攻撃者はあなたのネットワークトラフィック内に隠れていますか？

過去数年間のサイバーセキュリティにおける重要な転換の1つは、攻撃者がいかにして目の前に隠れているかということだと私は信じています。 

Spur Intelligenceがリリースした2026 IP Intelligence Studyによると、仮想プライベートネットワーク（VPN）および住宅用プロキシなどの匿名化インフラストラクチャが、ほぼすべての現代的なサイバー攻撃に関与しているとのことです。 

これらのツールにより、悪意のあるアクターは自らの活動を正当なユーザーの行動に偽装することができ、セキュリティチームによる検出がより困難になります。 

本調査は、組織が収集するIPデータの量と、そのデータをリアルタイムで効果的に活用する能力との間の拡大するギャップを浮き彫りにしています。

「ほとんどのチームはすでに多くのIPデータを持っていますが、それが何を意味するのかを理解しているわけではありません」とSpur Intelligenceの共同創業者Riley KilmerはeSecurityPlanetへのメールで述べています。

彼女は、「接続の背後に誰がいるのか、あるいはなぜそれが疑わしく見えるのかが判断できない場合、何かが既に起こった後に事態を組み立てることになります。」と説明しました。 

Rileyは、「セキュリティチームは、攻撃者が既に通常のトラフィックに混在する前に、IPコンテキストをより早期に使用することによってそのギャップを埋める必要があります。」と付け加えました。

IP Intelligence Study の主要な要点

• 94%の組織がVPNまたは住宅用プロキシがセキュリティインシデントに関与していたと報告しています。
• 攻撃者は、悪意のある活動をますます正当なユーザートラフィックに偽装しています。
• 組織の30%のみがインシデントを経験する前に住宅用プロキシのリスクを理解していました。
• 組織のほぼ半数がIPベースのアクティビティに関連する認証情報の悪用を経験しました。
• 多くのセキュリティチームは依然として反応的なIP Intelligence ワークフローに依存しています。

攻撃者は正当なトラフィックに混在しています

長年にわたり、多くの組織は、悪意のあるIPアドレスが通常のトラフィックから目立つだろうという前提に頼っていました。 

私はその前提が急速に消え去るのを目の当たりにしています。 

本調査では、94%の組織がVPNまたは住宅用プロキシがセキュリティインシデントに関与していたと報告したことが判明しました。 

攻撃者はもはや明らかな侵害の指標のみに頼るのではなく、正当なコンシューマートラフィックに似たインフラストラクチャを通じてアクティビティをルーティングしています。

Spurの共同創業者Riley Kilmerは、攻撃者が「混在する」方法を学び、疑わしい活動を正常に見えるようにしていると説明しました。 

従来のIP評判チェックと反応的なワークフローはもはや攻撃サイクルの早期段階で脅威を特定するのに十分ではないため、これは防御側に課題をもたらすと私は考えています。

本レポートではまた、インシデントを経験する前に匿名化インフラストラクチャに関連するリスクを理解していた組織がわずか30%であったことも明らかにしました。 

ブラインドスポットが組織リスクを増加させ続けています

本調査で強調されているもう1つの主要な問題は、特にリモートワークとBYOD（自分のデバイスを持ち込む）環境における内部可視性の隙間に関するものです。 

一部の組織は、管理されていないデバイスが企業システムに接続されたときにいかに脆弱になる可能性があるかを過小評価していると思います。

本調査では、38%の組織のみが個人用デバイスからのアクセスを強力にコントロールしていることが判明しました。 

さらに、61%が従業員デバイス上の住宅用プロキシ露出についてのみ中程度、若干、またはまったく懸念していないと報告しました。 

これらの調査結果は、ネットワーク内から発信された匿名化トラフィックが従来のセキュリティコントロールをいかにバイパスできるかを組織が完全に理解していない可能性があることを示唆しています。

認証情報の悪用も深刻な懸念事項のままです。 

調査対象の組織のほぼ半数がIPベースのアクティビティに関連する影響度の高い認証情報の悪用を経験しました。 

攻撃者が盗まれた認証情報を匿名化インフラストラクチャと組み合わせると、正当なユーザーに見えながら検出を回避することができます。

IP Intelligence はまだ主に反応的です

私の目を引いた調査結果の1つは、組織がIP Intelligenceを予防的なコントロールではなく、主に調査ツールとして使用している方法です。 

本調査によると、44%の組織はIP Intelligenceを主にインシデント発生後にログを強化するために使用しています。

この反応的なアプローチは運用上の非効率を生じさせます。セキュリティチームがアラートを手動で調査する一方で、攻撃者は環境内で検出されずに移動し続けています。

回答者のほぼ半数は、最大の課題がIPアクティビティの背後にある「誰が」と「なぜ」を理解することであると述べました。 

コンテキストインテリジェンスがない場合、アナリストは複数のプラットフォーム間で情報を相関させるのに貴重な時間を費やします。

その結果、44%の組織が非効果的なIP Intelligence プロセスによるインシデント対応時間の増加を報告しました。 

単により多くのテレメトリを収集するだけでは十分ではないと私は考えています。組織はIPデータをリアルタイムの意思決定をサポートするアクション可能なインテリジェンスに変換する必要があります。

組織はより優れたIP Intelligence 機能を求めています

これらの課題にもかかわらず、本調査はまた現代化への強い欲求を明らかにしました。 

多くの組織は、より豊かなコンテキスト、オートメーション、および予測的意思決定機能を提供する新しいIP Intelligenceプラットフォームを積極的に評価しています。

IP Intelligenceは静的な評判フィードとインシデント後の強化を超えて進化しています。 

セキュリティチームは、アクセスが付与される前に意図、行動シグナル、および認証リスクを動的に評価できるツールを求めています。

進歩を遂行している組織は、IP Intelligenceをセキュリティワークフローのより早期に移行しています。 

違反後の調査のみに依存するのではなく、彼らはコンテキストIPデータを使用してリアルタイムで認証、不正検出、およびアクセス制御の決定に影響を与えています。

脅威アクターが攻撃の中でAIを活用し続けているため、これは特に重要になります。

結論

Spur Intelligenceからの調査結果は、匿名化インフラストラクチャがもはやニッチな問題ではないことを示していると私は考えています。 

VPNと住宅用プロキシは、検出を回避し、正当なネットワークトラフィックに混在しようとするサイバー犯罪者の標準的なツールとなっています。

時代遅れのIP Intelligence戦略に依存し続ける組織は、現代的な攻撃技術に対応するのに苦労するかもしれません。 

サイバーセキュリティの未来は、セキュリティチームがいかに効果的にリアルタイムでコンテキストIP Intelligenceを適用し、意思決定を自動化し、インシデントがエスカレートする前に悪意のある行動を特定できるかにかかっています。

攻撃者が公然と身を隠し続ける一方で、真の利点はより多くのシグナルを収集することからは生まれません。 

それはこれらのシグナルを迅速で情報に基づいたスケーラブルなセキュリティ上の意思決定に変えることから生まれます。

脅威アクターが彼らの戦術を適応させ続ける一方で、組織はゼロトラスト・ソリューションを採用して爆発範囲を軽減するのに役立つと考えています。