Verizon DBIR 2025: Vulnerability Exploitation Surges, Third-Party Breaches Double
2025/04/24 SecurityOnline — Verizon のデータ漏洩調査報告書 2025年版 (Data Breach Investigations Report:DBIR) が明らかにするのは、組織が注意を払うべき、サイバー脅威の状況における重要な変化である。このレポートでは、データ侵害が確認された 12,195 件のインシデントが分析されており、攻撃者による脆弱性の悪用が、主要なイニシャル・アクセスポイントとして増加している状況が示されている。
増加傾向にある脆弱性の悪用
2025年版 DBIR の主要な発見のひとつは、システムへの初期侵入の手段として、脆弱性の悪用のケースが大幅に増加していることである。実際に、侵害の 20%が脆弱性の悪用によるものであり、前年の約 15%から 1.34倍も増加している。この値は、22%を占める認証情報の不正使用に迫るレベルである。
DBIR で強調されているのは、エッジデバイスや VPN を標的とする、脆弱性の悪用のリスクが急増している点である。これらが占める割合は、2024年の 3%から大幅に増加し、2025年は 22%となっている。内部ネットワークへの足がかりとして、こうした脆弱なポイントを、攻撃者が積極的に狙っていることは明らかだ。
パッチ適用までの時間のギャップ
2025 年版の DBIR において、重要な課題として指摘されているのは、エッジ・デバイスの脆弱性に対するパッチ適用の遅れである。これらの脆弱性を完全に修正するまでに要する、日数の中央値は 32日であるのに対して、攻撃者による大規模な悪用が始まるまでの中央値は 0日とされている。つまり、脆弱性が公表された直後から攻撃が始まり、組織は非常に無防備な状態に置かれていることが示されている。
ランサムウェアの動向
ランサムウェアは依然として深刻な脅威であり、今回のレポートが示すのは、それに関連する侵害の件数が前年比で 37%増加し、全体の 44%にまで達していることだ。興味深いのは、ランサムウェアの被害が増加する一方で、身代金額の中央値が、前年の $150,000 から $115,000 に減少している点である。さらに、身代金の支払いを拒否する企業が増えており、その比率は2年前の 50% から、現在の 64%へと上昇している。
さらにレポートでは、ランサムウェアが中小企業 (SMB:Small and Medium Business) に及ぼす影響が、過剰とも言えるレベルにあると指摘されている。ランサムウェアが関与する侵害の比率が、大企業では 39%であるのに対して、SMB は 88%に達していた。
サードパーティ・リスクの拡大
2025年版 DBIR が強調するのは、サードパーティが関与する侵害のリスクの拡大であり、その割合は倍増して 30%に達している。特に、サードパーティ環境での認証情報の再利用が、よく見られる問題として挙げられている。また、GitHub リポジトリで発見された漏洩シークレットが、修正されるまでに要した日数の中央値が、94日であったことも判明した。
さらに、スパイ行為を動機とする侵害も大幅に増加しており、全体の 17%を占めるようになった。これらの攻撃では、イニシャル・アクセス手段として、脆弱性を悪用することが多いようだ。
BYOD と GenAI に関するリスク
レポートは、企業環境における、管理対象外のデバイスや、 GenAI の利用に関連するリスクにも注目している。
- 社内ログインを使用して侵害されたシステムのうち、46%が管理されていないデバイスで発生していることが判明し、Bring Your Own Device (BYOD) ポリシーのリスクが浮き彫りになった。
- 従業員の 15%が、企業デバイスで GenAI システムに定期的にアクセスしている。
- そのうちの 72%が私用のメールを利用し、17%が統合認証システムを介さない企業メールを使用していた。
- 攻撃者側も AI の利用を加速させており、悪意あるメール内の生成テキストの使用率は、この2年間で倍増している。
総括
2025年版 DBIR は、現在のサイバー脅威の状況について有益な洞察を提供している。特に、脆弱性管理やサードパーティ・リスクの軽減、GenAI に関連する新たな脅威への対応の重要性を、改めて示している。
毎年恒例の Verizon BBIR ですが、イニシャル・アクセスでの脆弱性の悪用が増加していますね。さらに、エッジ・デバイスの脆弱性となると、情報が共有された当日/翌日に、攻撃が始まるケースが多いようです。よろしければ、以下のリストも ご参照ください。
2024/05/01:侵害の経路としての脆弱性:2023年は 180% 増 – DBIR
2022/05/25:2022 DBIR:23,896件のインシデント分析からの指標
2021/05/13:データ侵害の 85% に人間が関与:Verizon DBIR
IoT OT Security News 
You must be logged in to post a comment.