インシデント対応の迷路を抜け出す」 は、DARTが発行する ” 常緑製品であり、インシデント対応プロセスを構築している組織に 戦術的なガイドと出発点を提供します。 ' 開始します。 インシデント対応の迷路を抜ける| マイクロソフトセキュリティブログ 他の 交通機関 <1日 政府 製造業 金融 通信 エネルギー 健康管理 研究と 学界 このグラフは、過去1年間の顧客業界別の平均滞在時間を比較したものです。研究•学術機関の平均滞在時間が最も長く、脅威アクター が相当期間にわたって検出されなかったことを示しています。 逆に、金融セクターは平均滞在時間が最も短く、より迅速な検知と対応が可能であることが示唆されている。脅威。 滞在時間は攻撃者の動機の関数であり、攻撃の複雑さや攻撃の規模によっても影響を受ける。 組織の脅威検出およびハンティング機能。 出典: Microsoft インシデント対応、検出および対応チーム (DART)

• https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 32 目次 はじめに脅威の状況防御の状況 付録 詐欺とソーシャルエンジニアリング 超強力な詐欺の新たな時代とその対策 詐欺は商業そのものと同じくらい古くから存在し、信頼と情報 のギャップを悪用することに根ざしています。 歴史を通じて、詐欺師は新しいテクノロジーやシステムを活 用して、個人、企業、政府を欺いてきました。 今日、私たちは極めて重要な変化に直面しています。AIは、詐 欺や ソーシャルエンジニアリングの規模、スピード、そして巧妙 さを増幅させています。信頼を操作し、人間の心理を悪用するという 、根底にある戦術は変わっていませんが、リスクは今や世 界規模で 、差し迫ったものとなり、標的を絞る傾向が強まっ ボット自体には良いことも悪いこともありません。ボットは、反復的なタス クを自動化し、情報への即時アクセスを提供し、パーソナライズされたリア ルタイムサポートを通じてユーザーエクスペリエンスを向上させるために 活用できます。ボットは効率性を向上させ、人的ミス Microsoft で は 、組織が悪意のあるボットを識別し、ボットによるサイバー詐欺を検出するために、次の戦略を実装するこ を減らし、時間を節約します。 とを推奨しています。 貴重な時間をより戦略的な仕事に費やすことができます。 24時間 365日稼働し、容易に拡張できる能力は、 住宅プロキシ検出 遡及的な修復 業界全体にわたる強力なツール。 サードパーティのプロキシ インテリジェンスデータベースを統合します。 特定されたアカウントまたはサブスクリプションを無効化する ラベル付けされた「ボット支援」トランザクションに基づいて、内部プロ オフライン検出を通じて。 同時に、ボットを利用した攻撃は、デジタル詐欺の分野で急速に進化 する脅威となっています。 キシ評価システムを構築します。 高度な機械学習（ML） アプローチ 159億のMicrosoftアカウントの90%以上 顧客入力パターン分析 AI と ML を使用して複雑なデータを理解し、電子メールアドレ 2025年前半の創作リクエストは ユーザーが送信したデータ (名前や住所など) のパターンを分 悪質なボット。マイクロソフトの不正対策システムは、年間を通じ スや製品の説明などを比較可能なデータ ポイントに変 析して自動化を検出します。 換し、時間の経過に伴うユーザー アクションを分析して異 ています。 て、サービス全体で1時間あたり約160万件のボットによる、ま 悪意のあるボットからの保護 たは偽のアカウント登録の試みをブロックしました。これは、攻撃者が自動 eコマースやデジタルプラットフォームの拡大に伴い、自動化 を 推奨事項 化と偽のIDを大規模に悪用していることを示す驚異的な数値で す。 悪用して従来の防御策を回避しようとする詐欺師の手口も巧妙化し ています。これはボットを通じて行われます。 ボットは、高速なクレデンシャルスタッフィング、在庫の買いだめ、 偽アカウントの実行にますます利用されている。 カードの作成とテストは、多くの場合、人間の能力を超える規模 と頻度で行われます。 行動バイオメトリクス マウスの動き、クリックのタイミング、キーストロー クのダイナミクスを監視して、ボットと人間を区別しま す。 常なパターンや動作を見つけます。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 33 目次 はじめに脅威の状況防御の状況 付録 詐欺とソーシャルエンジニアリングは続く ディープフェイクと合成IDの台頭︓AIが大規模なID詐欺 を助長している マイクロソフトの詐欺 阻止された試み マイクロソフトが1年間でブロッ AIを使えば、詐欺師は偽のウェブサイトやプロフィール、カスタマーサービス のチャットを素早く作成し、 実在の企業を装ったり、ディープフェイクの音声や動画を使用して信頼でき る人物に見せかけたり、すべて最小限のコストで行うことができます。 クした詐欺スキーム（多くはAI対応） の価値 （2024年4月～2025年4月） 40億ドル マイクロソフトは昨年、AI コンテンツが関与している可能性が高い 40 億ドル相当 の不正な取引や詐欺を阻止し、パートナー プログラムへの 49,000 件の偽の登録 申請を拒否して、偽のID や盗難された ID を使用して正当なパートナーを装う脅 威アクターを阻止しました。 れる可能性があります。ディープフェイクによるなりすましは、ビジネスメール 詐欺（BEC）や、重要なアカウントの情報漏洩、パスワードや二要素認証（2FA） のリセットにつながる可能性があります。 「 LinkedInペルソナは、データスクレイピングやソーシャルエンジニアリン グ（例えば、リクルーターやベンダーを装うなど） といった不正行為を行う可 能性があります。これはLinkedInの信頼性を脅かすだけでなく、説得力の ある偽プロフィールで繋がる可能性のあるMicrosoftの従業員やパートナ ーへの直接的な攻撃に発展する可能性もあります。 7 ーザーの本人確認はセキュリティの基盤となります。ディープフェイクやAI生成 サインアップがブロックされました 文書は、こうした検証チェックポイントを弱める恐れがあります。 多く、世界中でその使用量が 195% 増加し 160万 1時間あたり たとえば、攻撃者は偽の ID や盗まれた ID を使用して新しい Microsoft アカウントを登録しようとすることがよくあります。 彼らの目的は、スパムや詐欺のための無料トライアルリソースを入手したり、 攻撃を開始するための使い捨てのテナントアカウントを作成したりすることか もしれません。これらのサインアップの試みの多くは、基本的なフィルター もっと詳しく知る を通過するためにボット（そしておそらくは合成情報（ランダムな 名前やAI生成のメールアドレスなど））を使用しています。この規模は AIディープフェイクが活用されるもう一つの分野は、テクニカルサポート詐欺です。 詐欺師はテクニカルサポート担当者を装い、ユーザー（多くの場合高齢者） を AIで生成されたIDは、今では本物の偽造品よりも説得力があることが多 騙して偽のサポート料金を支払わせたり、マルウェアをインストールさせたりし く、世界中で利用が195%増加しています。 8組織が自撮り写真を使用す ます。従来、こうした詐欺は電話、メール、ポップアップ広告などを用いて行 る状況では、 われていましたが、現在では脅威アクターはAIで改変されたディープフェ 新規ユーザーを検証するためのチェックやドキュメントのアップロード イクを活用しています。 て、ディープフェイク技術は生体テストさえも回避できます (たとえ に加え 電話やビデオ通話でサポート担当者になりすます際に、偽の音声を偽装すること ば、ディープフェイク ビデオは、人が瞬きしたり頭を回したりする動作をシミュレー があります。こうした顧客向けのディープフェイク技術詐欺は、被害者だけで トできます)。 す。 偽造品よりも本物らしく見えることが 偽アカウント作成の試み（ボット/合成） は この活動は、偽の身元を大量に作成しようとする組織的な試みを示しています。 なく、なりすまし先の企業の評判や顧客の信頼にも直接的な影響を与えま AI 生成の ID は現在、本物の ています。 自動ボット 1 時間あたりの Microsoft サービス 技術であり、なりすまし、詐欺、誤情報などの悪意ある目的に利用さ た偽のプロフィールが存在する可能性があります。 6これらの偽の 合成IDもまた、リスクの高まりを招いています。デジタルサービス分野では、ユ ブロックされました ディープフェイクは、 AIを用いて非常にリアルな音声•映像コンテンツを作成する LinkedInのようなプラットフォームでは、 AIが生成した顔写真を使っ AIを活用した欺瞞︓新たな詐欺の脅威とその対策 サ 9 イバーシグナル問題

• https://news.microsoft.com/cyber-signals/?msockid=27ae13461a3264e9295607d31b8165c2

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 34 目次 はじめに脅威の状況防御の状況 付録 詐欺とソーシャルエンジニアリングは続く バーチャルクレジットカードと変化す る詐欺情勢 利便性、プライバシー、セキュリティの交差点に位置する仮想 推奨事項 - カードの売上増加 使い捨てクレジット 400 354.7 クレジットカード (VCC) は、オンライン決済を再編すると同 時に、小売業者にとっての詐欺の戦場を移行さ せています。 求められます。 300 Microsoft では、スムーズな顧客エクスペリエンスを維持しなが ら組織が防御を強化できるように、次の戦略を推奨しています。 年までに年平均成長率（CAGR） 21%という力強い成長率で600 デジタル決済に対する消費者の需要、サブスクリプション の独自の特性から、加盟店はVCCを別の決済手段として扱う必 要があり、俊敏性、連携、そして顧客中心の設計が 世界のバーチャルカード市場は2024年に190億米ドルに達し、 2030 億米ドルに拡大すると予測されています。 9この急成長は、安全な VCCには独自のリスク管理アプローチが必要です。そ 200 少額の検証料金を導入することで、課金モデルを適応させ、支 経済、そして若年層での普及率の高さによって推進されています。アプ 払い検証を強化する リを通じて生成されるVCCは、独自の詳細と設定可能なルー ル（ または、高リスクの顧客向けにプリペイドオプションを提供 例えば、 したり、大規模な取引にはバックアップの支払い方法を要求したり 100 します。 カード非提示詐欺 (CNP) を削減するために設計された、さまざまなセキュリテ ィ レベル (例: 制限、加盟店カテゴリ、有効期間)を備えています。 静的なカード データを超えた速度監視と行動分析を使用して不正 企業、特にB2B（企業間取引） においては、決済効率の向上 検出を強化します。 のためにVCCの導入が進んでいます。しかし、急速な導入により、 VCC の導入により、新たな詐欺の脆弱性と加盟店の運用 上の複雑さが生じ、戦略的な適応が必要になります。 0 12月23日 3月24日 6月24日 9月24日 出典: マイクロソフト内部のコマーステレメトリ。 2023年11月を100としてインデックスされた値 12月24日 3月25日 6月25日 一貫したVCCフラグ付けを奨励することで業界の 協力を推進し、 カードネットワーク全体の透明性。 VCCは通常のカードと見た目が似ているため、従来の不正検 サブスクリプションの不正利用や返金詐欺は、 VCCの容易な生成 VCC特有の不正行為の兆候を監視する。 出ルールの効果が薄れてしまいます。また、使い捨てカードは定期課 と匿名性を悪用する悪質な行為者によって増加していま カードの有効期限が異常に短い、使い捨てパターン、または加盟店 の不一致 金を阻害し、承認エラーの原因となります。 す。合成IDの普及により、さらに複雑化が進み、一般的なブロックリス トによる対策を回避し、モグラ叩きのような効果を生み出して います。 詐欺チーム。 定期支払いの VCC 制限に関する明確なメッセージで 、積極的に顧客と関わります。

Machine Translated by Google 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 詐欺とソーシャルエンジニアリングは続く ドメイン偽装の時代 AI: 規模とスピードへの防御 ドメインのなりすまし、またはサイバースクワ さらに、サイバー犯罪者は、生成的敵対ネットワーク （GAN） などのAI駆動型敵対的ドメイン生成技術を用いて、標的 - 型攻撃における従来の検出を回避します。 GANのジェネレーター は、人気ブランドのURLなどの実際のドメインデータセットから学 ッティングとは、商標を悪用したりユーザーを欺いたりする ために悪意を持ってドメイン名を登録または使用す 習し、説得力のある類似ドメインを生成します。一方、 ることです。 くなるまで出力を洗練させます。 ドメイン偽装は、大規模なAIを活用した攻撃により、最も急 速に増加しているオンライン脅威の一つとなっています。主な動機とし ては、恐喝、アフィリエイト詐欺、フィッシング、マルウェア配 布などが挙げられます。 サイバー中傷。 詐欺師は次のような手法を使って偽のドメイン名を作成します 。 • 同形異義語のスクワッティング:視覚的に類似した文 字（「m」の代わりに「rn」など） • 偽ドメインは実在のドメインとほぼ区別がつきません。 AI自 動化により、標的を限定しない攻撃において数千もの偽ドメイン が迅速に作成され、数分間で大規模なフィッシングや詐欺キャンペ ーンを展開することが可能になります。 組織は、メインドメインと一般的なバリエーションを登録する ことでドメインのなりすましリスクを軽減し、公式ソーシャルメディ タイポスクワッティング︓軽微なスペルミス（例︓ 「micorsoft.com」） • 識別器はそれらの真正性を評価し、偽造ドメインが見つからな コンボとレベルスクワッティング︓余分な単語を追加する またはサブドメインを正当なものとして見せかける アアカウントを検証することでブランドプレゼンスを確 保できます。 偽のプロフィールや詐欺広告を監視する。また、 偽の URL、緊急の支払い要求、なりすましメールを認識するよ う 従業員と顧客を教育し、最近のなりすましの試みの例を共有して認 識を高めることが重要です。 レジストラやホスティング プロバイダーによる削除手順や、疑わしい 電子メールやドメインを迅速に隔離するためのプレイブック を含む迅速な対応計画を用意しておくことも、特定されたインシデ ントが発生した場合に役立ちます。 35

• https://micorsoft.com/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 36 目次 はじめに脅威の状況防御の状況 付録 ソーシャルエンジニアリングの悪用 ClickFixの台頭 2024年11月以降、特に注目すべき傾向として、ClickFixの 推奨事項 観測された主な初期アクセス方法 使用が急増しました。 ClickFixは、ユーザーを誘導してコ マンドをコピーさせ（多くの場合、偽のポップアップ、 D 求人応募、サポートメッセージなどに埋め込ま れています）、 Windowsの「ファイル名を指定して実 行 従来のフィッシング対策ではClickFixを検出できないため、静的な侵 Booking.com を装ったフィッシング攻撃、 認証情報を盗 害指標だけでなく、行動シグナルにも重点を置いた検出が必 むマルウェアを拡散 | Microsoft セキュリティ ブログ 要です。Microsoftは以下の対策を実装することを推奨しています 。 C 」ダイアログ（Win + R） またはターミナルに貼り付けるこ あ 意識啓発トレーニング。 不明なソースからのコマンドを貼り付けること は、疑わしいリンクをクリックするのと同じくらい危険であることをユー ザーに教えます。 これらのコマンドは、悪意のあるペイロードを直接メモリに読み 込みます。これは、従来のセキュリティツールでは検出 スクリプトブロックのログ記録。PowerShellのログ記録を されないことが多い、クリーンなファイルレス B 有効にし、制約言語モードを使用して不正使用を制限します。 プロセスです。 ClickFixは最も一般的な初期アクセスでした クリップボードからターミナルへの監視。シェル（cmd.exe、 Microsoft Defenderの専門家が観察した方法 powershell.exe）の起動に続く、異常なクリップボードアク 昨年のDefender Expertの通知では、 攻撃の47%を占めています。ClickFixは、サイバー犯罪者と国家機関の両方 A.クリックフィックス 47% によって、インフォスティーラー、リモートアクセス型トロイの木馬 ティビティを監視します。 B.フィッシング 35% ブラウザの強化。信頼できないゾーンでのクリップボードへのアクセスとス （RAT）、ワームなどのマルウェアを拡散するために利用されてきました。成 C.パスワードスプレー 10% クリプトを無効にします。 功した攻撃では、ユーザーが数回キーを押すだけで、認証情報の盗難、 D.ドライブバイ侵害とSEOポイズニング 7% E.脆弱性 1% す。 クリックする前に考えよう（修正）︓ ClickFixソーシャルエンジニアリング手法 | Microsoft とで、PowerShellまたはmshta.exeを実行します。 マルウェアのステージング、そして永続的なアクセスが可能になりま もっと詳しく知る E 出典: Microsoft Defender エキスパート通知 コンテキスト検出。クリップボードの使用状況と下流の実行パターンを 相関させ、疑わしいフローを検出します。 セキュリティブログ

• https://aka.ms/phishing-booking-com
• https://aka.ms/clickfix-technique

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに脅威の状況防御の状況 付録 ソーシャルエンジニアリングの悪用は続く フィッシングの状況 今年、メール爆弾は煙幕として使われることから、第一段階として使われる ようになった。 過去 1 年間のフィッシングにおける最も大き な変化は、攻撃の規模と効率性が向上した ことです。 階としてよく利用されています。攻撃者はITサポートを装ってターゲットに AI自動化されたフィッシングメールのクリックスルー率は54%に達 連絡し、問題解決を申し出ます。信頼関係が確立されると、 より広範なマルウェア配信チェーンにおける攻撃ベクトル。 メール爆弾は、現在では、ヴィッシングやTeamsベースのなりすましの前段 し、通常のフィッシングメールの12%と比較して4.5倍の増加となりました。 AIは、より標的を絞ったフィッシングと、より巧妙なフィッシングルアーを可能 標的はリモート アクセス ツールをインストールするように誘導され、 にします。さらに懸念されるのは、AI自動化は、高度にスケールアップすることで、 攻撃者はキーボードによる直接制御を取得し、マルウェアを展開して、持続性 フィッシングの収益性を最大50倍に高める可能性があることです。 を維持できるようになります。 最小限のコストで数千のターゲットに標的型攻撃を仕掛けることができる。 10 この莫大な投資収益は 推奨事項 AI をまだ使用していないサイバー脅威アクターに、将来AI をツー ルボックスに追加するよう奨励します。 ソーシャル攻撃の前兆としてのメール爆弾エ ンジニアリング攻撃 2025年に最も効果的なソーシャルエンジニアリングの1つは 最も有力な戦術はメール爆撃（スパム爆撃やサブスクリプション 爆撃とも呼ばれる） である。メール爆撃では、攻撃者は標的のメー ルアカウントを何千ものニュースレターやオンラインサービスなどに登録し、 標的の受信箱に数百、あるいはそれ以上のメールを大量に送信し、 数千件のサブスクリプションメール。これは、MFAプロンプト、パスワードリセッ ト、不正行為アラート、取引通知などの重要なアラートを隠すためです。 受信トレイの混雑をフィルタリング ルールまたはヒューリスティックを使用して、大量のサインアップ メールを検出 し、ユーザーまたはセキュリティチームに警告します。 コントロールチームの露出 外部テナントとの通信を制限し、 なりすましの試みを監視します。 ユーザーを教育する 偽の IT サポート詐欺、特にクイック アシストの実行を求める詐欺につい て従業員に認識させます。 RMMの使用を制限する すべてのリモート アクセス ツールを承認および監視し、 Windows または緊急性と混乱を生み出すためです。 Defender アプリケーション制御 (WDAC) または AppLocker を 使用して、許可されていないツールをブロックまたは警告します。 行動を相関させる 受信トレイの洪水のようなシーケンスをフラグ付け→クイックアシスト→ PowerShell/MSHTA の実行。 37

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 38 目次 はじめに脅威の状況防御の状況 付録 ソーシャルエンジニアリングの悪用は続く BEC: 個人情報の侵害によって引き起こされる大きな 脅威 ビジネスメール詐欺（BEC） は、過去1年間に 観測された脅威全体のわずか2%を占めるに過ぎま せんが、その影響は不釣り合いに大きく、特に侵害さ れたユーザーアカウントに関連している場合、その影 響は顕著です。実際、BECはランサムウ ェア（16%） よりも攻撃の結果として多く発 業種別ビジネスメール詐欺（2025年1月～6月） 1研究と学術 49% 2電気通信 11% 3金融サービス 7% 4物流 6% 5専門サービス 5% 6小売および消費財 5% 7電力•公益事業 4% 8個別製造業 3% 9医療と公衆衛生 3% と移行します。 10ホスピタリティと旅行 2% 不正な SharePoint アクセス、内部フィッシング、電子メールス 11保険 2% 12非営利団体 2% 13政府 1% 14製造業 1% 1. 研究と学術 2. 電気通信 3. 財務 サービス 生しており（21%）、組織が両方の脅威か ら防御する必要があることが浮き彫りになっていま す。 BEC攻撃は通常、個人情報の漏洩から始まります。攻撃者はフィ 5. プロフェッショナル 4. 物流 サービス ッシングやパスワードスプレー攻撃によって最初のアクセスを獲 得し、その後、受信トレイルールの操作など、BEC特有の活動へ レッドのハイジャック、新しいMFA 認証方法の登録、ま た は MFA の改ざん。 これらの手法は、信頼を獲得し、権限を昇格し、最終的には機密デ ータを盗み出すために使用されます。 または金融詐欺を実行する。 6. 小売業および 7. パワーと 8. 離散的 消費者 ユーティリティ 製造– uring 品 10 11 12 13 14 9. ヘルスケア そして公共 健康 15 16 15農林水産業 0.3% 16公共の安全 0.2%

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 39 目次 はじめに脅威の状況防御の状況 付録 ソーシャルエンジニアリングの悪用は続く 世界のBECホットスポット 活発なBEC脅威グループ BEC活動は世界中に均等に分布しているわけではありません。 Microsoftのテレメトリと法執行機関の協力により、 BEC活動が特に 1 2 活発な地域的なホットスポットが特定されました。これらの地域は、インフラ ストーム-0259 ストーム-2502 点となることがよくあります。 運営国: 運営国︓ナイジェリア の構築、マネーミュールの勧誘、そしてマネーロンダリング活動の拠 トルコと北キプロス共和国 国籍:ナイジェリア（おそらく 学生ビザを使用） 活動期間: 2020年～現在 1 国籍:ナイジェリア 推奨事項 活動期間: 2021年～現在 戦術:国際的なマネーロンダリ 戦術: ATO に PhaaS を使用、 ング、違法な暗号通貨の使用、米国 を拠点とするラバの群れの飼育 メールの流出、 NameCheapドメイン、RDP 用のRedVDS 被害者︓評価中 ID 関連のアラートを、疑わしいメールフロールール、外部転送、 MFA の変更と関連付けます。 被害者︓米国、カナダ、英国の中小企業 異常な送信パターン、特に金銭的な要求に関連するパターンを監視 3 2 3 4 嵐-2227 嵐-2126 運営国: アラブ首長国連邦 運営国︓南アフリカ 国籍:ナイジェリア 活動期間: 2017年～現在 活動期間: 2021年～現在 戦術: ATO、メール流出、 NameSilo/Hostingerドメイン、 RDP 用の Azure/RedVDS 被害者︓米国の建設•建築業界 します。 メールボックスアクセスとMFAデバイスの監査 定期的に登録します。 フィッシングだけでなく、 ID の侵害が BEC を促進する方法について ユーザーに教育します。 国籍:ナイジェリア 戦術:フィッシング、消費者メールターゲティ ングのための広告の使用、 もっと詳しく知る GoDaddyドメイン 被害者︓米国の不動産、タイル会 社、法律事務所 ビジネスメール詐欺について理解する| 4 マイクロソフトセキュリティ101

• https://www.microsoft.com/en-us/security/business/security-101/what-is-business-email-compromise-bec

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 40 目次 はじめに脅威の状況防御の状況 付録 ソーシャルエンジニアリングの悪用は続く デバイスコードフィッシング︓次世代の認 証情報窃盗 今年、マイクロソフトは、世界中でデバイスコー ド フィッシング キャンペーンを実行する脅威アクター の顕著な増加を観察しました。 デバイスコードフィッシングでは、攻撃者はデバイスコード認証フロー デバイスコードフィッシングは、脅威アクターに以下の情報へのアクセスを許 を悪用してアクセスを奪い、 可するため、データの盗難や流出のリスクが高くなります。 リフレッシュトークンは、侵害されたアカウントにリンクされた標的 侵害を受けたユーザーが権限を持つメールやクラウドストレージなど のアカウント、データ、その他のサービスへのアクセスに利用され のデータを、パスワードなしでアクセスする。最近の懸念すべき 事例 る可能性があります。この手法は、トークンが有効な限り、永続的なアクセス として、マイクロソフトは、脅威アクターが被害者にデバイスコードを やラテラルムーブメントを可能にする可能性もあります。 Teamsに入力するよう促すのを確認した。 脅威アクターは、ユーザーを騙してデバイスコードを入力させることで、 デバイスコード認証フローを悪用します。 招待により、ユーザーが不正行為を特定することが難しくなりま す。 * デバイス コード フィッシングは目新し いものではありませんが、ほとんどの ユーザーはデバイス コード フローを ターゲットとする攻撃に注意するよう指 導されていません。また、攻撃者の認 フィッシングメールやその他の通信で攻撃者が提供した、一 デバイスコードフィッシングは、世界中のあらゆる分野の組織にとって大きな 見正当な認証ポータルに見せかけた認証情報。ほとんどの脅威攻撃 者は、まず 脅威となっています。マイクロソフトは、ロシア、イラン、中国の国家レベルの攻撃者や 、Octo Tempestのようなサイバー犯罪グループが、この手法を用い サードパーティ製のメッセージングアプリケーションを使用する被 て行われるため、従来のフィッシング検出 てIT業界、NGO、政府機関、民間企業などの標的にアクセスしているこ 害者は、管理者やプログラム管理者などの信頼できる連 とを確認しています。マイクロソフトが過去12ヶ月間に確認したデバイスコード 絡先を装うこともあります。ユーザーがポータルにコードを入力す る フィッシング事件の93%は、2015年後半に発生しました。 ツールでは見逃されることが多く、特に 危険なフィッシングの進化となって と、攻撃者はアクセスを許可され、生成されたアクセストークンとリフ います。 レッシュトークンを取得できます。 脅威の攻撃者は、標的型ソーシャルエンジニアリングと帯域外通 証は正規のコードとトークンを介し この技術が急速に普及したことを示しています。 信を組み合わせることで特に成功を収めており、これによ り、通常はスパムやフィッシングなどの活動を識別するウイルス対 策システムやその他の検出システムを回避できます。 もっと詳しく知る Storm-2372がデバイスコードフィッシングキャンペーンを 実施 | Microsoft セキュリティブログ

• https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/?msockid=16b08e5738b6661a2d9b9c1d390d6782

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 41 目次 はじめに脅威の状況防御の状況 付録 クラウドの脅威の傾向 組織がクラウドテクノロジーの導入を加速させる • 破壊的な攻撃キャンペーンの増加。 ランサムウェア、大量削除、その他の破壊的な行為によって顧客 につれ、攻撃者はクラウド環境を標的 環境を混乱させることを目的としたキャンペーンが とするケースが増えており、新たな戦術や新興テクノ 87% 増加しました。 ロジーを悪用して、資産の侵害、業務の妨害、 機密データの窃取といった攻撃を仕掛けています。防御 側が保護の優先順位を決定し、効果的に対応するため • 最初の100日間まで） 2025 年までのトレンドは次のとおりです。 • 攻撃件数の急増。 Azureベースの環境に対するインシデント数は、第2四 半期の100日間で前年同期比で増加しました。 初回と比べて事件数が26%増加 100日。 インインをブロックし、最小権限の原則に従っ D 攻撃者の回避技術が向上しました。 て特権 ID 管理 (PIM) を使用して機密性の 高いロールへのアクセスを厳密に制御しま E 出と軽減を回避するための回避戦術をますます採用しています。 クラウドへの攻撃︓クラウド環境への攻撃が激化 と MFA と条件付きアクセスを適用して不正なサ C ータを抜き取ろうとする試みは58%増加しました。 脅威の攻撃者はクラウド防御に対する意識が高まっており、検 Azureクラウド環境を狙った攻撃の高度化と巧妙化。最初の100日間 護は非常に重要です。 B 加しました。ストレージアカウントやデータベースから機密デ • 大幅な増加が明らかになった。 エントリポイントであるため、その保 情報漏洩の試み。認証情報とアクセスキーの盗難は23%増 す。 Microsoft Defender for Cloudの最近のテレメトリでは、攻撃量の アイデンティティはクラウド攻撃の主な あ 認証情報の盗難とデータの窃盗の増加 に、これらの傾向を理解することは不可欠で * 一部のアラート通知の増加率 今年（2025年と比較して2回目の100日） す。 F 侵害された Entra ID から始まり、Azure 内のクラウドベースの 0 20 40 アクティビティにエスカレートする攻撃がますます増加しています 。 同時に、クラウド侵害におけるサービスプリンシパルの使 用は 安定しているかわずかに減少しており、これはセキュリティ強 化の改善を反映している可能性がある。 60 80 100 % A.コレクション 58 B.影響 87 C.防御回避 57 この分野での取り組み。注目すべきは、 D.資格情報へのアクセス 23 Azureなどのクラウドネイティブメカニズムの使用 E.コマンド実行 15 Run Command - 侵害された環境内でのリモート コード実行 F.サービスによる攻撃 16 (RCE) 用。 もっと詳しく知る 進化する攻撃手法への防御| Microsoft セキュリティ ブログ AIと高度な防御について60ページから学んでください 出典: Microsoft Defender for Cloud

• https://www.microsoft.com/en-us/security/blog/2025/05/29/defending-against-evolving-identity-attack-techniques/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 42 目次 はじめに脅威の状況防御の状況 付録 クラウド脅威の傾向は継続 コンテナは、アプリケーションの実行に必要なも のがすべて含まれた、軽量でスタンドアロ ンの実行可能なソフトウェア パッケージで す。 コンテナは簡単に作成•削除できますが、クラウドネイティブ環境 では特有のセキュリティ上の課題が生じます。 Microsoft Defender for 2025年1月～4月の感染種別100日間の感染 期間の中央値 クラウド脅威感染タイプ100日間 2025 年1月～4月 クラウド テレメトリにより、コンテナの侵害はデプロイメント直後に発生す 25 ることが多いことが明らかになりました。 D 2025 年 1 月から 4 月までの 100 日間にわたるコンテナ実行時 20 間とアラートタイミングの分析により、次の結論が明らかになりました C 。 C 15 侵害されたコンテナのほとんどは、デプロイ後48時間以内に攻撃を受 日 数 コンテナセキュリティに注目 けます。これは、即時のランタイム保護が極めて重要であることを強 調しています。 B B 10 あ あ 攻撃の状況では暗号通貨マイニングが主流です。 D 5 クリプトジャッキングは Kubernetes 環境で最も一般的 な脅威であり、侵害が発生するまでの平均時間は導入後2 日未 満と最も短くなっています。 0 感染の種類 資格情報盗難攻撃は、顕在化するのに時間がかかります。 これらの攻撃は、観測された中で 2 番目に多いタイプであり、 感染時間の中央値が最も長く、コンテナ作成後約 3.5 日で発 生しました。 ロングテール攻撃はリスクです。ほとんどの攻撃は早期に発生します % 日数 A.暗号通貨マイナー 58 A.暗号通貨マイナー 8.7 B.資格情報の盗難 21 B.資格情報の盗難 12.7 C.既知の攻撃ツール 15 C.既知の攻撃ツール 19.3 D.ウェブシェル 6 D.ウェブシェル 6.8 が、大幅に遅れて発生する異常な攻撃もあります。 感染症は、初期展開を超えた継続的な監視の重要性を浮き彫り にしています。 出典: Microsoft Defender for Cloud 出典: Microsoft Defender for Cloud

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 43 目次 はじめに脅威の状況防御の状況 付録 国家による敵対的脅威 今年の国家によるサイバー活動は、伝統的な諜 報活動の標的であるIT、研究•学術機関、政府、シンクタ ンクに対するスパイ活動を優先した。 防衛産業基盤に対する攻撃など、少数の攻撃は経済的利益 を得るために機密情報を窃取することを目的としていました。さらに少 国家主体による最も標的となるセクター 数の攻撃は、妨害行為や身代金要求といった他の目的を持 あ っていました。 B NGO。 CC 今年発生した大きな脅威の一つは、世界中の組織にリモート D ワーカーを密かに潜入させる北朝鮮のプログラムの規模が明らかにな EE ったことです。後述しますが、この増大する脅威には、制裁違反、スパイ活動、 F 恐喝、破壊工作のリスクなど、多面的な側面があります。 GG HH 私 地政学的なホットスポットと長年にわたる諜報活動の優先事項に沿っ J て、今年の国家活動の主な地理的標的はイスラエル、米国、アラブ首長 K 国連邦でした。 L 0 5 10 15 20 25 30 合計の割合 予想通り、ウクライナもロシアの俳優たちの最大の関心事だった。 合計の割合 合計の割合 A. IT 26 G.交通 4 B.研究と学術 14 H.コミュニケーション 4 C.政府 12 I.財務 3 D.シンクタンク/NGO 7 J.ヘルス 3 E.消費者向け小売業 7 K.防衛 3 F.製造業 6 L.エネルギーエ 3 出典: Microsoft Threat Intelligence 国家通知データ

Machine Translated by Google 44 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 国家敵対勢力の脅威は継続 観察された国家活動レベルの地域サンプル 国別に観測されたイ ベント活動数 アメリカ大陸 アジア太平洋 ヨーロッパ 中東•アフリカ トップアクティビティレベル トップアクティビティレベル トップアクティビティレベル トップアクティビティレベル 200以 アメリカ合衆国 623 台湾 143 ウクライナ 277 イスラエル 603 ケニア 9 上の イベント カナダ 51 韓国 126 イギリス 144 アラブ首長国連邦 166 ナイジェリア 8 ブラジル 24 インド 100 ポーランド 97 サウジアラビア 70 タンザニア 5 ペルー 16 香港特別行政区 95 ドイツ 74 トルコ 70 マリ 4 アルゼンチン 11 中国 49 フランス 72 イラク 67 ナミビア 4 50～100 コロンビア 10 オーストラリア 47 スペイン 61 ヨルダン 44 ボツワナ 2 0～50 メキシコ 9 タイ 39 ロシア 60 レバノン 39 ドミニカ共和国 5 日本 38 イタリア 51 エジプト 32 チリ 4 シンガポール 33 アゼルバイジャン 35 イラン 27 コスタリカ 3 インドネシア 32 ベルギー 30 モロッコ 26 南アフリカ 31 エチオピア 20 アンゴラ 9 100 — 200

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに脅威の状況防御の状況 付録 国家敵対勢力の脅威は継続 セ イ ズ キ ュ 、 お リよ テび ィ ス 、 ト パ レ イ ー 活 ド 動 ク の ラ 難 フ 読 ト 化 の 。 カ セ ス キ タ ュ マ リ びィスパ、トイレ活ー動ドのク難ラ読フト化の。カスタマイズ、およ テ 中 国国の が脅最 威も ア狙 クう タ ー 10が の最業 も種 狙う10の業種 中国の が脅 最威 もア狙クう1 タ0ーのが地最域も狙う10の地域 脅威アクター 中 適 国 応 の す 脅 る 威 に つ ア れ ク タ て ー 、 定 は 期 、 セ 的 キ に ュ そ リ の テ 技 ィ 術 や を 防 改 御 良 策 し の て 進 い 歩 ま に 中国 ー す ク 。 た を と 使 え 用 ば す 、 彼 るら こ と はが 検 増 出え をて 回お 避り す、 る 脆 た 弱 め な に イ 秘 ン 密 タ の ー ネ ネ ッ ッ ト ト ワ 接 大規 規模 模 界模 規の模 大 なな 世世 界 規 諜の 報諜 活動報活動 護 ト と さ さ れら てな おる ら攻 ず撃 、 統 の合 たさ めれ のて 難 い 読 な 化 い の こ 追 と 加 が レ 多 イ い ヤ た ーめ の、 両 エ 方 ン を ト リ 提 ポ 供 イ し ン ま 中 し て 国 他 の 標 の 国 的 家 攻 主 撃 体 活 か 動 ら の 際 幅 立 広 っ さ て と い 規 る 模 。 は 中 、 国 依 の 然 標 と す 追 加 。 最 レ 近 イ で ヤ は ー 、 の さ ら 両 な 方る を攻 提撃 供の した まめ すの 。エントリポイントと難読化の 続 こ れ デ ら バ の イ デ ス バ を イ タ ス ー は ゲ 、 ッ 組 ト 織 に の す セ る キ こ ュ と リ に テ 重 ィ 点 プ を ロ 置 グ い ラ て ム い 内 ま で す 保 。 あ B C D E F H G あ J B C D 私 的か攻ら際撃立活っ動てのい幅る広。さと規模は、依然として他の国家主体 合計の割合 合計計のの%%合 ス 者 パ はイ 主活 に動 ITと 分 機 野 密 、 イ 情 ン 報 タ の ー 収 ネ 集 ッ を ト 重 サ 視 ー す ビ る ス こ と プ か ロ ら バ 、 イ 中ダ 国ー の攻撃 (す IS。 P中 ) 、 国 通 の 信 脅 、 政 威 府 攻 機 撃 関 者 、 の 軍 標 事 的 防 • は 衛 主 、 に NG米O国 を 、 ア 標 ジ 的 ア に 、 し 北 て ア い フ ま リ 近 迅 年 速 に 、 中 操 国 作 の 可 攻 能 撃 と 者 な は っ 新 て た お に り 公 、 こ 開れ さは れ、 た デ脆 ジ弱 タ性 ルをサ よプ り カ、ラテン アメリカに所在しています。 のイ ラ 対象チと ェな ーる ンコ のン 複 ポ 雑 ー さ ネ が ン 増 ト す が こ 増 と え で る さ こ ら と に に 複 よ 雑 っ 化 て し 脅 、 威 悪 が 用 アジア、北アフリカ、ラテンアメリカ。 段国 中 と し はて 、 経 ス 済 パ 的 イ 競 活 争 動 優 を 位 利 性 用 を し 追 て い 求 ま す す る 。 た 中 め 国 の は 主 、 経 要 済 な 的 手 競 ス パ 争 イ 優 活 位 動 性 を 利 追 用 求 し す て る い た ま め す の 。 主要な手段として 増性 弱 A.アリカメ合リカ衆合国衆国A.ア メ 3355%% 10% B.タイB.タイ 14% C ク.シタンクタ/Nン Gク O /NGO C.シン 9% C.台湾C.台湾 12% D.製造業D.製造業 9% 国.韓国D.韓 D 8% E.研究と学術E.研究と学術 6% 本.日F.本フE E ィ.リ日 4% サ 悪 プ 用 の ラ 対 イ 象 チ と ェ な ー る ン コ の ン 複 ポ 雑 ー さ ネ が ン 増 ト す が こ 増 と え で る さ こ ら と に に 複 よ 雑 っ 化 て し 脅 、威が増大し F 費.消者費向者け向小け売小業売業F.消 6% イ ピ ギ ン リ F.スフG ィ .リ イ ピ ギ ン リ G ス. 3% ている。 G.ミ コ コ ュ ミ ニ ュ ケ ニ ケ ー シ ー シ ョ ン ョ ン G. 3% 20年 た 24で 年 あ は り 世 、 中 界 国 中 の で 活 記 動 録 家 的 は な 情 数 報 の 収 選集 挙や が選行挙わ結れ果 への影響の試みに多大な労力を費やした。 H.ファイナンス 3% H.インド I.交通I.交通 2% IJ.ド.香イ港ツ特I.ド別イ行ツ政 1% Jル.ヘスルスJ.ヘ 2% 区J.香港特別行政区 1% 民国 中 主は 主、 義 協 制 調 度 的 を な 弱 影 体 響 化 力 さ 作 せ 戦 、 同 や 盟 サ イ 国 バ 間 ー の 侵 不入和を煽 通 り じ て 、 自 、 国 う し の た 統 動 治 き モ は デ 、 ル 国 を 際 正 秩 当 序 化 を す 再 る 構 言 築 説 し を 、 中 推 国 進 の し 地 よ 政 う 学 と し 的 て 地 い 位 る を 。 高 こ を 域 反 に 映 お し け て る い 西 る 側 。 諸国の影響に対抗するという長期 中 ル 国 ウ の ェ ア 国 の 家 作 主 成 体 、 は あ 、 る 脆い 弱は 性作 調 戦 査 の 難 実 読 施 化 、 カ の ス た タ め ム の マ 秘 23% B.政府B.政府 大を しよ てり い迅 る速 。に 近 操年 作、 中 可国 能の と 攻 な っ 撃 て 者 お はり 新、 た こに れ公 は開 、 デ さジ れタ たル 脆 方家 国 でが 、 こ 支 れ援 らす のる 戦主 術体 や が 作 こ 戦 の は 主 し 目 ば 的 し に ば 基 予 づ 期 い せ て ぬ 作 パ 戦 ー を ト 続 ナ 行 ー す シ る ッ 一 プに依存す る。 A. IT 的 め な 、 主 野 要 心 地 3% IT に重点を置く中国の国家レベルの脅威アクター、政 府 す る 、 お シ よ ン び ク 国 タ 際 ン 秩 ク 序 ま の た 再 は 構 N築 GO と 、 い 国 う 際 中 秩 国 序 の の 目 再 標 構 を 築 支 と 援 い う 地 中 域 国 に の お 目 け 標 る 、 西 中側 国の 影 地 響 政 へ 学 の 的 対 地 抗 位 。 の 主 向 要 上 地 、 域 お に よ び おけ主る要西側 の影響への対抗。 中 一 国 方 の で 関 、 今 係 年 者 は が タ 米 イ 国 へ を の 継 重 続 点 的 を に 高 標 め 的 て に お し り て 、 東 い 南 る ア ジ るア。における影響力の拡大を戦略的に反映してい 出典: Microsoft Threat Intelligence 国家通知データ 出典: Microsoft Threat Intelligence 国家通知データ 通知データ 府 密 組 ネ ッ 織 ト と ワ のー 提ク 携の に 提 ま 供 す な ま ど す に 依 お 存 い し て い 、 公る 的。 機 こ う 関し やた 非行 政 こ 動 と はを 、 中反国映がし長て年いにるわ。たり作戦の難読化に重点を置いてきた 主要地域における西洋の影響。 通知データ 2%

術 マ イ 、 技 ク 術 ロ 、 ソ 手 フ 順 ト (は TT、 P 特 )の 定 重 の 複 イ が ラ ン 増 の 加 国 し 家 て い 主 る 体 こ 間 と に を お 観 け 察 る し 戦 の て お コ ラ り ボ 、 こ レ れ ー は シ、 ョ リ ン ソ ー の ス 可や 能人 性 員 を の 示 共 唆 有 し を て 含 い む ま す 正 式 。 こ ま の た 収 は 束 非 は 公 、 集 式ド 中 パ イララ 強うい 10 イ ンン の脅の 威脅 アク威 タが ーが最 最も も 狙 10の 分の 野 分野 イランの脅威が ア ク 最 タ も ー 強 が い 最 10も の 狙 地 う 域 10の地域 化 ー さ れ テ ィ た の 戦 請 略 負 的 業 方 者 向 に 性 よ 、 共 る有 サさ ポれ ーた ト開 、 ま 発た パ はイ 意 プ図 ラ 的 イな ン帰 、 サ属ーの隠蔽工 イラン 作を反映している可能性もあります。 粘り続 持 強性 く 、 と 順適 応 性 応の 性 あるイランが紛 あ B C D E F GH ヨ 争 ー の ロ 影 ッ 響 パ を 、 受 北 け 米 た の 年 組 、 織 イや ラ個 ン人 の国 を 標 家的 主に 体し はて 、 中 、 歴 東史 、 け的たな敵。対者に対する広範な作戦を指揮し続 北米。 20ネ 24ル 年 ギ 後 ー 半 、 エ 、 一 ン 部 ジ の ニ 国 ア 家 リ 安 ン 全 グ 保 部 障 門 機 を 関 標 は 的 、 と 医 し 療 た 、 政 イ 府 ラ ン 、 ITの、 警 国 家 告 レ し ベ た ル 。 こ の れ 認 は 証 、 イ 情 ラ 報 ン 収 が 集 歴 攻 史 撃 的 の に 急 一 増 貫 に し つ て い 重 て 要 イ に ン 、 イ フ ラ ラ ン に の 重 諜 点 報 を 機 置 関 い は て 地 き域 たの 継 敵 続 対 を 勢 反 力 映 に し 重 て 点 い を る 置 。 同 き 時 続 け い る 、 重 。 要インフラに対する長期的なスパイ活動を行って B CDF HJ E G 私 活 昨 動 年 で 、 3ヨ つ ー の ロ イ ッ ラ パ ン と の ペ 攻 ル 撃 シ 者 ャ が 湾 、 全 高度域なの攻海撃運 イ お ラ よ ン び の 物 攻 流 撃 業 者 務 が を 、 標 高 的 度 に な し 攻 ま 撃 し 活 た 動 。 昨 で年 ヨ ー 、 3ロ つッ の パ とにペしルましシたャ湾。全域の海運および物流業務を標的 A. IT 21% A..イスラエル の こ れ 長ら 期の 的侵 な害 アは ク セ 、 運 ス 用 を シ 獲 ス 得 テ す ム る お 意 よ 図 び を 機 示 密 し 性 て の い 高 ま い す 商 。 海 業運 デ会 ー社 タおへ B.研究と学術B.研究と学術 15% B メ.アリカメ合リカ衆合国衆国B.ア 6% よ へ び の 商 妨 業 害 デ を 可 ー 能 タ へ にの すア る 可 ク セ 能ス 性は が、 あ スる パた イめ 活、 動 懸 や 念 商 を 業 引 船 き 起 舶 こ の し 運 ま 航 C.政府C.政府 8% C 長.ア国ラ連ブ邦首長国連邦C.アラブ首 5% D.交通D.交通 6% D.インド 2% E.消者費向者け向小け売小業売業E.消 費 5% 東ギギリシリシャャ東 2% F ュ.コニミケューニシケョーンションF.コミ 5% ア F.アゼゼルルババイイジジャャンンF. 2% G.商業施設G.商業施設 3% G.サウジアラビア 2% H.製造業H.製造業 3% H ル .イ コ ギ I.ト リ ル ス コ HJ.イ .イ ギ ラ リ ク ス JI.イトラ 1% Iタ.シンンクク/タNン Gク O / NGO I.シンク 3% ク 1% J.防衛産業J.防衛産業 2% す。 て イ ラ 高 ン 水 政 準 府 に に あ 関 り 連 、 さ す ま る ざ サ ま イ な バ 業 ー 界 活 で 動 持 の 続 量 的 は な 依 キ 然 ャ と ン し ペ 関 連 ー ン す が る サ 観 イ 察 バ さ ー れ 活 て 動 い の ま 量 す は 。 依 イ 然 ラ と ン し 政 て 府 高 に 水ン ー 準が に観 あ り 察、 さ さ れ ま て ざ い ま ま な す 業 。 界で持続的なキャンペ エ あ J 私 いて し く つ 、 ク かラ の ウ イ ド ライ ンン のフ 脅ラ 威ス アト クラ タク ーチ のャ 間、 で 特 増 に 加 Mし icて roい soる ft重A大 zuな re傾 を 向 コ と の マ 悪 ン ド 意 の ア あ ン る ド ア コ ク ン テ ト ィ ロ ビ ー テ ル ィ 、 永 に 続 悪 性 用 す 、 電 る 子 こ メ と ー が ル 挙 の げ 流 ら 出 れ 、 ま そ す の 。 他シ 脅 ョ 威 ン ア を ク 使 タ 用 ー す は る 、 不 こ 正 と に が 作 多 成 い ま で た す は 。 不 侵 正 害 に さ 作 れ 成 た ま サ た ブ は ス 侵 ク 害 リ さ プ れ 出 や た 追 サ 跡 ブ が ス ク 困リ 難プ なシ 低 ョ コ ン ス を ト 悪 で 用 使 す い る 捨 こ て と の で イ 、 脅 ン 威 フ ア ラ ス ク ト タ ラ ー ク は チ 検ャを作成します。 合計の割合 合計の割合 1% イランがIT部門に注力するようになったのは、 イランはイスラエルを地域最大のライバルとみなしている。 ス 有 パ 用 性 イ 活 。 IT動 プ 、 影 ロ バ 響 イ 力 ダ 、 そ ー し を て 侵 混 害 乱 す に る お こ け と る で こ 、 イ の ラ 分 ン 野 国 の 信 家 の 、 そ サ こ と イで バ、 ー イ 作 ラ 戦 ン を は 通 情 じ 報 て を イ 収 ス 集 ラ し エ 、 重 ル 要 を 標 な 的 サ に ー す ビ る ス を 地 混 域 乱 の さ 聴 せ 衆 、 に 開 イ 戦 デ レ オ ベ ロ ル ギ を ー 下 的 回 な る 抵 レ 抗 ベ を ル 示 で す 報 こ 復 と し が 、 国 で内きやた。 脅 し 威 て ア 複 ク 数 タ の ー 下 は 流 機 セ 密 ク デ タ ー タ へ 、 の 信 経 頼 路 で へ き の る ア 通 クセスを同時に獲得した。 セクターを同時に。 出典 典: :MMicircorsoosftoTfht rTehatreInattelIlnigteenlclieg国 en家c通 e知 国デ 家ータ 出 通知データ 6644%% 出典: Microsoft Threat Intelligence 国家通知データ 通知データ

目次 はじめに脅威の状況防御の状況 付録 サ け イ ま バ す ー 。 サ 犯 イ 罪 バ 者 ー や 犯 そ 罪 の 者 他 や の そ 国 の 家 他 イ の ン 国 フ 家 ラ イ を ン 引 フ き ラ 続 を き 引 利 き 用 続 し き 続利用し続 けます。 特 こ れ 注 ら の の オ ア ペ ク レ タ ー ー シ は ョ 、 ン サ を イ 開 バ 発 ー す 犯 る 罪 努 エ 力 コ を シ 減 ス ら テ し ム て を い 活 る 用 よ す う る で た す め 。 サ に、 て イ バ い な ー 犯 い 手 罪法 エ ロシア や コ シ コ モ ス テ デ ム ィ テ へ ィ の ツ 依 ー 存 ル 度 へ が の 高 依 ま 存 っ 度 て が い 高 ま ま す っ 。 洗 て練 いさ るれ の ニ ッ は ク 、 政 の 府 暴 機 露 関 へ や の サ 対 イ 応 バ で ー あ セ る キ 可 ュ 能 リ 性 テが ィ 企 高 い 業で にす よ る 。 Tツ TPーの ルこ や のテ 変ク 化 ター ーゲ ゲッ ッ ト の大 拡し 大ているが、 タ ト セセ ッッ トト を 拡 依然としてウクライナに焦点を当てている。 に な よ るり 可 能 、 ネ性ッがトあワりーまクす防。御者が攻撃者を特定することがより困難に あ B C D E F H G ロ し シ 、 主 アに の ウ 国 ク 家 ラ主 イ体 ナ は と 今 北 年 大 、 西 標 洋 的 条 と 約 す 機 る 構 範囲(Nを A拡 TO大) 加 た 盟 。 国 ロ の シ ネ ア ッ の ト 国 ワ 家 ー 主 ク 体 や は デ 今 バ 年 イ 、 ス 標 に 的 侵 と 入 す し る ま 範し 囲 を拡(N大 構 Aし TO、 主 )加 に 盟 ウ 国 ク の ラ ネ イ ッ ナ ト と ワ 北 ー 大 ク 西 や 洋 デ 条 バ 約 イ 機ス に侵入しました。 組織（NATO） 加盟国。 よ 点 り を 広 維 範 持 な し タ な ー が ゲ ら ッ 、 よ トりセ 多ッ くト のへ 組 の 織 移 が 行 侵 に 害 よ の り リ 、 ス 同 ク じ に 地 さ 理 ら 的 さ 焦 れ は る よ ほう ぼに サな イり バ ま ー しス たパ がイ 、 ウ 活 ク 動 ラ に イ 限 ナ ら 以 れ 外 て で い は ま そ す の 。 よ リ ス り 広 ク J あ B C 高 識 度 し な 、 侵 脅 入 威 の ア 影 ク 響 タ を ー 認 に 識 と す っ る て こ 、 単 と 純 が な 重 操 要 作 で で す 侵 。 同 入 時 の に 危 、 険 既 性知の を認ロ 浮 シ ア き 彫 の T り Tに Pな （っ 戦 て 術 い 、 技 ま 術 す 、 。 プロセス、手順） に対する防御の必要性も 既知のロシアのTTP。 点 範 を な 維 タ ー 持 ゲ し ッ な ト が ら セ 、 ッ よト りへ 多の く移 の行 組 に 織 よ が り 侵 、 害 同 の じリ 地ス 理ク 的に 焦さ ら は さ ほ れ ぼ る サ よ イ う バ に ー な ス り パ ま し イ た 活 が 動 に 、 ウ 限 ク ら ラ れ イ て ナ い 以 ま 外 す で 。 はそのリスク する 。 こ こ れ とら をの 優ア 先ク し タ 、 特 ー は 注、 の サ 作 イ 戦 バ を ー 開 犯 発 罪 す エ る コ 努 シ力 スを テ 減 ム ら を し 活 て 用 い するよ こう と でを 優先し、特注の作戦を開発する努力を減らしているようです。 攻 た と 撃 え 者 ば が 、 若 ウ 干 ク 増 ラ イ 加 ナ し を て 支 い 援 ま す し て 。 こ い れる は 国、 こ の れ 中 ま 小 で 企 は 業 政 を府 狙機 う ロ 関シなアどの 大 従 で 費 規 し 模 な い 組 ピ 織 ボ に ッ ア ト ク セ ポ ス イ す ン る ト た と め 見 に な 利 し 用 て で い き る る 可 、 能 リ 性 ソ ー も あ スり をま あす ま。 り消 シれ こ スら テの ム攻 を撃 活 者 用 す は る 、 サ こ イ と バ を ー 優 犯 先 罪 し エ て コ 、 特 を 注 減 の ら 作 し 戦 て を い 開 る 発 よ す う る で た す め 。 の 努力 E FGHIJ 合計の割合 A.政府A.政府 2255%% メ.アリカメ合リカ衆合国衆国A.ア A 20% B.研究と学術B.研究と学術 13% B.イギリスB.イギリス 12% C.シタンクタ ク /Nン Gク O /NGO C.シン 13% C.ウクライナ 11% D. IT 10% % D.Eド.ベイルツD ツ ギ .ド ー イ E. 6% E.エネルギー 5% リ ベ ア ル Fギ .イ ー タ Fリ.イアタ 5% F.防業衛G.産製業造F業.防H衛 造 .運 産 輸 業 HG.運.製 3% 輸業 3% G.エストニア 3% 3% H.フランス 3% 3% I.財務I.財務 2% I.オランダI.オランダ 3% J.政府間組織J.政府間組織 2% J.ポーランド 3% ロ ロ シ シ ア ア の の 国 国 家 家 主 主 体 体 は は 、 、 「 D 私 合計の割合 マす ま イ ク 。 こ ロ の ソ デ フ ー ト タ は に 、 ウ よク るラ とイ 、 ウ ナク に ラ 関 イ 連 ナ す は る ロ 通 シ 知 ア を の 個 サ 別 イ に バ 追 ー 跡 作 し 戦 て の い 25っ な %て を い 占 ま め すて 。 こ おれ りら 、 ロ のシ アア クの タサ ーイ はバ 、 サ ーイ 作バ 戦ー の犯 主罪 力エ でコ あシ りス 、 主 テな ム 標 を的 活と 用 来 す の 政 。 ロ 治 シ 的 ア 標 の 的 国 に 家 限 主 定 体 さ は れ 、 こ てれ いら たの こ小 れ規 ら模 のな 攻標 撃的 者を の 範 、 よ 囲 りの 大拡 ロシアの脅威が ア ク 最 タ も ー 高 が い 最 10も の 狙 地 う 域 10の地域 ロシアの脅威が ア ク 最 タ も ー 強 が い最 10も の狙 分う 野 10の分野 俳優 政 北 府 米 機 の N 関Gや Oシ は ン 、 進 ク 行 タ 中 ン の ク 戦 、 ま 争 た の は 中 ヨ で ー ロ ロ シ ッ ア パ に や 対機 府 す る 関彼 やら シの ン諜 ク報 タ ン 価ク 値、 を ま反 た映 はし ヨて ーい ロま ッす パ。 や北政 対 米 す の N るG 彼Oら は の 、 進 諜 行 報 中 価 の 値 戦 を争 反の 映中 しで てロ いシ まア すに 。 よ ウ る ク 影 ラ イ 響 ナ が 以 最 外 も で 大 は き い 、 ロ 上 シ 位 ア 1 の0サ か イ 国 バ は ー す 活 べ 動 て に加 NAし Tて Oいにま加す盟。しており、昨年に比べて25% 増 NATO—昨年に比べて25%増加。 にク ウ 表ラ 示イ さナ れは て、 い マ ま イ す ク が ロ 、 ソ マフ イ ト ク の ロ国 ソ家 フ通 ト知 のシ ウ ス ク ラ テ イ ム ナ で 専 は 用 3追番跡目 で シ ス あテ っ た ムこ でと はが 、 ウ 明ク らラ かイ に ナ な が っロ てシ いア まの す国 。家主体の主な焦点 アプ 技 術ロ 面ー でチ はを 、 ロ 追シ 求 ア し の て 国 い 家 ま 主 す体 。 今 は年 目、 標 私を た達 ち成 はす 国る 家た 主め 体に が 様 侵々 害 なし 前まし たた は侵害後の業務をアウト 。ソーシングしているのを観察 出典: Microsoft Threat Intelligence 国家通知データ通知データ 出典: Microsoft Threat Intelligence 国家通知データ 通知データ

ッ 世 ク 界 チ 的 ェ に ー 、 北 ン 朝 技 鮮 術 の に 脅 関 威 連 ア す ク る タ 組 ー 織 は や 主 資 に 産I、 T 防 分 衛 野 、 製 、 銀 造 行 業 や に ブ 重 ロ 点 を 織 置 、 い Nて Gい O ま 、 大 す 学 。 さ か ら に 外 、 務 東 省 ア ま ジ で ア が の 優 政先 策タ にー 関ゲ 係ッ すト る で あ す ら 。 ゆ ア る ジ 組 ア 太 北朝鮮 北朝鮮が の 脅 最 威 も 狙 ア ク う 1 タ 0ー の が 地最 域も狙う10の地域 脅威アクター 北朝鮮が の 脅 最 威 も 狙 ア ク う 1 タ0ーのが分最野も狙う10の分野 平洋や幅(A広 業 PAいC組 )地 織域 にで 関 は 心 、 を 北持 朝っ 鮮 て の い脅 ま威 すア 。 特 クに タア ージ はア 主太 に平 韓洋 国の 重工 (広 APいA組 C)織 地 に 域 関 で 心 は を 、 持 北 っ 朝 て 鮮 い の ま 脅 す 威 。 ア ク タ ー は主に韓国の重工 業や幅 収益創出とリモートワーカー リモートワーカー あ B C D E F H G あ J B C D FHJ E 私 消化管 じ 北 セ 朝ク 鮮タ のー 国と 家地 主域 体 を は 、 同 、 少じ 数Tの T例 P外 を使 を 除 用 し け て ば 追 、 毎 求 年 し 同 てお け て い り る 、 狭 。 い 少 標数 的の セ例 ッ ト 外に を対 除す ける ば継 、 毎 続 年 的 同 な じ 脅 セ 威 ク で タ あ ー り と 続 地 域 韓国の組織。 セ ッ をト 、 同 にじ 対 す TTる P継 を使 続 用 的 し な て 脅 追 威 求 で し あ て り お 続 り け 、 て 狭 い い る 標 。 的 ア 今 プ 年 ロ 、 北 ー 朝 チ 鮮 を の 追 国 求 家 し 主 、 従 体 来 は の 、 収 収 益 益 創 創 出 出 の 手 た 段 め に に さ さ ら ら に に 力 積 を 極 入 的 れ な 、 暗 を 入 号 れ 通 ま 計合の計の%%合 後 朝 鮮 述 に す 送 る よ 金 う し に て 、 い こ ま の す 増 。 え 発 続 覚 け す る る 労 と 働 、 こ 者 れ 軍 ら 団 の は 労 、 年 働 間 者 数 の 億 一 ド 部 ル は を 恐 北 喝に手を染 め、政権に資金をもたらす別の手段に転じました。 彼拠 の ら は 点ま をた 利、 用 ラ す ン る サ 可 ム 能 ウ 性 ェ が ア あ な り ど ま の す マ 。 ル ラ ン ウ サ ェ ア ム の ウ 配 ェ ア 信 な に ど も そ の ン マ で ル さ ウ ら ェ に ア 詳 の し 配 く 信 説 に 明 つ し いま てす は。 、本レポートの内部脅威のセクショ 5500%% B.イタリア 13% C オ .オ ー ー ス ス ト ト ラ ラ リ ア リ ア C. 5% 3333%% B.研究と学術B.研究と学術 15% ク C.シタンクタ /Nン Gク O /NGO C.シン 8% よ を る 観 ラ 測 ン し サ ま ム し ウ た ェ 。 R ア a攻 aS撃 へ の の 増 参 加 加 に へ 費.消者費向者け向小け売小業売業D.消 D 7% D.イギリスD.イギリス 4% つながる可能性があります。 フ E.フ ァ ァ イ イ ナナンンススE. 5% 東スイス東スイス 2% F.製造業F.製造業 4% F.インド 2% 康.健康G.健 G 4% G ツ.ドイツG.ドイ 2% コ H .ミ コ ュ ミ ニ ュ ケ ニ ー ケ シ ー ョ シ ン ョ ン H. 2% H 長.ア国ラ連ブ邦首長国連邦H.アラブ首 2% I.防衛産業I.防衛産業 2% フ I.フラランンススI. 1% J.商業施設J.商業施設 2% J.韓国J.韓国 1% を 北 観 朝 測 鮮 し の ま 主 し 体 た が 。 マ 初 イ め ク て ロ Rソ aaフ Sア ト の フ 脅 ィ リ 威 エ イ イ ン ト テ と 業 加 員 速 を し 遠 て 隔 い か ま ら す 密 。 かに潜入させており、 その傾向は急 メ A.アリカメ合リカ衆合国衆国A.ア A. IT 貨 し の た 盗 。 難 マ や イ ラ ク ン ロ サ ソ ム フ ト ウ の ェ 脅 ア 威 な ど イ ン の テ 従 リ 来 ジ の ェ 手 ン 段 ス に は も 、 力 ラ 今 以 年 上 に の わ 大 た き な り 問 、 北 題 朝 は 鮮 、 北 は朝世鮮界の中Iの T労 組 働 織 者 に 問 勤 題 務 で す し る た 数 。 万 10人年の 従 速 に 計 合 の 計 % の% 合 ン リ ジ サ ェ ム ン ウ ス ェ は ア 、 の し て 転 参 換 加 は し 、 北 て 朝 い 鮮 る に の 韓 お り 国 は 、 こ ラ れ ン に サ よ ム り ウ リ ェ ソ ア ー サ ス を イ ク 解 ル 放 の し 一 て 部 標を 的ア へ ウ の ト 侵 ソ 入 ー に シ 集 ン 中 グ で し き て るよ い う ま に すな 。 ま っ た て 、 い 兵 ま 器 す シ。 ス マ テ イ ム ク に ロ 関 ソ フ 連 ト す は る 標 IP的 を 収 の 増 集 加 す も る 観 た 測 め の し て フ ィッシ ング攻撃も増加しています。 ン 今 フ 年 ラ 、 マ ス イ ト ク ラ ロ ク ソ チ フ ャ ト を は 使 、 少 用 し な て く と Cも 2イ 数 ン 社 フ の ラ 攻 ス 撃 ト 者 ラ が ク ク チ ラ ャ ウ を ド 隠イ蔽 北朝鮮の国家レベルの脅威アクターが注目 アメリカは国民国家の中で第1位である き 主 る に組 ブ 織 ロ と ッ ク 、 東 チ ア ェ ジ ー ア ン の 技 政 術 策 や の 暗 情 号 報 通 源 貨 を に 対 ア 象 ク と セ し ス 、 で 収 し 北 た 朝 リ 鮮 モ へ ー の ト 通 IT知 ワ シ ー ス カ テ ー ム の は 活 、 動 米 量 国 が を 多 拠 い 点 た と め す る 、 北 企 朝 業 鮮 を へ 標 の 的 通 と てい創ま出すと情。報収集に関するこれらの関係者の任務を反映し 益 知 で シ 働 ス き テ た ム い で と 考 すえ 。 こ て れ いら ま の すワ 。 な ーぜ カ ー なは ら主 、 米 に国 米 企 国 業 を で 拠 は 点 最 と も す 高 る い 企 給 業 与 を 提示することが多いからです。 し 防 て 御 い 側 る が の 攻 を 撃確 を認 検し 出ま しし てた ブ。 ロ こ ッ れ ク に す よ る り こ 、 攻 と 撃 が 者 よ の り 困 手 難 口 に が な 巧 り 妙 ま 化 す し 。 て、 体 こ れ が は 防 ま 衛 だ 側 始 を ま 回 っ 避 た す ば る か 新 り た の な 傾 方 向 法 で を す 模 が 索 、 し 北 て 朝 い 鮮 る の こ 国 と 家 の 主 兆 が 候 で 、 北 あ 朝 る 鮮 可 の 能 国 性 家 が 主 あ 体 り が ま 防 す 衛 。 こ 側 れ を は 回 ま 避 だ す 始 る ま 新 っ た た な ば 方 か 法 り を の模 傾索 向し でて す い の兆候である可能性があり る ま こ すと 。 出典: Microsoft Threat Intelligence 国家通知データ通知データ 出典: Microsoft Threat Intelligence 国家通知データ 通知データ

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 49 目次 はじめに脅威の状況防御の状況 付録 国家敵対勢力の脅威は継続 国家による影響力行使におけるAIの悪用︓新たな戦術と 戦略的影響 戦略的影響 しかし、決定的な変化は、 しました。 • AIツイン化︓国が支援する信頼できるニュースキャスターのデジ タルレプリカの作成 信憑性を装った物語。•トレーニングデータポイズ ニング︓ AIモデルに情報を提供するデータセットに、偏っ た、誤解を招く、または操作的なコンテンツを意図 的に挿入し、モデルの動作と出力に影響を与える試み。•音声クローニン グとマスキング︓法的基準を回避しながらも倫理規範 に反する方法で、生成AIオー ディオおよびビジュアルツールを使用して個人になりすますこと。 目的は一貫しており、世論を操作し、紛争の物語を形成することで す。 AI ツールと従来のサイバー技術 (フィッシング、認証情報の収集、内部 者の採用など) を統合することで、これらの操作の規模拡大と効率化が 容易になり、追跡が困難になりました。 200 用しながら、 AIに頼って情報量、スピード、そしてもっともらしい否認性 るでしょう。 100 を維持し、半ば独立して活動しているように見える。 50 0 この変化は戦略的な意味合いを帯びています。 AIとサイバー作戦 2023年7月2023年1月 2024年1月 の融合により、持続的かつ低コストで拡張性の高い影響力行使キ ャンペーンが可能になります。政策立案者と防御側は、これに適 応する必要があります。具体的には、アトリビュ 2024年7月 2025年1月 2025年7月 メディアプラットフォームに掲載された日付 出典: Microsoft 脅威インテリジェンス ーションモデルの見直し、コンテンツ認証基準の更新、そして AI が単なるツールではなく戦略の中核となる影響力行使へ の備 えなどです。 詳細は66ページをご覧ください 国別の全体的な洗練度への影響 10 * 8 過去6ヶ月間で、 影響力作戦におけるAIの活用が 急速に進んでいる AI によって国家主導の影響力行使キャンペーンと機会主義的な影響力行使 キャンペーンの境界が曖昧になるにつれ、その帰属の特定はますます困難にな 150 せ、検知システムを疲弊させている。場合によっては、国家主導の物語を利 プ ー ル グ 対 敵 、AIを活用した攻撃活動の様相を形作るいくつかの新たなトレンドを観察 情報操作。これらの主体は、見せかけから飽和状態へと移行 し、情報空間を合成メディアで氾濫させ、視聴者の感覚を麻痺さ ル プ ン サ の ら か 家 民 国 性の高い戦術を採用しています。今年、マイクロソフト脅威分析センターは 250 数I A の ツ テ ン コ た れ さ 価 評 影響力行使活動を進化させ続けており、より高度で標的を絞り、拡張 AIファーストの主体とは、従来の方法よりもAIが生成したコンテンツや ツールを優先する主体であり、 6 今日の国家による脅威を追跡するために知っておくべき5つのこと 2025年1月～6月 中国 中国 イラン イラン ロシア ロシア 国家レベルの敵対者による AI 生成コンテンツを評価します。この フレームワークでは、コンテンツの潜在的な利害、範囲、メデ ィア 2 プラットフォームと視聴者全体にわたる持続性を評価し ます。 0 もっと詳しく知る 2024年7月～12月 Microsoft は、構造化された影響フレームワークを使用して 4 インパ クトス コアの 平均 国家レベルの攻撃者は、 AIの急速な導入に伴い、サイバー攻撃や 国家敵対勢力に起因すると評価されたAIコンテンツサンプルの急増 0 2 4 洗練度スコアの平均 出典: Microsoft 脅威インテリジェンス 6 8 10

• https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/5-things-threat-analyst/

Machine Translated by Google 50 目次 はじめに脅威の状況防御の状況 付録 マイクロソフト デジタル防御レポート 2025 国家敵対勢力の脅威は継続 戦略的地政学的競争の時代におけるイ ンサイダーリスク 内部脅威︓新たな側面と緩和策 地政学的緊張が高まり、公共部門と民間部門の利益が曖昧になる 時代に、国家主体は内部関係者を利用して さらに、多くの社内サイバーセキュリティツールは、信頼できる内部関係者が高度 定期的なリスク評価にインサイダー リスクを含め、ビジネス上の決定が な外部アクターと密かに連携していることを検知するようには設計されていま 従業員に影響を及ぼす可能性がある場合は、インサイダー リスク プロ る効果的な予防策です。これは、警告サインを察知し、 せん。例えば、大規模で疑わしいファイル転送を検知 グラム情報を組み込みます。 機密保持義務とデータ保護義務を強化し、機密情報へのアクセスを するデータ損失防止（DLP）ツールは、スパイ活動に意欲的な内 企業リーダー向けの主な推奨事項は次のとおりです。 確実にするための最後の機会となります。 部関係者による、ゆっくりとした、かつステルス性の高い情報漏洩を見逃 してしまうことがよくあります。ゼロトラストネットワーク アーキテクチャは、 諜報活動へのアクセスを獲得する。こうした活動は長期にわたるこ とが多く、従来のハッキングよりも検知が困難である。国家は、サイバー傭兵 、犯罪シンジケート、フロント組織などの非国家主体を、民間 不正なデバイスや外部接続からの保護を実現するには、正当なユーザー ア カウントの不正使用を防ぐための包括的なゼロ トラスト原則とセキュリティ 戦略を一貫して運用する必要があります。 • または、損失した場合に最も壊滅的な被害をもたらす技術（例︓企 業秘密、ソースコード、計算式、合併•買収計画） を特定し、これ らの 資産について、厳格な必要最小限のアクセス制限、暗号 化、アクセスログのリアルタイム監視などの追加的な保護対策を実施 します。•継続的な本人確認を実施します。 企業を標的とした内部脅威活動にますます活用している。 11これらの代 中国とロシアはどちらも、企業環境に侵入するためのエコシステムを培 っており、多くの場合、学術的または専門的なつながりを利用 して脆弱 な内部関係者を特定し、利用しています。12最もリスクが高い分野（ AI、量子技術、バイオテクノロジー、防衛） は、経済的価値 DTEX Systems と Ponemon Institute によると、特定された内部 ワンタイムサインインを超えて、アダプティブ認証と行動バイオメト 犯行を企業が封じ込めるのに平均 81 日かかります。13この長い滞留 リクス（入力パターンやマウスの動きなど） を使用して、アカ 時間により、国家レベルの攻撃者はアクセスを拡大し、痕跡を隠し、さらには将 ウントの背後にいる人物が本物のユーザーであることを 来使用するためにバックドアを確立するための永続的な足場を得ることがで 継続的に検証します。アカウントの動作が異常になり始めた きます。 場合（たとえば、財務担当者が大きなエンジニアリング設計ファ イ ルをダウンロードし始めた場合）、直ちに再認証またはマネージャー 政府機関および民間企業におけるレイオフや人員削減は、内部関係者の動 向に新たな側面をもたらします。こうした人員調整は、従業員 と軍事的価値の両方を持っています。 の不満や、予算削減や人員削減によるセキュリティ監視の弱体化を通じて インサイダーによるスパイ活動は、盗まれた研究開発を通じて長年のイノ 、内部脅威のリスクを意図せず悪化させる可能性がありま ベーションと市場優位性を消し去り、即時の経済的損失と長期的 す。 な競争上の損害を引き起こす可能性があります。 悪意のある内部関係者は機密データを漏洩したり、リダイレクトしたりする可能性がある ほとんどの組織のサイバーセキュリティ フレームワークは、当初 は内部者の脅威を考慮して構築されていませんでした。 コンプ ライアンス標準とサイバーセキュリティのベストプラク ティスでは、攻撃者は侵入しようとしている部外者であると従来想定され ていますが、脅威の主体が有効なアクセス権を持つ内部者である場合 、これらの対策の多くはデフォルトで回避される可能性があります。 企業資産を企業の敵対者に漏洩するリスクがあります。特権アクセスを持 つサードパーティサプライヤーは、知らないうちに脆弱性をもたらす可能性 があるため、内部者によるリスクを軽減するには、厳格な審 査と社内セキュリティポリシーとの整合性が不可欠です。この脅威に対処す るには、意図的な戦略が必要です。企業にとって、内部者リス クの問題は、より重要な問題として認識されるべきです。 役員室と経営幹部。経営幹部は 退職面談と雇用後モニタリングを実施する。退職面談は、内部リスクに対す 大切な資産を特定しましょう。データを正確に特定しましょう 理組織は、攻撃者の特定を困難にする一方で、スケーラブルで 持続的な攻撃活動を可能にする。 • の承認を求めます。 •アクセスを分割して制限します。内 部関係者が悪意を持つ可能性があることを想定してシステムを 設計します。 1 人の個 人がすべての重要なデータにアクセスできるようにしてはなりません。 職務の分離とデータの断片化を使用して、 1 つのアカウン トが侵害された場合でも、攻撃者がすべてを一掃することはできま 取り消されました。これらの会話はまた、 不満を持つ人による報復のリスクを軽減し、プロセスの潜在的な弱 点を浮き彫りにし、敵対的な組織がスタッフの採用を試みていると きに、退職するスタッフに継続的な義務を思い出させます (これはセキュリティ クリアランスを持つスタッフに特有です)。 やり取りを文書化することで監査証跡が作成され、組織が人材の異動 時に資産、評判、そして人材を保護するために慎重な措置 を講じたことが証明されます。•包括的なインサイダーリスク管理を実 施します。 効果的なインサイダーリスク管理には、テクノロジー、文化、コ ラボレーションの融合が必要です。 行動分析とDLPソリューションを導入し、特に高い権限を持つユ ーザー間での異常なデータ転送や権限昇格を検知しま す。政府、民間企業、採用プラットフォーム間での情報共有は、偽装企 業の摘発や、リスクの高い採用候補者から組織を守ることにも役立 ちます。 せん。 •警戒を怠らない文化を醸成します。従業員は、同僚の異常な 行動に最初に気付くことがよくあります。懸念事項 の報告が奨励され、報われる文化を作りましょう。 さらに、企業は専用の内部脅威監視ツールを活用することで、全体的なリ スクプロファイルを軽減することができます。例えば、コミュニケーショ ンコンプライアンスを活用している企業は、人材採用 活動の可能性のあるアウトリーチについて通知を受けることができ ます。14

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに脅威の状況防御の状況 付録 国家敵対勢力の脅威は継続 北朝鮮のIT労働者の検出北朝鮮は、世界中 の企業に数千人の労働者を配置する大規模な遠 隔雇用システムを構築し、密かに構築してきました。北 朝鮮国内または国外に物理的に居住するこれらの 国営労働者は、ソフトウェア、Web開発、その他の技術/ IT関連職種に毎月数万件の応募を行っています。今年は 、これらの労働者が構造エンジニアリングなど、 他の職種にも進出していることも確認されました。これら の労働者は遠隔雇用の求人に便乗して応募する ため、世界中のあらゆる分野の組織にとって脅威となります 。 • 複数のビデオ通信セッションにおいて、申請者がカメラに映っている ことを確認してください。•申請者の連絡先情報に、 VoIP（Voice over Internet Protocol） ではなく、実際の電話番 号と住所が含まれていることを確認してください。 従業員を採用したら、次の点について監視する必要があります。 • RMM ツ ールや仮想プライベ ート ネットワーク (VPN)、特にAstrill VPN などの不正なソフトウェアのイン ストール。 • 地理的な不規則性 - 例えば、 米国を拠点とする従業員が中国に関連付けられた IP アドレス か らサインインしたり、従業員のデバイスが、従業員がそれらの場 所間を移動できるよりも速い速度で IP アドレスの場所が変化す 組織が北朝鮮政府支援の潜在的なリモートワーカーを特定できるように、 るという不可能な移動を実行したりします。 次の雇用審査推奨事項を推奨します。 より詳しい議論については、 Jasper Sleetに関するブログをご覧くだ さい。15 • カメラ回避 - 従業員は、カメラに映らない理由を言い訳にしてしまいま す。 採用前の段階では、 履歴書の名前の 組織は、技術的な監視に加えて、従業員に定期的にカメラをオンにするよ 一貫性、 う依頼し、カメラに映っている人物と企業のラップトップを受 住所、学歴、職名など。 け取った人物を比較するなど、技術的でない単純なID 検証手 電話またはビデオ会議で参照先に連絡することを検討してく ださい。 法を使用することもできます。 • 応募者が複数の名前でソーシャルメディアアカウントを所有して いないことを確認する。• 派遣会社の従業員を精査する。 これは北朝鮮の政府支援を受けた労働者が仕事を得るための 主要な手段である。 51

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 52 目次 はじめに脅威の状況防御の状況 付録 AIの両刃の剣の影響: AIを活用して従来のサイバー攻撃を強化する デジタル環境の防御と破壊 自動化されたス ピアフィッシング 自動化 AIの脅威は多様かつ急速に進化しています。 AI関連の脅 従来のサイバーセキュリティ 威の特異性から、組織は新たなリスクを効果的に管理するた めの新たな戦略と適応型アプローチを開発する このカテゴリには、AIを利用して増幅されるサイバー攻撃と、 必要があります。 脅威は、基盤となるインフラストラクチャを標的とし、人間 こうした攻撃を実行する主体は、スキルの低い個人から、 クセスも増加しています。ユーザーによる入力、既存コン テンツへの認証情報によるアクセス、あるいは独自のデータに基づい 言語翻訳 C2の管理 AIシステムへの直接攻撃の両方が含まれます。これらの の脆弱性を悪用します。 例えば、AIの導入が加速するにつれ、 AIによる機密データへのア ディープフェイク 詐欺 機密性の高い資 格情報の特定 横方向への脱出の 自動化 合成アイデン ティティの 創造 移動パイプライン 開けるソース 走査 高度な国家支援を受けたグループまで多岐にわたります 。 サイバー攻撃の強化とは、 AIを用いて従来のサイバー攻撃を強化 てカスタマイズされた微調整モデルの作成など、 AIが利 することを指します。右の図は、主な強化領域を示しています。そのほとん 用するデータの量と機密性は増大し続けており、これはデータ どは、以下の自動化に基づいています。 ランサムウェア交渉 偵察 人工知能 の侵害や不正アクセスに関連するリスクも増大していることを意味しま す。 AIに関連する課題には、 AIとそのユーザーに対する脅威と、 AIによ っ 以前は時間のかかる作業。 防御側は、強固なサイバーセキュリティ文化を育み、ユー ザーを不正操作の手口を認識できるようトレーニングし、認証さ てもたらされる脅威の両方が含まれます。 AIに関連する脅威は、従来の れた通信チャネルを実装することで、 AIによる強化に サイバーセキュリティ、機能不全、危険な機能、運用上の問 対抗する必要があります。通信パターンの異常を検知し た 題、そして新たな脅威という5つの主要なカテゴリーに分類できま り、ディープフェイクコンテンツをリアルタイムで識別し す。 たりするAI駆動型検出システムも重要な安全策として機能しま す。また、AIは脆弱性の検出、パッチ適用の自動化、脅威イ ン テリジェンスの向上にも役立ちます。 クローキン グサービス 研究中 埋め込み型プロ ボッ ンプトイン ト自動化 ジェクション コード生 マルウェア生 マルウェアペイ ロードの難読化 または変異 成とデバッグ 成 ドメイン のなりすまし ツール 開発 エクス プロイト開発

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 53 目次 はじめに脅威の状況防御の状況 付録 AIの両刃の剣︓デジタル環境の防衛と破壊は続く 生成AI脅威マップ AI利用のセキ ュリティ 生成AIベースの拡張リスク 生成AIベースのアプリによるユーザーインタラクション 生成AIの活用は、脅威の状況に新たな複雑さをもたらしています。左の図 サイバー攻撃の自動化とは、 AIを活用して従来のサイバー攻撃を は、リスクが使用状況、アプリケーション、プラットフォームの 各レベル 強化することを指します。脅威アクターは、脆弱性の発見、マルウェアの生 にどのように及んでいるかを示しています。機密データの 成、データ分析を自動化できるようになりました。これに対し、防御 漏洩、プロンプトインジェクション、安全でないプラグイン設計、そしてモデル 側もAIを活用して脆弱性を検出し、パッチ適用を自動化し、脅威インテリジェ の盗難やトレーニングデータの汚染といった基盤的な脅威と いった問題が ンスを向上させています。 浮き彫りになっています。 機密情報の開示 ソーシャル エンジニアリングの分野では、 AI はフィッシング キャンペ シャドーIT/有害な第三者 LLMベースのアプリまたはプラグイン AI内部リスク、過剰な権限委譲、過 AIア 度の依存 生成AIベースのアプリライフサイクル プリケーションのセ 間接プロンプトインジェクション攻撃は、信頼できないコンテンツやユ ーンを自動化し、ディープフェイクを生成し、非常に説得力の ーザー生成コンテンツを大規模言語モデル（LLM） を利用して処理する ある詐欺メッセージを作成できます。 開発者や組織にとって特に懸念されるものです。これらの攻 防御側は、強力なサイバーセキュリティ文化を育み、ユーザーを不正操作 撃では、一見無害なデータに悪意のある指示が埋め込まれます。例えば、履歴 の手口を認識できるようにトレーニングし、認証された通信チャネルを 書にAIに候補者を優遇するよう指示する隠しテキストが含まれ 実装することで、こうしたAIによる攻撃に対抗する ている場合などです。 AI は自律的に動作すると考えられていますが、これらの隠しコマンド キュリティ を実行する可能性があり、偏った決定、不正な出力、さらにはシステムの侵害に つながる可能性があります。 迅速な注射 UPIA/XPIA データ漏洩、 流出 これらの攻撃から身を守るには、隠された情報や不正な情報を検 安全でない 出するフィルターなどの技術的なツールが必要です。 プラグイン設計 悪意のあるテキストの検出と、チーム間の強力な連携が不可欠です。 開発者、セキュリティ専門家、そして意思決定者は、一貫した保護 対策の構築、テスト、そして適用を確実に行うために、協力して取り組む必要があ ります。 AIプ ラットフォームの 基本モデルとトレーニングデータ モデル盗難とは、 AIシステムのアーキテクチャ、動作、またはトレーニン グデータの不正な複製を指します。これは企業または国家によるスパイ セキュリティ 活動の結果である可能性があり、特に盗難されたモデルが 競合技術の開発に利用される場合に顕著です。 トレーニングデータの汚染 モデルの盗難とモデルの汚染 必要があります。通信パターンの異常を検知したり、ディープ フェイクコンテンツをリアルタイムで識別したりするAI駆動型検出シ 緩和戦略には、アクセス制御、暗号化、脅威の監視、安全な開 発プラクティス、調整された対応計画など、開発者、ホスト、規制当局間で 共有される責任が含まれます。 ステムも、重要な安全策として機能します。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 54 目次 はじめに脅威の状況防御の状況 付録 AIの両刃の剣︓デジタル環境の防衛と破壊は続く 固有のリスクを悪用する敵対的行為 AIの機能不全は敵対的な脅威と重なることがありま す。AIへの過度の依存、情報漏洩、エージェンシー 問題は、AIを利用するすべての人にとって重要な懸念事 項です。 情報漏洩は、実行時またはトレーニングデータから攻撃者に悪用され、 組織の機密情報が漏洩する可能性があります。顧客とのや AIは新たな攻撃対象領域を生み出す り取りや独自データを扱うAIシステムは主要な標的であり、脅威アクタ ーはプロンプトやデータセットの脆弱性を利用して機密情報を抽出する 可能性があります。強力な防御には、厳格なデータガ の実装などです。また、AIを活用して情報漏洩を事前に検知すること AI への過度の依存は、攻撃者に悪用される可能性があり、攻撃者は 操作されたデータを入力したり、欺瞞的なシナリオを作成したり して、システムに偽の情報を流し込んだり、さらには運用の混乱を引き ジェンAI も可能です。そのためには、社内のAIツールに、本来アクセスす べきではない組織内の機密情報を定期的に調査させ、 AIツールが誤っ ウェブデータ とソース プラグイ ンと機能 コンテクスト AIモデル エージェンシーリスクは、 AIの目的を操作し、ステークホ ことを意味します。AI出力の定期的な監査の実施、レビュー プロ ルダーよりも自らの利益を優先させる攻撃者によって悪用される 可能 トコルの確立、 AIの推奨事項に疑問を投げかける文化の醸成は、AI 性があります。例えば、敵対者は偏ったデータを挿入したり、報 ユーザーが過度な依存のリスクを軽減するた 酬シグナルに介入したりすることで、 AIエージェントがユーザーよりも広 めの重要な戦略です。 AIを絶対的な意思決定者ではなく、補助ツ 告主や悪意のある行為者を優先させ、信頼とセキュリティを損なう可能性 ールとして扱うことが重要です。 があります。組織は、透明性、説明可能性、そして強力なガバナンスによっ てこれに対抗する必要があります。特に自律型エージ ェンシーシステムにおいては、 AIの目的が敵対者によって悪用され るのを防ぐには、矛盾が生じないかシナリオテストを実施し、設計に 倫理的安全策を組み込むことが不可欠です。 詳細は63ページをご覧ください s r あなた 1つの ce s 対象のより大きなプロセスの一部に過ぎないことを確実にす る cけ f これらの措置は敵のリスクを軽減する AIを武器にして重要な情報を危険にさらす。 tt 1つの T r 1つ にシステムを設計します。導入面では、AIがセキュリティ保護 私 1つの ケストレーション て発見して悪用する可能性のある情報漏洩を防ぐ必要があります。 このリスクを軽減する方法の一つは、 AIを絶対的な専門家ではな く、レビューとフィードバックによって仕事が改善する新入 ルト設定でセキュリティが確保され、人間による監視が行われるよう あ AIデータとオー プロンプトと応答 起こしたりする可能性があります。 社員のように扱うことです。開発面では、設計段階とデフォ 北eわ バナンスが必要です。データのラベル付けと権限の有効期限の 適用、機密データの暗号化、過剰な権限付与を防ぐポリシー d 雲 応用 私 t 私 ネットワーク o n 1つの l th re t 1つの データ 身元 ve cto rs エンドポイント

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 55 目次 はじめに脅威の状況防御の状況 付録 AIの両刃の剣︓デジタル環境の防衛と破壊は続く 危険な能力 運用上の問題 AIの強力な能力は、機密資料の作成やスキル向上にまで及び、 AIシステムの運用上の問題に対処するには、技術的な精度とビジネス ニ 悪用された場合、重大なセキュリティリスクをもたらします。そのため、AI開 ーズのバランスを取った堅牢な戦略が必要です。 AIの活用中に発生する可 発者と政策立案者は、 AIの適切な利用を確保しつつ悪用リスクを最 小限 能性のある問題には、ログ記録と監視、モデルの整合性の確保、そ してAI に抑えるための明確なガイドラインを策定することが不可欠で 関連リスクを効果的に管理するためのスキルを製品チームに す。 身につけさせることなどがあります。 敏感な材料の生産とは、 AI利用のログ記録と監視は、インシデントの検出、対応、コンプライアン モデルファイルの相対的な不透明性により、モデルの侵害を事後に検出す 読み書きメモリのリスクには、データ破損、潜在的ポイズニング攻撃、ポジ ることは非常に困難であり、ビルドプロセスのセキュリティ確 ティブフィードバックループといった問題が含まれます。こ 保が特に重要になります。一般的なモデル構築ツールは、デプロ れらは、特に動的なメモリ更新に依存している場合、システムの信頼性を低 イされたモデルの信頼性と機能性を検証するために 下させる可能性があり、 AI駆動型システムを管理する開発 使用できる包括的なソフトウェア部品表（SBOM） などの信頼性 者やセキュリティ専門家にとって喫緊の課題です。AI開発者とプラ ッ の高い成果物を生成する必要があります。例えば、頻繁な整合 トフォームプロバイダーは、厳格なデータ検証を実施し、不変のデータ 性チェックを行うことで、モデルに不正な変更が加えられていな 構造を使用し、高度な監視ツールを導入することで、これ いことを保証できます。 らのリスクを軽減する必要があります。 児童性的虐待コンテンツ（CSAM） など、倫理に反する可能性のある操 スの基盤となりますが、機密データの漏洩、セキュリティリスクの創出、フ 作された画像や動画といったコンテンツの生成。前述の通り、 ディ ィルタリングされていない情報や偏った情報によるチームへ の過剰な負 ープフェイクは金融詐欺、企業スパイ、危機時の虚偽情報の拡散といっ 担といった問題も生じます。適切に実施すれば、ログ記録 た分野においても深刻なリスクをもたらし、混乱を引き と監視のプロセスは、ユーザー入力、システム出力、AIシステムの内 新たな脅威 起こし、緊急対応を阻害する可能性があります。ディープフェイク 部動作を体系的に記録し、透明性と説明責任を確保します。 AI技術の進化に伴い、 AIとその利用に関連する新たな脅威が絶え は、個人情報窃盗や非合意性親密画像（NCII） にも利用される しかし同時に、会話のログ記録はプライバシーに関する懸念を引き起こ ず出現しています。これらの脅威を軽減するための現在の研究には、長期実 研究者が隠れたバイオセキュリティの脅威を発見し、そ 可能性があります。 す可能性があります。こうしたデータの量と機密性は課題とな 行エージェントのセキュリティ確保や、読み書きメモリのリスク 管理な の解決に貢献| Microsoft Signal ブログ る可能性がありますが、高度な分析や自動監査ツールなどのソリューショ どが含まれます。 ンを活用することで、プロセスを効率化できます。例えば、異常をリ NCII は、特に未成年者に対する嫌がらせや恐喝を助長するために頻繁 アルタイムで追跡するシステムを導入することで、不正行為や異常なシ に使用されます。 ステム動作をエスカレートする前に検知することが可能になります。 潜在的な侵害から保護するシステムです。 長期稼働エージェントのセキュリティ確保には、エージェントが目 標に沿って動作し続けることを保証し、悪意のあるデータ（外部からの 操作によって発生する可能性もある） によるエラーや混乱を管理するこ とが含まれます。この重点分野は、自動化やAIベースの意思決 AIによるスキル向上は、個人が新しい知識を獲得する力を与えるが、 定に依存している業界、またはAIエージェントを使用して顧客 サ そのスキルが悪意のある目的で使用されないように監視する必要がある。 ービスを自動化する企業にとって特に重要です。データの破損 や敵対的な攻撃は、運用効率を低下させたり、評判の低下につながる可 目的。例えば、悪意のある人物がAIを利用して化学兵器の開発方法や 大量殺傷攻撃の計画を学習する可能性があります。 AIは、有害 な知 モデルの整合性は、 AIシステムが長期にわたって確実に、そして意図し 能性があります。AIを利用する企業ユーザーは、継続的な目標検 識を求めるリクエストをブロックするための厳格なフィルター たとおりに動作することを保証します。しかしながら、AIモデ 証プロトコル、異常検出システム、適応学習アルゴリズムなどの戦略を実装 と意図検出機能を備え、疑わしいクエリは人間によって審査されるよう ルは他のソフトウェアと同様にサプライチェーンリスクにさらされています できます。これらは、信頼性を維持し、エージェントへの信頼を高めるため 設計されるべきです。 。特に「時限爆弾」攻撃は、トレーニング中にモデルを改変し、 特定の入 に不可欠です。 力（例えば、モデルが特定の企業で使用されている 場合、特定の日付を過ぎた場合、画像に特定の視覚トリガーが埋め込 まれている場合など） が発生した際に、攻撃者が指定した出力を生成す るように仕向けます。 もっと詳しく知る

• https://news.microsoft.com/signal/articles/researchers-find-and-help-fix-a-hidden-biosecurity-threat/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 56 目次 はじめに脅威の状況防御の状況 付録 AIの両刃の剣︓デジタル環境の防衛と破壊は続く ストーム2139︓マイクロソフトがAIの搾取と悪用組 織をいかに壊滅させたか マイクロソフトは、世界中の生成AIテクノロジ ー プロバイダーと協力し、 AIイノベーションを 推進 するという課題に取り組んでいますが、同時に、 私たちの基本理念に忠実であり続けています。 Storm-2139として追跡しているグループに 対するデジタル犯罪対策ユニットの行動は、責任 あるAIの未来をいかに積極的に形作ることが できるかを示す好例です。 開発者、プロバイダー、エンドユーザーのグローバルネットワーク マイクロソフトは2025年2月に修正した訴状に、悪質なAI生成画像を作成するために使用された悪質ツールの背後 にいる主要な開発者とプロバイダーの名前を挙げた。 防衛に関する勧告 不正使用を防ぐためにアクセスコードを定期的に確認して更新し、 異常なアクティビティを通知するアラートを設定します。 D OAuth ベースのシステムなどの最新の認証方法を採用し P 、重要なアカウントにMFA を適用します。 あなた 高度な監視およびログ記録ツールを実装して、異常なパター DPU ンを検出し、定期的なセキュリティ監査を実施します。 2024年7月、マイクロソフトは、盗まれたAPIキーを悪用し、Azure OpenAIを含 む様々な人気AIサービスのAIリスクおよびガバナンス対策を回避する グローバルネットワークを発見しました。開発者たちは、著名人のディープフェ イク、性的に露骨な画像、女性蔑視的、暴力的、または憎悪的な合成コ ンテンツなど、数千もの悪質なAI生成画像を作成するために、悪質なツール を使用•販売していました。デジタル犯罪対策ユニット（DCU）は、コンテン ツ来歴ツールとオープンソースインテリジェンスを活用することで、こ の悪質な行為の起源を突き止めることができました。私たちが発見したネットワ 違反となる画像やプロンプトの証拠があれば、国の当局に報 告する必要があります。 鍵 D開発者 もっと詳しく知る Pプロバイダー 生成AIを悪用した世界的なサイバー犯罪ネットワークを阻止| Uユーザー ークには、ソフトウェア開発者、ソフトウェアをカスタマイズ•配布したプロバイダ ー、そしてこれらのツールを展開して合成コンテンツを作成していたエンドユー ザーが含まれていました。 Microsoft On the Issues ネットワークを混乱させるため、 DCUは二段階のアプローチ を サイバー犯罪コミュニティからの反応は迅速かつ示唆に富むもの 実施した。2024年12月、DCUはストーム2139が通信と連 でした。沈黙を守るユーザーもいれば、激しい非難を浴びせるユー 携 に使用していた主要ドメインを押収し、シンクホール化する ことを求める民事訴訟を起こした。この措置により、 ザーもいました。警告を投稿したり、互いに非難し 合ったり、弁護士や捜査官の個人情報を暴露したりしました。内部告 発者も現れ、重要人物の名前を公表することで、DCUの捜査 DCUは追加の証拠を明らかにするよう求め、 2025年2月に修正さ を進展させることができました。2025年3月、マイクロソフ れた訴状にはツールの背後にある主要な開発者とプロバイダーの トは司法省（DOJ）、連邦捜査局（FBI）、英国国家犯罪対策 名前が記載されました。 庁（NCA）、ユーロポール欧州犯罪センター（EC3） に対し、広範 な刑事事件の通報を行いました。 AI生成の悪質なコンテンツから一般市民を守るた めに法的措置を講じる| マイクロソフトの問題について マイクロソフト、AIの安全対策を回避したLLMジャッキン グ集団を提訴| CSO Online マイクロソフトは、著名人などの有害な画像を作成する AIハッカーをどのように排除しているのか 責任ある AI の原則とアプローチ | マイクロソフトAI

• https://news.microsoft.com/source/features/ai/how-microsoft-is-taking-down-ai-hackers-who-create-harmful-images-of-celebrities-and-others/
• https://blogs.microsoft.com/on-the-issues/2025/02/27/disrupting-cybercrime-abusing-gen-ai/
• https://blogs.microsoft.com/on-the-issues/2025/01/10/taking-legal-action-to-protect-the-public-from-abusive-ai-generated-content/
• https://www.microsoft.com/en-us/ai/principles-and-approach?msockid=0bfa4adea4276d66396a5e6da59d6c76&amp;ai-principles
• https://www.csoonline.com/article/3835936/microsoft-files-lawsuit-against-llmjacking-gang-that-bypassed-ai-safeguards.html

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 57 目次 はじめに脅威の状況防御の状況 付録 量子技術︓ 新たな競争時代における戦略的優先事項 量子技術（コンピューティング、通信、センシング） は、将 来の経済と国家安全保障の基盤となります。 量子技術は、科学的発見を加速させ、安全な通信の飛躍的進 歩を可能にし、暗号を破る可能性を秘めており、この技術を最優先事項と しています。実際、各国政府は量子技術を国家の責務と位 置付けています。同盟国も敵対国も、新たな国家研究開発（R&D） プログ ラムや、自国の学術•技術開発への投資を通じて、量子技術の活用を推進し ています。 民間セクターのエコシステム。一部の敵対勢力は、スパイ活 動 を通じて自らの立場を強化するために、さらなる能力を活用する 現在、商業企業は量子研究開発の大部分を牽引しており 、民間企業は量子技術開発をめぐる世界的な競争 の中 心に位置しています。一部の敵対勢力は、企 業の研究開発プログラム、スタートアップ企業、学術 機関のスピンオフ企業を標的とするなど、スパイ活動 を通じて自らの立場を強化するために、更なる能力を 活用する可能性があります。 16したがって、 量子技術が広く実用化される前に、今こそ強固な安 全対策と戦略的準備態勢を確立することが不 可欠です。その重要性は極めて高く、量子分野に おけるリーダーシップは、競争優位性だけでなく、安 全な通信と世界のデジタル経済の将来的な健 全性を決定づける可能性があります。 量子優位性をめぐる競争の影響は広範囲に及ぶ。 可能性もあります。 • 産業科学のリーダーシップ︓量子 テクノロジーは新たなイノベーションの波を起こす可能性がある 化学と材料科学の発見全般にわたります。 • 暗号技術への影響: 十分に強力な 量子コンピュータは広く使われている公開鍵アルゴリズムを破り、デジ タルデータのセキュリティを損なう可能性がある。 通信とデータ。 • センサーの優位性︓量子センサーは ステルス航空機や海軍資産が出現し、戦略的抑止力が弱まる。 詳細は74ページをご覧ください 安全で繁栄し、包括的な量子の未来を実現するために、政府と産業界は次の 3 つの ことを行う必要があります。 1. セキュリティを優先しながら、同時にイノベーションも取り入れます。 2. 経済の各セクターを改革して先駆者となり、量子の未来を活用できるようにする。 3.責任ある行動を通じて全人類が恩恵を受けられるよう、世界規模で取り組む変革 をもたらすテクノロジーの倫理的な使用。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 パートII 防衛の展望 60 AIと高度な防御 64 国家および新たな脅威への対抗 70 政策、能力、将来の準備 76 戦略的ビジョンと世界的なコミットメント 58

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 59 目次 はじめに 脅威の状況防御の状況付録 重要 なポイント サイバー防御に関する洞 察と行動 3. AIエージェントは脅威に対処する 6. 国境を越えた協力は AIエージェントは、組織が脅威に自動的に対応できるよう支 援します。例えば、疑わしいアカウントの停止やパスワードリセットの実行な ランサムウェアやサイバー傭兵といった脅威への対処であ れ、AIといった新興技術の管理であれ、官民そして学 界の 協力は不可欠です。これには、政策枠組みの策定、プロトコ ルの確立、共通の取り組みへの取り組み、情報 共有、そして対話の実施が含まれます。 緩和とインシデント対応 どにより、攻撃者がさらなる悪意ある活動を行う前に侵害を封 じ込めることができます。また、エージェントはポリシーの適用、 認証情報やアプリの権限の監視、従業員のアクセス制御なども可能で す。 サイバーリスクを軽減するために重要 9. 政府は離れつつある 自主的な遵守から サイバー要件 世界中の政府は、新たな法律や規制を通じてサイバーリスク管 理への取り組みを加速させています。特に、自主的なガイドラインから 、説明責任、リスク管理、そしてタイムリーなインシデント報 告を重視した、強制力のある標準へと移行しています。同時に、その効 果を最大限に高めるためには、各国政府は、相互運用性を促進 し、 国境を越えた重複を削減する、調和のとれたリスクベース 詳細は68ページをご覧ください 1. サイバーリスクはビジネスリスクである 侵入の試みが常態化する中、取締役会や経営幹部はサイバーリ スクをビジネスリスクの一形態として認識し、適切な対 応をとることが不可欠です。このリスクを軽減するための解決 策としては、セキュリティ演習の実施、サイバー衛生に関連する 重要業績評価指標（KPI） の導入、レジリエンス構 築のためのチーム横断的なトレーニングなどが挙げられま す。 詳細は69ページをご覧ください 2. AIを活用した防御が不可欠 攻撃者がAIのスピードで動き始めるにつれ、防御側もAIのスピードに対 応する必要があります。マイクロソフトはAIを活用し、脅威分析、検 出ギャップの特定、検出の検証、フィッシング攻撃の特定、修復の自動化 、脆弱なユーザーの保護を実現します。 詳細は60ページをご覧ください 4. 組織は、 詳細は67ページをご覧ください 7. 回復力は織り合わされなければならない AI利用のためのセキュリティフレームワーク 設計上 AI を使用する場合、データ漏洩やデータの過剰共有などのリスクだけ でなく、プロンプトインジェクションや安全でない拡張機能など AI 自 体へのリスクも軽減することが重要です。 サイバー脅威が永続的であることを考えると、混 乱を予測し、耐え、回復し、適応できるようにシステムを設計す ることが重要です。 回復力は組織のインフラストラクチャの DNA そのものに組み込 まれる必要があります。 つまり、組織には、AI 導入の準備、組織内でのAI の使用方法 の把握、機密データ、AI エージェント、アプリケーション、モデル の保護、AI 運用の管理に役立つ強力なセキュリティ フレームワーク が必要です。 詳細は63ページをご覧ください 5. サイバー攻撃を阻止するには 政治的解決策 個々の防衛活動だけでは、国家によるサイバー脅威の 流 れを変えることはできません。サイバーインフラを守るため には、政府は悪意のある行為に対して信頼 性が高く相応の罰則を科す枠組みを構築する必要があ ります。これには、加害者の公的帰属の明確化、レッドラ インの明示、そして罰則の適用が含まれます。 詳細は66ページをご覧ください のアプローチを追求する必要があります。 詳細は72ページをご覧ください 8. 官民連携が鍵 サイバー犯罪のエコシステムを混乱させる Lumma Stealer の排除のような成功した作戦は、悪意のある インフラストラクチャを破壊し、重要な資産を保護するために、 セクター間で調整された法的、技術的、および運用 上の戦略の威力を実証しています。 詳細は64ページをご覧ください 詳細は77ページをご覧ください 10. 組織は準備しなければならない 量子コンピューティング向け 量子コンピューティングは、既存の暗号システムにとって深刻な 脅威となります。そのため、組織は暗号技術（鍵、証明 書、プロトコル） を棚卸しし、脆弱なアルゴリズムをPQC標準が 利用可能になった時点で置き換えるロードマップを確 立する必要があります。マイクロソフトは、耐量子暗 号 アルゴリズムをサービスに体系的に統合することで 「量子対応」を実現するQuantum Safeプログラムを 構築しました。 詳細は74ページをご覧ください

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 60 目次 はじめに 脅威の状況防御の状況付録 AIと高度な防御 AIを活用した防御︓脅威検出の変革 検出ライフサイクルのあらゆる段階でのAI 脅威情報とインシデント 検出エンジニアリング (DE)は、成熟したサイバーセキュリテ ィ組織において急速に成長している分野です。 に攻撃者の一歩先を行く検知ポートフォリオが実現しま 脅威分析︓オープン 主な脅威 ソースおよび独自の脅威インテリジェンスは大量に存在しますが、組織がこ AI検出ギャップアナリスト 対応者はインシデント発生中に検知情報を作成できますが、これらの 検知情報は通常、インシデント固有の限定的なものです。その結果、常 お客様を効果的に保護できるようになります。 AI脅威アナリスト サイバー攻撃の規模と巧妙さが増していることを考えると、専用の検 知チームの必要性が高まっています。インシデント対応 は Microsoft の AI への投資により、当社の防御オペレーシ ョンが変革され、検出エンジニアがMicrosoft と れらの情報を活用する能力は、人間が関連情報を抽出する際の速度と効率 性によって制限されます。この種のタスクは、脅威インテリ ジェンスを精査し、共通点やキルチェーンを抽出できるLLMに最適 検出ギャップ す。DEチームは、戦略的かつスケーラブルな優先順位付けと、動的で将 です。 AIテレメトリ識別子 来を見据えた検知ポートフォリオの開発に注力しています。 関連するテレメトリ マイクロソフトでは、DEチームが検知ライフサイクル全体を通じて効 果的に検知を管理できるよう、様々なAIソリューションを開 発しました。右側では、これらのAIソリューションの例と、それらが 検知ライフサイクルの各段階にどのように変革をもたらすかを示 検知ギャップの特定︓カバレッジを 評価するための一般的なアプローチは、前のステップで優先順位付け AI検出の著者 された脅威をMITRE ATT&CKのTTPにマッピングすることです。次に、検知 ポートフォリオをこれらのTTPと照合し、カバレッジの強化が必要 検出 しています。 検出ポートフォリオ AI攻撃シミュレーター 攻撃 フィルター + ロジ ックの変更 な領域を特定します。 LLM を使用して、主要な脅威と既存の検出の両方を、選択された攻 撃フレームワークに大規模にマッピングします。 検出オーサリング検出オー AI検出評価者 サリングにおける課題は、検出に関連する情報を含むテレメトリを特 定することです。この問題は、セキュリティ情報イベント管理 （SIEM）ソリューションによって収集されるテレメトリの量と種類が膨 メトリクス 大であることによってさらに複雑化します。 報告

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 61 AIと高度な防御は続く 私たちは、様々なレベルの高度な検知を可能にするAIソリューションを開発し ています。例えば、基本的なテストでは、AIは特定のイベント の少数の集合をチェックするルールベースのロジックを生成できま す。 相関検出では、 AIがテレメトリメタデータを活用して候補を特定し、それ らを悪意のあるアクティビティと相関させるロジックを生成しま す。行動検出では、機械学習を用いてベースライン行動を確立 し、 悪意のあるアクティビティの兆候となる異常を特定します。 AI時代のアイデンティティ保護︓ プロアクティブかつ自動化された保護 AI と機械学習は、人間が見逃す微妙なパターンを見つけることで、ア イデンティティ脅威の検出方法に革命をもたらしています。最新のAI 駆 動型アイデンティティ保護システムは、数十億件ものサインインとユー ザー シグナルを継続的に分析し、各ユーザーとエンティティの通常の行 動を学習することで、攻撃の初期兆候を見つけることができます。たとえば、 AI は、長い期間にわたって間隔を空けてサインイン試行の調整された パターンを認識することで、スロー パスワード スプレー攻撃を検出でき ます。このパターンは、従来のレート制限ルールをすり抜けるものです。同 コード生成 LLM の開発が急速に進歩したことにより、検出ロ 様に、AI モデルは、数十のリスク要因(あり得ない移動、見慣れないデバイス ジックの洗練度に関係なく、選択したコーディング言語でその実 、異常なアクセス時間など)に対して各サインインを評価し、数ミ 装を自動化できるようになりました。 リ秒単位でリスクスコアを割り当てます。この情報を使用して、高度な異常検 対応と修復のためのAIエージェントAIをアイデンティティ脅威 • す。数か月間使用されていないAPIキーまたはクライアントシークレット の検出に活用するだけでなく、組織は脅威への自動対応に がアプリ構成に残っている場合、エージェントは不正使用の もAIエージェントを活用するケースが増えています。これらのエージ ェントは、最小限の人間による指示でアイデンティティ環境で動作し、場合 可能性を防ぐために、それらのキーまたはシークレットのローテーシ によっては自律的に動作します。脅威を確認または強く疑う場合、数 ョンまたは削除を推奨します。同様に、このエージェント 秒以内に対応できるため、人間が手動で対応するよりもはるかに高速です。 は漏洩した認証情報や既知の侵害されたパスワードを監視し 、即座に修復措置を講じることができます。 例えば、複数の高リスクシグナルがアカウント侵害を示唆している場合、 AI エージェントは直ちにアカウントを停止し、パスワードリセットを 開始し、管理者に通知することで、攻撃者がアクセス権限をエスカレートする • 前に侵害を封じ込めることができます。 、ユーザーが許可したアクセス権限で異常な動作を示したりし た場合、エージェントはセキュリティ担当者に警告を発し、事前にア プリの権限を取り消したり隔離したりします。これにより、不正ア クセスを迅速に阻止し、悪意のある同意に基づく脅威 る脅威アクターや、ユーザーの通常の場所を模倣しようとする AI エージェントは予防保守にも取り組み、攻撃対象領域を縮小し、攻撃 脅威アクターに即座にフラグを付けることができます。 者が悪用する可能性のあるセキュリティギャップを修正するために継続的 に取り組んでいます。 検知エンジニアリングでは、生成されるアーティファクトをテストする 必要があります。簡単なテストでは、検知の対象となるイベントや動作を挿入ま • たは実行します。 しかし、攻撃者は高度な多段階アプローチを使用し、前の段階で得た情 報に基づいて後の段階で何を行うかを決定します。 ユニットテストは個々の検出を検証しますが、検出ポートフォリオ全 体の有効性を確保するには、エンドツーエンドのテストが必要です。マ イクロソフトは、自律型AIエージェントが複雑で適応型の多段 階攻撃をシミュレートするエージェント型レッドチームアプローチを開発 し、大規模な検証を可能にしました。 ポリシー執行担当者が身元を確認 MFA登録や条件付きアクセスルールなどの設定とポリシーを見直し、 これはユニット テストに相当する DE です。 AIはまだ新しい技術ですが、その影響は既に大きくなっています。AIベー ベクトルを無効化します。 • ユーザーライフサイクルエージェントは、 役割、部署、グループ、資格などの属性に基づいて、適切な権限 を自動的に割り当てます。例えば、従業員が退職した場合、エージ ェントはすべてのセッションを取り消し、すべてのアクセスを 弱点を自動的に強化します。エージェントがMFAの対象外ユーザーを検 削除することで、残存アカウントをバックドアに変える一般的なギ 知すると、登録やポリシー適用範囲の調整を支援します。これによ ャップを解消します。 スの保護機能のおかげで、プロバイダーはアイデンティティ攻撃の り、セキュリティポリシーがあらゆるユーザーとシナリオを意図したと 大部分を自動的に無効化できたと報告しています。 AIの支援により、セキュリテ おりにカバーできるようになります。 ィチームは誤報や検知漏れを最小限に抑えながら、脅威が被害をもたらす前に アプリケーションリスク検出エージェントが監視 アプリの権限と動作を監視します。アプリがより高い権限を要求したり 出アルゴリズムは、通常とは異なる場所から盗まれたトークンを使用す 検出検証 認証情報ハイジーンエージェントは、シークレットと認証情報を監視しま 従業員の役割が変更になった場合、エージェントは不要になった 権限を削除することを提案し、権限の蓄積を防ぐことができます。 修復することができ、より迅速かつスマートな防御を実現できま す。 AI 駆動型エージェントは厳格なポリシーに基づいて動作し、明確に定義 されたアクションのみを実行し、人間による介入を必要とします。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 62 目次 はじめに 脅威の状況防御の状況付録 AIと高度な防御は続く クラウド規模の AI 防御: 階層化された防御戦略が不可欠です。表面的には、Small Language ガーディアンエージェント Models（SLM）がプロンプトと応答を軽量かつ高速にスクリーニングし 組織がAI導入を加速するにつれ、脅威アクター はAIそのものを標的とするようになります。そのため、新たな 防御手段、すなわち他のAIシステムを保護するために特 別に構築されたAIシステムが必要になります。 、疑わしいパターンを大規模にフラグ付けします。ファネルの深 層では、SLMから高度なLLMへと疑わしいシグナルが流れ込み、ツールの 呼び出し、推論のトレース、状態の変化といったエージェントの内 部プロ は、直接的および間接的なプロンプトインジェクション、そしてモデルコン ガーディアンエージェント セスからのコンテキストと組み合わされます。LLMはこれらの シグナルを相関させ、可能性のある攻撃シナリオを再構築し、許可、書き換 え、ブロックのいずれかの判定を下し、アラートを発します。こ 最も差し迫った課題の一つは、プロンプト操作攻撃です。これに AIエージェントを保護する防御AIシステム SLMフィルター のファネルアプローチは、効率性と深度のバランスを取り、広範な カバレッジと正確な判断を両立させます。 テキストプロトコル（MCP）やエージェントツーエージ LLM分析 ェント（A2A）などのプロトコルを介したエクスプロイトが含まれま す。これらの攻撃の核心は通常、 AIの処理ストリームに悪意のあるペイロー ドを注入することで、AIの動作を乗っ取り、攻撃者が制御する命令を実行 モデル自体に加え、オーケストレーションフレームワーク、API、クラウドサ させることです。 ービスからのテレメトリも重要な役割を果たします。AI駆動型エンジン これらの攻撃には偵察段階が含まれており、攻撃者は標的の操作を開始する ェントが予期しない関数を呼び出したり、信頼できないドメインにアクセ 前にモデルを体系的に調査して脆弱性を特定します。 スしたりするなど、逸脱が発生した場合にアラートを発します。 悪意のあるコンテンツは、言語的に難読化されたり、一見無害なファイルに これらのシグナルは、 ID、エンドポイント、SaaS アプリケーション、およ は、これらのシステム全体の正常な動作をベースライン化し、エージ 埋め込まれたりすることで、単純なキーワードや正規表現のフィルタ びコンテナ、サーバーレス関数、仮想マシン、Kubernetes ーをすり抜けてしまうことがあります。影響を受けるシステムによっては、これ ポッド、マネージド プラットフォーム サービスなどの追加のクラウド ワ らの攻撃によって読み取りまたは書き込みコマンドが実行された ークロード間で相関付けられ、組織的な攻撃パターンが明らかに り、データが盗み出されたり、分析結果を変更するなど、攻撃者の目的に合わせて なります。 意思決定エンジン アクションゲート 出力 システムの動作を微妙に変更したりする可能性があります。 AIファーストの時代において、 AIをAIで守ることは、もはや必要不可欠なだ そのため、防御側はインテリジェントな「ガーディアンエージェント」、つま けでなく、戦略的優位性にも繋がります。インテリジェントで適応性に優れ り保護対象モデルへの透過的なアクセスを持つ専用のセキュリティエージェ 、コンテキストを認識する防御メカニズムをAIシステムに直 ントを導入します。モデルの内部推論、ツールの使用、そして意 接組み込むことで、組織は敵対者に対して常に一歩先を行き、 AI資産の完 思決定チェーンを可視化することで、悪意のある行動をリアルタイムで検 全性を確保することができます。 知することが可能になります。 そうでなければ隠されたままになります。 詳細は70ページをご覧ください ログとアラート セキュリティオペレーションセンター（SOC） 保護剤 思考の連鎖 ツールの呼び出し

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 63 AIと高度な防御は続く AIシステムのセキュリティ確保︓企業とそのイノベーション このフレームワークは組織に の保護 役立つはずです 企業が生成 AI を採用すると、エンタープライズ AI に関連するリスクから企業を保護することと、エンター 準備: AI を プライズ AI 自体を保護することという 2 つのセキュリ 導入する前に、データの分類とセキュリティ、アクセス 制御、ゼロトラストなどのポリシー、トレーニング、安全な基 ティ上の必須事項が生じます。 盤を確立して、 AI の導入を予測します。 前者は、データ漏洩、データの過剰共有、サードパーティツールの悪用、意図 しない機密情報の漏洩など、職場における生成AIの活用方法によって生 じるリスクの軽減に焦点を当てています。後者は、 発見する * AI vs. サイバー犯罪︓自動化がバランスをどう変えるのか DCU は革新的な AI 駆動型ツールを活用し DCUは、急速に進化する脅威環境と、ますます巧妙化するサイバー犯 て、サイバー犯罪との戦 いにおける影響力を加速 させています。 罪に対処するため、 AIを活用しています。DCUの戦略の中核 を成すのは、悪意ある活動の監視、調査、阻止能力を強化する一連の 専用AIツールです。例えば、DCUはパスワードスプレー攻撃を 分析し、通常の行動と標的型行動を区別する機械学習システムを開発しまし た。これにより、チームはリスクの高いユーザーを特定し、地方の病院や政治家 候補者などの脆弱な集団を、被害が発生する前に積極的に保護すること が可能になります。 組織内でのAIの利用状況を可視化します。 AIアプリケ ーションとエージェントを監視し、許可されていないシャドーAIツー AIシステム自体のリスクには、プロンプトインジェクション、トレーニン ルを検出し、AIシステムに入出力されるデータを特定し、 AIアプ グデータの汚染、安全でない拡張機能などが含まれます。当 社のレポ リ、エージェント、モデルのリスクと脆弱性を発見します。 ート「AI時代における従業員の安全なアクセス」の調査結果によると す。AIを活用して偽装ドメイン（またはホモグリフドメイン） を検出•追 跡す 、組織の57%がAIの利用に関連するセキュリティイン シデントの増加を経験しています。 17 AI管理の必要性に対する認 ることで、DCUはこれらの偽装URLを利用するフィッシングキャンペ 識 が高まっているにもかかわらず、多くの組織はまだAI管理を導入し ていない可能性があります。 守る これにより、企業内での導入と保護の間にギャップが生じます。 生成AIアプリやエージェントがビジネスワークフローに深く組み込まれる につれ、セキュリティチームはエンドツーエンドの可視性と制 ーンやその他の悪意のある活動を予測し、ブロックすることができます。 機密データと AI システムを保護します。 これには、データの防止、プロンプトインジェクション攻撃の防御、 AI アプリとエージェントのセキュリティ保護が含まれます。 AIは捜査においても重要な役割を果たします。 DCUはAI搭載エージェント を用いて膨大なデータセットを精査し、主要な侵害指標（IOC） を抽出し、Microsoftのセキュリティエコシステム全体で共有し 統治する 御を必要としています。強力なセキュリティフレームワークは、組 AI の使用に関するポリシーと監視を実施します。 織がAI導入の準備を整え、組織内でAIがどのように使用されているかを把 AI のインタラクションを保持および監査し、進化する 握し、機密データ、AIエージェント、アプリケーション、モデルを保 規制へのコンプライアンスを確保し、 AI の動作に関する明確なガ 護し、コンプライアンスと新たなAI規制に対する明確なポリシーと安全 イドラインを設定します。 策によってAI運用を管理するのに役立ちます。 DCUのもう一つの強力なツールは、ドメイン偽装監視システムで ます。AIを活用したリバースエンジニアリングプラグインは、悪意のあ るコードの分析をさらに加速させ、かつては数時間から数日かかっていたタス クを自動化します。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 国家および新たな脅威への対抗 サイバー犯罪エコシステムの破壊︓ ルマ•スティーラーのテイクダウンから学んだ教訓 Lumma stealerの世界的拡散を示すヒートマップ Lumma Stealerは、インフォスティーラーのエコシス テムにおける顕著な存在感と、より広範なサイバー犯罪活動 を可能にする役割を担っていることから、今年、最優先の 対策対象となりました。 2025年5月、DCUは、世界中の法執行機関お よびサイバーセキュリティパートナーと協力し、共同作戦 によってLumma Stealerのインフラを破壊しました。これは、プロア クティブなサイバー防御における官民連携の威力を実証するもの です 。 米国の裁判所命令と、米国司法省、ユーロポール、日本のサイバー犯罪対策セ ンター（JC3）、そしてESET、 Bitsight、 Lumen、 CleanDNS、 GMO Registryな どの民間パートナーとの連携により、 2,300を超える悪意のあるドメインが押収ま たはブロックされました。これらのドメインは、Lumma Stealerのインフラ基盤 を形成していました。 赤は感染者数と接触者数が多いことを示 し、 青は低いことを表します。 出典: Lumma 破壊前のデータ、 マイクロソフトデジタル犯罪対策ユニット 64

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 65 目次 はじめに 脅威の状況防御の状況付録 国家および新興の脅威への対抗は継続 この混乱は感染したデバイスとLumma Stealerの通信を遮断 しただけでなく、 指令センターだけでなく、ドメイントラフィックをMicrosoftが管理 2025年3月から7月にかけて、DCUテレメトリは、クラックされた 大規模な革新的な破壊 法定自動妨害プログラムの世界的な影響 するシンクホールにリダイレクトしました。これにより、DCUは Cobalt Strike C2インフラの増加を検知しました。特に中国で顕著な 増加が見られました。このパターンは、クラックされたCobalt Strike インスタンスを利用した、中国発の協調的なマルウェア攻 撃キャン 全世界 強化された脅威インテリジェンスを獲得し、サイバー脅威インテリ 10000 ジェンスプログラム（CTIP） を通じて監視、強化し、外部パートナーと共 2024 2023 有しています。 ペーンに関する最近のサイバーセキュリティ 2025 レポートと一致しています。この活動は、悪意のあるイン フラを永続的かつスケーラブルに、そして管轄区域を越えて停止さ せることの重要性を浮き彫りにしています。 この作戦は、セクター間で調整された法的、技術的、運用上の戦 略がいかにしてサイバー犯罪のエコシステムを大幅に混乱させ、重要 なインフラを保護できるかを浮き彫りにしています。 さらに、マイクロソフトとCobalt Strikeを支えるサイバーセキュリ 8000 ティソフトウェア企業Fortraとの連携もこの取り組みの中 心であり、FortraはDCUに定期的に最新のシグネチャを提供 これらの妨害活動は単発的なものではなく、脅威アクターの再構築能 し、新たなC2インフラから保護する検知システムを強化している。 力を制限するための継続的な戦略の一環です。裁判所任 DCUとFortraは、新たなシグネチャを継続的に追加している。 命の監視員やDCUの法定自動妨害（SAD） プログラムといった革 6000 新的な手法を活用することで、 DCUは新たなLumma Stealer この取り組みを支援する情報源。 ト2 C ン ベ イ 出 検 インフラの特定と解体を継続しています。 もっと詳しく知る この作戦の中期的効果はまだ現れていないものの、悪意のあるインフ ラストラクチャを劣化させる当社の積極的なアプローチの 4000 Lumma Stealer の阻止: マイクロソフトがサイバー犯罪で悪用され るツールに対する世界的な取り組みを主導 | Microsoft 潜在的影響は、病院を標的とした攻撃を含むランサムウ 問題について ェア攻撃で広く使用されているツールであるクラックされた Cobalt Strike を DCU が 2023 年に破壊したことで実証されて マイクロソフトのグローバル破壊活動の内幕 います。 Lumma Stealerの2,300ドメインのマルウェアネットワーク 2000 |マイクロソフト脅威インテリジェンスポッドキャスト 最初のドメイン押収後、 DCU は世界中のホスティング プロバ Lumma Stealer:多作なインフォスティーラーの配信手法と機 イダーに対して 238,000 件を超える不正使用および削除通知を発 能を分析 行し、その結果、コマンドアンド コントロール(C2) サーバー の 平均数が 68% 減少し、平均寿命が49 日からわずか 18 日に短縮 されました。 | マイクロソフト セキュリティ ブログ 0 4月～6月 2023 出典: DCU クローラーデータ 7月～9月 2023 10月～12月 2023 1月～3月 2024 4月～6月 2024 7月～9月 2024 10月～12月 2024 1月～3月 2025 4月～6月 2025

• https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
• https://thecyberwire.com/podcasts/microsoft-threat-intelligence/49/notes
• https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

Machine Translated by Google 66 目次 はじめに 脅威の状況防御の状況付録 マイクロソフト デジタル防御レポート 2025 国家および新興の脅威への対抗は継続 抑止力の実践︓国家主体に対する影 響の構築 • 水、食料、医療、通信、交通システムなど、日常生活に不可欠なインフラ がデジタル技術への依存度を増すにつれ、これらのシス 米国政府は強力な • 報復的なサイバー活動を禁止する。 サイバー作戦に関連する公式声明や起訴状を公表し、同盟国や 民間企業は、悪意のある国家主体に対して独自にハッキン パートナーと連携してサイバー攻撃を行ったと公に主張している。• グバックを行う立場になく、そうすることで意図しないエスカレーシ EUはサイバースペースをますます活用している。 ョンや被害のリスクを負う可能性があります。産業界は攻撃 者の特定を支援し、政府と協力して行動を起こすことは可能ですが、 テムを標的とした国家によるサイバー作戦、特に将来の紛争の際 に混乱や破壊をもたらすサイバー攻撃を事前に準備する作戦は 容認できません。 外交ツールボックスと制裁体制により悪質な行為者に責任を負わせ 国家による国際的な違法行為に対する罰則を課すには、常に政府が主 るが、実施状況は依然として不均一である。 導する必要があります。 今後、これらは重要な基盤となります。サイバー抑止の枠組みをさら 重要インフラを守るための防御行動だけでは、国家によ る脅威となる敵対勢力を抑止することは難しいでしょう。これらは政治的 に強化するために、志を同じくする各国政府は以下の点に取り組むべきで サイバー抑止のための有効なモデルは、オンライン世界の安定にと っ す。 て不可欠であり、今後数年間は国家運営と外交における革新が必要とな • るでしょう。だからこそマイクロソフトは、英国王立安全保障研究所（ 公的帰属の定期化。各国は、他国政府や民間セクターのパートナー 動機に基づく活動であり、政治的な解決策も併せて対処する必要がありま からの知見を活用し、より統一された手続きを確立し す。重要インフラ、政治機関、そして民間システムを守る ながら、公的帰属声明をより一貫して発行すべきである。 RUSI）による、オンライン上の悪意ある活動を抑止するための新たなア プローチを探求する継続的な研究を支援しています。 ために、各国政府は国際ルールに違反する悪意ある活動に対し このような声明は、サイバーインシデント中に国際法または規範 て、信頼性が高く相応の報復措置を講じる枠組みを構築する必要 違反があったかどうかを常に示すべきである。•レッドラインの明確化 に があります。 。各国は、スパイ活動から事前配置、破壊的•妨害的なサ イバー作戦に至るまで、悪意のある国家によるサイバー活動の多岐に わたる範囲に対 過去1年間で、サイバー抑止力の必要性に対する認識が著しく高まり、政府と 産業界は悪意のある活動への対応においてより緊密に連携するようになり し、より厳しい制裁を課すことを明確にすべきである。•多様な制裁を 課す。 ました。例えば、 • NATOは連合ベースの帰属を進歩させている フレームワークを構築し、サイバー攻撃に対する集 国家によるサイバー攻撃は、サイバー領域に限定されるべきではなく 団的な対策を検討しています。 7月に同同盟は、加盟国がロシアによるものとした悪意 るサイバー活動を認識し、非難する声明を発表した。 あ 、画一的なモデルで規定されるべきでもない。多様な脅威主 体が抑止されるだろう。 様々な結果がもたらされる可能性がある。これには、経済措置、外 交制裁、名指しと非難、威嚇、あるいは標的を絞った機密解除などが含 まれる。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 67 目次 はじめに 脅威の状況防御の状況付録 国家および新興の脅威への対抗は継続 ランサムウェア活動の地政学的要因への対 処 最も活発なランサムウェアグループの多くは 自国政府が見て見ぬふりをしている間に、他国の被害者を標的にす ることで、結果を回避する。それが国家関連団体であろうと、 政府が彼らの活動を無視すれば、結果として「安全な避難所」国家が 存在し、 その結果、ランサムウェア対策には、より協調的な国際的取り組み が必要となる。 ランサムウェア攻撃への直接的•間接的な支援について、政 府に責任を負わせる政治的圧力。例えば、テロ支援国家と同様にラ ンサムウェア支援国家を指定し、それに伴う汚名と罰則を科すことは 、各国が自国領内で活動するランサムウェア集団に対抗するインセンテ ィブを高める一つの方法である。 政府に国内での違法なサイバー活動を防止するための措置を義務付 サイバー傭兵、攻撃的な武器を販売する民間企業 サイバー能力は、しばしば国境を越えて、法的にグレーゾーンで活動し 起訴することで、彼らはほぼ罰を受けることなく行動できるようになります。 移転し、複雑な金融ネットワークを利用して ランサムウェアの拡大に対処するための他のアプローチには 、次のものがあります。 • 法的措置:ランサムウェアは恐喝の一種であり、ほとんどの場合、既 存の法律に違反します。 検出と規制をさらに回避します。 この増大する脅威に対抗するために、政府と業界は、情報 共有、協調的な対応、規制を通じて、この脅威を助長する市場を混乱 させるためにさらに協力する必要があります。 これらは可能な限り適用する必要があります。 ランサムウェアのスポンサー国を指定することにより、民間人 国際規範は、サイバー傭兵の使用を禁止し、彼らの存続を許す法的な はランサムウェア攻撃を受けた政府に対し、民事裁判所で損害賠償を 抜け穴を塞ぐべきです。各国政府は、スパイウェアを含むサイ バー 求める法的措置を講じることができるようになる。•官民パートナーシ 傭兵製品が国内法や国際法、人権を侵害したり、製品のセキュリティ ップ︓サイバー犯罪対策の強化のため、業界 を著しく損なうような形で使用されないよう、サイバー傭兵市場に厳し と法執行機関のパートナーシップを促進する。例としては、国際ランサ 共通の枠組みを用いて商業サイバー侵入能力（CCIC） を規制すること を目指しています。2025年4月、ポール•メル•プロセスは、CCICの 有害 な影響を制限するために政府が遵守すべき、この種のものと い制限、あるいは全面的な禁止措置を講じる必要があります。 ムウェア対策イニシアチブ（ICRC） などが挙げられる。 透明性が鍵となります。政府はベンダーや仲介業者を摘発し、制 裁を執行し、自らサイバー傭兵の起用を控えることで率先垂範を示すべ きです。一方、産業界はプラットフォームのセキュリティを 強化し、不正利用を監視し、サイバー傭兵の活動を阻止するために迅 速に行動する必要があります。 両セクターは、デューデリジェンスと協力を通じて、サイバー 傭兵 が活動する空間を縮小し、国家安全保障、人権、そして世界的なデ ジタル安定性を守ることに貢献できます。 もっと詳しく知る ユーザーの保護とサイバー傭兵と戦うとい う当社の取り組みの再確認 | マイクロソフトの問題について (CRI)18およびセキュリティ技術研究所 (IST) ランサムウェアタスクフ ォース19 • 抑止効果︓政府は、責任ある国家行動について明確な期待を設定する必要 があり、これは、国家主導の、あるいは、非国家主導の行動を抑止するの に十分な、領域全体にわたる結果の強化によって強化 されるべきである。 または有効になっている場合、ランサムウェア攻撃が発生します。 して は初となる行動規範を作成しました。 20 ている。管轄権をまたぐ性質と監視の欠如により、追跡や また、多くの企業は頻繁にブランドを変更し、管轄区域を越えて事業を 海外でランサムウェア攻撃を仕掛け、国際法に違反する けるデューデリジェンスの規範。 サイバー傭兵との戦い: 世界的な規制のギャップを埋める 公共を虐待から守る すでに州が効果的な対策を講じている例がある 行動。米国は、連邦政府機関がサイバー傭兵のサービスを要 請できる時期を制限し、サイバー空間で活動する企業を禁止した 。 無責任に、一部のサイバー傭兵企業の収益に重大な影響を与えて いる。一方、 英国とフランスは過去において大きな進歩を遂げてきた 20以上の政府関係者や政府機関が参加する国際的なマルチステ ークホルダー対話であるポール•メル•プロセスの運営に1年間携わ った。 EU 全体の AI 生成コンテンツ | EU政策ブログ（2025年3月）

• https://blogs.microsoft.com/eupolicy/2025/03/20/protecting-the-public-from-abusive-ai-generated-content-across-the-eu/
• https://blogs.microsoft.com/on-the-issues/2024/07/22/protecting-users-and-reaffirming-our-commitment-to-combatting-cyber-mercenaries/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 68 目次 はじめに 脅威の状況防御の状況付録 国家および新興の脅威への対抗は継続 インテリジェントシグナル︓インシデント対応と復 組織は、以下のものを統合することで、予防的および事後的な検出 旧の加速 と対応の取り組みを強化できます。 脅威情報に基づく防御戦略は、大規模な組織だけ のものではありません。すべての組織が脅威情報に基づ く防御を実装できます。 インテリジェント信号の活用 迅速な調査と復旧のためのインシデント対応アプローチ さまざまな脅威インテリジェンス アーティファクトを総合的に分析します。 脅威の状況、独自の環境、そして高品質の脅威インテリジェンス によって検出と対応を強化できる方法を理解するには、次のことが含まれ ます。 • で存在します。アトミックな侵害指標（IOC）と検出シグ 組織にとってセキュリティライフサイクルを強化するため ネチャは、脅威アクターの行動に関する調査と組み合わせる必要があ ります。 ましょう。 脅威ハンターは、指標に基づくハンティングだけに頼ることはでき まず組織の攻撃対象領域と最も当てはまる脅威を理解し、そこから ません。脅威アクターの動機とTTP（戦術•技術•手順） 構築します。 を幅広く理解する必要があります。 成 を 提供します。これらのデータポイントを活用して、セキュリティロード ではなく数時間で傍受して妨害します。 の行動に影響を与えることができる、状況に応じたカス タマイズされた推奨事項が構築されることです。 戦略的なセキュリティ ロードマップを策定し、より安全な未来を築 きます。 保護の向上に 状況、業界、被害者組織 ダート マップを作成し、優先順位を決定します。 • 顧客が不審な行為を検出し ました ＆マイクロソフト 攻撃の経緯を体系 調査と戦術的回収が 並行して開始さ 戦術的な奪還が完了し、脅 的に記録 威アクターが排除さ れ、戦略的な強化 れる IRが関与 が始まる 何をどこまで保護すべきかを把握する。組織の内部セキュリティ体制と相 対的な攻撃対象領域を文書化する。価値ある資産、信頼関係のある資産 、特権パスウェイのある資産を重点的に取り上げる。 狩猟、戦術的な回収活動、修復 活動の追跡と検出の改善。最も重要なのは、このアプローチによって、組織 動化、そして組織のさらなる つながります。 ャンペーン、TTP、脅威の 蔓延する脅威を直接軽減するセキュリティ制御の実装。 す。 脅威アクターのプロフィール 業界や地域における脅威を認識する。脅威プロファイルを調査 組織の業種、地理的位置、規模など、組織の特性に関する情報 手法に基づいて計算された決定を下し、脅威アクターの活動を数日 よび対応段階に適用することは、脅威の方向性に大きな影響を与えま 現実世界のインシデントか ら得られる情報は、検出、自 し構築する。 リジェントなシグナルを活用し、脅威アクターの活動の動機と 多様な脅威インテリジェンス成果物を複数のワークストリームと検出お 脅威ハントの方向性は、 ージ、初期仮説の形 （帰属している場合）、攻撃キ の素晴らしい第一歩となります。例えば、基本的なことから始め • 異常な行動と侵害の兆候のトリア アーティファクトの多様性を活用する。脅威インテリジェンスは様々な形 脅威の状況を理解し、適切な運用プロセスを整備することは、小規模 Microsoft の検出および対応チーム (DART) は、調査全体を通じてインテ 調査作業 定期的な運用のベースラインを定義して迅速に 常が発生した場合にはそれを強調表示します。 異 回復ワーク ストリーム 初期仮説に基づいて決定され た回復アプローチ 爆発半径の迅速な 特定によって強化された修復プ 差し迫った脅威と将来の脅威に対 応する強化戦略 レイブック 共通 攻撃対象領域の 優先順位付け 組織プロファイルの開 発

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 69 目次 はじめに 脅威の状況防御の状況付録 国家および新興の脅威への対抗は継続 専用の脅威検知•インテリジェンス機能を構築すること は有益ですが、コストがかかる可能性があります。しかし、セ 「 キュリティは投資と捉えるべきです。サイバーセキュ リティリスクは事業継続リスクです。有用な脅威イン テリジェンス成果物の構築は、継続的な共同作業です。知識の 共有とパートナーシップは不可欠です。 極めて重要です。インシデント対応者は組織のデータについて 独自の視点を持っており、コンテキストに基づく成果物 を継続的に、そして周期的に全体的な調査活動に報告すること ができます。 これにより、脅威ハンティングの情報が伝わり、検出が改善され 、チーム間で脅威の認識が維持されます。 外部パートナーとの連携を拡大することで、脅威に対するより強 固な集団防御を構築できます。 セキュリティは投資として捉え なければなりません。 対抗策としてのコラボレーション: アプローチは様々ですが、これらの展開は 不正行為のサイロ化を打破する 詐欺に対するより積極的かつ協調的で、執行可能な国家的対応の必 サイバー詐欺はますます大規模かつ巧妙化しており、従来の防御策を 凌駕しています。重要な脆弱性は、セクター間での堅牢かつリ アルタイムのデータ共有の欠如です。分断されたシステムとサイロ サイバーセキュリテ ィリスクは事業継続リス 化された知見 クです。 金融機関間の構造化された連携 早期発見と協調的な対応を妨げます。 最も効果的な対策の一つ 金融機関、テクノロジープラットフォーム、規制当局、そして法執 行機関が連携して不正行為の兆候を共有することで、犯罪行為の迅速 な阻止が可能になりますが、そのためには個別のパートナーシップだ けでは不十分です。 多様なデータ ソースを統合することは、虐待のパターンを明らかにし、被 害を軽減するために不可欠です。 世界的な取り組みが勢いを増している。 グローバル•シグナル•エクスチェンジ21は、プライバシーに配慮し た標準化された多部門協力の枠組みを推進していま す。政府は、詐欺による数兆米ドルの損失に対し、報告義務、 賠償責任改革、官民連携の強化を定めた法律を制定することで対応し ています。22オーストラリアの詐欺防止枠組み 例えば、2025年法では、セクター固有のコードが導入されている。 23 一方、英国の国家戦略では、テクノロジーおよび通信セク ターへの説明責任を拡大し、データ共有の義務化を加速させています 。24シンガポールと日本は、デジタル決済詐欺や国境を越 えた詐欺に対抗するために法律を強化しています。 25 要性がますます認識されています。今後、私たちは大きな変 化を予想しています。 政府が規制のギャップを埋め、消費者保護を強化し、よ り回復力のあるデジタル経済を構築しようとしているため、これらの 立法枠組みの実施が加速しています。 もっと詳しく知る 国境を越えたコラボレーション︓国際 法執行機関とマイクロソフトの解体 高齢者を狙った国際詐欺ネットワーク | Microsoft On the Issues （2025年6月） Lumma Stealer の阻止︓マイクロソフトがサ イバー犯罪で悪用されるツールに対する世界的 な対策を主導 | Microsoft On the Issues （2025年5月）

• https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 70 目次 はじめに 脅威の状況防御の状況付録 政策、能力、そして将来の準備 デジタルフロンティアの確保︓ 国家安全保障とサイバー防衛における AIの責任ある利用における政府の役割 このレポートで見てきたように、AIはサイバー防御者がセキュリティ要 件を満たす上で大きな力となる。 課題。これらのメリットを最大限に実現するには、特に 政府は、官民パートナーシップを通じて、サイバー防衛に 、その展開はNATOの責任ある利用原則や米国国防総省の責任ある AI で極めて重要な役割を果たします。 2024年11月に発表され フレームワークといった明確な法的枠組みによって規制されな た英国のAIセキュリティ研究所（LASR） 26 は、重要な政府機関 ければなりません。産業界、学界、市民社会といったステー と学術機関、その他のマルチステークホルダーパートナーを クホルダーグループとの多国間対話や連携は、世界の安定を 結集し、国家のサイバーレジリエンスにおけるAIのメリットを促進する 損なうのではなく、それを強化する責任あるイノベーションを促進す 取り組みの一例です。 るために不可欠です。各国政府は、国連憲章、国際人道法 （IHL）、国際人権法（IHRL） に基づき、国家安全保 国家安全保障の観点から見ると、 AI の使用は、信頼できる安全なイ ノベーションへの継続的な取り組みを可能にする強力な政策フレー マイクロソフトは最近のホワイトハウスのAIを歓迎する ムワークによって導かれる必要があります。 行動計画と政権のコミットメント 政府にとって、これはAIシステムの安全な設計、開発、導入、使用、特 AI技術の普及、例えば重要インフラの防衛力強化と、フロンティア に機密データや機密データを扱う際の安全性を確保するた AIに関する国家安全保障上の配慮とのバランスを適切に めの強力な調達およびセキュリティプロトコルの確立を含みます。研究、 取る。そして、我々は引き続き トレーニング、そして 特に最先端の AI やサイバーセキュリティソリューションを開 発しているスタートアップ企業や専門家にとって、セキュリティは 商業化を促進するものであり、政府はセキュリティを経済成長のてこと して活用することもできます。 AIが国家安全保障、諜報活動、防衛活動にますます統合されるにつ れ おけるAI活用に関する実験とミッション主導型イノベーションを促進する上 障におけるAIの許容可能な利用について明確な期待を設定する必 要があります。 国際的な連携の強化が必要になる 米国政府と緊密に連携し、効果的に 既存の規範を強化し、特にAIの能力とリスクを反映した新しい規範を開 米国の AI企業、人材、知的財産、システムに対するセキュリティリ 発すること スクに対処します。 自律的なエージェントシステムが進歩します。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 71 政策、能力、将来の準備は続く 国家安全保障における責任あるAIの実装マイクロソフトは EU AI法などの進化する規制に先んじて対応するために、マイ 、モデル クロソフトはAI法の段階的なコンプライアンス期限に の開発と展開における敵対的リスクをより適切に評価•管理するために、 合わせて、階層的なコンプライアンスアプローチを採用してい 責任あるAIツールを拡張しました。マイクロソフトは、国家安全 保障を ます。マイクロソフトは、同法に従ってAIリテラシーを促進するた 責任ある AI 透明性レポート | Microsoft 脅かしたり、大規模な公共の安全リスクをもたらす可能性 めの複数の取り組みを実施し、従業員、顧客、その他の Zero Day Quest で AI とクラウドを保護 | MSRC ブログ | Microsoft セキュリティ のある、 新しく高度なAIモデル機能の出現を追跡する監視機能とし 人々が責任を持ってAIテクノロジを活用できるようにしています。28マ て機能するフロンティア•ガバナンス•フレームワーク27を発表しまし イクロソフトはまた、同法の禁止行為規定へのコンプライアン もっと詳しく知る レスポンスセンター た。このフレームワークは、これらのリスクを評価•軽減するためのプロセ ス準備のために、階層的なアプローチを積極的に採用しています。 マイクロソフトは、人工知能（AI）を通じて100万人にデジタルスキルを習得させることを約束している。 スも規定しており、フロンティアAIモデルを安全かつ信頼できる方法 2925年7月には、AI法のGPAIモデルプロバイダーの義務を遵守す る 南アフリカにおけるインテリジェンススキル育成イニシアチブ - Source EMEA で展開できるようにします。また、AIの開発と展開におい ための一連のガイドラインを含む、汎用AI（GPAI） 実践規 てますます重要な役割を果たすことになる新興のエージェントシステムを 範に署名しました。この規範は2025年11月に発効しました。 支援するためのエンジニアリングガイダンスと責任あるAIポリ シーも策 マイクロソフト、2025年までにASEAN地域で250万人にAIスキル習得の機会を提供開始| Microsoft Stories Asia 定しています。 マイクロソフトは、EU中央規制機関、 AIオフィス、その他の機関と 連携し、 2025年8月に開始する予定です。 Microsoft は、レッド チーム演習や影響の大きいシステムの展開前 評価など、 AI リリース全体で一貫したリスク レビュー プロ セスを維持しています。 EU加盟国の関連当局が共有する AI 開発、ガバナンス、コンプライアンスの経験から得た洞察、およびお 客様から聞いた洞察。 の生成AIシステムとモデルが含まれており、製品チームが生成 AI Microsoft は、Frontier Model Forum や Coalition for アプリケーションとモデルを安全に展開できるよう支援しま す。マ Secure AI の業界パートナーと緊密に連携するなど、世界中の パ イクロソフトのセンシティブユースおよび新興テクノロ ートナーと協力して、技術標準に準拠した、より一貫性のあるガバナ ジチームは、特に医療と科学分野における高リスクAIと高影響ア ンス アプローチをサポートしました。 回避し、社内ガイダンスを策定できるよう支援します。 ドキュメント作成を効率化するために、責任あるAI 標準に概説 されているすべての責任ある AI 要件をまとめた社内ツールを導 入しました。 Microsoft Elevate: 人を第一に考える | Microsoft On the Issues (2025 年 7 月) AI の世界的な可能性を解き放つ: 進歩、生産性、人材育成| Microsoft On the Issues（2025年4月） マイクロソフト、ケニアのサイバーセキュリティ強化に向けたARCイニシアチブを発表 | Microsoft On the Issues (2025年5月) これには、Azure OpenAIやPhiファミリーのモデルを含む、すべて プリケーションに関するアドバイスを継続し、チームが新たなリスクを データの活用で欧州の商業と文化を発展させる | Microsoft On the Issues （2025年7月） アクラにおけるサイバーレジリエンス開発の呼びかけ | GC3B ホーム - GFCE microsoft/llmail-inject-challenge · Hugging Face のデータセット

• https://gc3b.org/the-accra-call-for-cyber-resilient-development/
• https://huggingface.co/datasets/microsoft/llmail-inject-challenge
• https://www.microsoft.com/en-us/corporate-responsibility/responsible-ai-transparency-report/?msockid=27ae13461a3264e9295607d31b8165c2
• https://thegfce.org/
• https://blogs.microsoft.com/on-the-issues/2025/07/09/elevate/
• https://news.microsoft.com/source/emea/features/microsoft-south-africa-launches-ai-skilling-initiative-to-train-1-million-people-by-2026/?msockid=2a7603dd1fcc620434e316241e206384
• https://msrc.microsoft.com/blog/2024/11/securing-ai-and-cloud-with-the-zero-day-quest/
• https://blogs.microsoft.com/on-the-issues/2025/07/20/eudigitalunlock/
• https://news.microsoft.com/apac/2024/04/30/microsoft-announces-ai-skilling-opportunities-for-2-5-million-people-in-the-asean-region-by-2025/?msockid=2a7603dd1fcc620434e316241e206384
• https://blogs.microsoft.com/on-the-issues/2025/05/14/strengthen-cybersecurity-in-kenya/
• https://blogs.microsoft.com/on-the-issues/2025/04/10/unlocking-ai-global-potential/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 72 目次 はじめに 脅威の状況防御の状況付録 政策、能力、将来の準備は続く 設計によるレジリエンス︓次なる脅威の波に備えて重要な インフラを強化 リーダーは、単なる防御的な姿勢から、レジリエンスを中核的な設計 原則として重視する姿勢へと転換すべきです。これは、困 リーダーへの重要な推奨事項 難な状況下でも運用を継続し、迅速に回復し、将来の脅威 今日のハイパーコネクテッドな世界では、新たな脆弱性が 絶えず出現しています。 に対応できるよう進化できるシステムを構築することを意味します 設計段階からレジリエンス（回復力） に 。リーダーにとって、これは単なる技術的な問題ではなく、 投資する本質的にレジリエンスの高いインフラの開発を奨励します。これには、モジュール式システム、冗長性、そして 戦略的な問題なのです。 正常な縮退と迅速な回復を可能にするフェイルセーフが含まれます。 その結果、サイバーセキュリティの期待、実践、および監視 インフラの耐久性は、国家安全保障、経済の安定、そして国民の信頼 は、回復力を優先するように進化する必要があります。 に直接影響を及ぼします。 レジリエンスをDNAに組み込むことで サイバーフィジカル脅威は、自然災害、産業事故、人為的ミス、技 組織のインフラストラクチャを強化することで、資産を保護するだけで 術的エラー、あるいはサイバー攻撃、テロリズム、武力紛争と なく、不安定な世界で競争し、繁栄する能力も強化します。 重要なインフラのビジネスと運用。 す。政府と産業界は協力して標準を策定し、脅威情報を共有し、混乱への対応を調整する必要があります。 イノベーションと人材育成を支援するレジリエンス（回復力） には いった悪意ある活動など、様々な原因から発生する可能性がありま す。これらの脅威は、 官民連携の促進レジリエンスは共通の責任で サイバーフィジカルレジリエンスは単なる技術的な課題 ではなく、リーダーシップの必須事項です。32 CEOとCFOは、 最先端の技術と熟練した労働力が必要です。リーダーたちは、国家の能力構築のため、研究開発と教育への投資を推進 すべきです。 サイバーインシデントによるダウンタイム、データ損失、そして評判 これらのリスクは相互に関連しているため、サイバーフィジカ の失墜が、深刻な財務的影響を及ぼす可能性があることを認識する ルレジリエンスは技術的対策と組織的対策の両方を包含します。その目的 必要があります。同時に、 性と環境基準が現在奨励されているのと同じように、回復力を優先する組織に報酬を与える必要があります は、インシデントを予防、防御、対応、抵抗、軽減、吸収、適応、そ 政府の指導者は、国家インフラが攻撃に耐え、回復できるよう にしなければならない。 。 して回復することです。31 サイバー攻撃は避けられません。巧妙な攻撃者、人為的ミ ス、システムの複雑さなど、原因を問わず、侵害は必ず発生します。したが 大規模な社会機能の混乱を引き起こす可能性があります。堅固な 防御態勢を維持することは、多くの企業が限られた資金で運営し ている重要インフラの所有者にとって特に重要です。 って、重要な問題はシステムが攻撃を受けるかどうかでは なく、攻撃 にどれだけ耐え、回復できるかです。これが、 レジリエンスをDNAに組み込むことで サイバーフィジカルレジリエンスの本質:原因に関係なく、システ 組織のインフラストラクチャを強化することで、資産を保護するだけで ムが中断を予測し、耐え、回復し、適応する能力。 なく、不安定な世界で競争し、繁栄する能力も強化します。 ポリシーと規制を通じて回復力を奨励する金融と規制の枠組みは、安全 回復力の測定と監視 重要なシステムの回復力を評価するには、明確な指標とベンチマークを確立します。継 続的な改善には透明性と説明責任が不可欠です。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 73 目次 はじめに 脅威の状況防御の状況付録 政策、能力、将来の準備は続く 重要インフラのレジリエンス構築 En b l e 1つの 戦略的ライフサイクル、 4 つのコアフェーズ⋯ St けeh olders 1つの 予想する 耐える 脆弱性と新たな脅威を特定す る 冗長性を組み込んだシステ ムを設計する リスク評価を実施する インフラストラクチャを強化する 潜在的な混乱をモデル化する S e ct ors pt あd 既知の脅威に対して 1つの c n e rグラム y o W v e r t 1つの 適応する 迅速な対応と復旧プロトコ 事件から学ぶ ル そしてニアミス ダウンタイムを最小限に抑え、 システムとポリシー サービス中断 を更新する ステークホルダーとの透明性のあるコ ミュニケーション イノベーションに投資し、 人材育成 Po G ov ern c y私 nv l私 er e e E t 建物 回復力 R 重要な機能の継続性を確 保する 回復する あn私 t cp私 1つの st W th Tr n sp or t t o n He 1つの メートル v te Se 1つの e nt F re lth c 1つの 私 nt c to あなた r Co メートル v te nnov t o n P b l c-P r 私 私 1つの 私 あなた es 私 私 メートル 私 est 1つの 私 1つ の ent Pr メートル n nd 1つの 私 1つの e c n 私 1つの r ne t Pr 1つの ps 私 s h

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 74 目次 はじめに 脅威の状況防御の状況付録 政策、能力、将来の準備は続く マイクロソフトの量子安 全性への戦略的道筋 現代の暗号の多くは、従来のコンピュータで は解読が事実上不可能な数学的なパズルに 依存しています。たとえば、安全な Web サイトやメッセージング アプリの 背後にある標準的な暗号を解読するに は 、今日のコンピュータで数百万年かかりま す。 量子コンピューティングは一度に多くの可能性を考慮できる画期的な技 すべての組織は、暗号化技術（鍵、証明書、プロトコ 世界中の政府や産業界は、暗号アルゴリズムを量子耐性のある代替手 術であり、これにより量子コンピューターは従来のシステムより ル） をインベントリ化する必要があります。 段にアップグレードすることで、量子時代への備えを積極的に 進め もはるかに高速に複雑な問題を処理できるようになります。 脆弱なアルゴリズムを、ポスト量子暗号（PQC） 標準が利用 ています。国立研究所などの標準化団体は、 可能になった時点で、それらに置き換えるロードマップを確立します 量子コンピューティングは、現在の暗号システムにとって深刻 な脅威となります。まだ発展途上の技術ではありますが、 強力な暗号学的に重要な量子コンピュータ（CRQC） の開発が期 待されています。組織が暗号技術を適時に更新しなければ、ウェ ブ サイトが暗号化されていないHTTPで通信され、攻撃者が通信中の情 報を盗聴できたインターネット黎明期のような状況に陥るリスクがあり ます。こうしたデータ漏洩の可能性に先立ち、Harvest Now, Decrypt Later (HNDL) が深刻な懸念事項となっていま 。マイクロソフトでは、自社の製品とサービス、そして顧客が量 子時代 米国標準技術局（NIST） と国際標準化機構（ISO） は、堅牢なPQCアル においても安全であることを確保するための専用プロ ゴリズムを選定するための世界的なコンペティションを実施して グラムを設けています。マイクロソフトは、全社的な量子セキュリティ おり、国際的な団体はこれらのアルゴリズムをソフトウェアに統合 への取り組みを調整するために、 Quantum Safe Program し、あらゆるシステムが連携できるようにするための標準化に取り （QSP） を設立しました。 組んでいます。日常的に言えば、世界がすべての鍵と錠前 をアッ プグレードすることに合意し、現在その変更を実施しているような PQCアルゴリズムをMicrosoftのサービスに段階的に統合することで、量子コンピューティ ものです。 ングへの対応を実現します。その取り組みの一環として、以下の取り組みを実施しています。 す。攻撃者は、暗号化されたデータを今日蓄え、将来量子パワーで復号する ことが可能になるからです。 • マイクロソフトのコア暗号であるSymCryptを更新しました 昨年、複数の政府が移行を促進するためのガイダンスと要件を公表してお 新たな耐量子アルゴリズムをサポートする暗号ライブラリ り、そのほとんどが2035年を移行完了の期限としています。 です。SymCryptは、Windows、 Azure、そして多くの 米国、欧州連合、オーストラリアでは、最もリスクの高いシステムの一部へ Microsoft製品において、内部で暗号化を処理するエンジ の変更は2030年までに実施されるべきですが、カナダと ンのようなものです。 英国では2031年が期限となっています。 また、WindowsとAzure Linux（SymCrypt OpenSSLを使 用） でPQCサポートを有効にしました。•Microsoft Researchは設計に貢献しました。 PQCアルゴリズムの分析。マイクロソフトはブログや出版物を通じて これらの開発成果をコミュニティと共有し、量子時代における情報保 護のあり方に関する議論をリードしています。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 75 目次 はじめに 脅威の状況防御の状況付録 政策、能力、将来の準備は続く 推奨事項 政府は、産業界との強力な連携と効果的な政策を通じて、量子安全な未来を実現する上で重要な役割を果たす。準備 の加速のため、各国政府には以下の措置を講じることを推奨する。 次のアクション: 量子安全性を国家サイバーセキュリティの優先事項として確立する。 耐量子暗号を戦略的に不可欠な要素として位置付け、国家サ イバーセキュリティの枠組みに組み込む。 管轄区域を跨いで耐量子暗号戦略を整合させる。 公共政策、基準、移行スケジュールを調和させる。G7は金融セクターの耐量子 暗号に関する作業ストリームを拡大することで主導権を握るべきである。 G7 諸国のより広範な量子耐衝撃戦略を整合させる。 もっと詳しく知る 量子耐性︓安全な基盤の構築 | Microsoft On the Issues 耐量子セキュリティ︓次世代暗号への進歩耐量子 セキュリティ︓次世代暗号への進歩耐量子セキ ュ リティ セキュリティ︓次世代暗号技術の進 歩 耐量子セキュリティ︓ 国際標準を採用する。 グローバル標準の開発を支援し、相互運用性、イノベーション、セキュリティを阻害する、断片的で地域 次世代暗号技術への進歩 固有のアプローチを回避します。 https://quantum.microsoft.com 早期かつ段階的なタイムラインを設定し、 2030年よりかなり前に行動を起こしましょう。例えば、米国国家安全保障シス テム委員会政策15（CNSSP-15） は、2027年1月までに国家安全保障システムのすべての新製品とサービスに耐量子アル ゴリズムの採用を義務付けています。 透明性の高い移行計画を策定し、率先して行動します。タイムライン、マイルストーン、予算を含む政府の移行ロードマップを公 開し、定期的に更新することで、知識の共有とベストプラクティスを促進します。 意識を高め、人材の能力を構築します。公共部門と重要インフラ部門に対し、量子リスクとその準備状況について教育を行います。人材が量 子安全な移行に対応できるよう、スキル向上プログラムに投資します。 クラウド導入による近代化戦略的な推進要因としてクラウド移行を推進します。クラウドプラットフォームは耐量子性能を 組み込むことで移行を効率化し、個々の組織の負担を軽減します。

• https://quantum.microsoft.com/
• https://www.microsoft.com/en-us/security/blog/2025/08/20/quantum-safe-security-progress-towards-next-generation-cryptography/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 76 目次 はじめに 脅威の状況防御の状況付録 戦略的ビジョンと世界的なコミットメント 安全な未来イニシアチブ: 進捗と優先事項 マイクロソフトのセキュア•フューチャー•イニシアチブ（SFI）は、設計 、構築、テスト、 最高水準のセキュリティ基準を達成するために、製品とサービスを運 用しています。 2025年4月に公開された進捗状況レポートの第 3版では、透明性の伝統を継承し、マイクロソフト社内のセキュリティ体 制の改善点を明確化し、設計段階およびデフォルトでお客様をより適切 に保護するためのイノベーションを共有しています。 レポートでも強調しているように、私たちは強固な社内セキュリティ文 Microsoft Azure、 Microsoft 365、 Windows、そしてMicrosoft 「 もっと詳しく知る Entra、 Defender、 Purviewを含むセキュリティポートフォリオ全体にわ たり、社内で得た知見をお客様価値へと繋ぐ製品イノベーショ 透明性と明確性は引き続き当 社の使命の中心であり、定期的なレ ンを継続的に提供しています。例えば、Azureの統合ハードウェ ア セキュリティモジュール（HSM）、 Microsoft 365のCopilot Control System（CCS）、そしてフィッシング対策に優れた ポートと追加のガイダンスを通じ て、私たちは学んだことを共有 し、エコシステムを共同でより安全 な未来へと導くことを目指し ています。 MFAの広範な導入は、お客様保護への当社のコミットメントを反映してい 安全な未来 イニシアチブ（SFI） 何よりもセキュリティを優先します。 ます。 2025年4月の進捗報告 この取り組みは、 設計によるセキュリティ、既定によるセキュリティ、および 安全な運用というマイクロソフトの基本原則に基づいており、マイクロソフ ト全体のセキュリティを強化し、より安全なソリューションをす ぐにお客 様に提供するというマイクロソフトの使命を強化します。 化の醸成に継続的に取り組んでいます。現在、マイクロソフトの 全従 セキュア•フューチャー•イニシアチブ | Microsoft Trust Center SFI 2025年4月進捗報告 SFI 顧客ガイダンス:パターンとプラクティス | マイクロソフトセキュリティブログ 業員は、パフォーマンス目標の中にセキュリティの中核優先事項を掲げ ており、個人の責任感とセキュリティ意識の強化に努め ています。 エンジニアリングレベルでは、 6つのエンジニアリングの柱、すなわ ち ガバナンスを強化するために、副最高情報セキュリティ責任者 アイデンティティ、シークレット、テナント、ネットワークの保護、本番環 （dCISO）で構成される規制ガバナンス委員会を設立しました 境システムの分離、エンジニアリングシステムのセキュリティ確 。 保、脅威の監視と検知、そして対応と修復の迅速化を網羅する28の目標にお 重要な製品およびビジネス領域全体にわたって、リスク管理の調整、説明 いて進展が見られました。今後も課題は山積しています 責任、および回復力を大規模に推進します。 が、すべての分野で意義深い進歩を遂げてきました。この構造化さ れ たアプローチはゼロトラスト•アーキテクチャと密接に連携しており、一 貫性のあるリスクベースの優先順位付けと継続的な改善を可能にします。 SFIを報告する目的は、進捗状況を共有するだけでなく、明確で実行 可能な情報を提供することです。 顧客、パートナー、およびより広範なエコシステムに対して 、パターンと実践を通じたガイダンスを提供します。透明 性と明確性は引き続き当社の使命の中心であり、定 期的なレポートと追加のガイダンスを通じて、私たちは学ん だことを共有し、エコシステムを共同でより安全な未来へと導くことを目 指しています。

• https://www.microsoft.com/en-us/security/blog/2025/04/21/securing-our-future-april-2025-progress-report-on-microsofts-secure-future-initiative/
• https://aka.ms/SecureFutureInitiative
• https://www.microsoft.com/en-us/security/blog/2025/08/06/sharing-practical-guidance-launching-microsoft-secure-future-initiative-sfi-patterns-and-practices/

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 77 目次 はじめに 脅威の状況防御の状況付録 戦略的ビジョンと世界的なコミットメントは継続 マイクロソフトのグローバルサイバーセキュ これらの取り組みは、マイクロソフトの集団的な グローバル企業であるマイクロソフトは、 マイクロソフトは、各国政府に対し、規制の調和を優先するよう求め リティ強化への取り組み セキュリティは、信頼できるパートナーシップと責任の共有を通じての 、この取り組みの主要機関として経済協力開発機構（OECD）を支 み実現可能です。 管轄区域間で一貫性のないサイバーセキュリティ規制がレ ジリエンスを阻害する可能性があることを示す。だからこそ、国際的な規 持しています。 取り組みを支援することに深く尽力しており、 世界的な動向︓サイバーセキュリティ政策と法律 制を確立するための取り組みが重要になる。 政府との強力なパートナーシップを構築し、すべての 各国政府がサイバー管理の取り組みを加速する中、 人にとってより安全なデジタルエコシステムを促進するサイバー 新しい法律や政策を通じてリスクを軽減する中で、 2つの重要な傾向が浮かび上が セキュリティ法や規制を推進します。 ってきました。 地域的焦点︓欧州のサイバーセキュリティの必須事項 • マイクロソフトは、サイバー脅威に対抗するための世界的な 規制の拡大と施行政府は自主的なガイドラインから強制 EUは、サイバ 力のある基準へと移行しており、説明責任、リスク ーレジリエンス法（CRA） を制定しました。これは、一般データ保 管理、タイムリーなインシデント報告を重視しています。 待されています。 ヨーロッパの国境を越えても建設されています。 しかし、規制だけでは不十分です。ヨーロッパの デジタルインフラの構築には、政府と産業界の緊密な連携が不 可欠です。マイクロソフトは、以下の取り組みを通じて、この共通 の使命に積極的に貢献しています。 • サイバーセキュリティ ガバナンス カウンシルに欧州の dCISOを 任命する。 • EU 政府にリアルタイムの脅威情報と対応能力を提供する欧州セキ ュリティ プログラムを立ち上げます。 • メーカーを支援するためのガイダンスの提供 CRA に準拠します。これには、欧州標準化機構による統一規格の 開発、CRA 専門家グループを通じた EU 委員会のガイダンス とサポート法が含まれます。 とが可能となります。 真にグローバルなサイバーセキュリティを強化するためには、各国政府は • 規制の整合のための原則を策定する。• マルチステークホ 相互運用性を促進し、重複を削減する、調和のとれたリスクベースのアプロー チを追求する必要があります。 規制の整合の主な機会は次のとおりです。 定義、しきい値、およびフォーマットを有効にして 、サイバーセキュリティのゴールドスタンダードとなる 向上させ、製品のセキュリティ確保に影響を与えることが期 多国間構造とデジタルセキュリティの専門知識により、次のようなこ 韓国など、各国政府はサイバーセキュリティの強化に取り組んでいます。 • インシデント報告︓タイムラインの標準化、 護規則（GDPR） がデータプライバシーの基準となったよ うに 画期的な規制です。 CRAは、世界的なセキュリティ基準を ドイツと • デジタルサプライチェーンのセキュリティ確保 新たな規制により、設計上の安全性の原則、より明 確なサポートライフサイクルによる透明性、次のような前向 きな取り組みが推進されています。 SBOMの生成を奨励し、 堅牢な市販後監視。 規制の拡大と執行、そしてデジタルサプライチェーンの安全 確保に向けた取り組みは順調に進んでいるが、 意図したとおりに機能しない場合でも、複雑さが生じる可能性があります。 断片化された規制枠組みはインシデント対応を遅らせ、最終的に は防御を弱める可能性があります。 より迅速で協調的な対応。•新興技 術︓アプローチの調整 ルダーのサイバーセキュリティコミュニティ全体にわた る様々な管轄区域を代表する規制当局と専門家のための フォーラムを設立する。•規制の重複とギャップを マッピングするための調査を委託する。 グローバルなサイバーセキュリティポリシー。 マイクロソフトは今年初め、数十社のテクノロジーリーダーと ともに、主要7カ国（G7） とOECDへの公開書簡に署名し、 サ イノベーションのサイロ化を回避するために、 AI と量子暗号技術を イバーリスクの軽減とイノベーションの促進に向けた協調行 活用します。 動を求めました。 • サプライチェーンと脆弱性管理︓ 技術サプライヤーにサプライチェーンの依存関係を棚卸し し 、協調的な脆弱性開示の実践を強化するよう奨励し、特定、コミュ ニケーション、および サプライチェーン全体の脆弱性を迅速に修復します。 もっと詳しく知る マイクロソフトが新しい欧州安全保障を発表プ ログラム | Microsoft の課題 EU データの回復力 | Microsoft Trust Center 手遅れになる前にNGOが自衛で サイバーピース研究所は、 きるよう支援しています（2025年8月）

• https://blogs.microsoft.com/on-the-issues/2025/06/04/microsoft-launches-new-european-security-program/
• https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/cpi-protecting-ngos/
• https://www.microsoft.com/en-us/trust-center/compliance/europe-digital-resilience?msockid=27ae13461a3264e9295607d31b8165c2

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況防御の状況付録 終わりに 世界的な規制の枠組みが進化し、立法動向によってサイバーセキュリティの状況が変化する中で 、セキュリティは共有責任であるという真実は変わりません。 政府、業界リーダー、市民社会、そして個々のユーザーは、それぞれがレジリエントなデジタルエコ システムの構築において重要な役割を果たします。本報告書全体を通して提示さ れた洞察と データは、国境を越えるだけでなく、セクターや分野を超えた連携の緊急性を強調しています。 安全な未来への道を照らすという私たちのコミットメントは、単なるキャンペーンテーマではなく 、行動への呼びかけです。透明性、相互運用性、そして標準化された標準こそが、進歩の 基盤であ ると信じています。 私たちは、脅威インテリジェンス、ポリシー提唱、エンジニアリングの革新などを通じて、防御者と意思 決定者の双方に力を与えることを目指しています。 今年のマイクロソフト デジタル防御レポートをお読みいただき、ありがとうございました。ぜひ関連リ ソースをご覧いただき、フィードバックをお寄せください。そして、より安全で信頼できるデジタル世界の 構築にご協力ください。 78

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 付録 80 用語集 82の貢献チーム 84 参照 目次 はじめに 脅威の状況 防御の状況付録 79

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 用語集 80 目次 はじめに 脅威の状況 防御の状況付録 アクセスブローカー コンテナ（サイバーセキュリティの文脈） デバイスコードフィッシング 組織への不正アクセスを取得し、そのアクセスを他の犯罪者に販 軽量でスタンドアロンのソフトウェアパッケージ運 攻撃者がユーザーを騙すフィッシング手法偽 売して、ランサムウェアやデータ盗難などのさらなる攻撃を可能にするサ 営に必要なすべてのものが含まれています のポータルで認証コードを入力させる、アカ アプリケーション。コンテナはクラウドで広く利用されている ウントを乗っ取ることが可能となります。 イバー犯罪者。 環境であり、攻撃者の標的となる可能性がある AIディープフェ 適切に固定されていない場合。 イク人工知能が生成した音声、動画、または 資格情報の盗難 実在の人物や出来事を説得力を持って模倣した画像個 ユーザー名、パスワード、その他の情報を盗む 人を偽装したり、捏造したりするために使用できる 認証情報を利用してシステムやデータに不正にアクセスします シナリオを改変したり、世論を操作したりすることで、詐欺や 。 誤報、偽情報の拡散につながることがよくあります。 重要なインフラ 重要なシステムや資産（エネルギー、水、交通、医療など エンドポイ ントあらゆるデバイス（コンピュータ、スマートフォン、 ネットワークに接続し、 サイバー攻撃の標的となる。 スパイ活動機 密情報を得るためにスパイ行為を行うこと。 多くの場合、政治的、経済的、または軍事的利益のためです。 エクスプ 攻撃対象領域 ） の中断 不正ユーザーが 大きな社会的影響を及ぼすことになるでしょう。 環境にデータを入力したり、環境からデータを抽出したりすることができます。 サイバー傭兵ハッキン BEC（ビジネスメール詐欺） 詐欺 グツールやサービスを販売する民間団体 犯罪者が企業の電子メール アカウントにアクセスし、多くの場合 政府や犯罪者、多くの場合は合法的に活動している 金銭や財産を得ることを目的とした欺瞞行為個 は金融取引を操作することで組織を詐欺する標的型攻撃。 グレーゾーン。 サイバーレジリエン ボットネット ス組織がサイバー攻撃を予測し、耐え、 マルウェアに感染したコンピュータのネットワークと サイバー攻撃や混乱から回復し、適応します。 悪意のある活動を行うためにグループとして管理され、攻撃 を開始したり、スパムを送信したりすることなど。 サイバーを利用した影響力作戦 脅威アクターによる世論操作の試み クラウドセキュリティホ ソーシャルメディアなどのデジタルツールを使った行動や ロイト攻撃者がソフトウェアまたはシステムの脆弱性を利 用するために使用する方法またはツール。 人的な利益、しばしば操作を伴う またはなりすまし。 人間が操作する攻撃自動化ツー ルではなく、人間が侵入を積極的に制御し、適応するサイバー攻撃。 リアルタイムで戦術を練る。 人間が操作するランサムウェア サイバー 犯罪者が侵入を積極的に制御し、 ストされているデータ、アプリケーション、システムを保護する フェイクニュース、またはディープフェイク。 クラウド環境において、組織が データの流出 クラウドでは、攻撃者がクラウド資産と ID を標的とするケースが増えて 不正なデータ転送や盗難は、 ランサムウェアは最大限の効果を発揮します。これらの攻撃は 多くの場合、サイバー攻撃の一環として組織に侵入します。 自動化されたランサムウェアよりも標的を絞って被害が拡大しており います。 クラウドワークロード クラウドで実行されるアプリケーション、サービス、またはプロセス 攻撃者の標的となる可能性のある環境です。 データ盗難 機密情報や貴重な情報の盗難、例えば 知的財産、個人データ、または財務記録。 ネットワーク、データの盗難、手動での展開 、恐喝とデータの盗難や重要なサービスの中断が組み合わ されるこ とが多いです。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 目次 はじめに 脅威の状況 防御の状況付録 81 用語集続き アイデンティティ侵害攻撃者 LLM（大規模言語モデル） フィッシン SLM（小規模言語モデル） がユーザーのデジタル アイデンティティを制御し、システムまた 膨大な量のデータで訓練されたAIモデルの一種テ グ攻撃者がなりすますサイバー攻撃 言語モデルのよりコンパクトなバージョン、 はデータへの不正アクセスを許可します。 キストデータを理解して人間のような 言語。LLMは質問に答え、要約し、 信頼できる組織が個人を騙して情報を暴露させる機 密情報。 計算リソースが少ない。 SLMは多くの場合 文書を作成し、意思決定を支援しますが、 耐量子暗号（PQC） アイデンティティプラットフ ォームデジタルアイデンティティを管理するシステムまたはサービス。 ユーザーとデバイスの認証およびアクセス制御。 サイバー攻撃者の標的になったり、操作されたりする可能性もあります。 安全のために設計された暗号化方式量 マルバタイジン 子コンピューティング攻撃。 グユーザーにマルウェアを送りつける悪質な広告 インシデント対応（IR） 欺瞞的なオンライン広告を通じて。 プロンプトインジェク ションAIシステムに対する攻撃の一種で、悪意のある 管理と緩和のための構造化されたアプローチ マルウェア サイバーセキュリティインシデントの影響。 妨害、損害、または利益を得る目的で設計されたソフトウェア インフォスティーラー コンピュータシステムへの不正アクセス。 量子コンピューティング高 MFA（多要素認証） 度なコンピューティング技術は 感染したデバイスから資格情報、トークン、その他の機密情報を収集 するように設計されたマルウェア。 指示はユーザー入力やデータに隠されており、 AI が意図しない、または有害な動作をする可能性があります。 言語関連のタスクを効率的に実行するように設計されている 特定の用途に使用され、速度が 効率性は重要ですが、それ以上に LLM と比較すると機能が制限されます。 サプライチェーン攻撃組 織のサプライチェーン（ベンダー、パートナー） 内のセキュリティの 低い要素を標的にして、 主要な組織。 脅威インテリジェンス現 在および将来のサイバー空間に関する情報 脅威を分析し、セキュリティ戦略を策定し、防御力を強化するため 2つ以上の検証を必要とするセキュリティプロセス 現在の暗号化方式を破壊し、新たな 影響力作戦 システムまたはデータにアクセスするための要因。 セキュリティ基準。 国民の認識や ラバの飼育 個体 ランサムウェア トークンの盗難 行動、多くの場合デジタルチャネルを使用し、時には誤 の募集と管理 データを暗号化して要求する悪意のあるソフトウェア解 認証トークン（デジタルキー） を盗んで 報や操作を伴うもの。 盗んだ資金を移動または洗浄する「マネーミュール」サ 放のための支払い。 パスワードを必要とせずに不正アクセスを防ぎます。 インフラ構築攻撃者が侵害さ イバー犯罪者に代わって。 リモートアクセスツール ヴィッシ れたシステムを利用する戦術 国民国家主体 コンピュータのリモート制御を可能にするソフトウェア、 他の標的に対してさらなる攻撃を仕掛け、将来の作戦の拠点を築く サイバー脅威アクターは、 合法的に使用されることが多いですが、攻撃者によって悪用されることもあります。 ことが多い。 政府は、しばしば他の国をターゲットにして 内部脅威 スパイ活動、妨害行為、または影響力。 組織内の個人がもたらすリスク パスワードスプレー攻撃攻撃 イバー攻撃に耐え、回復し、適応するま データを漏洩したり攻撃を助長したりして、意図的または意図せず 者が一般的なパスワードを試す手法 たは混乱。 に損害を与える可能性のある者。 多数のアカウントに対して不正アクセスを実行します。 ソーシャルエンジニアリ 設計によるレジリエンスシ ステムとプロセスを構築することで、サ ング人々を操作して行動を起こさせたり 機密情報を漏らすことは、多くの場合、フ ィッシングと詐欺。 に使用されます。 ング音声フィッシング; 電話を使って個人を騙す機 密情報を漏らしたり、 危険な行為。 バーチャルクレジットカード（VCC） オンライン用に生成されたデジタル決済カード取 引は、多くの場合、独自の詳細と限定的な 詐欺リスクを軽減するために寿命を延ばします。 ワークロード ID アプリケーション、サービスに割り当てられたデジタルID または自動化されたプロセス（人ではなく） 適切に保護されていない場合、攻撃者の標的になる可能性があります。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 貢献チーム 82 目次 はじめに 脅威の状況 防御の状況付録 AIの安全性とセキュリティAIの 顧客のセキュリティと信頼顧客の エンタープライズ＆セキュリティエ 安全性とセキュリティは、あらゆる側面を担当しています セキュリティと信頼が継続的な ンタープライズ＆セキュリティはプラットフォーム技術を提供します 安全で 安全なAI、発売前評価、インシデント マイクロソフトにおける顧客セキュリティの向上 プラットフォームを管理および強化するためのソリューション 対応、安全インフラの構築、訓練、 研究と政策。 中央不正•濫用リスク（CFAR） 中央不正•濫用リスクは検出し対応します国 製品とオンラインサービス。 攻撃に対する防御チームも設置しています。また、ゼロトラ 社内のエンジニアリングチームとセキュリティチーム、チ スト、セキュアID、 ームはコンプライアンスを確保し、セキュリティを強化し、顧客 安全なデバイス、安全なサプライチェーン、そして規模 と クラウドからの管理。 地球規模のエコシステム。 欧州政府関係 家主体、犯罪組織、そして サイバーセキュリティ政策と外交（CPD） 経済的な被害を与えたい一般的なサイバー犯罪者 マイクロソフトとその顧客に対する評判の損害 促進することで世界的なサイバーセキュリティを強化する サイバーセキュリティ政策と外交の取り組み 欧州政府関係部はマイクロソフトの 欧州の政治制度に対する立場、 政府やその他の政治関係者。チームは多 責任ある産業と国家の行動 岐にわたるデジタル政策を監督する 執行機関、業界関係者、そして顧客に サイバー空間における持続的な外交政策を通じて ヨーロッパでは、AI、クラウド、持続可能性など 詐欺に関する洞察を共有し、すべての人にとってより安全な世界を実現しましょう。 エンゲージメントとマルチステークホルダーパートナーシップ。 サイバーセキュリティポリシー。 チームは法律事務所とも提携しています クラウドエコシステムセキュリテ デジタル犯罪ユニット（DCU） ィクラウドエコシステムセキュリティは、コアとなる デジタル犯罪対策ユニットはサイバー犯罪と戦ってきた。 クラウドセキュリティプラットフォーム、データセキュリティ、コンプライアンス、 個人や組織を保護し、 ガバナンス、プライバシー。チームはまた、AIを活用した 脅威とデータインテリジェンス、そしてAI セキュリティ研究開発。 コーポレートスタンダードグループコーポ レートスタンダードグループは、マイクロソフトの代表として、 Microsoft サービスの整合性の保護 2008年以来、戦略的パートナーシップと 関与、犯罪基盤の押収、そして世界的なサイバー脅威の阻止 と 犯罪ネットワーク。 サイバーセキュリティ、 AI、 デジタルセキュリティとレジリエン チームは政府、民間企業、 マイクロソフトが最も信頼できるデバイスとサービ スを構築できるようにしながら、 スデジタルセキュリティとレジリエンスは、 社会、学界、産業界が協力して、開発、 信頼できるテクノロジーを評価および管理します。 会社と顧客を保護します。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 83 目次 はじめに 脅威の状況 防御の状況付録 貢献チームの継続 拡張セキュリティ態勢管理拡張セキュリティ態勢管理 Microsoft Defender エキスパート は、攻撃に対するクロスドメインの侵入前セキュリティソリュ Microsoft Defender エキスパートが脅威ハンティングを管理 ーションを構築します。 拡張検知•対応サービス 表面管理と脅威への露出の削減。 Microsoftを使用して24時間365日脅威を積極的に監視 チームは姿勢管理を統合します ディフェンダーデータ。 デバイス、アイデンティティ、クラウド、 アプリケーションを統合された製品セットに統合 セキュリティリーダーとそのチームにサービスを提供します。 CISO組織の下にあるサイバー防衛オペレーション （CDO） のGUARD検出エンジニアリングチームセキュリティ CTOオフィスの 使命は、イノベーションを推進することです。 セキュリティ部門全体のギャップを特定し、組 織に関連する機会を促進する 成長と才能。チームは体系的な 製品戦略だけでなく、 部門全体とマイクロソフト全体にわたって。 イバーガイドライン、コンプライアンスの推進をサポートし、マイク マイクロソフトのインシデント対応 - 検出 特定の国家的要件を有する国々。 対応チームはインシデントハンティングを提供し、 サイバーレジリエンス、脅威インテリジェンスサービス 顧客。チームは戦略的パートナーシップを維持しています 安全保障機関、政府、そして 社内の Microsoft グループ。 データエンジニアリング、分析、システム Analytics Momentum と Storytelling は、非財務の 公開情報開示で使用される指標をキュレートします。 チームは、それらのメッセージの作成にも協力しています メトリクスを評価し、メッセージがMicrosoft の観点と一致してい ることを確認します。 マイクロソフト全体の関係者がポリシーを策定し、実 践とガバナンスシステムを維持し、 AIの原則。ORAは新しい法律の策定にも貢献している。 AI技術の将来性を保証するために 分析センターは、 社会全体の利益のために実現されます。 国家の脅威と影響力を分析する 最高科学責任者室 情報と地政学を統合した作戦 マイクロソフト脅威インテリジェンスセンター(MSTIC) マイクロソフト脅威インテリジェンスセンター (MSTIC) 高度なサイバー攻撃を発見、追跡、阻止する 脅威アクターから Microsoft とその顧客を保護します。 MSTICはアクター中心の脅威インテリジェンスを生成 高品質の完成した情報を提供します （IDEAS）とインサイト、データエンジニアリング、そして 責任あるAIオフィス（ORA） 責任あるAIオフィス（ORA） は、 Microsoft脅威分析センターMicrosoft脅威 効果的な対応と保護を顧客に提供します。 ンジニアリング、分析の勢いとストーリーテリング洞察、 国家安全保障担当官がベストプラクティスについて助言サ ロソフトのサービスと製品の認定 イデンティティとネットワークアクセスは革新と構築を行います 洞察、データエンジニアリング、分析、システム（IDEAS） と洞察、データエ 国家安全保障担当官 (DART) マイクロソフトとその関連会社にタイムリーな洞察を提供するためのコンテキスト 消費者のサインイン エクスペリエンスを含むアクセス。 (エンドポイント、アイデンティティ、オフィス、クラウド、IoT/OT) Microsoft インシデント対応 - 検出および対応チーム アイデンティティとネットワークアクセスア アイデンティティを管理および統制するソリューションと 対応、自動化された中断機能 あらゆるドメインの10億台以上のデバイスに Microsoft のセキュリティ ソリューション。 マイクロソフト脅威保護研究 マイクロソフト脅威保護研究は、 私たちが毎日目にする何兆もの信号は、世界レベルのセキュリティ 研究によって高度に洗練され、 新たな脅威の予防、検出、 最高科学責任者室が戦略を主導科 学の合流点における取り組み、 AI の最先端の取り組みを含む、テクノロジーと社会。 米国政府関係 米国政府関係部は協力を推進 米国連邦政府および州政府との協議 代表者、政策立案者、第三者 国連やその他の国際機関も含め、 組織。チームは多種多様な AI、サイバーセキュリティ、クラウドなどの政策優先事項 持続可能性と競争。

Machine Translated by Google マイクロソフト デジタル防御レポート 2025 参考文献 84 目次 はじめに 脅威の状況 防御の状況付録 パート1︓脅威の状況 1 サイバーシグナル︓K-12および高等学校におけるサイバー脅威 教育 | Microsoft セキュリティ ブログ 2つの神話上の獣とその見つけ方︓地図 世界的なスパイウェア市場と国家への脅威 14 コミュニケーションコンプライアンス | Microsoft Learn 15 ジャスパー•スリート︓北朝鮮の遠隔IT労働者の組 織への侵入戦術の進化 | Microsoft セキュリティブログ 16量子科学技術の保護 | FBI.gov 安全保障と人権 | アトランティック•カウンシル データ侵害で暴露された 5 Octo Tempest攻撃から顧客を守る （2025年7月） サイバーセキュリティ情報シート︓文脈化 デ ィープフェイクによる組織への脅威 | 全国 セキュリティエージェンシー 8 合成ID文書詐欺が世界中で急増 ジェネレーティブAIのおかげで︓これが生き残る方法だ安 全 | TechRadarr 9グランドビューリサーチ 10ハーバード•ケネディスクール他「大規模言 語モデルの完全な起動能力 自動化されたスピアフィッシングキャンペーン︓検証済み 「ヒト被験者に関する」 arXivプレプリント、 2024年11月30日。 調査によると、AIによる自動フィッシングは最大従 来の方法より50倍の利益率 大規模なグループをターゲットにする 11 マイクロソフト（2025） 19ランサムウェア対策タスクフォース（RTF） | セキュリティ研究所 | NPR 7 パートII – 防衛の展望 18国際ランサムウェア対策イニシアチブ 6 LinkedInの最新マーケティング戦略︓AI生成顔 サイバー空間における国家による非国家主体の利用 | オブザーバー研究財団 12の国家による脅威 | サイバーセキュリティと インフラストラクチャセキュリティ庁（CISA） 13 2025年 ポネモン 内部脅威のコストに関するグローバルレポート マイクロソフト（2025年1月） 30 汎用AI実践規範: ヨーロッパのデジタル未来を形作る | Microsoft AI 透明性レポート 31サイバー•フィジカル•レジリエンス︓概念の進化指 32重要インフラのレジリエンス強化 17 AI 時代の従業員のアクセスを安全に保護 | 複数の業界にわたる | Microsoft セキュリティ ブログ EU AI法︓禁止行為 | 標と法的枠組み 3インテリジェンス主導型サイバーセキュリティ | Intel 471 4乗っ取られたか: メールアドレスが乗っ取られていないか確認する 29 + テクノロジー 20州向けポール•モール•プロセス実務規範 | 英国政府 21詐欺情報をリアルタイムで共有するグローバルな情報センター 詐欺シグナル | Global Signal Exchange 22人の国際詐欺師が1兆ドル以上を盗む 12か月間の世界詐欺実態レポート | 世界詐欺対策同盟 23詐欺防止フレームワーク – 保護 オーストラリア人を詐欺から守る | Treasury.gov.au 24 APP詐欺補償保護 | 支払い システム規制当局 25の詐欺対策 | 金融庁 シンガポールの 26英国の繁栄とAIセキュリティリスクの軽減国 家レジリエンス | LASR 27フロンティアガバナンスフレームワーク | Microsoft （2025年2月） 28 AIリテラシースターティングガイド | Microsoft (2025年6月)

• https://ponemon.dtexsystems.com/
• https://learn.microsoft.com/en-us/purview/communication-compliance-solution-overview
• https://www.microsoft.com/en-us/security/blog/2024/10/10/cyber-signals-issue-8-education-under-siege-how-cybercriminals-target-our-schools/
• https://www.psr.org.uk/information-for-consumers/app-fraud-reimbursement-protections/
• https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/bade/documents/products-and-services/en-us/cloud/June2025-Microsoft-AI-Literacy-Starting-Guidev2.pdf
• https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/639917-secure-employee-access-report-2025-final.pdf
• https://counter-ransomware.org/
• https://securityandtechnology.org/ransomwaretaskforce/
• https://www.gov.uk/government/publications/the-pall-mall-process-code-of-practice-for-states
• https://www.microsoft.com/en-us/corporate-responsibility/responsible-ai-transparency-report/?msockid=27ae13461a3264e9295607d31b8165c2
• https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Microsoft-Frontier-Governance-Framework.pdf
• https://treasury.gov.au/publication/p2025-623966
• https://www.fbi.gov/news/stories/protecting-quantum-science-and-technology
• https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors
• https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-product-and-services/security/pdf/microsoft-prohibited-practices-jan-2025-477720.pdf
• https://www.mas.gov.sg/regulation/combatting-scams
• https://haveibeenpwned.com/
• https://www.microsoft.com/en-us/security/blog/2025/07/16/protecting-customers-from-octo-tempest-attacks-across-multiple-industries/
• https://www.gasa.org/post/global-state-of-scams-report-2024-1-trillion-stolen-in-12-months-gasa-feedzai
• https://lasr.plexal.com/
• https://www.atlanticcouncil.org/in-depth-research-reports/report/mythical-beasts-and-where-to-find-them-mapping-the-global-spyware-market-and-its-threats-to-national-security-and-human-rights/
• https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF
• https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/
• https://www.mdpi.com/2079-9292/14/8/1684
• https://www.globalsignalexchange.org/
• https://www.techradar.com/pro/security/synthetic-id-document-fraud-is-exploding-worldwide-thanks-entirely-to-generative-ai-heres-how-to-stay-safe

Machine Translated by Google マイクロソフトデジタル 国防報告書2025 安全な未来への道を照らす サイバーセキュリティに関する最新ニュースについては、 https: // microsoft.com/corporate-responsibility/c-ybersecurityをご覧ください。 レポートの詳細情報については、 https:// microsoft.com/mddrをご覧ください。 サイバーセキュリティポリシーに関する最新ニュースにつ いては、LinkedIn でフォローしてください: https://aka.ms/MOILinkedin セキュリティ リーダー向けの洞察とトレンドについては、https:// www.microsoft.com/security/security-insiderをご覧くださ-い。 マイクロソフトの脅威インテリジェンスレポート 2025年10月

• https://microsoft.com/corporate-responsibility/cybersecurity
• https://microsoft.com/mddr
• https://aka.ms/MOILinkedin
• http://www.microsoft.com/security/security
• https://www.microsoft.com/security/security-insider