2025年までの8つのサイバー予測:CSO視点

2025年のサイバーセキュリティ予測

この記事では、ZscalerのCSOであるDeepen Desai氏が2025年のサイバーセキュリティについて行った予測を詳しく解説し、企業が直面するであろう課題と、それらに対処するための具体的な対策について考察します。Desai氏の予測は予想ではなく、実際に起こっている＝2024年に、もうすでに起こっていることをそのまま伸ばして予測として考察されているものであると思います。全体的に2025年の初頭で気をつけておかないといけないことが多く含まれているという視点で読んでみてください。ここに書かれていることを覚えているか？のチェックリストでもいいですね。そういう感じでした。 Packet Pilotで過去に取り上げた記事のリンクも追加しておきましたので、そちらにそれぞれ深く解説したものもありますので、思い出したい時はそちらもご覧ください。

2024年の振り返り： 生成AI、RaaS、MiTM

2025年の予測に進む前に、2024年に現実となったサイバーセキュリティのトレンドを振り返り、そこから得られる教訓を整理しておくことは重要です。

• 生成AIが悪用され、サイバー攻撃が急増: 2024年を通して、生成AIを用いた高度かつ説得力のあるソーシャルエンジニアリング攻撃が増加し、ユーザーを欺きシステムに侵入することが容易になりました。企業はAIを活用したサイバーセキュリティツールを導入し、ゼロトラストアーキテクチャを実装することで対抗してきました。
• RaaS（Ransomware-as-a-Service）の普及によりランサムウェア攻撃が再び増加: 2024年には、RaaSがランサムウェア攻撃の増加に拍車をかけ、データ漏洩サイトに掲載された被害企業は57.8%増加しました。Zscaler ThreatLabzの調査チームによって特定されたRansomHubは、新たなランサムウェアグループとして台頭し、著名な医療機関を標的とした2200万ドルのランサムウェア強盗事件に関与したことで悪名を馳せました。
• 中間者攻撃（MiTM）が注目を集める: 2024年には、予想通りMiTM攻撃が話題になりました。オーストラリアの空港のWi-Fiネットワークを標的とした「Evil Twin」と呼ばれる古典的な攻撃手法を用いた事件は、その一例です。ThreatLabzは、ThreatLabz 2024 Phishing Reportで、MiTMの進化形である「中間者攻撃（AiTM）」についても観測しています。これらのトレンドは、2025年にも継続すると予想される、傍受技術への依存の高まりを浮き彫りにしています。

2025年の8つの予測： AI、内部脅威、量子コンピューティング

Desai氏は、2025年のサイバーセキュリティの状況を形作るであろう8つのトレンドと予測を提示しています。

1. AIを活用したソーシャルエンジニアリングが新たな段階へ

2025年には、生成AIによってソーシャルエンジニアリング攻撃がさらに高度化し、特に音声および動画フィッシングが大幅に増加すると予想されます。生成AIベースのツールが普及するにつれて、初期アクセスブローカーグループは、従来のチャネルと組み合わせたAI生成の音声や動画を悪用するようになるでしょう。サイバー犯罪者は、信頼性を高め、成功率を上げるために、ローカライズされた言語、アクセント、方言を採用するため、被害者が詐欺的なコミュニケーションを識別することがさらに困難になります。

Zscaler自身も、2023年にAIを使ってZscalerのCEOであるJay Chaudhry氏になりすまし、Zscalerの従業員を騙そうとしたハッキンググループの被害を受けていたそうです。 これは、昨年、オレオレ詐欺風に、CEO詐欺、CFO詐欺という呼称で広まりました。ですので予測というよりも、実際に起こったことがさらに広がるという意味で捉える方がいいでしょう。

この傾向は、他のAIを活用したソーシャルエンジニアリング攻撃と相まって、2025年にはなりすまし、ランサムウェア、データ窃取を増加させるでしょう。

さらに、Packet Pilotが考える生成AI利用の進化として付け加えるとすると、
・パーソナライズされたフィッシング詐欺の広がり
・AI botを利用して、DDoS攻撃、自動攻撃エージェントによる攻撃の増加　　 が考えられます。　　

2. 生成AIのセキュリティ確保が引き続きビジネス上の必須事項に

世界中の組織が、ファーストパーティおよびサードパーティの生成AIアプリケーションをますます採用するにつれて、これらのシステムのセキュリティ確保は最優先事項であり続けるでしょう。従来のアプリケーションとは異なり、生成AIは、偶発的なデータ漏洩やAI出力の汚染を狙った敵対的攻撃のリスクなど、独自の脅威モデルをもたらします。

これは、今年の世界経済フォーラム（WEF）年次サイバーセキュリティサミットにおける重要な議論のポイントでした。世界中のCXOやCISOの間では、生成AIアプリケーションはスタンドアロンのプロジェクトとしてではなく、全体的な企業セキュリティ戦略の一部として扱わなければならないというコンセンサスが得られました。

2025年には、組織はAIモデルと機密データプールを保護し、AI生成コンテンツの整合性を確保するために、効果的なセキュリティ制御の実装を強化する必要があります。

3. 企業はより多くの内部脅威ベクトルに直面する

2025年には、脅威アクターが、悪意のある内部者を従業員や請負業者として送り込んだり、合併・買収（M&A）に関与する企業を侵害したりすることで、企業のサイバーセキュリティ対策を迂回することが増えるため、内部脅威が企業にとってより大きな課題となるでしょう。内部に侵入すると、正当な資格情報とアクセス権を使用して、特に組織がファイアウォールやVPNを含むレガシーアーキテクチャを使用している場合、深刻な損害を引き起こします。

ThreatLabzが昨年末に報告したように、北朝鮮の脅威アクターは、西洋諸国でのリモート雇用機会を獲得するために、Contagious InterviewやWageMoleキャンペーンなどの手法を試していました。これらのグループは、ますます巧妙な手段を通じて、機密データを盗み、経済制裁を回避する可能性を高めています。

機密データや重要システムを内部脅威から保護するには、AIを活用した脅威検出とインラインTLS/SSL検査によって強化された、統合されたゼロトラストフレームワークが必要になります。

これはPacket Pilotでも何度も紹介してきましたが、人が一番の脆弱性。ということを忘れずに対処すべきです。 特に、従業員だけでなく、その家族も含め考えることが大事です。隣の家に攻撃者が潜んでいることも考えられます。ロシアが新たに考案したNearest Neighbor Attackを見ても自社だけの防衛では済まなくなりますので。 Nearest Neighbor Attackについてはこちら
流出した情報の中に、自社の従業員と関係する人までチェックするチェックリストについて

4. 調和のない規制は、サイバーセキュリティ防御の弱体化につながる可能性

世界各国でサイバーセキュリティ、AI、データプライバシーに関する新たな規制が導入されるにつれて、調和の欠如は運用上のオーバーヘッドを増大させるでしょう。組織は、サイバーセキュリティ体制を強化するよりも、コンプライアンス管理にリソースを割くことになり、サイバーセキュリティ体制が弱体化する可能性があります。

これもWEF年次サイバーセキュリティサミットで注目された重要な分野であり、世界のセキュリティリーダーたちは、規制のギャップを埋め、特に生成AIのような新興技術のための統一 standards を確立するために、協力の重要性を強調しました。

調整されたガバナンスがなければ、国内および国際機関は、データセキュリティにおけるリスク削減よりもコンプライアンスを重視することを余儀なくされ、イノベーションを阻害するリスクがあります。

5. 多要素認証（MFA）を回避する中間者攻撃（AiTM）フィッシング攻撃が増加

昨年、敵対者がAiTMプロキシベースのフィッシング攻撃を通じて企業のMFAを回避することに成功するという、懸念すべき傾向が現れました。2025年には、フィッシングキットに、高度なAiTM技術、ローカライズされたフィッシングコンテンツ、ターゲットフィンガープリントなどがますます含まれるようになると予想されます。もちろん、これらはすべてAIによって実現されます。

ThreatLabzの年次フィッシングレポートで報告されているように、今日のAiTMプロキシキットは、正当なWebページを精巧に模倣できるため、セキュリティチームでさえ容易に識別することが困難です。これらのプロキシキットを配布する脅威アクターは、MicrosoftやGmailなど、広く頻繁に使用されているおなじみの形式であるため、一般的に信頼されているブランドのなりすましを好みます。

これらの進化する脅威に対抗するには、堅牢なゼロトラストアーキテクチャと並行して、より強力な形式のMFA（FIDO2準拠の方法など）の採用を優先する必要があります。

6. 被害者に与える混乱を軽減することで恐喝する「暗号化なし」ランサムウェア攻撃が増加

ランサムウェアの脅威アクターグループは、2025年には、暗号化なしのランサムウェア攻撃を使用して、メディアや法執行機関のレーダーをくぐり抜けながら、企業にデータ保護のために恐喝することが増えるでしょう。これらのグループは、大量のデータを盗んで身代金を要求することに重点を置き、自らをサイバー上の脆弱性を特定することで被害企業に貴重なサービスを提供していると見なしています。

この戦略により、彼らは目立たないようにしながら弱点を悪用することができます。これは、Dark Angelsとその歴史的なランサムウェアの支払いを得るために有効だった戦術です。この戦術は、脅威アクターと被害者の両方にとって、はるかに迅速かつ容易な取引であり、結果として回復の努力や時間がかからないため、人気が高まっています。

この戦術は、悪名高いSmokeLoaderの背にいるようなグループを解体しようとする法執行機関の努力を回避することを目的とするサイバー犯罪者によってますます支持されています。

組織化されたサイバー犯罪と戦うための国際的な協力が強化されるにつれて、ランサムウェアの脅威アクターは、検出を回避するためのステルス戦略を重視するようになると予想されます。

SmokeLoaderとは？
データ流出型に移行しているランサムウェア攻撃グループ

7. 量子セキュリティのリスクが顕在化するにつれて、量子駆動型脅威への備えが不可欠に

量子コンピューティングは、今後10年間で新たな脅威を生み出すでしょう。2025年は、組織がこれらの将来のリスクへの計画を開始する上で重要な年となるでしょう。すでに形になりつつある差し迫った懸念事項の1つは、国家レベルの脅威アクターが、暗号化されたTLSセッションを盗んで保存し、将来暗号を解読して復号化しようとすることです。このリスクは、量子セーフではない暗号方式に依存している組織にとって特に高く、この standard はまだ広く採用されていません。

世界のCXOは、量子セーフな暗号 standard への移行に向けて、今すぐ行動を起こす必要があります。

「量子耐性暗号化」の導入は必須なのか？

8. ソフトウェアサプライチェーンセキュリティは、世界のCXOにとって最優先事項であり続ける

敵対者が請負業者を含むソフトウェアサプライチェーンをますます標的にしているため、ソフトウェアサプライチェーンセキュリティは、2025年にも引き続き議題のトップに位置付けられるでしょう。組織は、サードパーティのリスク管理プログラムを強化するだけでなく、サプライチェーン攻撃から身を守るために追加の対策を講じる必要があります。

CI/CD環境を含むクラウンジュエルのセグメント化と、脅威やデータ漏洩のインライン検査を備えたゼロトラストアーキテクチャを実装することは、ソフトウェアサプライチェーン攻撃から身を守る上で非常に重要になります。

これだけでは不十分で、
GitHubのアカウントの乗っ取りや、今流行りのnodeのモジュールに悪意のあるコードを潜ませる戦術もありますのでこのCI/CD環境のセキュリティ確保には、別の視点も導入して対処が必要だと考えます。

予測から行動へ： 2025年のセキュリティ強化

2025年のこれらの予測は、予防的な防御戦略への注力を高めることを要求するでしょう。組織は、ゼロトラストアーキテクチャを優先し、AIを活用したセキュリティ制御の力を活用し、セキュリティ意識の文化を育む必要があります。これらの取り組みを戦略的計画とイノベーションに整合させることで、企業は、来年以降に発生する新たな脅威に対抗するためのより良い立場に立つことができるでしょう。 と、いうことですが、ここからは、Zscalerの宣伝になっていたので、鵜呑みにはせず、さらに深刻になっていることを認識し、各企業においては事業内容が滞らない範囲で進めていきましょう。 ポイントとしては、

• 攻撃対象領域の最小化
• 初期侵害の防止
• 横方向の移動の排除
• データ損失の阻止 といったキーワードを念頭に、AIに本当に気をつける1年の計画を立てるようにしましょう。人が1番の脆弱ポイント。これです。

ということで、ZscalerのDesai氏の予測は、予測？という感じでしたが、言ってることは間違ってはいません。 が、遅いです。 が、それが今の世界中の企業での意識の浸透率もこのくらいなのでしょう。 そこを真剣に受け止め、セキュリティ対策を考えていってください。 おそらく正月休みで、DDoS攻撃が表では流行っていましたが、すでに、中に何か仕掛けを入れていってると思いますので、その動向が出てくる時期になって慌てないよう、まず検査をしておきましょう。 年末の大掃除のように、年始のメモリフォレンジックをしてみてはいかがでしょう？