2025 年下半期は、攻撃者が脅威環境を急速に変化させ、いかに迅速に適応し革新するかを改めて浮き彫りにした半年間でした。

ESET が、悪意のあるスクリプトをその場で生成する能力を持つ、初のAI 駆動型ランサムウェア「PromptLock」を発見し、これまで理論上のものであった「AI 駆動型マルウェア」が2025 年下半期に現実となりました。これまで通りAI の主な利用目的は、本物に見えるフィッシング／詐欺コンテンツの作成ですが、PromptLock をはじめ、いくつかのAI 駆動型の脅威がこれまでに確認されており、脅威の新時代の到来を告げています。

5 月に世界的混乱を引き起こしたLumma Stealer は、その後（2度ほど）一時的に再び現れましたが、全盛期は終わったと言えるでしょう。2025 年下半期の検知数は上半期と比較して86% 減少し、Lumma Stealer の主要な拡散経路であったHTML/FakeCaptcha トロイの木馬（ClickFix 攻撃で使用）は、ESET のテレメトリからほぼ姿を消しました。

一方、CloudEyE（別名GuLoader）が急速に活発化し、ESET テレメトリでの検知数は約30 倍に急増しました。悪意のあるメールキャンペーンを通じて拡散されるこのMaas（サービスとしてのマルウェア）ダウンローダー兼クリプター（暗号化ツール）は、ランサムウェアをはじめ、Rescoms、Formbook、Agent Tesla といった情報窃取型マルウェアの展開に利用されます。

ランサムウェアの被害者数は、年末を待たずにすでに2024 年の総数を上回っており、ESET Research の予測では前年比40% の増加が見込まれています。現在、RaaS（サービスとしてのランサムウェア）市場を支配しているのはAkira とQilin ですが、その一方で、目立たない新しいグループであるWarlock は革新的な検出回避手法を導入しました。EDR キラーの拡散は続いており、EDR（Endpoint Detection and Response）ツールがランサムウェアオペレーターにとって依然として大きな壁となっていることを浮き彫りにしています。2025 年下半期には、Petya/NotPetya ランサムウェアの悪夢を想起させる出来事も発生しました。ESET の研究者が発見したHybridPetya は、この悪名高いマルウェアから派生しており、最新のUEFI ベースのシステムも侵害できます。

Android プラットフォームでは、NFC の脅威が規模の拡大と巧妙化を続け、ESET のテレメトリでは87% の増加が見られました。また、2025 年下半期には注目すべきアップグレードと攻撃キャンペーンが複数確認されました。2024 年にESET が初めて報告したNFC の脅威の先駆けである「NGate」は、連絡先窃取機能が追加されてアップグレードされ、今後の攻撃に向けて基盤を整備した可能性があります。RAT 機能とNFC リレー攻撃という珍しい組み合わせの「RatOn」は、NFC 詐欺の分野において全く新しいマルウェアであり、新たな攻撃経路を探求するサイバー犯罪者の執念が表れています。

Nomani 投資詐欺を仕掛ける詐欺師もその手口を巧妙化させており、より高品質なディープフェイク、AI で生成されたフィッシングサイト、検知回避のための短期的な広告キャンペーンの増加が確認されています。ESET テレメトリにおけるNomani 詐欺の検知件数は前年比62% 増加しましたが、2025 年下半期にはやや減少傾向が見られました。

詳細は、ESET脅威レポート2025年下半期版をご覧ください。

ESETのリサーチ関する最新ニュースは、WeLiveSecurity.com、Twitter（現X）、BlueSky、Mastodonでもご確認いただけます。

脅威インテリジェンスが組織のサイバーセキュリティ体制強化を強化できるかについては、ESET脅威インテリジェンスページをご覧ください。