ランサムウェアの脅威は従来型が主流のもののAIを悪用したリスクが高まる、スロバキアのESETが分析

　ESETは、スロバキアに本社を置くセキュリティ企業である。一般向けのウイルス対策ソフトウェアを提供していた時期もあるが現在は、エンドポイントセキュリティやサーバーセキュリティ、ネットワークセキュリティを含めたXDR（Extended Detection and Response）ベンダーとして事業展開している。種々のセキュリティ機能を組み合わせたマネージドサービスを提供もする。

2025年の脅威のトップはフィッシングエージェント

　2025年のサイバー脅威の動向について、ESETが管理するセンサーデータ(テレメトリデータ)や専門チームの分析による脅威インテリジェンスなどを元に、CRO（Chief Research Officer）のローマン・コヴァチ(Roma Kovac)氏が説明した（写真1）。

写真1：スロバキアESET CRO（Chief Research Officer）のローマン・コヴァチ(Roma Kovac)氏

　グローバルの脅威トップ10は、1位がHTML形式のフィッシングエージェント、2位がWord形式の詐欺文書ファイル、3位がJavaScriptベースの不正エージェントだった。これに対し日本は、1位と2位は同じだが、3位はHTMLベースの偽Captchaだった。「3〜5位はグローバルと日本で順位が変わるだけで同じ脅威がランクされており、脅威の傾向としては非常に良く似ている」（コヴァチ氏)という。

　グローバル、日本共に1位だったHTML形式のフィッシングエージェントとは、「Microsoft 365」や「Google Workspace」などのWebメールに送られてくるフィッシングメールである。特に近年は「攻撃者がAI（人工知能）技術を悪用することで言語の壁を超えるようになっている」（コヴァチ氏）。同じ1位でもサイバー攻撃に占める割合は「グローバル平均が約22％なのに対し日本では40％にも上る」（同）という。

　サイバー攻撃へのAI技術の悪用についてコヴァチ氏は、こう説明する。

　「フィッシングやソーシャルエンジニアリングのほか、マルウェアやランサムウェアでも使われていることを確認している。コンセプト段階で実際の攻撃には用いられていないもの「PromptLock」という初のAI駆動型ランサムウェアもある。これは、オープンソースのローカルLLM（Large Language Model：大規模言語モデル）の1つである「Ollama（オラマ）」（米Ollama製）」を使ってプロンプトからランサムウェアを生成し攻撃する仕組みである」

　ランサムウェアは、フィッシングメールに比べて数こそ少ないが、企業に与える影響は甚大である。日本でもランサムウェア集団「Qillin」がアサヒグループを攻撃するなど、多くの被害が発生し市民生活にも大きな影響が出た。

　「当社のテレメトリデータを見てもQillinは活発に活動していることが分かる。データリークサイトで確認されている報告数も伸びており、特に日本は2024〜2025年に継続的に被害を受けた。当社の調査では、Qillinは北朝鮮の国家的な犯行グループ「Lazarus」との関連性があることも分かっている」とコヴァチ氏は指摘する。

　国家権力を背景に、特定の個人や組織に長期間侵入するAPT（Advanced Persistent Threat）攻撃が増加したことも2025年の傾向だという。中国や北朝鮮などが関与しており、例えば「Lazarus」グループは、ソーシャルエンジニアリングで欧州や米国の防衛機関を狙った攻撃を仕掛けている。「その一部にはUAV(無人航空機：ドローン)の情報を盗み取ることを目指した攻撃もある」（コヴァチ氏）という。

　これらのほかに2025年の特徴的な脅威として、NFC（Near Field Communication）機能を悪用しスマートフォンに格納されたクレジットカード情報を盗み出す攻撃や、「Infostealer（インフォスティーラー）」と呼ばれる重要情報を盗むマルウェアによる攻撃を挙げる。加えてコヴァチ氏は、FBI(米連邦捜査局)と連携したサイバー攻撃者集団サイトの停止事例やEuropol(欧州刑事警察機構)との連携強化事例も紹介した。