Microsoft Digital Defense Report 2025──攻撃構造の転換点としての「行動」と「トークン」

　Microsoft Threat Intelligenceが2025年10月に公表した『Microsoft Digital Defense Report 2025』は、攻撃手法を単に分類するのではなく、サイバー攻撃全体の構造変化を描き出す報告書である。対象期間は2024年7月から2025年6月、分析対象はDefender、Entra、Azureなどの実運用テレメトリに基づく。報告書全体を通して明示されるのは、攻撃の重心が「コードの脆弱性」から「ユーザの行動」と「認証トークンの扱い」に移ったという指摘だ。初期侵入はクリックからコマンドの実行誘導へ、認証突破はパスワードではなくセッション奪取へ、被害の焦点は暗号化から情報流出へ、拡張の経路は社内境界からクラウド連鎖へと変化している。

行動を攻撃面に変える──ClickFixの台頭

　2024年末から世界的に観測されたClickFix攻撃は、ソーシャル工学をより精密に再設計したものだ。攻撃者は「Officeの更新が失敗しました」「VPN設定の修復を行ってください」といった名目で、メールやチャット経由でコマンドの実行を促す。ユーザがコピー＆ペーストしたPowerShellコードは外部からスクリプトをロードし、権限昇格を行う。感染の成立に必要なのはユーザの行動だけで、ファイル添付も悪性URLも不要である。

　Microsoft Defender Expertsのデータによれば、ClickFixは2024年第四四半期の初期侵入の約47%を占めた。誘導文面はAIで生成され、組織特有の言い回しや署名まで再現される。セキュリティ訓練を受けた利用者でさえ、正しい操作を行っていると誤認するケースが多い。Microsoftはこれを「行動ベース攻撃」と定義し、行動連鎖そのものを分析する検知体制が必要だと述べる。具体的には、クリップボードへのコピー、ターミナル起動、スクリプト実行、外部接続という一連のプロセスを時間軸で監査し、通常業務と異なる連続性を検出する。

　防御策として同社が推奨するのは、エンドポイントでのPowerShell監査を義務化し、貼り付け経路の記録を残すこと、サポートを装う文面の分析と行動ログの照合を行うことだ。報告書が強調するのは、「マルウェアを見つける」から「行動設計を崩す」へ防御の焦点を移すことである。

認証の後段を突く──デバイスコード・フィッシング

　多要素認証（MFA）の普及により、攻撃者は認証前ではなく、認証後の仕組みそのものを標的にし始めた。デバイスコード・フィッシングは、正規のMicrosoftログインページを悪用する。攻撃者はTeamsやLinkedIn経由で「セキュリティ更新を有効化してください」とメッセージを送り、ユーザをmicrosoft.com/deviceloginに誘導する。ユーザが表示されたコードを入力した瞬間、攻撃者の端末側でアクセストークンとリフレッシュトークンが生成され、被害者と同等の権限を持つセッションが成立する。

　この攻撃は、2024年後半から2025年前半にかけて急増し、観測の93%が直近半年に集中した。国家系のグループ（ロシア、イラン、中国）に加え、金銭目的のOcto Tempestなども積極的に利用している。ユーザは正規ポータルにアクセスしているため、従来のフィッシング検知では検出されにくい。Microsoftは、これを「MFAをすり抜ける設計層の攻撃」と位置づけ、セッション管理の再設計を求めている。

　具体的には、FIDO2などのフィッシング耐性MFAを標準とし、デバイスコードフローの使用を最小限に制限すること、トークンの有効期限・利用範囲・再利用パターンを監査し、異常な動きを検出したら自動的に失効させることが推奨される。認証は一度通過すれば終わりではなく、セッションの生存期間全体を監視する対象とする。

ランサムウェアの重心移動──暗号化から情報流出へ

　報告書が最も強調する変化の一つは、ランサムウェアの目的が「暗号化」から「情報流出」へ転化したことである。Microsoftのデータでは、攻撃の82%でデータの持ち出しが確認され、暗号化に成功した事例は増えていない。攻撃者は、暗号化による業務停止ではなく、情報を暴露または再販売することで利益を得る。

　利用されるツールも変わった。RMM（Remote Monitoring and Management）ツールの悪用は約8割の事例で見られ、ウイルス対策の除外設定を利用した攻撃も3割を超える。オンプレとクラウドをまたぐハイブリッド侵入が40%を占め、侵入経路が複雑化している。こうした攻撃は、従来のバックアップ体制では被害を防げない。

　報告書は、防御を「暗号化防止」から「流出影響の最小化」に切り替えるべきだと述べる。第一に、企業データを重要度別に分類し、外部流出時にどの情報が法的・契約的に致命的かを定義する。第二に、インシデント対応訓練を通じて、交渉・通知・公開対応のプロセスを事前に整備する。第三に、クラウドとオンプレミスの復旧計画を統合し、トークン再発行や権限棚卸しまで含めた再構築体制を準備する。情報を守るだけでなく、漏えい後の損害を制御する構造を作ることが、2025年の防御の現実的な基準となる。

クラウドが攻撃経路になる

　クラウド環境はもはや安全な隔離領域ではない。AzureのDefender for Cloudのテレメトリでは、100日ごとの比較でインシデントが26%、破壊活動が87%、データ抽出試行が58%増加した。攻撃の典型的な流れは、Entra IDの資格情報侵害を起点に、Azure上で権限を昇格させ、Run CommandやAutomationなどの運用APIを悪用して横展開するというものだ。クラウドが攻撃の「中継点」として機能している。

　報告書は、クラウド資産を固定的なリストとして管理する方法を否定し、「変化を前提とした監査体制」を求める。アクセスキーやトークンの有効範囲、有効期限、使用先を定期的に検証し、Run CommandやLogic Appsなどの運用APIを監査対象に含めることが必要だ。これにより、攻撃者が利用する同じ経路を防御側が先回りして監視できる。クラウドは被害場所ではなく、リアルタイムに変化する攻撃面であるという認識を持たなければならない。

五つの転換が示す構造的変化

　報告書のまとめとしてMicrosoftは、2025年のサイバー攻撃を特徴づける五つの重心移動を整理する。クリックからコマンドへ──ユーザ操作が攻撃の主戦場となり、検知の軸は行動相関に移った。パスワードからトークンへ──セッション管理が新たな脆弱点となった。暗号化から持ち出しへ──機密情報そのものが収益源となり、攻撃後の交渉が長期化した。境界からクラウド連鎖へ──オンプレとクラウドが一体の経路として扱われ、防御の分断が致命的になる。IOCから行動連鎖へ──単発の検知ではなく、行動の順序と相関を読む分析が求められる。これらの転換は、すべて「技術」よりも「運用設計」の側に原因がある。

“待たない防御”へ

　最終章で示されるのは、攻撃を予測的に断ち切る「待たない防御」の考え方である。まず、クラウド資産とトークンの棚卸しを行い、アクセス範囲とスコープを常時可視化する。次に、ランサム対応を想定したIR訓練を定期化し、広報・法務・経営を含む全社対応体制を構築する。第三に、PowerShellやAPIの行動相関検知を標準化し、Paste操作やRun Command実行など複数のシグナルを組み合わせて異常を捉える。さらに、脆弱性管理の優先順位を明確にし、AIによるドメインなりすましやブランド攻撃に備えた即応体制を整える。これらの施策は個別ツールではなく、組織運用の再設計として扱うべきものだ。

まとめ──観測の量から相関の理解へ

　『MDDR 2025』が示したのは、攻撃件数の増減ではなく、攻撃者がどのように構造を設計し直しているかである。ユーザ操作と認証トークン、そしてクラウド運用という三つの層が交わる場所に新しい脅威が生まれている。ClickFix、デバイスコード・フィッシング、ハイブリッドランサム、クラウド経路攻撃――それらはすべて同じ設計思想の異なる表現だ。防御はログの多さではなく、行動の相関と時間軸をどこまで理解できるかにかかっている。Microsoftの報告書は、観測データを通してその「構造の理解」が今後の防御の核心になると結んでいる。