【速報解説】警察庁「令和７年におけるサイバー空間をめぐる
脅威の情勢等について」から読み解く最新サイバー攻撃動向

2026年3月に警察庁から「令和７年における サイバー空間をめぐる脅威の情勢等について 」が公開されました。

出典：警察庁ウェブサイト 「令和７年における サイバー空間をめぐる脅威の情勢等について 」https://www.npa.go.jp/publications/statistics/cybersecurity/index.html　(2026年3月12日 参照)

警察庁は毎年、日本のサイバー空間における犯罪動向や攻撃の傾向をまとめた「サイバー空間をめぐる脅威の情勢」を公表しています。
本レポートは、日本国内で発生しているサイバー犯罪の状況や手口の変化、警察による取組などを整理した年次レポートであり、国内のサイバー脅威の動向を把握する上で重要な資料の一つです。

令和7年版のレポートでは、ランサムウェアやフィッシングといった従来から継続しているサイバー犯罪に加え、生成AIの悪用や国家関与が疑われるサイバー攻撃など、サイバー空間を取り巻く脅威の多様化や高度化が指摘されています。

本記事では、「令和７年における サイバー空間をめぐる脅威の情勢等について 」をもとに、注目すべきサイバー脅威の動向を解説します。

令和7年の注目すべきサイバー脅威

警察庁のレポートでは、令和7年のサイバー空間における脅威として、従来から継続しているランサムウェアやフィッシングに加え、生成AIの悪用や国家関与が疑われるサイバー攻撃など、さまざまなサイバー犯罪の動向が取り上げられています。

本章では、レポートの中から特に注目すべき5つのサイバー脅威について、その概要と特徴を解説します

1. 生成AIを悪用したサイバー犯罪

近年急速に普及している生成AIは、サイバー犯罪にも悪用されています。
レポートでは以下のような生成AIの悪用事例が紹介されました。

• 生成AIを利用した不正プログラムの作成

• 生成AIを悪用したマルウェアの事例

• 生成AIを利用したフィッシングサイト作成

解説

生成AIの普及により、これまで高度なスキルを必要としていたサイバー攻撃の準備作業が大きく簡略化されています。
例えば、従来はこのような作業には一定の技術力が必要でした。

• フィッシングメールの文章作成

• マルウェアコードの作成

• 偽サイトの構築

しかし今では、攻撃者は生成AIを利用することで、これらを比較的容易に作成できるようになっています。その結果、攻撃者の裾野が拡大する可能性が指摘されています。実際にレポートでは、生成AIを利用して攻撃ツールを作成し、不正アクセスを行った事例なども紹介されています。

このように攻撃のハードルが下がり、攻撃者の裾野が拡大する状況では、まず攻撃対象となり得る公開資産や攻撃経路を把握し、リスクを低減しておくといった予防的なセキュリティ対策の重要性が高まっています。

例えば継続的なリスク管理（CTEM: Continuous Threat Exposure Management）には以下のような対策方法があります。

• 外部公開資産の可視化

• 攻撃経路の把握

• 脆弱性の優先順位付け

これらの予防的なセキュリティ対策を強化し、攻撃を受けにくい環境を整備することが重要です。

もっとも、攻撃の高度化や自動化が進む現在でも防御策の見直しや強化は重要ですが、それでも全ての攻撃を未然に防ぐことは困難です。そのため、公開資産の把握や脆弱性対策といった予防的な取り組みとあわせて、侵入を前提とした検知・対応の強化にも並行して取り組むことが重要です。  

2. ランサムウェアの脅威は依然として継続

組織を狙ったランサムウェア攻撃は、依然として深刻な脅威となっています。
2025年のランサムウェア被害報告件数は 226件となり、引き続き高い水準で推移しています。 
また、攻撃手法も進化しています。以下はその一例です。

• データ窃取＋公開を伴う「二重恐喝」

• 新しいランサムウェアグループの登場

解説

近年のランサムウェアは単なる「データ暗号化型」から、「データ窃取型（Data Exfiltration型）」へと進化しています。
これは、組織がバックアップから復旧できたとしても、

• 機密情報の公開

• 顧客情報の漏えい

といったリスクを突き付けることで、支払いを迫る手法です。

さらに、ランサムウェアは Ransomware as a Service（RaaS） としてサービス化されており、犯罪組織が分業化していることも被害拡大の要因となっています。

従来、ランサムウェア対策は「侵入されることを前提とした防御」が中心とされてきました。
具体的な一例として、以下のような侵入後の挙動を監視する対策が重視されてきました。

• 初期侵入の検知

• ラテラルムーブメント（横展開）の検知

• 侵害後の早期検知  

一方で近年は、ランサムウェア攻撃の増加を背景に、以下のような「そもそも侵入されにくい状態を作る予防的なセキュリティ対策」も重要視されています。

• 外部公開資産の管理

• 脆弱性の継続的な把握

• 攻撃経路の事前把握

このように現在のランサムウェア対策では、攻撃の流れに合わせて複数の対策を組み合わせていくことが重要です。
例えば、侵入されにくい状態を作る対策（CTEM）、侵入を防ぐセキュリティ対策、被害拡大を防ぐゼロトラストやITDR、侵入後の検知・対応を行うEDRなどが挙げられます。

このように、攻撃の流れに合わせて複数の対策を組み合わせた多層防御が重要です。

 3. 国家関与が疑われるサイバー攻撃

レポートでは、国家を背景とするサイバー攻撃グループによる攻撃も確認されています。 
これらの攻撃は

• 情報窃取

• 重要インフラ攻撃

• DDoS攻撃

などを目的として行われるケースがあり、国家安全保障の観点からも重要な課題となっています。

解説

国家関与型のサイバー攻撃（APT）は、一般的なサイバー犯罪とは目的が異なります。
多くの場合、主な標的となるのは以下のような組織です。

• 政府機関

• 防衛関連

• 組織重要インフラ

• 研究機関

こうした攻撃は長期間にわたり潜伏することが多く、侵入から検知まで数か月以上かかるケースもあるため、組織においても、このような対策を実施することが重要です。

• ログの長期保存

• 振る舞い分析

• 脅威ハンティング

4. フィッシングと金融犯罪の拡大

フィッシングは依然としてサイバー犯罪の主要な手口となっています。2025年のフィッシング報告件数は約245万件に達しました。 
また、近年は以下のような被害も増加しています。

• インターネットバンキングの不正送金

• ボイスフィッシング

解説

フィッシングは現在でもサイバー攻撃の主要な侵入口とされています。
攻撃者は、

• 偽メール

• SMS

• 偽サイト

などを利用して認証情報を窃取し、その情報をもとに

• 不正送金

• アカウント乗っ取り

などを行います。

近年では、ボイスフィッシング（電話を利用した詐欺）など、従来のメールだけでなく複数の手段を組み合わせる攻撃も増えています。
組織としては、以下のような対策を組み合わせて実施することが重要です。

• メールセキュリティ

• 多要素認証（MFA）

• フィッシング対策教育

5. 匿名性を悪用したサイバー犯罪

サイバー犯罪グループは、、匿名性の高いサービスを悪用して犯罪活動を行っています。以下はその一例です。

• 暗号資産

• SNS

• 海外サービス

さらに、こうした環境の中で、以下のようなサイバー犯罪の「地下経済」も拡大しています。

• 口座売買

• アカウント売買

• 犯罪ツールの提供

解説

現在のサイバー犯罪は、単独の犯罪者ではなく、犯罪エコシステムとして成立しています。
例えば、サイバー犯罪では以下のように役割分担して活動するケースが見られます。

• 不正アクセスを行うグループ

• マルウェアを提供するグループ

• 資金洗浄を行うグループ

こうした犯罪の分業化により、サイバー攻撃の専門性や効率化が進み、攻撃の規模や発生件数が拡大しています。

組織が押さえておくべきポイント

警察庁レポートから、日本のサイバー脅威に関する重要なトレンドが読み取れます。

組織において特に意識すべきポイントは次の3点です。

1. 攻撃のハードルが下がり、攻撃者の裾野が拡大

生成AIの普及により、攻撃に必要なスキルやコストが低下しています。
これまで高度な技術を持つ攻撃者だけが実行できたような攻撃も、AIを利用することで比較的容易に実行できる可能性があります。その結果、フィッシングやマルウェア作成などの攻撃がより大量に実行される可能性があります。
このような状況では、既知の攻撃パターンに依存した対策だけでは十分とは言えません。

近年は、侵入後の検知・対応だけでなく、そもそも攻撃対象となるリスクを減らす予防的なセキュリティ対策の重要性が高まっています。

例えば

• 外部公開資産の可視化

• 攻撃経路の事前把握

• 脆弱性の優先順位付け

といった、継続的にリスクを管理するアプローチ（CTEM）が注目されています。

また、万が一侵入が発生した場合でも被害の拡大を防ぐため、

• 強固な認証（多要素認証）

• アクセス制御の強化

• ネットワークやシステムのセグメント化

といったゼロトラストの考え方に基づく対策も重要です。

さらに、侵害を早期に検知するためには

• EDRやXDRによる端末の挙動監視

• セキュリティログの統合監視

• SOCなどによる継続的なセキュリティ監視

といった Detection & Response（検知・対応）型の対策も引き続き重要となります。 

2. 金銭目的のサイバー犯罪は今後も主要な脅威

ランサムウェアやフィッシングによる不正送金など、金銭目的のサイバー犯罪は引き続き主要な脅威となっています。
特にランサムウェアは、以下のような”複数の手法を組み合わせた攻撃”へと進化しています。

• データ暗号化

• 情報窃取

• 情報公開による恐喝

またフィッシングは、認証情報の窃取を通じて

• 不正送金

• アカウント乗っ取り

• ランサムウェア侵入

などの初期侵入の入口として利用されるケースも少なくありません。

そのため組織では、以下のような対策を改めて確認することが重要です。

• メールセキュリティによるフィッシング対策

• 多要素認証（MFA）の導入

• 認証情報の漏えい監視

• バックアップと復旧体制の整備

これらは基本的な対策ではありますが、依然として多くの攻撃の防止に有効です。

3. 国家関与型攻撃や高度な攻撃も視野に入れた対策の必要性

国家を背景とするサイバー攻撃は、主に政府機関や重要インフラを標的とするケースが多いものの、関連企業やサプライチェーンが攻撃対象となることもあります。 

またこうした攻撃は、侵入後に長期間潜伏しながら情報窃取を行うなど、高度な手法が用いられる場合があります。

このような攻撃に備えるためには、

• ネットワーク内の不審な挙動の監視

• 長期間のログ保管と分析

• インシデント対応体制の整備

など、侵入を前提としたセキュリティ対策が重要になります。

また、ゼロトラストアーキテクチャの考え方を取り入れ、以下のような対策を段階的に進めることも有効です。

• アクセス制御

• 認証の強化

• ネットワークの分離

まとめ

警察庁が公開した「サイバー空間をめぐる脅威の情勢（令和7年）」では、ランサムウェアやフィッシングといった従来から継続しているサイバー犯罪に加え、生成AIの悪用や国家関与型とみられるサイバー攻撃など、サイバー空間を取り巻く脅威がより高度化・多様化している状況が示されました。

特に、生成AIの普及により攻撃のハードルが下がり、攻撃者の裾野が広がる可能性が指摘されている点は、今後のサイバーセキュリティ対策を考える上で重要なポイントといえます。また、ランサムウェアやフィッシングのような金銭目的のサイバー犯罪は依然として主要な脅威であり、組織においては基本的な対策の継続的な見直しと強化が求められます。

こうした状況において重要なのは、個別の脅威に対する対策だけでなく、自社のIT環境や業務の変化を踏まえながら、セキュリティ対策全体を継続的に見直していくことです。クラウド利用の拡大、リモートワークの普及、サプライチェーンの複雑化など、組織を取り巻く環境は常に変化しています。

こうした環境の変化を踏まえ、リスクの可視化や監視体制の強化などを段階的に進めていくことが重要です。

NVCでは、こうした課題に対して以下のような領域で情報提供や支援を行っています。ご関心のあるテーマがあれば、ぜひご覧ください。

CTEMソリューション（攻撃対象領域の可視化・リスク管理）

攻撃者の裾野が広がる中、公開資産やクラウド環境、サプライチェーンなどのリスクを継続的に把握し、攻撃を受けにくい環境を整備することが重要です。

　SecurityScorecard（セキュリティレーティング / SCRM）

自社だけでなく取引先を含めた公開資産のリスクを可視化し、サプライチェーン全体のセキュリティリスク管理を支援

　Orca Security（CNAPP / CSPM / AppSec）

クラウド環境の脆弱性や設定ミス、公開資産などのリスクを可視化し、クラウド環境におけるサイバー攻撃リスクの低減を支援

　Cloudbase（CNAPP / CSPM）

国産のクラウドセキュリティ製品として、クラウド環境の脆弱性管理や設定不備の検出などを通じて安全なクラウド運用を支援

　AeyeScan（Web脆弱性診断）

Webアプリケーションに存在する脆弱性を継続的に診断し、サイバー攻撃の入口となるリスクの早期発見と対策を支援

ゼロトラストソリューション（侵入後の被害拡大防止）

万が一侵入が発生した場合でも、強固な認証やアクセス制御により被害の拡大を防ぐことが重要です。

　Silverfort（ITDR / 認証セキュリティ）

フィッシングや認証情報の窃取によるアカウント侵害などのリスクに対して、IDや認証の利用状況を可視化し、認証基盤のセキュリティ強化を支援

　Cato Networks（SASE）

拠点やクラウド、リモートワーク環境を統合したセキュアなアクセス基盤を提供し、ネットワークを経由したサイバー攻撃や不正アクセス対策を支援

今後もNVCでは、国内外の脅威動向やセキュリティ対策の実務的なポイントについて継続的に情報発信を行っていきます。引き続きブログなどもご覧いただければ幸いです。