Hornetsecurityは11月20日、2025年版の年次調査レポート「サイバーセキュリティレポート」を発表した。この調査は、同社が720億件のメールを分析して得た結果に基づいている。その概要は以下のとおり。
2025年もメールが依然として主要なサイバー攻撃の侵入経路であることが確認され、前年に比べてマルウェアを含むメールは131%増加、詐欺メールは34.7%増加、フィッシングは21%増加した。
また、攻撃者はAIと自動化を悪用して攻撃速度と巧妙さを大幅に向上させている一方、防御側である企業はガバナンス、レジリエンス、そしてセキュリティ意識の向上に取り組み、攻撃者に対応できるよう同等のスピードで強化を進めていた。
生成AIの普及により、攻撃者はより高度で説得力のある攻撃コンテンツが作成可能となり、CISOの77%が「AI生成フィッシングは深刻で新たな脅威」と回答している。一方で防御側も追随しており、調査に回答した企業の68%がAIを活用した検知・防御技術へ投資したと回答した。
AIの悪用による脅威は2025年の脅威環境を象徴する存在となり、CISOの61%が「AIはランサムウェアリスクを直接的に高めた」と認識している。CISOが特に懸念している領域は次のとおり。
・合成ID詐欺:AIで生成した身分証明書・書類の悪用
・音声クローンやディープフェイク動画によるなりすまし
・モデル汚染:社内のAIシステムを悪意あるデータで汚染
・従業員による公開AIツールの誤用
これらの技術は「正規ユーザーによる正当な活動」と「攻撃者による悪意ある活動」の境界線を曖昧にし、従来のセキュリティコントロールでは判別しにくい状況を生んでいる。特に、サイバー犯罪者が「強行突破でのアクセス」ではなく「模倣やなりすましによる侵入」を狙うケースが増えている。
企業がサイバー攻撃被害からの復旧能力を強化するなか、攻撃者のターゲットは、企業の経営層や従業員が旧来から培ってきた「信頼感」をターゲットにした模倣や、なりすましによる侵入へと移行しつつある。
経営層のAIリスクに対する理解に大きな格差があり、一部のCISOは「経営陣は深い理解を持つ」と回答した一方、「ほとんど理解していない」と回答したCISOも多くいた。全体的には「一定の理解はあるが、企業間でバラつきが大きい」という状態が回答の中央値だった。
2026年に向けては、「予防」だけではなく、組織文化としてのレジリエンス強化が成功の鍵になると予測できる。
関連リンク