サイバー攻撃者は重要なことを理解した。セキュリティツールを打ち破る最善の方法は、そもそもそのツール自体を反応させないことだ。
かつて、サイバーセキュリティの脅威モデルはかなり単純だった。攻撃者はマルウェアを使う。防御側はマルウェアを防ぐ。セキュリティベンダーは、そのためのより優れた手段を売る。誰もこのいたちごっこを好んではいなかったが、少なくとも何をめぐる戦いなのかについては、誰の認識も一致していた。
しかし、その構図は大きく変わった。
クラウドストライク(CrowdStrike)の「2026 Global Threat Report」は、現状を明確に示している。攻撃者は、もはやマルウェアに大きく頼っていない。代わりに、正規のツールや盗まれた認証情報、そして企業システムに組み込まれた暗黙の信頼を悪用する方向へと移った。そして、それは実際に機能している。
クラウドストライクでインテリジェンス部門の上級副社長を務めるアダム・マイヤーズは、この報告書(日本語版エグゼクティブサマリー)の記者説明会で全体の方向性を示した。彼は2025年を「回避型攻撃者の年」と呼んだ。マイヤーズは「彼らはアクセスを獲得し、環境内を移動し、目的を遂行するための多くの新しい手法を見つけました。しかし、彼らが重視しているのは検知を避けることで、見つけにくくするための工夫も数多くしています」と述べた。
2025年の検知の82%はマルウェアを伴わず、ブレイクアウトタイムは平均29分
ニュースとなる統計は、すべてのCISO(最高情報セキュリティ責任者)を不安にさせるはずである。2025年の検知の82%は、マルウェアを伴わないものだった。ブレイクアウトタイム──最初の侵入から横展開までの時間──は平均29分に縮まり、2023年の62分から低下した。最速で記録されたブレイクアウトは27秒だった。マイヤーズは「平均ブレイクアウトタイムは2023年のほぼ半分であり、考えるだけでも恐ろしいものです」と述べた。この速さでは、防御側はミスや燃え尽きにつながるような圧力の下で対応を迫られる。
そのほかの数字も悪化している。公表前に悪用されたゼロデイ脆弱性は42%増えた。AIを使った攻撃活動は89%増えた。クラウド侵入は37%増え、そのうち国家とつながりのある攻撃者によるものは266%急増した。これらは小さな変化ではない。
侵入に使われるのは正規の認証情報だ
有効なアカウントの悪用は、クラウド侵入の35%で確認された。マイヤーズは率直にこう述べた。「35%のケースでは、使われているのは正規の認証情報です」。最前線は、マルウェアからアイデンティティへと移ったのだ。
いくつかの攻撃グループは、これを繰り返し使える定型手法にまで磨き上げている。Scattered Spider(スキャッタード・スパイダー)やBlockade Spider(ブロッケード・スパイダー)は、ハイブリッド型のアイデンティティ環境、つまりオンプレミスのActive Directoryと、Microsoft Entra IDのようなクラウド基盤が交わる接点を狙う。彼らはvishing(ビッシング、音声によるフィッシング)を仕掛け、ITヘルプデスクをだまして認証情報をリセットさせたり、新たなMFA(多段認証)デバイスを登録させたりする。電話一本で同じことができるなら、ゼロデイは必要ない。
