Philippe Lin, Senior Researcher
本概況レポートでは、2025年第3四半期に自動車、運輸、物流分野で観察された主要なサイバーセキュリティ動向について概要を報告します。近日発表予定の「VicOne 自動車サイバーセキュリティレポート2026(仮題)」の前身となる本稿では、脅威状況を特徴づけた重要な攻撃傾向と新たなリスクに焦点を当てています。
脅威状況の概要
2025年第3四半期、ランサムウェア攻撃、データ窃取キャンペーン、新たに公表された脆弱性の複合的要因により、世界的な脅威環境は引き続き進化しています。この四半期は、複数の犯罪組織の活動を阻止する大規模な法執行機関の取り締まりが実施され、複数の逮捕者が出たことも印象に残りました。同時に、Salesforceサプライチェーン攻撃(約10億件のレコードに影響)や、TransUnionデータ侵害(米国440万人の個人情報が流出)など、重大な侵害事件が相次ぎ、データ中心の攻撃の規模と影響力の拡大が際立ちました。
フィッシング・アズ・ア・サービス(PhaaS)プラットフォームも、サイバー犯罪に加担するハードルを下げる要因になっています。Labhostの摘発後、SheByteが勢力を増し、地理的フィルタリング、接続フィルタリング、リアルタイムの標的フロー制御などの拡張機能に加え、ワンタイムパスワード(OTP)傍受といった巧妙な情報窃取能力を犯罪組織に供与しています。SheByteのカスタマイズ可能なテンプレートは北米の銀行、通信事業者、暗号資産プロバイダーを標的としており、フィッシングツールキットがアフィリエイト向けにますます特化され、犯罪者の技能を問わず利用可能になっている実態を示しています。
第2四半期に観察されたインシデントが国家支援型インフラ攻撃や地政学的サイバー作戦に重点を置く傾向だったのに対し、2025年第3四半期は、大規模なデータ恐喝キャンペーンへの移行、ランサムウェア協力ネットワークの進化、そして脅威ベクトルとして、またサイバー犯罪者のツールとしてのAIの台頭が顕著でした。第4四半期に向けて、組織はAIを活用したマルウェア開発や、EDR-Freezeのような高度な防御回避技法の増加に備える必要があります。
ランサムウェア被害状況
グラフ1. 第3四半期のランサムウェアによる月別インシデント発生件数
VicOneは2025年第3四半期、自動車・運輸・物流セクター及びその関連分野を標的としたランサムウェア攻撃を90件観測し、9月に顕著な増加が見られました。四半期ごとの発生件数は、7月が11件、8月が34件、9月が45件でした。影響を受けた業界別では、自動車および関連分野が最も多く(54件)、次いで運輸(18件)、物流(15件)となりました。
グラフ2. 2025年第3四半期における自動車、運輸、物流セクターおよびその垂直市場別のランサムウェアインシデント分布
第3四半期中に確認されたランサムウェア攻撃者グループは計45でした。Qilin(キリン)が10件で最多、次いでAkira(アキラ)が8件、Incransom(別名Inc.、インクランサム)が6件でした。これら以外では、少数の主要グループが大半の事件に関与する一方、ごく少数のオペレーターが1~2件の攻撃のみを実行するというロングテールパターンがデータから確認されました。
グラフ3. 2025年第3四半期のランサムウェア攻撃者グループ別インシデント発生件数
自動車・運輸・物流業界を標的とした上位10に該当するランサムウェア攻撃者グループは、世界全体の分布とほぼ同様の傾向を示しました。Qilin、Akira、Incrasom、Play、SafePayが依然として支配的であり、これらの脅威グループが特に自動車関連業界を標的としていたわけではないことを示唆しています。
別名Agendaランサムウェアグループとしても知られるQilinは、業界特化型攻撃ではなく脆弱性を利用した大量攻撃を好むRaaS(Ransom-as-a-Service)型モデルで暗躍しています。RaaSにより既知の脆弱性に晒されている組織はすべてリスクが高まっていることを意味します。
2025年第3四半期において全業種で最も活発なランサムウェアグループの一つであるAkiraは、SonicWallのSSL VPNおよびファイアウォール機器の脆弱性を悪用して初期アクセスを獲得し、OTPを窃取して多要素認証(MFA)を回避します。一方、 Incransom はスピアフィッシングと脆弱性悪用によりネットワーク機器を標的とし、企業ネットワーク内に足場を築きます。
今四半期の被害者には自動車業界の著名企業も含まれています。Scania社はTeamXXXによる身代金要求を受けたと報じられており、アジアのトヨタ子会社3社はBlackNevasによる侵害を受けました。フィリピン陸運局、メリーランド州運輸局、ブルネイ郵政公社など、運輸関連政府機関も複数影響を受けました。
特定の業種に対して継続的に標的攻撃を行うようなランサムウェアグループは確認されませんでしたが、自動車販売店は2025年を通じて極めて脆弱な状態にありました。Incrasomによる数社の自動車部品メーカーへの攻撃が確認され、その被害は自動車サプライチェーンを超えて拡大していきました。
四半期で最も大きな混乱を招いた事件のひとつは、 Jaguar Land Rover(JLR)が9月1日に侵入を検知しシステムの大規模な停止を余儀なくされた事件でした。同社はSolihull、Halewood、Castle Bromwich、Wolverhamptonの各工場の生産を停止し、攻撃による損失は週あたり約5000万ポンドと推定されました。「Scattered Lapsus$ Hunters」グループが犯行声明を発表し、元々は「Scattered Spider」「Lapsus$」「ShinyHunters」といったグループに所属していたハッカーたちが手を組んだことを示唆しました。この攻撃は、英国で重要な自動車登録期間である9月に発生しています。
特筆すべきは、Shiny HuntersとScattered SpiderがSalesloft DriftのOAuthトークンを悪用し、主要企業から約15億件のSalesforceレコードを窃取した点です。トヨタ、Stellantis、UPS、FedExを含む約760組織が被害を受けたと報じられています。
データ漏洩
VicOne社は、ダークウェブ上で観測された活動に基づき、2025年第3四半期に自動車・運輸・物流セクターに影響を与えたデータ漏洩インシデントを34件特定しました。このうち15件は、顧客データ、従業員データ、ナンバープレート番号、車両識別番号(VIN)などの個人識別情報(PII)が関与していました。
特に、3つの政府機関が輸送関連データの漏洩被害を受け、4件のインシデントでは輸送中の貨物や追跡番号など顧客の再識別につながる可能性のある詳細な配送記録が含まれていました。BMW、GM、トヨタの販売店に関連するデータも漏洩資料から確認されています。
図4. Everestグループの漏洩サイトに掲載された被害者の砂時計(データ漏洩通知)のスクリーンショット
図5. Lynxグループは「リーク」専用ページを設置し、誤解を招く形で盗まれたデータを「公開情報」として提示している
複数の事例では、被害者が身代金支払いを拒否した後にデータが流出しています。VicOneは身代金支払いが犯罪エコシステムを助長する可能性があることを認識しつつも、組織は適切な法的・規制的枠組み内で損失軽減策を実施する必要があると考えています。
図6. The Gentlemenグループが自身のリークサイトで「公開」したデータ
脆弱性
VicOneは2025年第3四半期、自動車・運輸・物流分野に関連する353件の共通脆弱性識別子(CVE)情報を記録しました。このうち、インビークルシステム(特に車載インフォテインメント(IVI)システムおよびオペレーティングシステム(OS))が最も深刻な影響を受けました。
充電インフラおよびコネクテッドカーのバックエンドサービスにおいても、四半期を通じて脆弱性の開示件数が増加する明確な傾向が見られました。
グラフ7. 2025年第3四半期に公開された脆弱性の分布
(影響を受けたシステム領域別)
まとめ
VicOneは、自動車・運輸・物流セクターに影響を与えるランサムウェア活動、データ漏洩、脆弱性開示について、クリアウェブ、ディープウェブ、ダークウェブ全体で監視を続けています。2025年第3四半期は特に活発な動きがあり、身代金要求や恐喝事件が増加しました。現時点では、漏洩した輸送記録を悪用する攻撃者は確認されず、こうしたデータからの潜在的な利益は限定的と見られています。
侵入が成功した事例だけ注目するのではなく、サイバー犯罪者が企業ネットワークにアクセスする障壁を低下させ、より標的を絞った広範な攻撃につながるPhaaSプラットフォームに対する警戒も怠らないようにする必要があります。
2025年第4四半期を見据えて、企業組織はエンドポイント検知・対応(EDR)、マネージド検知・対応(MDR)、拡張検知・対応(XDR)、セキュリティ情報イベント管理(SIEM)といったセキュリティプロトコルや対策を通じて、検知・対応能力の強化を継続すべきです。特にデータ流出や防御回避の兆候を特定する能力の強化が重要です。
また、フィッシングやランサムウェアといった従来のITリスクだけでなく、コネクテッドカーのバックエンドサービスの脆弱性にも注意を払う必要があります。これらの脆弱性は、ますます統合が進むモビリティエコシステム内で、横方向の移動(ラテラルムーブメント)や不正なデータアクセスに悪用される可能性があります。
最後に、AIが攻撃ツールの自動化を加速させるにつれ、攻撃の潜在的な速度と規模は大幅に拡大します。これは、コネクテッドモビリティ環境全体において、プロアクティブな可視性、迅速な封じ込め、そして強靭なサイバー防御態勢を維持するために車両セキュリティオペレーションセンター(VSOC)とAI駆動型脅威インテリジェンスプラットフォームが極めて重要であることを強調しています。
本ブログは、トレンドマイクロのスレット・インテリジェンス・センターからお客様へ提供している脅威情報を参照しております。レポートのご請求は、お住まいの地域のトレンドマイクロ営業担当者までお問い合わせください。
