セキュリティ脅威、AIで加速　Elasticが2025年版グローバル脅威レポート

Elasticは、「2025年 Elastic グローバル脅威レポート」を発表した。AIが攻撃手法の敷居を下げ、汎用的な脅威の増加、ブラウザ情報窃取の産業化、集中化したクラウド攻撃を惹起している実態を示したものである。

レポートの骨子

レポートは、実運用環境から収集した10億件超のデータポイントに基づく分析結果を集約した。AIで構築されたローダー型の汎用脅威は前年比15.5％増、Windows環境での悪意あるコード実行はほぼ倍増し32.5％に達した。AI生成マルウェアや窃取ブラウザ認証情報への容易なアクセスにより、ステルスに依存しない新たな攻撃者層が継続的・執拗なスキャンを行う傾向がみられる。

新たな前線：ブラウザ

マルウェアサンプルの8分の1がブラウザデータを標的とし、認証情報の窃取が一般的な初期アクセス手段として確立している。情報窃取型（インフォスティーラー）はChromium系ブラウザの保護機能回避を広げており、新たな攻撃対象の前線であることが示された。

実行戦術が防御回避を上回る

Windows環境での実行戦術が約2倍の32％となり、過去3年で初めて防御回避を上回った。配信手口ではGhostPulseが全シグネチャイベントの12％を占め、LummaやRedline（各6.67％）といった情報窃取型マルウェアの配信も観測されている。

AIが参入障壁を低下

攻撃者は大規模言語モデル（LLM）を用いて、簡易ながら有効なローダーやツールを大量生成しており、これが汎用脅威の15.5％増につながっている。既製のマルウェアファミリーではRemCos（9.33％）やCobalt Strike（最大2％）が依然として用いられている。

クラウド：狙われるアイデンティティ

クラウド関連セキュリティイベントの60％超が初期アクセス / 永続化 / 認証情報アクセスに関連している。Microsoft Entra IDの認証面の脆弱性が目立ち、異常なAzureシグナルの54％が監査ログ由来であり、Entra全体のテレメトリを含めると約90％に達する。クラウドにおけるアイデンティティ防御の重要性が改めて示された。

Elasticの見解

Elastic Security LabsのDevon Kerr（脅威調査ディレクター）氏は、攻撃者が「ステルスからスピード重視」へシフトしており、防御側はアイデンティティ保護の強化と高速攻撃時代に対応した検知戦略の採用を急ぐべきだと述べている。

防御者への推奨事項

• 人的監督を伴う自動化：AI支援型検知や行動分析で対応を迅速化し、重要判断は人が担う。
• ブラウザ防御の強化：プラグイン / 拡張機能 / サードパーティ統合で認証情報窃取の可視性を向上。
• アイデンティティ検証の高度化：強力な本人確認やKYCの強化、アイデンティティ保証を中核制御に据える。

出典：Elastic、「2025年 Elastic グローバル脅威レポート」を発表　AIが従来型の攻撃手法を新たな規模で加速化