2026年3月5日

ダークトレースの年間脅威レポート、世界で脆弱性が20%増加する一方で、現在の主要な標的はアイデンティティであることを確認

- 攻撃者は従来のエクスプロイト攻撃から認証情報の悪用にシフトしつつあるが、登録済みのソフトウェア脆弱性は2025年に20%増加している- 世界で3,200万通のフィッシングEメールが検知され、QRコードベースの攻撃は38%増加し、Eメール攻撃はますます巧妙化- アメリカ大陸でのインシデントの70%近くが盗まれたアカウントまたはアカウントの不正使用から始まっており、アイデンティティベースの侵入への世界的なシフトを反映- クラウド侵害は加速し、Azureが最も標的とされるクラウドプロバイダーとなっている

AIサイバーセキュリティ(https://www.darktrace.com/cyber-ai)の世界的リーダーであるダークトレース(https://www.darktrace.com/ja)（本社：英国ケンブリッジ、臨時CEO:チャールズ・グッドマン）は本日、2026年版の年間脅威レポート(https://www.darktrace.com/ja/resources/annual-threat-report-2026)を発表しました。これは2026年の世界のサイバー脅威ランドスケープおよびサイバーリスクを形成するトレンドについての、包括的評価をまとめた報告書です。その主要なポイントの1つは、公開された脆弱性が前年比で20%増加している中で、攻撃者がこれらの脆弱性を放置し、むしろ認証情報の悪用やアイデンティティを利用した侵入を選好するようになっていることです。

2025年のサイバー脅威環境は、加速、統合、複雑性という言葉で表すことができます。攻撃者はもはや従来のエクスプロイト手法だけに依存していません。より素早い動きと、高い精度でのオペレーションを可能にする新たなテクノロジーやテクニックを取り入れています。この変化により攻撃者は、従来の防御では検知が格段に困難となる、より高度に的を絞った、適応型の侵入を可能にしています。

- アイデンティティが新たな境界

アイデンティティベースの侵害が今や組織への主要な侵入経路となっています。ダークトレースの調査では、アメリカ大陸において、70%近くのインシデントが盗まれたあるいは不正使用されたアカウントから始まっており、このことはクラウドやSaaSの導入によりサイバー防御の最前線がネットワークからユーザーにシフトしたことを如実に示しています。多くの組織が相互接続されたクラウドサービスへの依存を高めるなかで、攻撃者はインフラそのものよりも、そこへのアクセスを支配するアイデンティティを標的とするようになっています。

この調査結果は過去12か月間に実際にニュースとして報じられた事例の変化を裏付けています。昨年大きなニュースとなったJaguar Land Rover、Marks & Spencer、Salesforceなどでのインシデントは、攻撃者が一旦正規のアカウントへのアクセスを手に入れると、どれほどすばやく行動できるかを実証しています。 これらすべてのケースにおいて、侵入は高度なソフトウェアエクスプロイトではなく、アイデンティティの侵害から始まっています。侵入後、攻撃者は信頼されるアカウントや既存の権限を使用して堂々と作業し、攻撃を加速するとともに従来のセキュリティコントロールを逃れることに成功しています。

攻撃者は、高価値なアイデンティティを盗むことに重点を置くようになっており、この傾向はさらに強まっています。2025年には820万通以上のフィッシングEメールがVIPを標的としていました。これは同じ期間のすべてのフィッシングの1/4以上を占めており、クラウドやSaaSエコシステム内でより広範なアクセスを可能にする特権アカウントを侵害しようという、攻撃者の明確な意図が表れています。

侵入すると、攻撃者は正規のツールや権限を使って攻撃を通常のアクティビティに見せかけ、水平移動を高速かつ検知困難なものにしています。高度に分散した環境においてアイデンティティの悪用を検知し対応することは、サイバーセキュリティにおいて最も難しい問題の1つとなっています。

ダークトレースのセキュリティおよびAI戦略担当バイスプレジデント、ナサニエル・ジョーンズ（Nathaniel Jones）は次のように述べています。「従来の境界防御は、攻撃者が防御を破って押し入らなければならない世界のために作られたものです。今日では、彼らは単にログインするだけです。アイデンティティを利用した侵入を阻止するには、正規のアカウントが普段の活動にそぐわない振る舞いを始めたときにそれを識別する能力が必要であり、それは静的なセキュリティコントロールを超えて、コンテキストと意図を理解するセキュリティへ進化することを意味します」

- クラウドおよびSaaS環境が体系的リスクを招く

クラウド侵害はアメリカ大陸でもヨーロッパでも主な侵入ポイントになっています。ヨーロッパでは、インシデントの58%が侵害されたクラウドアカウントまたはEメールから始まっており、従来のネットワークからの侵入の42%を上回っています。アメリカ大陸では、攻撃者はしばしばSaaSアプリケーションやMicrosoft 365アカウントから侵入しており、その多くは二重恐喝あるいは三重恐喝へとエスカレートしています。

世界の組織の94%がクラウドコンピューティングに依存している現在、リスクは非常に広範です。クラウドプロバイダーの中では、Azureが最も標的とされており、観測されたマルウェアサンプルの43.5%を占めていました。一方、Google Cloud Platform（GCP）は33.2%、Amazon Web Services（AWS）は23.2%でした。悪意あるIPアドレスの数で測定した場合、Docker環境はハニーポット標的の54.3%を占めており、大規模な攻撃においてコンテナ化されたクラウドインフラの魅力が高まっていることが明らかになっています。

- Eメール攻撃の巧妙化

ダークトレースの世界の顧客環境で検知された3,200万件のフィッシングメールの分析は、明確な傾向を示しています。2025年にはEメール攻撃が著しく高度化し、AI支援のコンテンツ、回避型ペイロード、アイデンティティ標的化テクニックがすべて前年に比べて増加しています。

この巧妙化を表す主なインジケータには次が含まれます：

AI支援フィッシングの加速：AI使用の兆候は前年度より増加しており、新手のソーシャルエンジニアリングテクニックは32%から38%に、長文のメッセージは27%から33%に増加しました。これらのパターンは、従来のフィルターを回避するよう設計された、よりパーソナライズされた、本物らしく見えるおとりへの進化を反映しています。

QRコード攻撃の増加：ダークトレースが検知したQRコードを利用したフィッシング攻撃は28%増加し、2024年の94万件から2025年には120万件以上になっています。量が増えるとともに、攻撃者は新しい形のQRコードフィッシングを導入しました。これにはQRコードが2つの異なる画像に分割されている「スプリッシング」や、正当なQRコードに悪意のあるQRコードが埋め込まれるQRコードネスティングが含まれ、これらはすべてリンクをスキャンするツールを回避し、被害者を多段階のリダイレクトを通じて誘導することを目的としています。

新たなドメインが大量に使用されている：160万を超えるフィッシングEメールが悪意あるアクティビティ専用に新たに作成されたドメインを利用しており、レピュテーションベースの防御の有効性を損なっています。

DMARCを回避し正当性を偽装：フィッシングEメールの70%はDMARC認証を通過しており、ユーザーと自動化されたセキュリティコントロールの双方に対して正当に見せようとしています。

ジョーンズは次のようにコメントしています。「フィッシングは従来よりも大幅に説得力が増し、標的を絞り込んでいます。攻撃者はAIを使って、本物らしく、人間に対する信頼を悪用した、従来のEメールフィルターをすり抜けるメッセージを作成しています。 防御者には、一見して正当なEメールのように見える場合にもかすかな異常の兆候を識別できるテクノロジーが必要です」

- 重要な国家インフラに対する脅威の概況

地政学的緊張の重なりと急激なデジタル変革により、CNI（Critical National Infrastructure）は国家が支援する脅威アクターや犯罪組織にとって戦略的標的になっています。ダークトレースは2025年のCNIリスクを形成する、繰り返し発生している3つの傾向を観測しました：

サービスの中断：ロシア-ウクライナ紛争に関連したサイバーフィジカル攻撃は西側およびウクライナのエネルギーインフラを標的とし、インフラに依存するヘルスケアやその他の産業に影響を及ぼしました。

戦略的アクセスと事前配置：Salt TyphoonやVolt Typhoonといったグループはスパイ活動からそのオペレーションを拡大し、インテリジェンス収集および将来的な破壊活動を可能にするため通信やエネルギー企業に潜入しています。

代理およびハイブリッド型アクターの利用：国家が支援するグループ、特に北朝鮮に関連するアクターは、金銭的動機によるオペレーションを戦略的目的と統合しています。2025年、ダークトレースは、より広範なインテリジェンス収集活動の一環として、脆弱性をエクスプロイトすることによりトロイの木馬型マルウェアを金融サービス環境に展開する、北朝鮮が関係したアクティビティを観測しました。

2026年版年間脅威レポートは、脅威ランドスケープが新たな段階に入ったことを示しています。侵入事例の大半が認証情報の不正使用を起点とし、攻撃者がますます信頼されるアカウント、クラウドサービス、相互接続されたSaaS環境のエクスプロイトに力を入れるなかで、アイデンティティは組織に侵入するための最も確実な経路となっています。AIは、標的を絞った、通常の動作に紛れ込む本物らしいアクティビティを攻撃者が大規模に展開するのを支援し、この傾向を加速させています。多くの組織が引き続きクラウド、SaaS、AI駆動テクノロジーの導入を進めるなかで、セキュリティチームは高度に分散したこれらの環境において異常な動作を検知し対応するためのアプローチを進化させなければなりません。

ジョーンズは次のように締めくくっています。「現代の攻撃のスピードと規模には、ユーザーとシステムがどのように動作しているかに対する継続的な可視性が求められます。アイデンティティは攻撃者にとって最も確実な侵入経路となっており、クラウドの相互接続は、1つの侵害されたアカウントが広範囲に及ぶ結果を招くことを意味します。ビヘイビアAIは、小さな逸脱が大きなインシデントに発展する前に、早い段階で検知する能力を防御者に提供します」

年間脅威レポートの地域別概況はここ(https://www.darktrace.com/ja/resources/annual-threat-report-2026-apj-regional-outlook)からダウンロードできます。

- 2026年版ダークトレース年間脅威レポートについて

ダークトレース年間脅威レポートはダークトレースの世界の顧客基盤を対象に実施された大規模な分析に基づいています。調査結果は2025年全体を通じて収集された動作の異常、脅威の通知、実際のケーススタディを含めたデータに基づいています。ダークトレースはこれらの情報を国家機関やサイバーインテリジェンスパートナー、およびCERT勧告等の業界をリードするオープンソースのリソース、ダークウェブコレクションからのインテリジェンスと組み合わせ、脅威ランドスケープに対する包括的かつ正確な視点を提供しています。また、ダークトレースは地域ごとのインテリジェンスとコンテキスト分析を含めた一連の詳細な地域別レポートも発行しています。

- ダークトレースについて

ダークトレースはAIサイバーセキュリティのグローバルリーダーであり、日々変化する脅威ランドスケープに立ち向かう組織を支援しています。2013年に設立されたダークトレースは、それぞれの顧客固有の生活パターンからリアルタイムに学習する独自のAIを使用して未知の脅威から組織を保護する、必要不可欠なサイバーセキュリティプラットフォームを提供しています。Darktrace ActiveAI Security Platform(TM) はサイバーレジリエンスに対するプロアクティブなアプローチを提供し、ネットワークからクラウド、Eメールに至るまでデジタルエステート全体でビジネスを守ります。顧客のセキュリティ体制に対する先制的可視性を提供し、Cyber AI Analyst(TM)でオペレーションを変革し、脅威を検知しリアルタイムに自律遮断します。英国のケンブリッジおよびオランダのハーグに所在するR&Dチームが生み出す画期的イノベーションにより、200件以上の特許申請がなされています。ダークトレースのプラットフォームおよびサービスは世界で2,300名を超える従業員により支えられ、世界でおよそ10,000社の主要なすべての産業分野にわたる組織を保護しています。詳細はhttps://www.darktrace.com/jaをご覧ください。(https://www.darktrace.com/ja%E3%82%92%E3%81%94%E8%A6%A7%E3%81%8F%E3%81%A0%E3%81%95%E3%81%84%E3%80%82)

