サイバーセキュリティ啓発月間～2025年に起こった10の出来事～

サイバー攻撃は急激に増加しています。過去4年間で、組織あたりの週間平均攻撃件数は2倍以上に増加しました。2021年第2四半期の818件から、2025年の同時期には1,984件に到達。過去2年間だけでも、組織が遭遇する週間攻撃件数の世界平均は58%増加しています。

また、世界経済フォーラムの『グローバル・サイバーセキュリティ・アウトルック2025』は、脅威を取り巻く環境の複雑化が進行していることを指摘。地政学的緊張からサイバーセキュリティやAIの影響に至るまで、企業の脆弱性は急速に拡大しています。これに加え、防御強化の取り組みを阻むスキルギャップの拡大も深刻化。中小企業は特に被害を受けやすく、サイバーレジリエンスが不十分だと報告する組織は2022年比で7倍に増加しています。

10月のサイバーセキュリティ啓発月間を迎え、2025年の最初の10カ月間は、世界最大級の組織にとってサイバーリスクの高まりと重大な課題が目立つ期間であったことが明らかになりました。

2025年を形作る10の主要な出来事と統計は、次のとおりです。

攻撃件数が増加する中、業界アナリストでありサイバーセキュリティ調査会社のIANSは、サイバーセキュリティ予算の伸び悩みを報告。予算は脅威レベルに比例して増加すべきところですが、下図が示すとおり、成長率は2022年の17%から2025年にはわずか4%へと鈍化しています。

事態をさらに複雑にしているのが、深刻な人材不足です。サイバーセキュリティ専門家の採用は困難であるだけでなく、費用もかかります。多くの企業にとっての解決策は、AIの活用を拡大し、サイバー防御を強化することです。

一方で、AIは防御側だけでなく攻撃側にも利用されています。同フォーラムの報告書『AIとサイバーセキュリティ：リスクと報酬のバランス（Artificial Intelligence and Cybersecurity:

Balancing Risks and Rewards）』によると、高度なフィッシング、ID窃取、未知の脆弱性を狙ったゼロデイ攻撃に生成AIがますます活用されるようになっています。

チャットボット「Claude」を開発したアンソロピックは、ハッカーが同社のAIを「武器化」していると警告。このチャットボットは、少なくとも17の組織に影響を及ぼす悪意あるコードの開発に利用されました。また、ハッカーによる標的の選択や、要求する身代金の金額の決定にも役立っています。

認証情報の窃取は、サイバー犯罪者が足がかりを得るために最も広く利用されている手段の一つであり、人間がセキュリティ上の最も脆弱な要素になっています。

こうした情報が犯罪者の手に渡るのは、必ずしも従業員の不注意によるものではなく、犯罪者自身の巧妙さが増していることによるものです。

アリアンツ、カンタス航空、マークス＆スペンサー（M&S）、ヴィクトリアズ・シークレット、ホールフーズなどの企業への攻撃に関与したとされるハッカー集団「スキャッタード・スパイダー」は、従業員や契約社員を装い、企業のITシステムへのアクセス権を獲得するソーシャルエンジニアリング技術に長けています。

フィリピンの元情報通信技術大臣、アイヴァン・ジョン・ウイ氏は、こうした試みを阻止するのはIT担当者だけの責任ではなく、すべての人々に関わる課題だと述べています。「サイバーセキュリティは技術的なスキルではなく、ライフスキルなのです」。

ディープフェイクはソーシャルエンジニアリングに新たな高度化をもたらしています。これは、英国のエンジニアリング大手企業アラップが痛感したとおりです。犯罪者グループはAIで生成された同社幹部のクローンをビデオ通話に用いて同社の財務担当者を騙し、2,500万ドルの送金を成功させました。

イタリアのフェラーリで未遂に終わった詐欺事件では、犯罪者たちがAIで生成したベネデット・ヴィーニャCEOの音声を使用。ある従業員が本物のCEOしか答えられない巧妙な質問を投げかけたことで、事なきを得ました。

一方、2025年夏には、デンマークが欧州初となる著作権法改正を実施し、個人の容姿や声に対する権利を保護する条項を明文化しました。

英国の小売大手マークス＆スペンサーは、2025年4月の大規模ランサムウェア攻撃による15週間の業務停止を経て、同年8月にクリック＆コレクトサービスを再開。この攻撃により、同社は年間利益のうち約3億ドルを失ったと推定されています。

本件を含む一連の事件は、サイバーレジリエンスが技術的解決策以上のものであることを示唆しています。世界経済フォーラムの白書『サイバーレジリエンス・コンパス：レジリエンスへの道程（The Cyber Resilience Compass:

Journeys Towards Resilience）』が指摘するように、サイバー犯罪には包括的な戦略で対応する必要があります。

サイバー犯罪の増加に伴い、各国政府はサイバーレジリエンスを確保するため法的枠組みを強化しています。EUは2025年に、デジタル・オペレーショナル・レジリエンス法、サイバーレジリエンス法、AI法を含む一連のデジタルレジリエンス関連法を施行。EU理事会はまた、企業を支援し、米国のサイバーインフラへの依存度を低減するため、サイバー危機管理に関する青写真の改訂版を採択しました。

英国は、パブリックセクターによるランサムウェアへの支払いを禁止する計画を発表し、犯罪者のインセンティブを排除するとともに、重要サービスを保護します。世界経済フォーラムの『グローバル・サイバーセキュリティ。アウトルック2025』によると、企業はランサムウェアが自社の業務にとって最大のサイバーリスクであると認識しています。

このような状況の中、ChatGPTの所有者であるオープンAIは、2億ドルの契約の一環として、米国防総省と協力し、サイバー防衛を含むAI能力の強化に取り組む予定です。

また、欧州全域でサイバー攻撃が急増したことを受け、マイクロソフトは欧州各国政府に対し、無償のサイバーセキュリティサービスを提供。一方、フランスの通信会社オレンジは、欧州の組織を支援するため、新たな防衛・国土安全保障部門を設立すると発表しました。

ハッカー集団「スキャッタード・スパイダー」によるものと推定される一連の攻撃は、サイバー犯罪のグローバルな性質を浮き彫りにしています。これに対抗するには、地域を超えた幅広い連携が鍵となるでしょう。2025年8月には、世界経済フォーラムがアンゴラにおける25の仮想通貨マイニングセンターの摘発を報告。これは18カ国にまたがるインターポールとアフリポールの共同作戦で、1,200人の逮捕と9,700万ドルの回収につながりました。

人材不足は、組織がサイバー犯罪に対するレジリエンスを構築する上で、主要な障壁の一つです。『グローバル・サイバーセキュリティ・アウトルック2025』によると、適切な人材を確保している組織はわずか14%であり、開発途上国で最も人材不足が深刻です。

2025年5月に発表された同フォーラムの白書『官民連携によるサイバー人材育成（Growing Cyber Talent Through Public–Private Partnerships）』では、各国政府、企業、国際機関が連携して人材不足に対処するモデルが提唱されました。提案されたアプローチは、ケニアやサウジアラビアなどの市場における医療、教育、インフラ分野での成功した官民連携プロジェクトをモデルとしています。

2025年9月下旬、ロンドン・ヒースロー空港、ベルリン空港、ダブリン空港、ブリュッセル空港を含む複数の欧州空港で、チェックインおよび手荷物システムへのサイバー攻撃が発生。犯罪者は複数の航空会社が同一のチェックインカウンターを利用できるITシステムを標的とし、長蛇の列やフライトの遅延、欠航を引き起こしました。

この事案は、サイバー犯罪対策において国際協力が不可欠であること、また悪用される前に早期に脆弱性を特定する新たな手法の迅速な導入が重要であることを改めて示しています。

世界経済フォーラムのサイバーセキュリティ部門長、アクシャイ・ジョシは次のように述べています。「欧州全域の空港チェックイン・搭乗システムを標的とした最近のサイバー攻撃は、サイバーレジリエンスが航空会社、サービスプロバイダー、技術パートナー、規制当局を含む航空業界のエコシステム全体で共有すべき責任であることを改めて示す出来事です。国民の信頼を守り、運航の継続性を確保するためには、あらゆるレベルでの連携強化と備えの充実が不可欠なのです」。