ダークトレース年間脅威レポート、脆弱性は20%増加
侵入の主戦場は「アイデンティティ」に
ダークトレースは2026年版の年間脅威レポートを発表し、世界のサイバー脅威環境において公開されたソフトウェア脆弱性が前年比で20%増加した一方、攻撃者の主要な侵入経路が認証情報の悪用など「アイデンティティ」を標的とする攻撃へ移行していることが明らかになった。
脆弱性は増加する一方、攻撃は認証情報の悪用へ
ダークトレースの年間脅威レポートは、2026年のサイバー脅威ランドスケープおよびサイバーリスクを形成する主要トレンドを分析した包括的な報告書である。
レポートによると、公開されたソフトウェア脆弱性は2025年に前年比20%増加した。しかし、攻撃者は従来のエクスプロイト攻撃だけに依存するのではなく、認証情報の悪用やアイデンティティ侵害を利用した侵入へと戦術を移行している。
2025年の脅威環境を「加速」「統合」「複雑性」という3つの特徴で説明している。攻撃者は新しいテクノロジーや手法を取り入れ、より迅速で精度の高い攻撃オペレーションを実行しているという。
この変化により、従来の防御手法では検知が難しい、より高度に的を絞った侵入が可能になっていると指摘している。
アイデンティティが新たな攻撃境界に
調査では、アイデンティティベースの侵害が組織への主要な侵入経路となっていることが示された。
アメリカ大陸では、インシデントの70%近くが盗まれたアカウントまたはアカウントの不正使用から始まっており、クラウドやSaaSの普及によって防御の最前線がネットワークからユーザーへと移行していることを示している。
多くの組織が相互接続されたクラウドサービスに依存する中で、攻撃者はインフラそのものではなく、それへのアクセス権を持つアイデンティティを標的にするようになっている。
実際のインシデントでもこの傾向が確認されている。Jaguar Land Rover、Marks & Spencer、Salesforceなどで報じられた事例では、高度なソフトウェアエクスプロイトではなく、アイデンティティ侵害が侵入の起点となっていた。
攻撃者は一度正規アカウントを取得すると、既存の権限や信頼されたツールを利用して活動し、検知を回避しながら攻撃を拡大していく。高度に分散した環境では、このようなアイデンティティの悪用を検知することが非常に難しい課題となっている。
また2025年には、VIPを標的としたフィッシングメールが820万通以上確認され、これは全体のフィッシングの4分の1以上を占めた。攻撃者が高い権限を持つアカウントを狙っていることが明確に示されている。
ダークトレースのセキュリティおよびAI戦略担当バイスプレジデントであるナサニエル・ジョーンズ 氏は、「今日の攻撃者は防御を突破するのではなく、単にログインする」と指摘し、アイデンティティ侵害を検知するためにはユーザー行動の異常を識別する能力が必要であると述べている。
クラウドおよびSaaS環境が体系的リスクを招く
クラウドおよびSaaS環境の拡大も新たなリスクを生み出している。
ヨーロッパではインシデントの58%が侵害されたクラウドアカウントまたはEメールから始まっており、従来のネットワーク侵入(42%)を上回っている。
アメリカ大陸では、SaaSアプリケーションやMicrosoft 365アカウントを起点とする侵入が多く確認されており、これらの攻撃は二重恐喝や三重恐喝へと発展するケースもある。
現在、世界の組織の94%がクラウドコンピューティングに依存しており、クラウド環境が攻撃者にとって魅力的な標的となっている。
クラウドプロバイダーの中ではAzureが最も標的となっており、観測されたマルウェアサンプルの43.5%を占めた。Google Cloud Platform(GCP)は33.2%、Amazon Web Services(AWS)は23.2%で続いた。
また、悪意あるIPアドレスの観測ではDocker環境がハニーポット標的の54.3%を占めており、コンテナ化されたクラウドインフラが大規模攻撃の対象として注目されていることが示された。
AIの影響でフィッシング攻撃が高度化
ダークトレースが世界の顧客環境で検知した3,200万件のフィッシングメールの分析から、Eメール攻撃の高度化も明らかになった。
AI支援によるフィッシングの兆候は前年より増加しており、新しいソーシャルエンジニアリング手法は32%から38%へ、長文メッセージは27%から33%へと増加した。
また、QRコードを利用したフィッシング攻撃も増加している。2024年には約94万件だったQRコードフィッシングは、2025年には120万件以上となり、28%増加した。
攻撃者はQRコードを分割する「スプリッシング」や、正当なQRコードに悪意あるQRコードを埋め込む「ネスティング」などの手法を用い、セキュリティツールを回避しながら被害者を多段階リダイレクトへ誘導している。
さらに160万件以上のフィッシングメールが新規作成された悪意あるドメインを利用しており、レピュテーションベースの防御の有効性が低下している。
加えて、フィッシングメールの70%がDMARC認証を通過しており、正当なメールに見せかけることでユーザーとセキュリティシステムの双方を欺こうとしている。
重要インフラを狙う国家レベルの攻撃
レポートでは、重要な国家インフラに対する脅威の高まりも指摘されている。
ロシア・ウクライナ紛争に関連したサイバーフィジカル攻撃では、エネルギーインフラが標的となり、医療や産業など関連分野にも影響が及んだ。
またSalt TyphoonやVolt Typhoonなどのグループは、通信やエネルギー企業への潜入を通じて将来の破壊活動に備える「事前配置」を進めている。
さらに北朝鮮関連のアクターは、金銭目的の攻撃と国家戦略を組み合わせた活動を展開しており、金融サービス環境にトロイの木馬型マルウェアを展開する事例が観測された。
脅威環境は新たな段階へ
ダークトレースは、現在のサイバー脅威環境が新たな段階に入ったと指摘する。侵入の多くが認証情報の不正使用を起点とし、クラウドサービスやSaaS環境を通じた攻撃が増加している。
AIの利用により攻撃者は本物の活動に紛れ込む形で攻撃を大規模に展開できるようになり、この傾向をさらに加速させている。
出典:PRTimes ダークトレースの年間脅威レポート、世界で脆弱性が20%増加する一方で、現在の主要な標的はアイデンティティであることを確認
