サイバー攻撃の初期の侵入手口として未知あるいは既知の脆弱性が狙われることが多いことから脆弱性の管理はサイバーセキュリティとして非常に重要ですが、ダークトレースの最近の報告書によると攻撃者は従来のエクスプロイトから認証を狙う攻撃へとシフトしており主要な標的は脆弱性からアイデンティティに変化しているということです。
フィッシングでVIPを標的に
イギリス・ケンブリッジを拠点とするAIサイバーセキュリティのダークトレースが最近発行した2026年版脅威レポートによると、ダークトレースが2025年にアメリカ大陸で確認したインシデントのうち70%近くは盗まれた、あるいは不正に使用されたアカウントから始まっており、クラウドやSaaS(Software as a Service)の導入によりサイバー防御の最前線がネットワークからユーザーにシフトしたことを如実に示しているということです。
ジャガーやマークス&スペンサーなどのインシデントでは、攻撃者がいったん正規のアカウントへのアクセスを手に入れると極めて短時間に行動することを実証しており、高度なソフトウェアエクスプロイトではなく認証への侵害から攻撃は始まり、侵入後は信頼されるアカウントや既存の権限を使用して堂々と作業をして攻撃を加速するとともに従来のセキュリティコントロールを逃れることに成功しているということです。
攻撃者は高価値の認証を盗むことに重点を置くようになっており、一方で脆弱性は前年比20%も増加しているものの、攻撃者の関心は減少しつつあるようです。一方でVIPを狙ったフィッシングメールは820万通以上にのぼり、これはフィッシングメール全体の4分の1以上を占めており、クラウドやSaaSエコシステム内でより広範なアクセスが可能になる特権アカウントへの侵害を狙った攻撃者の明確な意図が表れているということです。
こうした初期攻撃の変化の背景にはクラウドやSaaS環境の普及やEメール攻撃の巧妙化があるようです。ヨーロッパではインシデントの58%が侵害されたクラウドアカウントまたはメールから始まっており、ネットワークからの侵入の42%を上回っているということです。また、アメリカでは攻撃者はしばしばSaaSアプリケーションやマイクロソフト365アカウントから侵入しており二重恐喝、三重恐喝へとエスカレートしている実態があるということです。世界の組織の94%がクラウドコンピューティングに依存しており、クラウドプロバイダーの中ではAzureが最も標的とされているということです。観測されたマルウェアサンプルの43.5%がAzureを標的としており、次いでGoogle Cloud Platform33.2%、Amazon web Services23.2%だということです。
AIでソーシャルエンジニアが高度化
一方、Eメール攻撃も巧妙化しており、AIによりソーシャルエンジニアリングテクニックが高度化し、長文メッセージも増加、これらのメールはフィルターを回避するように、よりパーソナライズされ本物らしく見えるように作られているということです。また、ダークトレースが検知したQRコードを悪用したフィッシングは2024年の94万件から2025年は120万件以上に増加、これら攻撃にはQRコードが2つの異なる画像に分割されているスプリッシングや正当なQRコードに悪意のあるQRコードを埋め込むQRコードネスティングが含まれているということです。160万を超えるフィッシングメールが新たに作成されたドメインを使用しており、レピュテーションベースの防御の有効性が損なわれているということです。さらにフィッシングメールの70%はDMARC認証を通過しているということです。
ダークトレースの2026年版脅威レポートによれば、侵入事例の大半が認証情報の不正使用を起点とし、攻撃者は信頼されるアカウント、クラウドサービス、相互接続されたSaaS環境のエクスプロイトに重点を置いており、アイデンティティは組織に侵入するための最も確実な経路となっており、脅威ランドスケープが新たな段階に入ったことを示していると指摘しています。
【出典】
https://www.darktrace.com/ja/resources/annual-threat-report-2026