サイバーセキュリティクラウドは2月26日、2025年1月1日~12月31日を対象とした「Webアプリケーションへのサイバー攻撃検知レポート」を発表した。その概要は以下のとおり。
■攻撃総数と推移:年間約20.2億件、1秒あたり約64回の攻撃
2025年に検知したWebアプリケーションへのサイバー攻撃総数は約20.2億件にのぼった。これは1日あたり約553万8017回、1秒あたり約64回の攻撃が発生している計算になる。また、1ホストあたりでは1年間に13万6516件の攻撃が確認された。この攻撃回数は前年比で約182%に増加しており、過去最高の水準となっている。
■攻撃種別の構成比と傾向
攻撃種別では、依然としてWebスキャン(脆弱性探索行為)が最多を占めた。攻撃者は自動化ツールを用いて広範囲に探索を行い、公開されたWebアプリケーションの弱点を探索し続けている。SQLインジェクションやディレクトリトラバーサルなどに関連する検知も一定数確認された。ただし、これらの検知には探索段階のリクエストも含まれており、実際の侵害行為と明確に区別できるものではない。
無差別に広く探す動きと、特定の脆弱性に狙いを定める動きが併存し、攻撃の効率化・自動化が進んでおり、攻撃の効率化や自動化は、引き続き進行している状況。
■2025年10月~12月に顕在化した攻撃傾向
1.特定の脆弱性を集中的に狙うリクエスト傾向の確認
2025年10月〜12月には、特定の脆弱性に対して短時間に大量のリクエストが集中するリクエストの傾向が複数回観測された。特に10月には、日別総攻撃件数がおおむね500万件前後で推移する中、特定日において単一ルールを対象とした検知数が急増する事象が確認された。
中旬および下旬には、同一ルールへの検知が通常水準を大きく上回る形で増加し、短時間に集中的なアクセスが発生している様子が見られた。これらは日次総数の増減とは異なる動きを示しており、広範囲を探索するスキャン型攻撃というよりも、特定の脆弱性を狙った集中的な試行であった可能性が考えられる。
12月下旬には、日本時間未明の時間帯において、単一ルールに対し1時間あたり約5万件規模の攻撃が数時間継続。当日の検知数は約40万件規模に達した。
これらの挙動は、広範囲に脆弱性を探索する従来型のスキャンとは様相が異なる。攻撃の背景や実行主体を特定するものではないが、特定の脆弱性を標的とした集中的な攻撃活動の可能性が示唆される。
2.主要ライブラリの脆弱性公開と連動する攻撃増加
2025年12月には、世界的に広く利用されているJavaScriptライブラリ「React」に関連する重大な脆弱性情報が公開された。公開後、サイバーセキュリティクラウドの観測環境においても当該脆弱性を狙う挙動が増加。攻撃は特定地域に限定されず、世界中の主要な地域に対して同時多発的に試行された。
■攻撃元国の傾向
攻撃発信元IPを国別に分類したところ、米国が最多を占め、次いで日本、欧州諸国、アジア地域が続いた。特に2025年は、インドが前年の20位から8位へと大きく順位を上げた点が特徴的となっている。
攻撃発信元IPは必ずしも攻撃者の所在を示すものではないが、近年はボットネットやマルウェア感染端末を悪用した分散型攻撃が一般化していることが各種調査でも指摘されている。感染端末の一部が踏み台やボットネットの一部として利用されている可能性も考えられる。
関連リンク