デロイト トーマツ グループ(以下、デロイト)は2026年3月4日、同社の子会社であるデロイト トーマツ サイバーが公開するレポート「Deloitte Cyber Trends & Intelligence Report 2025」発表にともなう記者会見を開催した。同社は、2025年に観測されたランサムウェアによる二重恐喝の深刻化や、偽インストーラーを悪用したマルウェア感染の手口を紹介。さらに2026年の予測として、生成AIが自ら標的の偵察から侵入までを完結させる「自律型攻撃」などを発表した。
会見冒頭、執行役員 サイバーインテリジェンスセンター長の佐藤功陛氏は、同社が国内外に展開する「Cyber Intelligence Center(以下、CIC)」の役割について言及。横浜のみなとみらいに拠点を置くCICは、24時間365日体制でSOCとしての役割のほか、脅威インテリジェンスの収集・分析を行っており、国内Big4でSOCを有している企業はデロイトが唯一だという。
同氏は、デロイトが世界23ヵ国34拠点に展開するグローバルネットワークを活用し、地域に根ざしたインテリジェンスを収集していることを強調する。たとえば、日本固有の脅威情報は、欧米中心のベンダーでは補足しきれない場合があるが、デロイトなら言語や地域特性を踏まえたワンストップの対応が可能であると語った。
続いて登壇したシニアマネージャー 吉村修氏は、レポート「Deloitte Cyber Trends & Intelligence Report 2025」の注目トピックについて発表。2025年の脅威動向の中心として、「ランサムウェア攻撃の激化」を挙げた。現在の主流は、データの暗号化によるシステム停止だけでなく、窃取した機密情報をリークサイトで公開すると脅す「二重恐喝」だ。
デロイトの調査によると、ランサムウェア攻撃による2025年の世界全体のデータ暴露被害件数は約6,700件に達し、日本企業に関連する被害も前年の67件から116件へと増加。吉村氏は、この背景に「攻撃者のシフト」があると分析する。北米や欧州での対策が進んだ結果、攻撃の矛先がアジア太平洋地域(APAC)や日本企業へと向いていると指摘した。
この状況下で企業の課題となっているのが、取引先を経由して自社が被害を受ける「サプライチェーンリスク」である。吉村氏は、メーカーや物流会社が攻撃を受ければ部品供給が停止し、自社の事業継続に直結するだけでなく、業務委託先から機微情報が漏えいすることでレピュテーション(社会的信頼)が著しく毀損されると語る。
これらの対策方法には、「未然防止」「影響の低減」「ASM(Attack Surface Management:攻撃面管理)の活用」の3つがあるという。未然防止は、その名のとおり自社のサプライチェーンにおいて、ランサムウェア被害が発生しないようにする対策方法だ。たとえば、セキュリティ体制が万全でない事業者とは契約を結ばないなどの対策が挙げられる。
影響の低減は、自社のサプライチェーンにおいてランサムウェア被害が発生した際の影響を低減するための対策方法。たとえば、サプライチェーンのランサムウェア被害を想定したBCP(事業継続計画)を策定することなどが挙げられる。
ASMは、インターネット上に公開されているサーバーなどの資産を攻撃者の視点で洗い出し、脆弱性を評価する取り組みを指す。吉村氏は「取引先を対象としたASMにおいては、相手方の運用に影響を与えない非破壊的な調査手法を選定し、深刻な被害に直結する脆弱性に絞って是正を依頼することが、健全なサプライチェーン維持の要諦だ」とアドバイスを送った。
また、サプライチェーンリスクを対象としたASMを実施するには、以下のような観点が重要だという。
- 導入サービスがドメイン名などの洗い出しから行うサービスか:取引先を対象とする場合、機器発見の起点となるドメイン名などを調査依頼者側で把握することは困難。調査対象の企業名などをもとにドメイン名やIPレンジを検出できるサービスを選定することが重要
- 機器の運用に影響しない調査手法か:サービスの高機能化が進み、ASMサービスの中には機器に対してさまざまな通信を行うものも登場。取引先を対象とする場合、機器の運用に万が一にも影響が出ないよう配慮することが重要
- 優先度の高い機器のみに絞れるか:是正を依頼する問題点は深刻な被害につながり得る重要なもののみに絞り込まないと、取引先に過大な負担を強いてしまう可能性がある。脆弱性などの深刻度だけでなく、機器の種類や重要性を判定できるサービスを選定することが重要
続いて、シニアマネージャー 梨和久雄氏が2025年にCICで観測した最新の脅威動向について発表した。2025年は、特に「ClickFix」や「偽インストーラー」による攻撃が活発だったという。
ClickFixは、ブラウザ上に偽のポップアップを表示し、ユーザー自身にショートカットキーを操作させてマルウェアを実行させる手法だ。CICでは、2025年2月頃からClickFixにより「Lumma Stealer」という情報窃取型マルウェアなどを実行させる攻撃が観測され始めたとのこと。ただ、コードの実行は防げなくとも、その後のマルウェアがダウンロード・実行される段階でEDR(Endpoint Detection and Response)が遮断しているケースが多く見られるとした。
偽インストーラーに関しては、以前から正規ソフトウェアを装った偽インストーラーを用いてユーザーに悪意あるコードを実行させる手法自体はあったものの、昨今はAI機能を搭載したソフトウェアなどの比較的新しいテクノロジーに偽装しているケースが報告されているという。偽インストーラーは国外ソフトウェアを中心として観測されているが、最近では日本でもユーザー数の多いアーカイバーアプリケーションの偽インストーラーも報告されているとのことだ。
また、2026年1月には、日本でも広く利用されているファイル圧縮・展開ソフト「7-Zip」の非公式(偽)サイトから、EDRをすり抜けるマルウェアが拡散された。梨和氏は、これらの事例の共通点として「ユーザーの正規の操作を巧みに模倣し、欺くこと」を挙げ、マルウェアが実行される前の段階で検知することが困難になっている現状を強調。対策として、管理者権限の最小化を徹底することに加え、不審なC2(コマンド&コントロール)通信やプロセスツリーの異常を早期に封じ込めるハンティングの仕組みが不可欠であると説明した。
最後に吉村氏は、2026年のサイバー脅威予測として「AI利用マルウェア」と「AIによる自律的なサイバー攻撃」を発表。AI利用マルウェアに関しては、2025年半ばから生成AI環境を悪用してその場(オンデマンド)で動的に攻撃コードを生成・実行するマルウェアが出現しているとした。これらは既存のシグネチャーベースの検知を無効化する恐れがある。
加えて、攻撃者が詳細な指示を与えずとも、AIが自律的に偵察から侵入、内部データの収集までを行う諜報キャンペーンも観測され始めた。吉村氏は「AIによる自動化により、攻撃者はわずか数十分で多数の組織を同時に攻撃できるようになった。脆弱な外部公開機器を放置しておくリスクはこれまで以上に高まっている」と述べる。
しかし、上記2つの最新脅威については、「従来のセキュリティ対策を徹底していれば現時点ではたいした脅威ではない」という。AI利用マルウェアは、侵入した組織で利用可能な生成AIを悪用してコードを生成・実行する攻撃手法であるため、スクリプト言語を実行可能、かつ生成AIも利用できる環境でないと攻撃できない。環境に応じて、コード実行機能または生成AI利用のどちらかを禁止すれば、被害予防が可能だとした。
AIによる自律的なサイバー攻撃は、攻撃が自動化されることで攻撃数は増えるものの、手法自体が高度化されるわけではない。「適切な脆弱性管理、不正ログイン対策などを講じていれば脅威度は高くない」と吉村氏は説明した。
【関連記事】
・デロイト トーマツ グループ、6月1日より長川知太郎氏がCEOに ボード議長は大久保孝一氏
・デロイト トーマツ サイバーと明治安田生命、サイバーセキュリティ人財育成などで協業
・デロイト トーマツ、「生成AI時代に適したシステム開発体制」に向け組織再編 2026年12月実施予定
この記事は参考になりましたか?
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア
