イギリスのAIセキュリティ企業「Darktrace」は2026年2月26日、年間のサイバー攻撃の傾向をまとめたレポート「Annual Threat Report 2026」を公開。
このレポートでは、近年のサイバー攻撃の特徴として、システムに侵入する従来型の手口よりも、正規アカウントを使って「ログイン」する形の攻撃が増えていると指摘されている。
同レポートは、世界中の顧客環境から得られたデータを分析し、2025年に確認された攻撃の傾向を整理したものとなっている。
アイデンティティが新たな境界線に
レポートによると、ソフトウェアの弱点を示す「CVE(公開されたソフトウェアの脆弱性を識別する番号体系)」の登録件数は前年より約20%増加。
一方で、攻撃者はこうした脆弱性を直接狙うよりも、盗まれたIDやパスワードを悪用する方法へと重点を移していることが指摘されている。
特に注目されたのが「Identity is the new perimeter(アイデンティティが新たな境界)」という考え方。
ここでいうアイデンティティとは、ユーザーアカウントやサービスアカウントなど、システム上で利用者を識別するための情報を指している。
レポートでは、アメリカ地域で発生したセキュリティ事故の約70%が、盗まれたアカウントの悪用から始まっていたと報告されており、従来は社内ネットワークの外側に防御を設ける「境界防御」が中心だったが、現在はアカウントそのものが攻撃の入口になっているという。
狙われるクラウドサービスのアカウント
地域別の傾向を見ると、アメリカ地域ではクラウドサービスのアカウント侵害やメールを使った詐欺的な誘導が多く確認された。
例えば、Microsoft 365のアカウントを狙う攻撃や、メールで利用者をだまして操作させるソーシャルエンジニアリングが多数報告された。
またクラウド環境では、Microsoft Azure(マイクロソフト社提供のクラウド基盤サービス)が多くの攻撃対象として言及されている。
企業ではクラウドサービスを集中して利用する傾向があるため、1つのアカウントが侵害されると複数のシステムへ影響が広がる可能性があるとされている。
ランサムウェア攻撃の進化と製造業への脅威
ランサムウェアについても変化が見られた。
現在は単にデータを暗号化するだけではなく、盗んだデータを公開すると脅して金銭を要求する手口が広がっているという。
さらに、脆弱性が公表される前の段階から攻撃が始まるケースも確認されており、脆弱性が公開されてから攻撃が行われるまでの時間が以前よりも大幅に短くなっている事例もあると報告された。
製造業では、工場設備を制御するシステムが狙われるケースも多いという。
「OT(Operational Technology、工場やプラントなどを制御するシステム)」と呼ばれる設備制御システムは、古い機器やソフトウェアが残りやすいため攻撃対象になりやすいとされており、アメリカ地域ではランサムウェア事案の約30%が製造業で発生していると報告されている。
AIで巧妙化するフィッシングメール、QRコード悪用も増加
メールを使った詐欺も増加している点も報告されており、分析された約3200万通のフィッシングメールでは、AIを利用した文章作成により内容がより自然になり、従来のメールフィルターでは見分けにくくなっている傾向が確認されている。
特に増加しているのが、QRコードを悪用する手口で、メール内にQRコードを表示してスマートフォンで読み取らせた後、偽サイトへ誘導するという方法が多く確認された。
2024年から2025年にかけて、このタイプの攻撃は約28%増えているという。
また、フィッシングメールの中には、新しく取得されたばかりのドメイン名が使われるケースも多く、Darktraceの分析では160万通以上のメールが新規ドメインを利用していたとされている。
さらにメールの送信元を確認する仕組みである「DMARC」の検証を通過したフィッシングメールも約70%に上っていたとのことで、技術的には正規メールとフィッシングとの区別がつきにくい状態でユーザーに届くケースが増えているという。
攻撃者のAI活用と求められる対策
Darktraceは、攻撃側でもAIの活用が進んでいると説明しており、個人ごとに内容を変えた詐欺メールや、通常のユーザー行動を模倣した自動化攻撃などが行われているという。
こうした状況に対応するため、同社はアカウントの行動を常時監視し、不審な操作を自動的に検知する仕組みの重要性を指摘している。
【参考記事】
https://www.darktrace.com/resources/annual-threat-report-2026