ニュース

スピアフィッシング、ランサムウェア、APT―AIが加速するサイバー攻撃の現状と2026年の脅威予測をESETが発表

  • 渡邊 悠太

2025年12月15日 06:30

 ESETは、「2025年サイバー脅威総括&2026年の予測と防御」をテーマとするラウンドテーブルを開催した。ユライ・マルホCTO(Chief Technology Officer)と、ローマン・コヴァチCRO(Chief Research Officer)が来日し、2025年のサイバー攻撃に関する動向、年末年始に警戒すべき攻撃や、2026年の脅威予測と防御策を解説した。

サイバー攻撃へのAIの悪用が進む

ESET ローマン・コヴァチ(Roman Kovac)CRO

 コヴァチ氏は、2025年の脅威ランドスケープを解説し、検出された脅威のトップ10を紹介した。ここでは、メールやウェブサイトでのフィッシングを指す「HTML/Phishing.Agent」が国内外ともに1位となっている。攻撃者はAIを活用しており、フィッシング、スピアフィッシング、ソーシャルエンジニアリングなどにおける翻訳の質は、2~3年前と比べて著しく向上しているという。

2025年における脅威ランドスケープのトップ10

 ESETは8月、ランサムウェアにAIが使用されている事例として「PromptLock」を発見した。これは、実際の攻撃に使用されたものではなく、PoC(概念実証)の段階のものだった。PromptLockは、ローカル環境で動作する生成AIに、悪意のあるスクリプトを生成させるプロンプトを与え、リアルタイムに生成したスクリプトを実行して、ランサムウェアとして動作させていた。

増加し続ける「Qilin」によるランサムウェア攻撃

 コヴァチ氏は、フィッシングほどの被害件数はないものの、企業や組織が標的とするランサムウェア攻撃が大きな問題になっていると指摘する。

 現在最もアクティブなグループは、9月に発生したアサヒグループHDへのランサムウェア攻撃に関与したとされる「Qilin」だという。2024年1月から現在までに窃取したデータをリークサイトに公開した件数を示したグラフでは、被害件数が増加傾向にあることが分かる。日本国内においても、被害件数は増加傾向にあるという。

Qilinがリークサイトへデータを公開した件数
Qilinがリークサイトへデータを公開した件数(日本国内)

 ESETの脅威インテリジェンスにおいて、Qilinが北朝鮮当局の下部組織とされるサイバー攻撃グループ「Lazarus」と手を組んでいることが明らかになっているという。

国家が主導するAPT攻撃

 ESETは、国家が関与しているとみられるAPT攻撃(持続的標的型攻撃)に関する脅威インテリジェンスを提供している。現在、約200の攻撃グループをモニタリングしているといい、これらの組織は主に中国、ロシア、北朝鮮、イランなどの政府に由来するか、連携しているという。

 コヴァチ氏は、日本に特に影響する組織として、3つの組織を紹介した。

MirrorFace

 MirrorFaceは中国と関連する組織で、2019年から活動しており、主に日本を標的にした攻撃を行う。スピアフィッシングにより対象組織に侵入し、カスタムマルウェアやツールで攻撃を行う。政治的な組織を標的にした「LiberalFace作戦」のほか、2025年初頭には、日本のNGOになりすまして中央ヨーロッパの外交組織に侵入した「AkaiRyū(赤い龍)作戦」を実行した。

 「AkaiRyū(赤い龍)作戦」以降、活動は確認されていないというが、ツールやアプローチを変えて攻撃を仕掛けようと準備している期間だと推測されるという。

Silver Fox

 Silver Foxも中国と関連する組織で、2023年から活動しており、中国語圏の国々、東南アジア、日本、インド、マレーシアといった国家を主な標的としている。ハイブリッド型のアプローチをとっており、国家に支援されているスパイ活動と、金銭目的の犯罪の両方が見られるという。

 日本国内では、2025年4月~6月ごろに300の組織を標的とした攻撃キャンペーンを展開した。確定申告の期限に合わせて、金融関連の件名でスピアフィッシングメールを送付し、悪意のある添付ファイルを開かせて攻撃を行っていたという。

日本国内で確認されたスピアフィッシングメール

Lazarus

 Lazarusは北朝鮮と関連する組織で、2023年から活動しており、多数の国家を標的にしている。過去には、ソニー・ピクチャーズ・エンターテイメントへの攻撃、WannaCryの大規模感染などの攻撃を実行してきた。

 現在「DreamJob作戦」として、LinkedIn経由や偽のプロフィールによるオファーなどを通じて、ソーシャルエンジニアリングによって標的への攻撃を図っているという。多くの場合、防衛産業を標的にしているといい、産業スパイが目的だとされている。

2026年のサイバー攻撃に関する3つの予測

 コヴァチ氏は、2026年におけるサイバー攻撃の動向について3つの予測を紹介した。

 1つ目は、「2026年も継続するランサムウェア攻撃」。攻撃者は、今後もパッチが当てられていないシステムや、弱いパスワード、脆弱なRDPやエッジデバイスなど、従来型の脆弱性を突いてくると見られるとした。これらの脆弱性に加えて、EDRの動作の妨害や削除を行う「EDRキラー」がツールとして使われると予測している。

 2つ目は、「ドローン開発に関連する組織への中国、ロシア、北朝鮮などのサイバー攻撃の集中」。それぞれの国によって目的は異なるが、ロシアの場合はウクライナとの戦争、中国の場合はドローン業界を強化している台湾への対抗といったものが考えられるという。

 3つ目は、「さらに進むAIの活用」。フィッシング、詐欺、ソーシャルエンジニアリングなどでの活用のほか、脆弱性の発見にも活用されると見ており、AIは攻撃者と防御者の両側で使われていくことになるだろうと予測している。

AI技術の実装と日本に研究拠点を開設

ESET ユライ・マルホ(Juraj Malcho)CTO

 マルホ氏は、今後の製品開発において、さらにAI技術を活用していくとした。セキュリティ製品に関しては、自然言語への対応が期待されており、来年の新機能としてチャットボットを追加する予定だという。

 さらに、チャットボットを使用する際のトラフィックを監視するウェブブラウザーの拡張機能も公開予定だという。これにより、機密情報が漏えいするのを防ぐとともに、チャットボットから悪意のあるリンクが入ってくるなどのリスクを防げるという。

 ESETは、2026年1月に日本でリサーチ部門を新設し、さらに研究体制を強化していく予定だとしている。新設されるリサーチ部門では、初の日本人脅威リサーチャーを迎え、脅威動向の分析や深堀り調査に特化した取り組みを強化し、日本市場における研究開発体制の拡充を図るという。