GMOサイバー攻撃ネットde診断 ASM 脅威レポート2025年3Q版を発表、VPNやRDP公開、Wordpressの脆弱性が高リスク脅威に
GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ(以下、イエラエ)は、企業のIT資産管理の盲点を可視化し、サイバー攻撃リスクを大幅に低減するASM(Attack Surface Management:組織が保有するIT資産の外部からの攻撃対象となる部分を特定・管理する手法)ツール「GMOサイバー攻撃ネットde診断 ASM」が2025年第3四半期(7月~9月)に検知した約57万件の脅威データを集計・分析し、脅威レポートを発表しました。このレポートを活用することで、企業は自社の脆弱性を把握し、優先的に対策すべき箇所を特定できます。
IT資産管理の不備が脅威カテゴリの上位にランクイン
「GMOサイバー攻撃ネットde診断 ASM」では、IT資産に影響を与える脅威を5段階のリスクレベルで評価し、脅威の検知時には検知内容とリスクレベル、対策方針を利用者へ通知しています。「GMOサイバー攻撃ネットde診断 ASM 脅威レポート」は、検知した脅威の内容を統計分析し、企業や団体におけるIT資産の棚卸しや定期的なセキュリティ対策に役立ててもらうことを目的に発表しています。
イエラエにとって初の統計調査となる今期の脅威レポートでは、「サポートの終了したソフトウェアの利用」や「既知の脆弱性が存在するソフトウェアの利用」といったIT資産管理の不備が、脅威カテゴリの上位にランクインしました。脆弱性は公開されてから1カ月以内に悪用されるリスクが高いというサイバーセキュリティ企業のMandiantによる調査結果「Mandiant How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trend」もあります。脆弱性が残存するソフトウェアの利用は、企業データの漏洩やシステム停止などの深刻な被害につながる高いリスクといえます。
加えて、近年猛威をふるうランサムウェア(感染したシステムのデータを暗号化し、復元と引き換えに身代金を要求するマルウェア)攻撃の感染につながるVPN(仮想専用線)機器やリモートデスクトップ(離れた場所からコンピュータを操作するための技術)のアクセス制御不備がランクインしました。これらの脆弱性が放置されると、企業の機密情報が流出したり、業務が停止したりするなど、事業継続に重大な影響を及ぼす可能性があります。本レポートの結果は、企業のIT管理者へシステム運用やバージョン管理の継続的な改善を強く求めるものとなりました。
イエラエにとって初の統計調査となる今期の脅威レポートでは、「サポートの終了したソフトウェアの利用」や「既知の脆弱性が存在するソフトウェアの利用」といったIT資産管理の不備が、脅威カテゴリの上位にランクインしました。脆弱性は公開されてから1カ月以内に悪用されるリスクが高いというサイバーセキュリティ企業のMandiantによる調査結果「Mandiant How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trend」もあります。脆弱性が残存するソフトウェアの利用は、企業データの漏洩やシステム停止などの深刻な被害につながる高いリスクといえます。
加えて、近年猛威をふるうランサムウェア(感染したシステムのデータを暗号化し、復元と引き換えに身代金を要求するマルウェア)攻撃の感染につながるVPN(仮想専用線)機器やリモートデスクトップ(離れた場所からコンピュータを操作するための技術)のアクセス制御不備がランクインしました。これらの脆弱性が放置されると、企業の機密情報が流出したり、業務が停止したりするなど、事業継続に重大な影響を及ぼす可能性があります。本レポートの結果は、企業のIT管理者へシステム運用やバージョン管理の継続的な改善を強く求めるものとなりました。
高リスクの脅威カテゴリ1位は「既知の脆弱性が存在するソフトウェアの利用」
本期は、サイバー攻撃に悪用される恐れのある脅威を3万5609件検知しました。高リスクとして検知した脅威カテゴリの上位は以下の通りです。
1位:既知の脆弱性が存在するソフトウェアの利用
2位:「バージョン管理の不備(サポート終了のソフトウェア利用)
3位:「アクセス制御・暗号化・認証不備
※「GMOサイバー攻撃ネットde診断 ASM 脅威レポート」2025年第3四半期が集計対象とした脅威数:57万1493件(集計対象期間:2025年7月1日~9月30日)
外部公開IT資産で「既知の脆弱性が存在するソフトウェアの利用」をしている状態は、サイバー犯罪者に攻撃方法を公開しているといっても過言ではなく、攻撃者が容易に侵入経路を特定し、サイバー攻撃を受ける危険性が極めて高い状態です。また「バージョン管理の不備(サポート終了のソフトウェア利用)」も同様です。サポートが終了した旧バージョンのソフトウェアは、新たな脆弱性が発見されても修正対応がありません。セキュリティホールが永続的に残り続けるため、適切なバージョンへの更新が求められます。サイバー攻撃対策の第一歩は、所有するIT資産に脆弱性があるか、バージョンは最新かといった棚卸しから始まります。次に、悪用のされやすさから対策の優先順位を決定します。
今回のレポートにより、外部公開IT資産を定期的に自動で棚卸し・可視化するASMの重要性が再確認されました。しかし、多種多様なソフトウェアを利用するシステム環境におけるIT資産の適切な管理は一筋縄ではいきません。ASMツールの導入により、手作業では見落としがちな脆弱性の自動検出や、リスクの高い順からの対策を進められるため、全社統一でASMツールを活用することは解決策の1つとなります。
1位:既知の脆弱性が存在するソフトウェアの利用
2位:「バージョン管理の不備(サポート終了のソフトウェア利用)
3位:「アクセス制御・暗号化・認証不備
※「GMOサイバー攻撃ネットde診断 ASM 脅威レポート」2025年第3四半期が集計対象とした脅威数:57万1493件(集計対象期間:2025年7月1日~9月30日)
外部公開IT資産で「既知の脆弱性が存在するソフトウェアの利用」をしている状態は、サイバー犯罪者に攻撃方法を公開しているといっても過言ではなく、攻撃者が容易に侵入経路を特定し、サイバー攻撃を受ける危険性が極めて高い状態です。また「バージョン管理の不備(サポート終了のソフトウェア利用)」も同様です。サポートが終了した旧バージョンのソフトウェアは、新たな脆弱性が発見されても修正対応がありません。セキュリティホールが永続的に残り続けるため、適切なバージョンへの更新が求められます。サイバー攻撃対策の第一歩は、所有するIT資産に脆弱性があるか、バージョンは最新かといった棚卸しから始まります。次に、悪用のされやすさから対策の優先順位を決定します。
今回のレポートにより、外部公開IT資産を定期的に自動で棚卸し・可視化するASMの重要性が再確認されました。しかし、多種多様なソフトウェアを利用するシステム環境におけるIT資産の適切な管理は一筋縄ではいきません。ASMツールの導入により、手作業では見落としがちな脆弱性の自動検出や、リスクの高い順からの対策を進められるため、全社統一でASMツールを活用することは解決策の1つとなります。
高リスクの脅威カテゴリ割合
ランサムウェア感染要因となるVPN公開は「アクセス制御」カテゴリで7位
「アクセス制御・暗号化・認証不備」カテゴリの高リスク脅威は、4426件を検出しました。
本カテゴリの1位は「FTP(ファイル転送用の通信プロトコル)での平文通信」でした。FTPは多くのレンタルサーバで提供されている機能ですが、平文通信が有効化されていると、ユーザー名やパスワードが暗号化されずに送信されるため、機密情報の漏洩や通信内容の改ざん(MITM(Man-in-the-Middle:通信経路上で第三者が通信を盗聴・改ざんする攻撃)攻撃)の被害に遭う可能性があります。
また、近年猛威をふるうランサムウェア攻撃の感染につながるVPN機器やリモートデスクトップのアクセス制御不備がランクインしました。2025年9月に警察庁が発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアはVPNやリモートデスクトップからの侵入が8割以上を占めており、攻撃の常套手段となっています。これらの脆弱性が悪用されると、企業システムへの不正アクセスが可能となり、データ暗号化や情報窃取などの被害につながります。VPN・リモートデスクトップがインターネット上に公開されている場合は、適切なセキュリティ対策が必須です。IT資産が意図せず公開されていないか、設定不備がないか、企業は定期的に確認することが求められます。
本カテゴリの1位は「FTP(ファイル転送用の通信プロトコル)での平文通信」でした。FTPは多くのレンタルサーバで提供されている機能ですが、平文通信が有効化されていると、ユーザー名やパスワードが暗号化されずに送信されるため、機密情報の漏洩や通信内容の改ざん(MITM(Man-in-the-Middle:通信経路上で第三者が通信を盗聴・改ざんする攻撃)攻撃)の被害に遭う可能性があります。
また、近年猛威をふるうランサムウェア攻撃の感染につながるVPN機器やリモートデスクトップのアクセス制御不備がランクインしました。2025年9月に警察庁が発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアはVPNやリモートデスクトップからの侵入が8割以上を占めており、攻撃の常套手段となっています。これらの脆弱性が悪用されると、企業システムへの不正アクセスが可能となり、データ暗号化や情報窃取などの被害につながります。VPN・リモートデスクトップがインターネット上に公開されている場合は、適切なセキュリティ対策が必須です。IT資産が意図せず公開されていないか、設定不備がないか、企業は定期的に確認することが求められます。
「アクセス制御・暗号化・認証不備」カテゴリで検知した高リスク脅威ランキング
「バージョン管理の不備」の脅威のうち10個に1個が「WordPress」の脆弱性
サポート終了のソフトウェア利用など「バージョン管理の不備」があった高リスクの脅威検知数は1万2184件でした。中でも、Webサイト構築用のコンテンツ管理システム(CMS)として世界で最も普及しているWordPressのバージョン管理の不備は、1071件と検知数全体の約9%を占めました。日本語サイトの約83%がWordPressを利用しているという、Web技術専門の調査企業・W3Techsによる調査(Distribution of content management systems among websites that use Japanese as content language)もあり、日本での利用率が非常に高いことが分かります。また多種多様なソフトウェアが利用される中、1つのソフトウェアに関する脅威が約1割を占める状態は注視すべき事項です。
WordPressは活用しやすい一方、豊富なテンプレートやプラグインがそれぞれ独立しています。そのため、適切に管理・更新をしないとセキュリティリスクが残存する可能性があります。実際、脆弱性が残存したWordPressのテンプレートやプラグインの利用によりWebサイトが改ざんされたり、サーバが迷惑メール送信の踏み台にされたり、顧客情報が流出したりといった被害事例は毎年報告されています。
被害を防ぐためにも、自社サイトのソフトウェアの状態は定期的に棚卸しとアップデートが不可欠です。アップデートがすぐできない場合も、暫定的な対策として、WAF(Web Application Firewall)などの仮想パッチの設置といった防御策の実施が求められます。
WordPressは活用しやすい一方、豊富なテンプレートやプラグインがそれぞれ独立しています。そのため、適切に管理・更新をしないとセキュリティリスクが残存する可能性があります。実際、脆弱性が残存したWordPressのテンプレートやプラグインの利用によりWebサイトが改ざんされたり、サーバが迷惑メール送信の踏み台にされたり、顧客情報が流出したりといった被害事例は毎年報告されています。
被害を防ぐためにも、自社サイトのソフトウェアの状態は定期的に棚卸しとアップデートが不可欠です。アップデートがすぐできない場合も、暫定的な対策として、WAF(Web Application Firewall)などの仮想パッチの設置といった防御策の実施が求められます。
「バージョン管理の不備」カテゴリで検知した高リスク脅威ランキング
本レポートに対し、GMOサイバー攻撃 ネットde診断 ASMの開発担当であるプロダクトサービス事業部 副部長 診断エンジン開発者の大西和貴氏は次のようにコメントしました。
「今回の結果からは、企業のIT資産管理の重要性が改めて浮き彫りになりました。脆弱性の存在やサポート終了ソフトウェアの利用は、"見えないまま放置されるリスク"の代表例です。
私たちはASMを通じ、お客様が自社のIT資産の現状を正しく把握し、どの対策を優先すべきかを具体的に判断できる環境を提供しています。サイバー攻撃の多くは『見えていなかった資産』から始まります。ASMツールを活用することで、これまで把握できていなかった脆弱性の発見と、効率的な対策が可能です。継続的な可視化と迅速な対応が、今後ますます求められると考えています」
今回の脅威検知ランキングは、企業におけるサイバーセキュリティ対策の盲点を明確に示しています。最も高リスクな脅威が「サポート終了ソフトウェアの利用」や「既知の脆弱性」といったIT資産管理の不備に起因しており、サイバー攻撃の多くが「見えていなかった資産」から始まるという事実を裏付けました。特に、VPN・リモートデスクトップのアクセス制御不備やWordPressの脆弱性は、ランサムウェア攻撃の温床となっており、これらが放置されることで企業は深刻な事業停止リスクに直面します。
この気付きから、企業はASMツールを活用した外部公開IT資産の定期的な棚卸しと可視化、そしてリスクベースでの優先順位付けと迅速な対策実行が不可欠であることが再認識されます。見えないリスクをなくし、継続的な運用改善を行うことが、現代の巧妙化するサイバー攻撃から企業を守るための第一歩となるでしょう。
「今回の結果からは、企業のIT資産管理の重要性が改めて浮き彫りになりました。脆弱性の存在やサポート終了ソフトウェアの利用は、"見えないまま放置されるリスク"の代表例です。
私たちはASMを通じ、お客様が自社のIT資産の現状を正しく把握し、どの対策を優先すべきかを具体的に判断できる環境を提供しています。サイバー攻撃の多くは『見えていなかった資産』から始まります。ASMツールを活用することで、これまで把握できていなかった脆弱性の発見と、効率的な対策が可能です。継続的な可視化と迅速な対応が、今後ますます求められると考えています」
今回の脅威検知ランキングは、企業におけるサイバーセキュリティ対策の盲点を明確に示しています。最も高リスクな脅威が「サポート終了ソフトウェアの利用」や「既知の脆弱性」といったIT資産管理の不備に起因しており、サイバー攻撃の多くが「見えていなかった資産」から始まるという事実を裏付けました。特に、VPN・リモートデスクトップのアクセス制御不備やWordPressの脆弱性は、ランサムウェア攻撃の温床となっており、これらが放置されることで企業は深刻な事業停止リスクに直面します。
この気付きから、企業はASMツールを活用した外部公開IT資産の定期的な棚卸しと可視化、そしてリスクベースでの優先順位付けと迅速な対策実行が不可欠であることが再認識されます。見えないリスクをなくし、継続的な運用改善を行うことが、現代の巧妙化するサイバー攻撃から企業を守るための第一歩となるでしょう。
安蔵 靖志
Techジャーナリスト/家電エバンジェリスト
家電製品協会認定 家電製品総合アドバイザー(プラチナグレード)、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ~ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット...
-
2
Google Pixel 9aを選ぶと後悔するの?スペック数値だけ...
-
3
お台場発着に決定!日本でも“豪華客船体験”ができる?「ディズニーク...
-
4
手のひらに収まるサプライズカメラ「Kodak Charmera」の...
-
5
NHK大河『べらぼう』復習帳 最終回:何が違った?歌麿と北斎、蔦...
-
企業ロゴ所有証明書の「VMCbyGMO」、政府機関や登録前商標向けサービスを追加
-
企業ロゴ表示でなりすまし防止、GMOグローバルサインHD「GMOなりすましメール対策支援サービス」
-
GMO Flatt Security、ベンチャー企業へセキュリティ対策を無料支援するエンジニア応援プログラムを開始
-
GMOサイバーセキュリティ byイエラエ、マクニカと製品セキュリティ分野への取り組み支援でパートナーシップ締結
-
知財管理システム提供のIRDグループがGMOインターネットグループにジョイン、知財クラウド連携で新たな顧客価値と信頼性を創出
-
GMOサイバーセキュリティ byイエラエ、Webアプリケーションのセキュリティを強化する「GMOサイバーセキュリティ WAFエイド」を提供開始
セキュリティキャンペーンでのバナー
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット」の中毒性と拡散力
-
2
Google Pixel 9aを選ぶと後悔するの?スペック数値だけでは分からない実力を実機でチェックした
-
3
お台場発着に決定!日本でも“豪華客船体験”ができる?「ディズニークルーズライン」の価格・アトラクション最新情報
-
4
手のひらに収まるサプライズカメラ「Kodak Charmera」の小ささ×ランダム性×レトロ質感
-
5
NHK大河『べらぼう』復習帳 最終回:何が違った?歌麿と北斎、蔦重の死後に明暗を分けた2人の絵師