AV/EDRキラーは、もはや必須のツールとなっています。BYOVD(Bring Your Own Vulnerable Driver)戦術は、攻撃者が正規の脆弱なドライバをインストールし、既知の脆弱性を利用して権限昇格を行い、アンチウイルスやEDRを無効化します。闇市場では、こうしたツールが1つのアンチウイルス用に約1500ドルで販売されています。
ディープフェイクとディープボイスは、非常に恐ろしいトレンドです。Gartnerによると、過去12か月で62%の組織がディープフェイク攻撃を受けています。2025年第1四半期だけで179件の事例が記録されており、2024年全体の19%増です。ロシアでは2025年初からディープフェイクの数が3分の1増加しています。特に、T1123 (Audio Capture)技術が最も多く使われており、以前はトップ10に入っていませんでした。Zoomのビデオ会議でのディープフェイクや、官僚の音声メッセージの事例もあります。ディープフェイクの作成は容易で、DaaS(Deepfake as a Service)サービスは動画50ドル、音声30ドルから提供されています。
脆弱性は大量攻撃の触媒となっています。2025年前半だけで23,600以上の脆弱性が公開されており、2024年同期より16%増です。ダークウェブでは、脆弱性やエクスプロイトの市場が拡大しており、約30%の広告が購入目的で、価格は1000ドルから20,000ドル、時には数百万ドルに達します。例として、JavaScriptのゼロデイ脆弱性のPoCエクスプロイトが80万ドルで販売されていました。Exploit as a Service(EaaS)モデルは、攻撃をワンクリックで行えるようにし、参入障壁を下げています。Earth Minotaurは、55以上のサーバーからなるMOONSHINEエクスプロイトキットを使用しています。
こんにちは!さて、私は先ほど最新のサイバー脅威のレビューを読んだのですが、そこには本当に多くの興味深い情報がありました。2026年には、攻撃の複雑化だけでなく、サイバー犯罪者の働き方そのものが完全に再構築されることが予想されています。押さえておくべき主要なトレンドを共有したいと思います。
まず、マス攻撃とターゲット攻撃の境界線がほぼ消失しています。以前は単純に、マルウェアやフィッシングの大量送信が何千人も対象でしたが、ターゲット攻撃には高度な情報収集とリソースが必要でした。今や?自動化、アクセスしやすいAIモデル、そして犯罪インフラの商業化により、攻撃者は高度な技術を大量キャンペーンにも適用できるようになっています。フィッシングはより質が高く、信憑性が増し、政府機関、産業界、IT企業が主な標的となっています。
特に注目したいのは、信頼を攻撃のベクトルとするテーマです。サプライチェーン攻撃とは、攻撃者が悪意のあるコードをソフトウェアに仕込み、それを被害者がダウンロードする形です。Cybleのデータによると、2025年10月には、ソフトウェア供給チェーンに対するこうした攻撃の件数が過去の記録を30%超えて増加しています。しかし、それだけではありません。企業はパートナー、請負業者、サプライヤーを通じて侵入されます。防御された企業に直接攻撃する代わりに、攻撃者は「ブラックエントランス」を利用し、アクセス権を持つ者を侵害します。この攻撃ベクトルは、半年で全サイバー攻撃の28%に使われており、これは15%増加です。
次に、シャドウAI(闇のAI)についてです。2025年の最初の3か月で、genAIプラットフォームの利用は50%増加し、その半数以上が社員によるIT部門の承認なしのツール使用、いわゆるシャドウAIです。これにより、機密情報が公開サービスに漏れるリスクが高まっています。さらに、63%の企業はAIツール導入前にセキュリティ評価を行っておらず、過去12か月で86%の企業がAIに関連したセキュリティインシデントを経験しています。加えて、ニューラルネットワークで生成されたコードの45%には脆弱性が含まれています。
ランサムウェアの進化も見逃せません。従来の二重脅迫(データ抽出後に暗号化)は87%のケースで主流ですが、三重、四重の脅迫も出現しています。SecP0グループは、暗号化されたデータの代わりに、隠された脆弱性の売買を要求するという興味深い戦術を採用しています。彼らはまた、被害者に対して法的アドバイスを提供し、より強く圧力をかけることもあります。Anubisの運営者は、被害者に早く支払わせるためにWiper(データ消去ツール)を追加しています。
攻撃者のためのAI利用も進んでいます。これは単なるVibeコーディングだけではなく、LLMを使ったマルウェアの作成も含まれます。例えば、ESETのPromptLockは、ローカルのGPTモデルを使ってリアルタイムでLuaスクリプトのマルウェアを生成します。Windows、Linux、macOSで動作します。その他の例として、LameHugはシステムコマンドの生成にLLMを利用しています。
OSの動向も重要です。Windowsはもはやサイバー脅威の独占王ではありません。2022年には86%のインシデントを占めていましたが、2025年には84%に減少しています。一方、macOSは注目を集めており、2023年から2024年にかけて脅威の増加率は400%です。Linuxもトレンドに乗っており、特に大量のLinuxインフラへの移行後に注目されています。APTグループはすでにWindowsツールを他プラットフォームに適応させています。LockBit 5.0はWindows、Linux、ESXiをターゲットにしています。特に、VMware ESXiのハイパーバイザーへの関心が高まっており、1つのハイパーバイザーの侵害がすべての仮想マシンの侵害につながる可能性があります。
トランスフォーマー型ウイルスは、複数のタイプのマルウェア機能を持つハイブリッド型のマルウェアです。攻撃者にとって便利なのは、集中管理されたC&C、さまざまな環境への適応性、スケーラビリティです。基本的にはRAT(リモートアクセスツール)を基盤とし、持続的なアクセスを可能にします。
AV/EDRキラーは、もはや必須のツールとなっています。BYOVD(Bring Your Own Vulnerable Driver)戦術は、攻撃者が正規の脆弱なドライバをインストールし、既知の脆弱性を利用して権限昇格を行い、アンチウイルスやEDRを無効化します。闇市場では、こうしたツールが1つのアンチウイルス用に約1500ドルで販売されています。
フィッシング・アズ・ア・サービス(PhaaS)は急速に拡大しています。VoidProxy、Salty2FA、Whisper 2FAなどの新しいプラットフォームは、未熟な犯罪者の参入障壁を下げています。サブスクリプションは約250ドルです。これらのプラットフォームは、MFA回避、フィッシングテンプレート、サイトのクローン作成、CAPTCHA回避などをサポートしています。例えば、Darculaでは生成AIを使ったフォームの適応も可能です。Gabagoolでは、悪意のあるQRコードを2つに分割し、フィルタを回避しています。
ディープフェイクとディープボイスは、非常に恐ろしいトレンドです。Gartnerによると、過去12か月で62%の組織がディープフェイク攻撃を受けています。2025年第1四半期だけで179件の事例が記録されており、2024年全体の19%増です。ロシアでは2025年初からディープフェイクの数が3分の1増加しています。特に、T1123 (Audio Capture)技術が最も多く使われており、以前はトップ10に入っていませんでした。Zoomのビデオ会議でのディープフェイクや、官僚の音声メッセージの事例もあります。ディープフェイクの作成は容易で、DaaS(Deepfake as a Service)サービスは動画50ドル、音声30ドルから提供されています。
AIは社会工学の強化にも使われています。Gartnerによると、AI導入により攻撃者はコストを95%以上削減できるといいます。Hoxhuntは、AIエージェントが高性能なリサーチャーよりも効果的なフィッシングメールを作成し、2025年3月には24%高い効果を示したと報告しています。Microsoftは、通常のメールは12%の受信者が開封するのに対し、AI生成のメールは54%が開封すると指摘しています。AIはリアルなコンテンツを生成し、大量のキャンペーンを自動化できます。IBMのNeural Networkは、5分でメールを作成し、人間は16時間かかった作業をわずか5秒で完了させることも可能です。さらに、SpamGPTのような大量送信サービスも販売されており、迷惑メール対策を回避し、OutlookやYahoo、Office 365、Gmailへの確実な配信を保証します。
ボイスフィッシング(Vishing)も急増しています。2025年の利用割合は2ポイント増加しています。ShinyHuntersは、Salesforceを通じてAdidas、Allianz Life、LVMH、Qantasなどの大手企業に対して、Vishing攻撃を仕掛けました。リモートワークの普及が背景にあり、米国では52%の従業員がハイブリッド勤務をしており、2019年1月の32%から増加しています。また、社員が知らない人と頻繁にやり取りすることも、こうした攻撃の増加に寄与しています。
SVGファイルも新たなトレンドです。2024年には攻撃の1%未満でしたが、2025年12月にはほぼ5%に増加しています。これは単なる画像に見えますが、実際にはXMLで書かれ、HTMLやJavaScriptを含むことも可能です。Microsoftは、SVGファイルにJavaScriptコードを仕込んだフィッシングキャンペーンを確認しています。
ClickFixは、ユーザー自身が感染を引き起こす手法です。ESETによると、2025年前半には、2024年後半と比べてClickFixを使った攻撃が500%以上増加しています。CAPTCHAや偽のアップデート、指示を含むシナリオが使われます。MuddyWaterやKimsuky、Lazarusなどの高レベルAPTグループもこれを採用しています。ClickFixはWindowsだけでなく、LinuxやmacOS向けにも登場しています。その後、FileFix(エクスプロイトを使ったファイルの改ざん)やPromptFix(AIシステム向け)が登場しています。
脆弱性は大量攻撃の触媒となっています。2025年前半だけで23,600以上の脆弱性が公開されており、2024年同期より16%増です。ダークウェブでは、脆弱性やエクスプロイトの市場が拡大しており、約30%の広告が購入目的で、価格は1000ドルから20,000ドル、時には数百万ドルに達します。例として、JavaScriptのゼロデイ脆弱性のPoCエクスプロイトが80万ドルで販売されていました。Exploit as a Service(EaaS)モデルは、攻撃をワンクリックで行えるようにし、参入障壁を下げています。Earth Minotaurは、55以上のサーバーからなるMOONSHINEエクスプロイトキットを使用しています。
エクスプロイト開発にAIを使うのも現実的です。GoogleのBig Sleepは、SQLiteのゼロデイ脆弱性を事前に検出しました。GreyNoiseは、インターネットカメラの脆弱性を検出するためにLLMを活用しています。PwnGPTは、脆弱性の分析、エクスプロイトの生成、コンセプト検証にLLMを使います。OpenAIのo1-previewでは、脆弱性の公開確率が26.3%から57.9%に、GPT-4oでは21.1%から36.8%に上昇しています。HexStrike AIは、テストツールとして開発されましたが、リリース直後にCitrix NetScalerの脆弱性をエクスプロイトするために使われ、エクスプロイトの時間は数日から10分に短縮されました。
周辺機器も新たな攻撃対象です。2025年前半には、Cisco、Citrix、Fortinet、Sonicwall、Zyxelの脆弱性が最も多く見つかっています。周辺機器のインシデント比率は22%に達し、前年の約8倍です。VPNゲートウェイやファイアウォールの侵害は、内部ネットワークへの直接アクセスを可能にします。Google Mandiantは、2024年に最も多く悪用された脆弱性CVE-2024-3400を持つPalo Alto Networksの脆弱性を指摘しています。
RMM(リモート監視管理)ツールも重要なターゲットです。2023年の市場規模は9億1851万ドルで、2030年には15億4894万ドルに成長し、年平均成長率は9%と予測されています。RMMの侵害は、単一のノードの侵害ではなく、インフラ全体へのアクセス獲得を意味します。Microsoft Defender Expertsは、BeyondTrust Remote SupportやConnectWise ScreenConnect、SimpleHelpのゼロデイ脆弱性のエクスプロイトを観測しています。
Initial Access Brokers(IABs)は、闇市場の別のセグメントです。2023年第1四半期から2025年第1四半期までの2年間で、販売アクセスの広告数は100%以上増加しています。IABsは、脆弱なサービスや盗まれた認証情報、未保護のリモートアクセスを通じて、境界防御を回避したアクセスを狙います。ほとんどのアクセスは情報スタイラーからの情報に基づいています。アクセス獲得後は、隠し管理者アカウントやWebシェルを使って定着させます。平均価格は500ドルから3000ドルで、ドメイン全体のコントロールには1万ドル以上を要求します。この手法は、RaaS(ランサムウェア・アズ・ア・サービス)の運営者にとっても、IABにとっても、リスク少なく安定した収入源となっています。
これが2026年の脅威の現状です。最も重要なのは、組織はサイバー脅威がこれまで以上に高速で進化していることを理解し、ITインフラの強化、従業員の教育、脆弱性管理への投資は選択肢ではなく必須であるということです。