OPSWAT Japan
・マルウェアの脅威は6か月間で127%急増
・既存のセキュリティ対策では14件に1件の脅威を検知できていないことが判明
※ 本資料は、米国ネバダ州にて2025年8月6日(現地時間)に発表したプレスリリースの日本語抄訳版です。
当該プレスリリースはこちらから:https://www.opswat.com/blog/malware-complexity-surges-127-in-six-months-opswat-report-reveals-legacy-systems-miss-1-in-14-threats
ファイル無害化(CDR)とマルウェア攻撃に対する脅威除去のグローバルリーダーであるOPSWAT(所在地:本社-米国フロリダ州、日本法人-東京都千代田区、本社CEO:ベニー・ザーニー、読み方:オプスワット)は、89万件を超えるサンドボックススキャンを過去12か月間実施して得られた脅威動向の分析結果をまとめたレポート「2025 OPSWAT Threat Landscape Report(脅威動向報告書)」を発表しました。本レポートはOPSWATが初めて発表するレポートで、今年8月2日-7日にラスベガスにて開催されたBlack Hat USA 2025で公開されました。
本レポートは、サイバーセキュリティの脅威が常に進化する性質を独自の視点から分析しています。調査結果からは、伝統的な検出手法が追いついていないことが明確に示されており、マルウェアの複雑性が127%増加し、さらに従来システムで「安全」と判定されたファイルの14件に1件が、実際には悪意のあるものであったことが判明しました。本レポートは、古い防御システムに依存する業界に対し、多層防御の重要性を強調する警鐘となっています。
マルウェアの攻撃手法の複雑性が127%増加
OPSWATの振る舞い検知の分析により、過去1年間で多段階マルウェアの複雑性が127%増加したことが明らかになりました。OPSWATのサンドボックスは、NetReactorのような難読化されたローダーや、従来のツールでは検出できない回避行動などの分析を免れようと設計された多層的な脅威を検出しました。これらの結果は、現代のマルウェアが「混乱させる」ことを目的としており、「大量に拡散する」ことを目的としていないことを示しています。その脅威に対処するため、OPSWATのプラットフォームは、その問題を効果的かつ効率的に解析するために特別に設計されています。
プロアクティブな脅威検出
OPSWATの分析では、オープンソース情報(OSINT)フィードで検出されなかったファイルの7.3%を悪意のあるものとして再分類し、公開データソースよりも平均で24時間早く検出しました。これらの検出は確認済みの攻撃手法であり、推測に基づくフラグではありません。これにより、適応型分析が静的分析やレピュテーションベースのシステムが放置する危険な空白を埋めることができることが示されています。
キャンペーンレベルでの脅威相関分析
OPSWATは89万件を超えるサンドボックススキャンの解析データを基に、脅威全体の関連性を分析します。これにより、キャンペーン間で共有されるTTP(戦術、技術、手順)、再利用されるC2インフラストラクチャ、および行動パターンを特定します。これにより、防御側はノイズの多い指標ではなく、コンテキストに富んだ実行可能な脅威インテリジェンスの分析結果を得ることができます。
99.97%の検出精度
OPSWATの振る舞い検知分析と機械学習の膨大な資産データは、効果的な結果を提供します。新たに強化されたPEエミュレーターを活用することで、プラットフォームは次のような高度な脅威を検出しました。
l ClickFixによるクリップボードの乗っ取り
l ステガノグラフィー(画像などに隠蔽する情報)で包まれたローダー
l Googleサービスに埋め込まれたC2チャネル
l NETビットマップ マルウェア ローダーによるSnakeキーロガーのペイロードの送信
OPSWATで脅威分析部門チーフテクノロジーオフィサー(CTO)を務めるジャン・ミラーは次のように述べています。「OPSWATの強みは、精度、行動分析の深さ、および新興攻撃の早期検知にあります。これが、OPSWATが高精度で状況分析型の脅威インテリジェンスを提供する際の差別化要因です。」
重要性について
重要なインフラ、政府システム、企業ネットワークが、ますますモジュール化され回避性の高いマルウェアからの標的型攻撃が拡大する中、本レポートの調査結果は、悪意のある攻撃者の戦術の進化と、統合型・多層防御ソリューションの必要性を浮き彫りにしています。
サイバーセキュリティ部門のリーダーは、既知の脅威からシステムを保護するため、適応性、情報共有、技術の見直し、迅速な行動検知パイプラインを優先する必要があります。同時に、急速に変化する脅威の動向や将来の脅威に対応するため、これらの取り組みを継続的に強化することも求められます。
OPSWATが提供するMetaDefenderプラットフォームの一部であるFilescan.ioは、重要な環境における高度な脅威検出とファイル分析を可能にします。本レポートの全文(英語)をダウンロードし、Filescan.ioでOPSWATの統合パイプラインについて詳しくご確認ください。
※本レポートはこちらから:https://www.opswat.com/resources/reports/2025-threat-landscape-report
以上
レポートの要約
サイバー脅威の複雑化が加速し、従来の検出手法を凌駕するペースで進行しています。これにより、重要なインフラ、政府システム、企業環境が、ますます巧妙で複雑なマルウェアの脅威にさらされています。
「2025 OPSWAT Threat Landscape Report(脅威動向報告書)」は、OPSWATの初となるレポートで、過去12か月間にFilescan.ioを通じて実施された約89万件のサンドボックススキャンから得られたテレメトリデータに基づき、攻撃者が静的防御が追いつくよりも速いペースで悪意のある技術革新を進めていることを明らかにしています。
データから得られる主要な洞察には、過去6か月間で攻撃チェーンの数が127%増加したことが含まれます。これは、従来のセキュリティツールを欺くために設計された多段階の実行チェーンと、分かりにくくする手口によって測定されました。特に注目すべきは、公開OSINTフィードで検出されなかったファイルの7.3%が、従来の仮想OSを利用しない全く新しいエミュレーションベースのロジックを取り入れたサンドボックスにより、従来のソースよりも平均で24時間早く悪意のあるものと再分類された点です。このギャップは、ゼロデイ攻撃やファイルレス攻撃に直面する中で、シグネチャベースやレピュテーションベースのツールの限界が露呈していることを示しています。
悪意のある攻撃者は引き続きステルス性と適応性を重視しています。マルウェアの攻撃手法は、NETビットマップやステガノグラフィー画像、さらにはコマンドアンドコントロールを隠蔽するために悪用されるGoogleサービスなど、一見無害な形式にペイロードを埋め込むことが一般的になっています。クリップボードを基盤としたソーシャルエンジニアリング手法であるClickFix(クリップボード乗っ取り)のような新しい手法は、犯罪者グループと国家支援の攻撃者の双方で広まってきています。
データはそもそも、マルウェアが検出をすり抜けるように設計されており、検出を突破するのではなく、回避することを目的としていることを示しています。これにより、高度な防御回避技術を活用した挙動分析が不可欠となります。スクリプト、実行ファイル、ドキュメントにおいて99.97%の検知精度を実現したことを示す本レポートは、エミュレーションと挙動相関を基盤とした動的な検知分析が、従来のアンチウイルス(AV)やエンドポイント防御(EDR)システムでは検出できないキャンペーンの存在を明らかにできることを示しています。
主要な洞察:
l マルウェアの巧妙さが6か月間で127%急増し、多段階の実行チェーンと高度な難読化が要因となっています。
l 公開OSINTフィードで検出されなかったファイルの7.3%がFilescan.ioによって悪意のあるものと判定され、平均で24時間早く検出されました。これにより、レピュテーションベースのツールにおける検出ギャップの増大が浮き彫りになりました。
l 悪意のある攻撃者は規模の拡散よりもステルス性を重視しています:ペイロードはNETビットマップやステガノグラフィー画像などの形式に隠蔽され、Googleサービスが秘密のC2通信に再利用されています。
l ソーシャルエンジニアリングも適応しています。「ClickFix」のような戦術が、犯罪組織と国家支援の活動に広がっています。
最終的に、この脅威動向レポートは、ユーザーへの行動を促すものです。防御側である我々は、リアクティブ制御や時代遅れの防御策から、適応型で行動を重視した検出策や多層防御ソリューションへの移行が不可欠です。サイバー攻撃側の進化する戦術を理解するためには、次の侵害が発生する前に、継続的なシミュレーションや相関分析を行い、脅威の窓を閉じるための迅速な再分類を実施することが求められます。
OPSWAT について
IT、OT、ICS の重要インフラのサイバーセキュリティにおけるグローバルリーダーであるOPSWAT は、過去20年にわたり、公共部門および民間の組織・企業が複雑なネットワークを保護し、コンプライアンスを確保するために必要となる重要な優位性を提供するエンドツーエンドのソリューションプラットフォームを継続的に進化させてきました。「Trust no file. Trust no device.™」の理念のもと、OPSWAT は顧客の課題を世界中で解決するため、インフラのあらゆるレベルでゼロトラストソリューションと特許取得済みの技術を提供し、ネットワーク、データ、デバイスを保護し、既知の脅威、未知の脅威、ゼロデイ攻撃、マルウェアから防ぎます。OPSWAT がどのように世界の重要なインフラを保護し、私たちの生活の安全を支えているか、詳細は https://japanese.opswat.com/ をご覧ください。