[調査・レポート]

2026年3月23日(月)日川 佳三（IT Leaders編集部）

シェアする

リスト

　米CrowdStrikeは、年次脅威レポート『2026 Global Threat Report（2026年版グローバル脅威レポート）』を公開した。CrowdStrikeが追跡する280以上の攻撃グループによる実際の脅威情報に基づいている。レポートによると、AIが攻撃者の活動を加速させている（図1）。

図1：年次脅威レポート『2026 Global Threat Report（2026年版グローバル脅威レポート）』のハイライト（出典：クラウドストライク）
拡大画像表示

　攻撃者はまず、認証情報（正規のログインID/パスワード）の窃取など、何らかの手段で攻撃対象に侵入し、攻撃のためのアクセス拠点を確保する。この状態から他システムへの横展開（ラテラルムーブメント）を実行する。

　レポートによると、最初にアクセス拠点を確保してから横展開を開始するまでの時間（ブレイクアウトタイム）は、2025年に平均29分まで短くなった。2024年比で65%高速化している。2025年に計測したインシデントの中でもっとも速いケースは27秒で横展開を開始した。あるインシデントでは、アクセス拠点を確保してから4分以内にデータの外部流出が始まった。

　AIを活用した攻撃も、2024年と比べて89%増えている。攻撃者はAIを、偵察、認証情報の窃取、検知の回避などに利用している。システムへの侵入は、正規の認証情報、SaaSアプリケーション、クラウド基盤を介して進行する。通常のアクティビティに紛れ込むことで、防御側が対応できる時間を短くしている。

　AIは、攻撃のための道具であるだけでなく、標的にもなっている。攻撃者は90以上の組織に対して、生成AIツールに悪意のあるプロンプトを注入し、認証情報や暗号資産の窃取に利用した。AI開発基盤の脆弱性を突いてランサムウェアを展開した例や、信頼できるサービスになりすました悪意あるAIサーバーを公開して機密データを傍受する例も確認した。

　国家の関与が疑われる攻撃グループも目立つ。ロシア系グループ「FANCY BEAR」は、大規模言語モデル（LLM）を組み込んだマルウェア「LAMEHUG」を用いて偵察とドキュメント収集を自動化した。北朝鮮系の「FAMOUS CHOLLIMA」は、AIが生成したペルソナを使ったなりすまし工作員活動を展開し、関連インシデントは前年比で130%以上増えた。同じく北朝鮮系の「PRESSURE CHOLLIMA」による暗号資産の窃取は14億6000万ドルに上る。

　中国系グループの活動も前年比で38%増えている。特に、物流セクターへの攻撃は85%増と突出している。中国関連アクターによって悪用された脆弱性の67%は、即時のシステムアクセスにつながるものであり、40%はインターネットに露出したエッジデバイスを標的とするものだった。

　脆弱性の42%は公開前に悪用されている。攻撃者は、初期アクセス、リモートコード実行、権限昇格のためにゼロデイ攻撃を利用している。クラウド環境への侵害は全体で37%増え、国家関与グループによるクラウド標的型攻撃は266%増加した。

　CrowdStrikeでCounter Adversary Operations（反敵対オペレーション部門）の責任者を務めるアダム・マイヤーズ（Adam Meyers）氏は、「ブレイクアウトタイムは、侵入手法の変化を最も明確に示す指標。攻撃者は初期アクセスからラテラルムーブメントまで数分で実行している。セキュリティチームが勝つには、攻撃者よりさらに速く行動する必要がある」と指摘する。