潜伏期間が延びる
MandiantのM-Trends 2026レポートが公開された。その見出しを飾るのは、中央値潜伏期間の増加――11日から14日へと、実に27%の伸びだ。これは単なる統計のブレではない。攻撃者が検知を回避する術を磨き、ネットワーク内に発見されるまでの時間を延ばしていることの明確な兆候である。特に、国家主導のスパイ活動グループや北朝鮮の国家アクターに関連する脅威に絞ると、その潜伏期間は驚異の122日にも膨れ上がる。つまり、4ヶ月もの間、好き放題にネットワークに居座っているのだ。これはもはやデジタルな無法地帯ではなく、計算され尽くした、時間をかけた侵入と言えるだろう。
潜伏期間延長の要因は?
ここにはいくつかの要因が絡んでいるようだ。攻撃者は、多くの組織が現在導入している多層防御をすり抜けるための、技術、手法、手順(TTPs)を明らかに洗練させている。レポートでは、特にスパイ活動アクターの間で、巧妙さが増していることが指摘されている。彼らは、セキュリティツールが見落としがちな、監視されていないエッジデバイスや、ネットワークに深く組み込まれたネイティブ機能を巧みに利用し、組織に紛れ込む術に長けている。力任せな攻撃というよりは、高度な偽装工作と言えるだろう。
エクスプロイトは依然として王道、しかしボイスフィッシングが急襲
6年連続で、エクスプロイト(脆弱性を突く攻撃)は依然として初期感染の最有力経路であり、侵入の32%を占めている。しかし、今年の本当の物語は、高度に対話型なボイスフィッシング、すなわちVishing(ボイスフィッシング)の劇的な台頭だ。これは侵入の11%まで急上昇し、堂々の2位に躍り出た。これは、古臭い怪しいメールとはわけが違う。ターゲットを絞り、人間心理を突いた詐欺が、直接耳に届く形で届けられるのだ。しばしば信頼できる関係者を装い、油断している従業員から認証情報や機密情報を騙し取ろうとする。一方、メールフィッシングは6%に後退しており、この特定の攻撃ベクトルに対する自動防御の進歩を証明している。
崩壊する「引き継ぎ」ウィンドウ
サイバー犯罪エコシステムは、驚くべきレベルの専門化と、率直に言って、効率性を示している。初期アクセスブローカーは、もはや単にドアに足を入れるだけではない。彼らはランサムウェアギャングのために、恐るべき速さで道を開いている。2022年には、初期アクセスイベントから二次脅威グループへの引き継ぎまでの中央値時間は8時間以上だった。しかし2025年には、そのウィンドウはわずか22秒に短縮された。22秒だ。つまり、二次グループは、キーが渡された瞬間にマルウェアを仕込み、アクセス設定を終えた状態で、すぐにペイロードを展開できる準備ができているのだ。これらの初期アクセスブローカーによってしばしば促進される事前の侵害は、現在、世界で3番目に一般的な感染経路であり、ランサムウェア攻撃においては最有力経路となっている。その割合は前年から倍増している。この迅速な引き継ぎは、防御側がほとんど対処できていない、極めて重要なボトルネックだ。
ランサムウェアは回復妨害に進化
ランサムウェアは、もはや単なるデータ暗号化にとどまらない。それは、回復を妨害する巧妙な戦略へと進化している。Mandiantは、AkiraやQilinといった著名なグループが、ファイルをロックするだけでなく、バックアップインフラ、IDサービス、仮想化管理プレーンを積極的に標的にし、破壊していることを観測している。考えてみてほしい。彼らは単に貴重品を盗むだけでなく、金庫を解体し、鍵を溶かしているのだ。攻撃者は、Active Directory Certificate Servicesの設定ミスを悪用して永続的な管理者アカウントを作成し、クラウドストレージからバックアップオブジェクトを outright 削除している。データ窃取や暗号化から、回復能力の破壊へとシフトしたこの変化は、ランサムウェア攻撃の影響と深刻度が大幅にエスカレーションしたことを示している。
“グローバルの中央値潜伏期間は、11日から14日に増加した。この変化は、特に防御回避における巧妙さの増大を反映している可能性が高い。”
レポートからのこの引用は、最も stark な指標だ。組織が脅威検知において突然悪くなったわけではない。脅威そのものが、本質的に検知しにくくなったのだ。盗まれた認証情報への依存度の高まりと、サードパーティのSaaSベンダーを悪用したハードコードされたキーやセッションCookieへのアクセスは、攻撃者が内部者のような特権で活動していることを意味する。大規模なデータ窃取を実行するために、下流の顧客環境に容易にピボットできる能力は、この進化する攻撃サーフェスの直接的な結果だ。
内部検知は増加傾向…今のところは
ほんのわずかだが、良いニュースもある。組織は内部で悪意のある活動を検知する能力を高めている。2025年には、調査の52%が内部検知で開始されており、2024年の43%から顕著な増加だ。これは、検知および対応能力への投資が成果を上げ始めていることを示唆している。しかし、このポジティブな傾向は、潜伏期間の長期化と、脅威アクターの適応力の高さによって、霞んでしまう可能性がある。これはレースであり、防御側がある分野で進歩している一方で、攻撃側は他の分野、特に検知されないまま運用を継続する能力で急速に進歩しているのだ。
ハイテク業界が新たな金融業界の標的に
地理的には、ハイテク業界が金融業界を抜いて最も標的とされる産業となり、インシデントの17%を占めている。これは、過去2年間トップだった金融業界の14.6%を上回る。このトップの座からの陥落は、攻撃者が新たな侵入経路を求めていることを示唆している。おそらく、知的財産窃取、サプライチェーン攻撃、あるいはテック業界自体が進めるデジタルトランスフォーメーションの取り組みに関連しているのだろう。
🧬 関連インサイト
よくある質問
MandiantのM-Trendsレポートは何を分析していますか?
M-Trendsは、Mandiantが過去1年間に世界中で実施した50万時間以上の最前線インシデント調査のデータを分析し、新たなサイバー脅威の戦術、技術、手順(TTPs)を特定する。
私の組織はVishing攻撃から安全ですか?
完全に安全な組織はありません。Vishingの増加は、ソーシャルエンジニアリング戦術に関する従業員トレーニングの強化、強力な通話検証プロトコルの実装、通信パターンの異常を検知できるセキュリティソリューションの使用を必要とする。
サイバーセキュリティにおいて、潜伏期間はなぜ重要なのでしょうか?
潜伏期間とは、攻撃者がネットワーク内に検知されずに留まる期間のことである。潜伏期間が長くなると、攻撃者は権限昇格、データ窃取、マルウェア展開、そして発見・除去されるまでの間に、より大きな損害を与える機会を得ることになる。
