Verizon DBIR 2025の5つの数字——ランサム44%・サードパーティ30%が示す脅威の現在地

Verizon DBIR 2025の5つの数字——ランサム44%・サードパーティ30%が示す脅威の現在地 解説・基礎
この記事は約13分で読めます。

このテーマを今提示する理由

毎年春に公開される Verizon Data Breach Investigations Report(DBIR1 は、世界中の実インシデントを集計した最も信頼性の高い脅威統計のひとつです。2025年4月末に公開された DBIR 2025 は前年版から多くの数字が大きく動いており、「数字は読んだが何を変えればよいかわからない」という現場の声に応えるためにも、変動の意味を整理する価値が高い版になっています。本稿では DBIR 2025 から5つの数字を選び、それぞれが企業の実務に何を要求しているかを整理します。週末の前にひとつでも対策の優先度を見直すきっかけになれば幸いです。

本編:DBIR 2025 が示す5つの数字

数字1:44%——ブリーチの4割超にランサムウェアが関与(前年比+37%)

DBIR 2025 によれば、確認されたデータ侵害(ブリーチ8)の 44% にランサムウェアまたは関連恐喝が関与していました。前年版(DBIR 2024)の 32% から 12ポイント増(前年比約37%増) です(出典: DBIR 2025 「Summary of findings」p.10)。注目すべきは、組織規模による偏在で、SMB7 では 88%、大企業では 39% がランサムウェア関連と報告されており、中堅・中小企業ほど被害比率が高い構造が浮かび上がっています。

従来型の「暗号化して身代金要求」だけでなく、データを盗み出して公開すると脅す二重恐喝2(Double Extortion) も増加しており、「バックアップさえあれば大丈夫」という時代は終わったと考えられます。データが盗まれた時点で事業継続・個人情報保護法対応・レピュテーションリスクが発生するため、インシデントレスポンス計画には「データ漏えいが疑われた場合の通知フロー」の記載が必要です。

数字2:30%——サードパーティ経由ブリーチが前年から倍増

全ブリーチのうちサードパーティ・取引先経由の侵害が関与していた割合は、DBIR 202530% に達しました。DBIR 202415% から 倍増 です(出典: DBIR 2025 p.11、Figure 10)。Verizon は本指標を「ベンダー選定でセキュリティ実績の良い企業を選ぶことで予防可能な侵害」と定義しており、自社の管理範囲外で起きた侵害が自社のブリーチとしてカウントされる構造を示しています。

象徴的な事案として、DBIR 2025 は GitHub リポジトリ等で漏えいした認証情報の 修復までの中央値が94日 と報告しています。第三者環境にある自社の認証情報を発見・回収するまでの空白時間がここまで長いという数字は、サプライチェーン側で起きる侵害に対する自社の感度の低さを映しています。主要ベンダーに対するセキュリティ評価・SOC 23 報告書・インシデント通知義務の契約条項について、見直す時期に来ています。

欧州拠点・欧州顧客を持つ組織にとっては、DORA(Digital Operational Resilience Act、2025年1月17日完全適用)第28条のICTサードパーティリスク管理要件、および NIS2 指令第21条(d)のサプライチェーンセキュリティ要件との整合確認が急務です。DBIR 30%という数字は、規制側が要求する管理水準と現実の侵害比率のギャップを定量的に示すベースラインとして使えます。

数字3:20%——初期侵入経路に占める脆弱性悪用の比率(前年比+34%)

初期侵入手法として「脆弱性の悪用(Exploitation of Vulnerabilities)」が選ばれた比率は、DBIR 2025 で 20% に達し、前年比 34% 増 となりました(出典: DBIR 2025 「Summary of findings」p.10)。これによりフィッシングを抜き、認証情報の悪用に次ぐ第2位の侵入経路になっています。エッジデバイス・VPN を狙うゼロデイ4悪用が大きな押し上げ要因とされています。

DBIR 2025 はエッジデバイス脆弱性の修復実態についても踏み込んでいます。組織が修復に取り組んだエッジデバイス脆弱性のうち、完全に修復できたのは54% にとどまり、修復までの中央値は 32日 でした(出典: DBIR 2025 p.10)。脆弱性が公開された直後に攻撃が始まる現状を踏まえると、Critical CVE に対する 72時間以内のパッチまたは緩和策適用 を SLA として持っていない組織は、目標値の設定を急ぐ価値があります。

数字4:49秒——フィッシングメール開封からユーザーが情報入力するまでの合計時間

DBIR 2024 が公開したフィッシングシミュレーションのデータでは、メール配信後にユーザーが悪意のあるリンクをクリックするまでの中央値は 21秒、その後さらに 28秒 で認証情報等の入力に至るとされています(出典: DBIR 2024 p.8)。合計49秒——1分未満で被害が成立する計算です。なお DBIR 2025 では同種シミュレーションの再測定値は提示されていないため、本稿では DBIR 2024 の結果を引き続き参考として引用します。

この数字が示しているのは、「怪しいと思ったら上長に確認してから」という運用が機能しない 現実です。技術的対策(メールフィルタリング・リンクのサンドボックス展開・エンドポイント保護5)を先に積み上げ、人的訓練を補完策として位置づける設計が現実的です。一方で DBIR 2025 はシミュレーション参加者の 20% が報告ボタンでフィッシングを通報 していることも示しており、報告チャネルの存在自体は機能しているという読み取りもできます。

数字5:64%——ランサムウェア被害組織のうち身代金を支払わなかった割合

DBIR 2025 が示した「希望のある数字」は 64% です。ランサムウェア被害組織のうち身代金を支払わなかった組織の比率がここまで上昇しました(出典: DBIR 2025 p.10)。2年前の 50% から大きく前進し、支払額の中央値も $150,000 から $115,000 へ下落 しています。Verizon は両者を関連付け、「不払い組織の増加が支払額の押し下げに寄与している可能性」を示唆しています。

この数字が経営に伝えるメッセージは、「不払いを選択肢にできる組織が増えている」 ということです。バックアップ・隔離復旧・サイバー保険・法務助言の組み合わせで「払わずに事業を続ける」を成立させる組織が増えており、自社で同じ判断ができるかは事前準備に依存します。インシデント発生時に「払う/払わない」を即決できる意思決定フロー(誰が決裁し、何を確認材料にするか)を平時に整備することが、ランサムウェア対策の中核に移りつつあります。

身代金を支払う場合の法的リスク:攻撃グループによっては米国 OFAC(外国資産管理局)の SDN リストに登録されており、支払いが米国制裁違反に問われる可能性があります。日本企業も外為法上の経済制裁が適用され得るため、支払い検討時は法務・サイバー保険会社・場合によっては FBI/警察庁等への事前照会が不可欠です。「払う/払わない」の意思決定フローには、攻撃グループの制裁リスト照合と保険会社の事前承認取得を必ず組み込む必要があります。

どう活用するか

これら5つの数字は、それぞれ独立した対策テーマに対応しています。以下の流れで社内活用することを推奨します。

  • 経営報告の材料に使う:「ブリーチの44%にランサムウェア」「SMBでは88%」という数字は、セキュリティ予算の稟議で説得力のあるベースラインになります。
  • 優先度マトリクスに落とす:5つの数字それぞれについて「自社の現状対策」と「ギャップ」を表形式でまとめ、四半期の重点施策を決定する材料にします。
  • レッドチーム・ペンテストの目標設定に使う:脆弱性悪用が初期侵入の第2位(20%、前年比+34%)に上昇している事実を踏まえると、次回のペンテストスコープに最新 CVE を用いた初期侵入シナリオを含める根拠になります。
  • 取締役会のガバナンス記録に紐づける:米国 SEC v. SolarWinds(2023年)以降、サイバー事案後に取締役会の事前統制不足が株主代表訴訟・D&O 個人責任の対象となるケースが増えています。本稿の5数字を取締役会報告に組み込み、議事録上で対策方針を承認しておくことが、事後の善管注意義務を立証する材料になります。

なお DBIR は報告組織からの集計であるため、報告率の低い業種・地域では実態を過小評価する可能性があります。本稿の数字は「自社業界の傾向を映す代表的なベースライン」として扱い、業界別レポート(金融なら ENISA、医療なら HHS OCR、製造なら IPA)と組み合わせて読むのが堅実です。

業種別影響

金融・保険業では、System Intrusion・Social Engineering・Basic Web Application Attacks の3パターンで ブリーチ全体の74% を占めています(出典: DBIR 2025 p.75)。注目すべきは Espionage 動機の比率が前年 5% から 12% へ倍増 したことで、より高度なアクターの標的になりつつあることが映し出されています。日本の金融機関であれば FISC「金融機関等コンピュータシステムの安全対策基準」第11版の外部委託管理章、および金融庁の監督指針上の委託先モニタリング要件と、DBIR 30%(サードパーティ)の整合性を改めて確認する必要があります。

製造業では、ブリーチに占める Malware の比率が前年までの 40〜50% から 66% へ急増、Ransomware は 47% に達しています(出典: DBIR 2025 p.79)。被害組織の 9割超が従業員1,000人未満の SMB という分布も特徴で、サプライチェーン上の中堅製造業を狙う攻撃者の関心がうかがえます。OT・ICS 環境のパッチ適用制約(生産停止リスク)を踏まえつつ、IT 系工場ネットワークと OT の境界制御を見直す優先度が高まっています。

医療業では、System Intrusion が首位パターンに浮上しました(出典: DBIR 2025 p.81)。緊急性の高い業務特性が攻撃者の交渉材料になりやすく、ランサムウェアによるシステム停止が患者対応に直結するため、米国 HIPAA や日本の医療情報システム安全管理ガイドライン上の「可用性」要件を BCP・DRP と統合的に再点検する局面に来ています。

一枚要約

  • 何が起きているか:DBIR 2025 はブリーチの 44% にランサムウェアが関与、サードパーティ経由ブリーチが 30% に倍増、初期侵入経路としての脆弱性悪用が 20% に上昇したことを示しています。フィッシングではメール開封から 1分未満 で情報入力に至るシミュレーション結果も継続引用されています。
  • 自社への影響:技術的な防御だけでは不十分で、人・パッチ管理・サプライチェーンの三方向から脅威が侵入し続けている状況にあります。一方で被害組織の 64% が身代金不払いを選択した事実は、平時準備が機能している組織が増えていることも示唆しています。
  • 打つべき手:Critical CVE への72時間以内パッチ適用 SLA 設定、主要ベンダーへのセキュリティ評価・インシデント通知義務の契約組み込み、ランサムウェア被害時の「払わない」を成立させる意思決定フロー整備の三点を優先することを推奨します。

今日着手できる3アクション

  • 主要ベンダー契約のセキュリティ条項を一件確認する:クラウドストレージまたは IDaaS6 製品のベンダーとの契約書を一件取り出し、インシデント通知義務・SOC 2 報告書の提出要求・セキュリティ評価条項が盛り込まれているかを確認します。欠落している場合は次回更新時に追加するよう法務・調達部門に連携します。
  • Critical CVE のパッチ適用 SLA を社内文書に明記する:現行のパッチ管理ポリシーを開き、Critical CVE に対する目標対応時間が記載されているかを確認します。記載がなければ「72時間以内にパッチまたは緩和策を適用」を草案として起票し、ベンダーパッチ未提供時または変更管理上即時適用が困難な場合は、ネットワーク隔離・WAF ルール・アクセス制限による緩和策を同一 SLA に含めることを明記します。エッジデバイス・VPN・OT 系を含む対象範囲もあわせて定義します。
  • ランサムウェア被害時の意思決定フローを書き出す:CSIRT または情報セキュリティ責任者が「身代金支払いの可否」を判断する際の決裁者・確認材料(バックアップ復旧見込み・データ漏えい範囲・法的影響・攻撃グループの OFAC/外為法制裁リスト照合サイバー保険会社の事前承認条件)をA4一枚にまとめ、経営層と擦り合わせる準備をします。

AI×セキュリティの観点

生成 AI の普及は DBIR 2025 が示す数字をさらに悪化させる要因になりうると考えられます。とりわけフィッシング49秒(数字4)と認証情報経由の侵入の組み合わせは深刻で、攻撃者が大規模言語モデル(LLM)を使って個人に最適化した自然文のフィッシングメールを大量生成できるようになると、既存のメールフィルタリングや受信者の違和感センサーが通用しにくくなります。一方、防御側も SIEM や EDR に AI を組み込むことでログの異常検知速度を上げ、人間のリアクションタイムの壁を技術で補う方向性が現実的です。なお EU AI Act の「人間による監視」要件(第14条)は主にハイリスク AI システムを開発・運用する事業者に適用される規定であり、SIEM/EDR への AI 組込み全般を直接律する規制ではない点には留意が必要です(ハイリスク AI 分類に該当するシステムを導入する事業者は、本要件と社内のセキュリティ運用ポリシーの整合確認が求められます)。

用語ミニ解説

  1. DBIR(Data Breach Investigations Report) — Verizon が毎年4〜5月に公開する、世界中の実インシデントを集計した脅威統計レポート。DBIR 2025 では1万件超のブリーチを分析対象としており、セキュリティ業界で最も引用頻度の高い公開資料のひとつ。
  2. 二重恐喝(Double Extortion) — ランサムウェア攻撃で、データを暗号化して身代金を要求するだけでなく、盗み出したデータを公開すると脅して追加の支払いを迫る手口。バックアップがあっても被害を免れない点で従来型より深刻度が高い。
  3. SOC 2(Service Organization Control 2) — 米国公認会計士協会(AICPA)が定めるクラウドサービス事業者向けのセキュリティ監査報告書の規格。取引先ベンダーのセキュリティ管理水準を第三者視点で確認する際の標準的な書類として使われる。
  4. ゼロデイ(Zero-day) — ソフトウェアの脆弱性がベンダーに把握される前、またはパッチが提供される前の段階で悪用される攻撃手法。DBIR 2025 ではエッジデバイスや VPN を狙うゼロデイ悪用が脆弱性悪用増加の主因として取り上げられている。
  5. EDR(Endpoint Detection and Response) — エンドポイント(PC・サーバー)上の挙動を継続的に監視し、不審なプロセス起動やファイル操作を検知・遮断する仕組み。フィッシング後の悪意のあるペイロード実行を止める最後の砦のひとつとされる。
  6. IDaaS(Identity as a Service) — クラウド経由で認証・シングルサインオン・多要素認証などの ID 管理機能を提供するサービス。多くの企業システムへのアクセス基盤となるため、侵害された場合のラテラルムーブメントリスクが高い接続点とされる。
  7. SMB(Small and Medium-sized Business) — DBIR では従業員1,000人未満の組織を SMB として集計している。日本の中小企業基本法定義(業種により50〜300人以下)とは閾値が異なる点に注意。被害の偏在度が大企業と大きく異なるため、自社規模を踏まえて数字を読む必要がある。
  8. ブリーチ(Breach) — セキュリティ事象(インシデント)のうち、機密情報や個人情報など保護対象データの漏えい・改ざん・破壊が「実際に確認された」事案を指す業界用語。DBIR では「Incident(事象は起きたが情報の侵害は未確認)」と「Breach(情報侵害が確認済)」を厳密に区別しており、本稿の数字はすべて Breach(確認済データ侵害)の集計値です。

次に読むべきトピック

  • NIST Cybersecurity Framework — DBIR の脅威動向と対応させると、自社のフレームワーク上のギャップが見えやすくなります。
  • CIS Controls v8 — 実装グループ1〜2が、本稿の5数字への対策と重なる領域を多く含んでいます。
  • ENISA Threat Landscape — 欧州視点の年次レポートを DBIR と見比べると、地政学リスクを含めた立体的な脅威モデルが描けます。

参考リンク

コメント

タイトルとURLをコピーしました