ダークウェブビッグデータ分析AI企業 S2W「日本企業が2026年に取るべき対策」提言　AIが自動生成攻撃する時代　国家支援型攻撃 ハクティビズムの三重脅威で日本を標的に

ダークウェブビッグデータ分析AI企業 S2W の脅威インテリジェンスセンター「TALON」が、ダークウェブ・ディープウェブ・テレグラムなど、通常の検索エンジンではアクセスできない「ヒドゥンチャネル」（通常の検索では発見できない脅威情報源）を包括的に監視・分析した結果を「2025年サイバー脅威決算報告書」として３月10日に公開した。

国際刑事警察機構パートナー企業 S2W

公共部門・政府機関向けサイバー犯罪捜査ビッグデータソリューション「XARVIS」（ザービス）や、民間企業・機関専用サイバー脅威インテリジェンスソリューション「QUAXAR」（クェーサー）、産業用生成AIソリューション「SAIP」などを手がける S2W は、2023年に世界経済フォーラム（WEF）「最も有望なテクノロジーパイオニア100社」の1社に選定されたダークウェブビッグデータ分析AI専門企業。

2020年に国際刑事警察機構（ICPO）のパートナー企業に選定されて以降、国際社会の安全保障強化のための捜査協力を続け、2024年7月からマイクロソフト（MS）の「セキュリティコパイロット」（Security Copilot）」にデータを提供し、機関や企業に向けた技術協力を続けている。

また2025年10月には、ICPO 主導官民協力プログラム「Gatewayイニシアチブ」の世界12番目のパートナーとして、韓国から初めて選定された。

―――そんな S2W が公開した「2025年サイバー脅威決算報告書」の注目トピックスをチェックしていこう。

ランサムウェア被害の急増
日本はアジア4年連続ワースト

2025年、アジア10か国（GDP上位10か国を対象）におけるランサムウェア被害は計383件に達し、前年（159件）から約2.4倍と急増。

2022年から2025年までの4年間累計でも、日本は149件でアジア最多に。

国別では、日本が2023年以降アジア10か国中1位を維持。

韓国も前年比10倍（6件→60件）と突出した増加を記録し、東アジアを中心に脅威が急速に拡大している。

ランサムウェア「Qilin」のグローバル拡大と日本への影響

「Qilin」（麒麟）は、2022年5月から活動するロシア背景のランサムウェアグループ。

RaaS（Ransomware-as-a-Service）と呼ばれる分業型ビジネスモデル、すなわちランサムウェアをツールとして実行役に提供し、身代金交渉まで代行する仕組みで運営され、「RAMP」「DarkForums」「Exploit」「XSS」など複数のダークウェブフォーラムを拠点に活動している。

医療機関を重点ターゲットとし、英国 NHS（国民保健サービス）傘下の病院への攻撃で国際的に注目を集めた。

米国保健福祉省（HHS）もプロファイリングレポートを公開している。

主な攻撃手法は、フィッシングメール（リモートアクセスツール「ScreenConnect」の認証通知を装った事例が確認されている）、ソフトウェアの脆弱性悪用、窃取済みアカウント情報の転用。

2025年9月には、大型ランサムウェアグループ「DragonForce」「LockBit」と同盟を締結。

グループ間の「カルテル化」が進行し、組織的脅威としての危険度が一段と高まっている。

2022年5月から2025年9月までに計63か国を攻撃。

米国が全体被害の54.6％を占めている。

国別被害ランキングでは、日本・韓国ともに「Qilin」による被害が4件で同率5位。

報告書は「最近では、韓国・日本企業をターゲットとした攻撃が著しく増加している」と明記し、両国に対する脅威の高まりは今後も注視が必要。

なお、2025年10月には単月191件と過去最多を記録し、攻撃ペースの加速は顕著に。

生成AIの両面性
ダークウェブ発の攻撃用AI「Xanthorox AI」の台頭

2025年、生成AIはサイバー攻撃の「武器」として本格的に活用され始めている。

報告書では、以「マルウェア開発」「脆弱性攻撃」「ソーシャルエンジニアリング」「LLMサービス自体への攻撃」の4つの領域で具体的な悪用事例が確認されている。

2025年4月、ダークウェブ上にサイバー犯罪専用AIモデル「Xanthorox AI」を公開。

商用LLMの安全制限を強引に突破する「ジェイルブレイク」とは異なり、開発者が独自に構築した専用モデルで、自己管理サーバー上で運用されている。

主な機能として、悪意のあるコードやスクリプトの自動生成、および検出のたびに形態を変える「ポリモーフィック型マルウェア」の生成が確認されている。

S2W の検証では、生成コードに文法的・構造的エラーが含まれるなど、単独での精度には現時点で課題が残る。

ただし、他のAIモデルとの併用や追加検証を経ることで攻撃がさらに精緻化する可能性は高く、過小評価は禁物。

攻撃側による「AI活用」はすでに実行段階に入っている。

「人間が設計する攻撃」から「AIが自動生成する攻撃」への転換点にあるという認識が、今や防御側にも求められている。

日本の国家・企業へのサイバー攻撃の実態

2025年、日本はランサムウェアにとどまらず、DDoS攻撃（大量のアクセスを送りつけてサービスを麻痺させる攻撃）、データ窃取・販売、政府機関への不正侵入など、多角的なサイバー攻撃の標的となった。

これらの攻撃主体が持つ動機は、大きく2つに分類される。

2025年の大きな変化として、従来は社会的・政治的主張を動機に活動していたハクティビストグループが、金銭的利益をも追求する攻撃モデルへと転換しつつある。

動機の複合化により攻撃の予測が困難になり、業種・規模を問わずあらゆる企業が潜在的な標的となる状況が生まれている。

ここからは、思想的動機で日本を攻撃したグループの具体的被害状況をチェック。

1.日本を狙ったDDoS攻撃：
3グループが合計125の機関・企業に被害

2.CLOBELSECTEAM：
「#OpJapan」キャンペーン

2025年6月から活動を開始。

親ロシア・中国・北朝鮮・ベトナムの立場を標榜し、「日本国内のクルド人に対する差別的行為への抗議」を名目に、日本への攻撃を本格化させている。

3.Kirov Elite Group：
日本の政府機関・企業を重点攻撃

2025年8月から活動するロシアを拠点とするAPT（国家支援型の高度持続的脅威グループ）。

「#SlavaRussia」「#AntiNatoAction」のハッシュタグを掲げ、反ロシア的とみなした政府機関・企業を標的に攻撃を展開している。

金銭的動機による攻撃事例

以下は、純粋に金銭的利益を目的としてグローバルに攻撃を展開するグループの事例。

政治的動機を持たず、業種・国籍を問わずあらゆる組織を標的とする。

「Scattered Spider」「ShinyHunters」「Lapsus」という3つのグループが連合した「SLSHグループ（Scattered Lapsus Hunters）」は、2025年8月より Telegram を拠点に活動を開始した。

2025年10月、北米・ヨーロッパ・アジアなど計11か国に対し、45件の攻撃を実行。

特定の国や業種を問わない全方位的な攻撃が特徴で、EaaS（Exploitation as a Service：攻撃機能を他の犯罪グループに提供するサービスモデル）プログラムを通じた組織間連携も確認されている。

手口としては、電話を悪用したフィッシング「Vishing（ビッシング）」と OAuthトークン窃取（認証情報の不正取得）を組み合わせ、Google・Salesforceへの不正アクセスを実行。

韓国企業の Wemade・HMM・SK Telecom への攻撃も同グループが主張している。

日本での被害は計3件で、国別ランキングの全体3位に位置する。

業種を問わない無差別的な攻撃手法の性質上、あらゆる日本企業が潜在的な標的となり得る。

なお、2025年10月20日に主要メンバーの逮捕を理由として活動中断を告知したが、わずか1か月後には新たな Telegram チャネルを開設し、活動継続を宣言。

実質的な脅威は継続していて、継続的な監視が不可欠だ。

日本への提言：2026年のセキュリティロードマップ

以上の傾向を踏まえ、日本の政府機関・企業は、特定の脅威アクターへの個別対応だけでなく、多層的なサイバーセキュリティ対策の整備と、脅威インテリジェンスに基づく継続的な監視体制の構築が急務だ。

S2W は、日本企業が2026年に取るべき対策をこう提言している。

1.基本の徹底

クラウド・IoT・OTを含む全デジタル資産をAIで自動管理し、脆弱性を即時修正する体制を構築します。外部ライブラリーやShadow IT（管理外のシステム）、社内のシャドーAIサービスを含む「統合攻撃対象領域の可視化」も不可欠です。従業員の個人メール使用禁止など、内部統制の強化も基本中の基本です。

2.検知・対応能力の強化

セキュリティ人材が不足する中小・中堅企業はMDR（外部専門企業による24時間監視サービス）の活用が有効。

攻撃者側のAI活用に対抗する「Defender AI」用の脅威インテリジェンス整備と、北朝鮮・中国など国家支援型グループに対するリアルタイム情報フィードの内製化も求められる。

3.ガバナンスとセキュリティ文化の定着

AIエージェントや APIキーなど「人間以外の主体」によるデータ流出をリアルタイム監視する体制を整える。

CISO を選任し、セキュリティを技術部門の課題ではなく経営課題として位置づけることが重要。

攻撃を100％阻止できない前提で、定期的な復旧訓練とオフサイトバックアップの高度化により、持続可能な回復力を構築していく。

全文は以下よりダウンロード可能↓↓↓
https://s2w.inc/ja/resource/detail/989

製品情報ラインナップ↓↓↓
https://s2w.inc/ja

◆XARVIS（ザービス）：公共部門・政府機関向けサイバー犯罪捜査ビッグデータソリューション

◆QUAXAR（クェーサー）：民間企業・機関専用サイバー脅威インテリジェンスソリューション

◆SAIP：産業用生成AIソリューション