サンフランシスコ発, Aug. 11, 2025 (GLOBE NEWSWIRE) -- ピクス・セキュリティは本日、ライブ本番環境での1億6,000万回超の実世界攻撃シミュレーションに基づくブルー・レポート (Blue Report™) 2025を発表した。 本レポートは3年目となり、今日の脅威に対してセキュリティ制御がどの程度機能しているかをデータに基づき評価しているが、今年の調査結果はこれまでで最も懸念すべき内容となっている。
サイバー攻撃が件数および巧妙さの両面で増加する一方で、防御の有効性は低下している。 今年のデータは特に厳しい状況を示しており、46%の環境において少なくとも1つのパスワードハッシュが解読され、データ流出の試みが阻止されたのはわずか3%であり、これは2024年の9%から減少している。 これらの傾向を総合すると、1つの認証情報が侵害されるだけで、横方向への移動や大規模なデータ窃取につながるまでのスピードがいかに速いかがわかる。 インフォスティーラー型マルウェアの蔓延は3倍に増加し、攻撃者は有効なログイン情報を使って防御を回避するケースが増加しており、組織は持続的かつほぼ不可視の脅威からのリスクの高まりに直面している。
「敵対者がすでにアクセス権を持っているという前提で行動しなければなりません」と、ピクス・セキュリティの共同創業者でありピクス・ラボ (Picus Labs) 副社長のスレイマン・オザルスラン博士 (Dr. Süleyman Ozarslan) は述べている。 「『侵害を前提とする』という考え方は、組織に対して有効な認証情報の不正使用をより迅速に検知し、脅威をすばやく封じ込み、横方向への移動を制限することを促します。これには、IDコントロールの継続的な検証と、より強力な行動ベースの検知が必要です」。
主な調査結果:
- ほぼ半数の環境でパスワードが解読される:テスト対象となった環境の46%で、少なくとも1つのパスワードハッシュが解読されており、これは2024年の25%から増加しており、依然として弱いまたは古いパスワードポリシーへの依存が続いていることを浮き彫りにしている。
- 盗まれた認証情報は事実上阻止不能:有効な認証情報を使用した攻撃は98%の確率で成功しており、ヴァリッドアカウント (Valid Accounts) (MITRE ATT&CK T1078) のような手法は、防御を検知されずに回避する最も確実な方法の1つとなっている。
- データ流出防止はほぼゼロ:データ窃取の試みが阻止されたのはわずか3%であり、これは2024年から3分の1に減少しており、ランサムウェアのオペレーターやインフォスティーラーが二重恐喝攻撃を強化している中での結果である。
- ランサムウェアが依然として最重要懸念事項に。 ブラックバイト (BlackByte) は依然として防止が最も困難な亜種であり、防止効果率はわずか26%にとどまっている。 バブロック (BabLock) とマオリ (Maori) がそれぞれ34%と41%でこれに続いている。
- 早期検知は重大な死角である。 システムネットワーク構成探索 (System Network Configuration Discovery) やプロセス探索 (Process Discovery) といった探索技術は、防止効果率が12%未満であり、検知体制における欠陥を露呈している。
ブルー・レポート2025では、防止効果率が2024年の69%から2025年には62%へと低下し、昨年の改善が逆転したことも明らかになっている。 また、ログ取得のカバレッジは54%で安定していたものの、攻撃によってアラートが生成されたのはわずか14%であり、大半の悪意ある活動が依然として見過ごされていることを意味している。 検知ルール設定の不備、ログ取得の欠落、システム統合の不十分さが、セキュリティ運用全体の可視性を引き続き損なっている。 この低下は、セキュリティ制御の継続的な監視と検証を行わない限り、防御力がいかに急速に劣化するかを浮き彫りにしている。
方法論
ブルー・レポートは、現実環境においてセキュリティ制御がどの程度機能するかについての実証的証拠を提供する。 調査結果は、2025年1月から6月にかけてピクス・セキュリティの顧客によって実行された数百万件の攻撃シミュレーションに基づいている。 シミュレーションは、本番稼働環境においてピクス・セキュリティのセキュリティ・バリデーション・プラットフォームを使用して安全に実施され、ピクス・ラボおよびピクス・データ・サイエンスの各チームによって分析が行われた。 このレポートには、企業がリスクを軽減し、脅威への備えを改善するのに役立つエコシステムおよび業界固有の調査結果と推奨事項も含まれている。
完全な調査結果と推奨事項を読むには、ブルー・レポート2025をダウンロードされたい。
ピクス・セキュリティについて
ピクス・セキュリティは、業界をリードするセキュリティバリデーション企業であり、ビジネスの状況に基づいたサイバーリスクの全体像を組織に提供している。 ピクスは、分断された検出結果全体にわたるエクスポージャーを相関・優先順位付け・検証することでセキュリティ運用を変革し、チームが重大なギャップや高インパクトな対策に集中できるよう支援している。 ピクスを活用することで、セキュリティチームはワンクリックの緩和策により迅速に対応し、少ない労力でより多くの脅威を防ぐことが可能となる。 アドバーサリアル・エクスポージャー・バリデーションを侵害・攻撃シミュレーション (BAS) および自動ペネトレーションテストと組み合わせて提供することで、ピクスは、チームが追求すべき対策を正確に特定できる受賞歴のある脅威中心の技術を提供している。
ピクス・セキュリティの最新情報については、XおよびLinkedInをフォローされたい。
報道関係者向け問い合わせ先
ジェニファー・タナー (Jennifer Tanner)
ルック・レフト・マーケティング (Look Left Marketing)
picus@lookleftmarketing.com
本発表に付随する画像はこちらから入手可能:
https://www.globenewswire.com/NewsRoom/AttachmentNg/3399fa33-7e80-494c-8d70-150c14da6698
https://www.globenewswire.com/NewsRoom/AttachmentNg/387b8fcd-aac8-4593-be9d-79985703484a
https://www.globenewswire.com/NewsRoom/AttachmentNg/a94c5fa9-32ce-499c-b863-3a0e8497a6ea
