ベライゾンジャパン合同会社は6月30日、18年目となるサイバーセキュリティに関する報告書「2025年度 データ漏洩/侵害調査報告書(DBIR)」のエグゼクティブサマリー日本語版を公開した。
同報告書では、2023年11月1日から2024年10月31日の期間に、数ヶ国の法執行機関、法医学組織、法律事務所、CERTおよびISAC、政府機関など国内外の87箇所のデータ寄与協力組織から収集された139ヶ国で発生した22,000件を超えるセキュリティインシデントを分析し、そのうち12,195件のデータ漏えい/侵害を確認している。
同報告書によると、データ漏えいでの第三者の関与は2倍の30%に増加、脆弱性の悪用は34%急増し、世界中の企業が懸念する脅威の動向が浮き彫りとなった。依然として資格情報濫用(22%)と脆弱性の悪用(20%)が主要な初期攻撃ベクターであることが判明している。
アジア太平洋地域におけるデータ漏えいの5件中4件がシステム侵入攻撃に起因し、前年の38%から増加している。マルウェアの割合は前年の58%から83%に増加し、ランサムウェアが漏えい事件の51%を占める結果となった。日本特有の状況として、グループ企業や長期パートナーシップ重視の文化が強みである一方、情報共有や外部連携の広がりが第三者リスクの顕在化を招き、レガシーシステムと最新IoT/クラウドの共存、人的リソース不足などが「経営としてのサイバー対策成熟度」が問われる要素であると指摘している。
暗号化の有無にかかわらずランサムウェアの存在が昨年から37%増加と大幅に成長し、レビューしたすべての侵害の44%にランサムウェアが存在していた。大企業ではランサムウェアは39%の侵害の構成要素だが、中小企業(SMB)ではランサムウェア関連の侵害が全体で88%に達しており、中小企業に不均衡な影響を与えていることが明らかになった。サイバー犯罪者へのランサムウェア支払いの額は$115,000に達し、多くの中小企業にとって重大な金額となっている。
ベライゾン・ビジネスグループ アジア太平洋地域バイスプレジデントのRobert Le Busque氏は「今年の報告書は、世界中の組織が直面するサイバー脅威の複雑さと持続性の高まりを再確認しています。特にアジア太平洋地域では、外部アクターが重要なインフラを標的とし、第三者の脆弱性を悪用しています。データ漏洩の増加は、企業がリスク管理フレームワークを見直す必要性を浮き彫りにしています」とコメントしている。
