M-Trends 2025要約:入口は脆弱性、決着は“初週”
はじめに
Google Cloud/Mandiantの年次レポート「M-Trends 2025」を、実務で動く人向けに短く整理します。本文は要約・解説であり、図表や原文の長文転載は行っていません(出典は末尾に明記)。
侵入は“境界”、決着は“初週”。ランサムは週内で圧をかけてきます。
M-Trends 2025を実務目線で再整理し、いま直す3点だけに絞って解説します。
今年の全体像
- 侵入の入口は、境界装置やリモートアクセス機器などエッジの脆弱性悪用が最多。公開直後のパッチ前後が特に狙われます。
- 侵入後の検出は、依然として外部からの通知に頼るケースが過半。内部で先に掴めていない組織も少なくありません。
- ランサム系は短期決着が目立ちます。侵入からおおむね1週間前後で展開が進み、初動が遅れると被害が拡大しやすい。
典型パターン
- 境界の穴(VPN/ゲートウェイ等)を突かれて初期侵入
- 横移動と権限獲得(認証情報の悪用やEDR回避)
- データの持ち出し(暗号化せず公開をちらつかせる“恐喝”も増加)
メールのだまし打ちよりも、奪われた認証情報や既知/ゼロデイ脆弱性が効いているのが現実です。
いますぐやる3つ(優先順)
① 境界の棚卸しと即時対処
インターネット露出機器(Ivanti / PAN-OS / Fortinet など)を資産台帳で洗い出し、更新状況・緩和策・設定改ざん有無をチェック。日次の自動監視まで踏み込みます。
② 認証の現実解(FIDO2/パスキー中心)
「認証情報は漏れる前提」で、パスワード依存を減らす設計に移行。プッシュ型MFAは疲労攻撃対策(番号一致や頻度制御)、特権アカウントはローテーションと監査を。
③ “初週検出”のための見える化
認証・VPN・プロキシ・EDR・主要SaaSのログを最低7日分、すぐ相関できる状態に。
アラートは「新規管理者権限」と「レアな外向き通信」を最優先で整備。
ランサムは暗号化だけじゃない
暗号化なし+情報公開の恐喝が定着しています。暗号化が無くても、法務・広報・顧客連絡で業務は止まる。公開バケットや共有リンクの棚卸し、大量ダウンロード検知は常設の守りとして必須です。
まとめ
今年のキーワードは境界と初週(侵入または侵害の発端から最初の7日間)
新しいツールより、境界の即日パッチ/FIDO2中心の認証/7日内に掴むログ運用——この3点を「回り続ける仕組み」に落とし込むことが、最短のリスク低減につながります。
出典・権利表記
- 出典:Google Cloud / Mandiant「M-Trends 2025(日本語版)」
- 本記事は一次資料の要約・解説であり、図表の転載や大量の逐語引用は行っていません。詳細は必ず公式資料をご確認ください。
公式ダウンロードはこちら
👉公式レポートはこちら(登録が必要) M-Trends 2025をダウンロード
コメント