2025年『Webアプリケーションへのサイバー攻撃検知レポート』を発表

グローバルセキュリティメーカーの株式会社サイバーセキュリティクラウド（本社：東京都品川区、代表取締役社長 兼 CEO：小池 敏弘、以下「当社」）は、2025年1月1日～12月31日を対象とした『Webアプリケーションへのサイバー攻撃検知レポート（以下「本レポート」）』を発表します。本レポートは、当社が提供するWebアプリケーションへのサイバー攻撃を可視化・遮断するクラウド型WAFの『攻撃遮断くん』、及びパブリッククラウドWAFの自動運用サービス『WafCharm（ワフチャーム）』で観測したサイバー攻撃ログを集約し、分析・算出しています。 ・2025年の年間攻撃総数は2,021,376,349件（約20.2億件）
・1日あたり約554万回、1秒あたり約64回のサイバー攻撃を検知
・特定脆弱性を狙うリクエスト傾向を複数回観測
・世界的に利用されるライブラリの脆弱性公開直後に攻撃増加を確認

■ 攻撃総数と推移：年間約20.2億件、1秒あたり約64回の攻撃 また、1ホスト（※1）あたりでは1年間に136,516件の攻撃が確認されました。。この攻撃回数は前年比で約182％に増加しており、過去最高の水準となっています。（2020年：約4.3万件、2021年：約4.2万件、2022年：約4.2万件、2023年：約4.8万件、2024年：約7.5万件、2025年：約13.6万件）
攻撃は一過性の増加にとどまらず、継続的に高水準を維持しており、Webアプリケーションを取り巻く脅威環境は依然として厳しい状況にあります。攻撃は業種や企業規模を問わず観測されており、Webサービスを公開するすべての企業・組織にとって、常時対策が求められる状況です。
（※1）『攻撃遮断くん』の保護対象ホスト数（Webタイプ：FQDN数、サーバタイプ：IP数）と、『WafCharm』の保護対象ホスト数（WebACL）との総数を分母に概算。

■ 攻撃種別の構成比と傾向 攻撃種別では、依然としてWebスキャン（脆弱性探索行為）が最多を占めました。攻撃者は自動化ツールを用いて広範囲に探索を行い、公開されたWebアプリケーションの弱点を探索し続けています。SQLインジェクションやディレクトリトラバーサルなどに関連する検知も一定数確認されました。ただし、これらの検知には探索段階のリクエストも含まれており、実際の侵害行為と明確に区別できるものではありません。
無差別に広く探す動きと、特定の脆弱性に狙いを定める動きが併存していて、攻撃の効率化・自動化が進んでいる状況です。攻撃の効率化や自動化は、引き続き進行している状況です。

■ 2025年10月～12月に顕在化した攻撃傾向
1．特定の脆弱性を集中的に狙うリクエスト傾向の確認 2025年10月〜12月には、特定の脆弱性に対して短時間に大量のリクエストが集中するリクエストの傾向が複数回観測されました。
特に10月には、日別総攻撃件数がおおむね500万件前後で推移する中、特定日において単一ルールを対象とした検知数が急増する事象が確認されました。
中旬および下旬には、同一ルールへの検知が通常水準を大きく上回る形で増加し、短時間に集中的なアクセスが発生している様子が見られました。これらは日次総数の増減とは異なる動きを示しており、広範囲を探索するスキャン型攻撃というよりも、特定の脆弱性を狙った集中的な試行であった可能性が考えられます。
12月下旬には、日本時間未明の時間帯において、単一ルールに対し1時間あたり約5万件規模の攻撃が数時間継続。当日の検知数は約40万件規模に達しました。
これらの挙動は、広範囲に脆弱性を探索する従来型のスキャンとは様相が異なります。攻撃の背景や実行主体を特定するものではありませんが、特定の脆弱性を標的とした集中的な攻撃活動の可能性が示唆されます。

2．主要ライブラリの脆弱性公開と連動する攻撃増加 2025年12月には、世界的に広く利用されているJavaScriptライブラリ「React(リアクト)」に関連する重大な脆弱性情報が公開されました。
公開後、当社の観測環境においても当該脆弱性を狙う挙動が増加。攻撃は特定地域に限定されず、世界中の主要な地域に対して同時多発的に試行されました。脆弱性情報の公開直後から攻撃が活発化する傾向は年々強まっています。特に利用者の多いOSSや主要ライブラリは、公開直後から広範なスキャン対象となる傾向があり、迅速な情報把握と対策適用の重要性が、改めて示された事例といえます。

■ 攻撃元国の傾向 攻撃発信元IPを国別に分類したところ、米国が最多を占め、次いで日本、欧州諸国、アジア地域が続きました。
特に2025年は、インドが前年の20位から8位へと大きく順位を上げた点が特徴的です。
攻撃発信元IPは必ずしも攻撃者の所在を示すものではありませんが、近年はボットネットやマルウェア感染端末を悪用した分散型攻撃が一般化していることが各種調査でも指摘されています。当社のクラウド型WAFサービス『攻撃遮断くん』および『WafCharm』において観測された順位変動とあわせて考えると、感染端末の一部が踏み台やボットネットの一部として利用されている可能性も考えられます。

■株式会社サイバーセキュリティクラウド 代表取締役CTO 渡辺 洋司からのコメント
2025年は、攻撃総数が高水準で推移する中、特定脆弱性を狙う集中型攻撃や、公開直後の脆弱性情報を即座に悪用する動きが顕在化しました。
これは、攻撃者が単に無差別に探索を行う段階から、技術動向や公開情報を踏まえて“効率的に狙いを定める”段階へ移行していることを示唆しています。攻撃の自動化・分業化が進み、インターネット全体が常時スキャンされ続ける環境となっています。
特に大規模OSSや主要ライブラリの脆弱性は公開直後から世界規模で攻撃対象となります。企業には迅速な脆弱性把握と防御体制の継続的な最適化が不可欠です。
サイバー攻撃は一部の企業だけの問題ではなく、デジタル社会全体が直面する構造的な課題です。当社は今後も脅威インテリジェンスを活用した防御の高度化・自動化を推進し、安心してデジタルサービスを提供できる環境づくりに貢献してまいります。


株式会社サイバーセキュリティクラウド（https://www.cscloud.co.jp）
所在地　：〒141-0021　東京都品川区上大崎3-1-1 JR東急目黒ビル13階
代表者　：代表取締役社長 兼 CEO 小池 敏弘
設　立　：2010年8月
「世界中の人々が安心安全に使えるサイバー空間を創造する」をミッションに掲げ、世界有数のサイバー脅威インテリジェンスを駆使したWebアプリケーションのセキュリティサービスを軸に、脆弱性情報収集・管理ツールやクラウド環境のフルマネージドセキュリティサービスを提供している日本発のセキュリティメーカーです。私たちはサイバーセキュリティにおけるグローバルカンパニーの1つとして、サイバーセキュリティに関する社会課題を解決し、社会への付加価値提供に貢献してまいります。