2026年Verizonデータ侵害調査報告書によると、脆弱性の悪用が盗まれた認証情報を上回り、攻撃者がターゲットネットワークに初期アクセスする最も一般的な方法となりました。
レポート19年の歴史の中で、認証情報盗難がトップの座から降りるのはこれが初めてです。
既知の初期侵入ベクトルの時系列推移(出典:Verizon 2026 DBIR)
Verizon DBIRとは?
毎年発表されるVerizonのDBIRは、前年の実際のデータ侵害とセキュリティインシデントの分析に基づいています。2026年版の場合、2024年11月から2025年10月に発生したインシデントを指します。
Verizonは多くの協力機関からこのデータを集約しています。法執行機関、インシデント対応企業、情報共有分析センター(ISAC)、および世界中のコンピュータ緊急対応チーム(CERT)です。
この最新DBIRは多くの重要な知見を示し、侵害における第三者関与の増加など、すでに観察されていた傾向を確認しました。
Verizon 2026 DBIR調査結果
脅威アクターによって実施されるAI支援脆弱性研究の増加が最もありそうな説明に思えるかもしれませんが、分析対象となったデータはこの「爆発」より前のものです。
問題は、多くの組織が既知の脆弱性に迅速に(そして完全には)パッチを適用していないことです。
CISA「既知悪用」脆弱性の26%のみが、調査対象の13,000の組織によって完全に解決されました。攻撃者によって実際に悪用されているため、おそらく対処すべき最も重要な脆弱性です。前年にはその割合が38%に達していたので、これはかなりな低下です。Verizonアナリストが述べています。
「検出から脆弱性が完全にパッチされるまでの中央値時間についても、さらに悪い結果があります」と彼らは付け加えました。「当社の新しい中央値は43日で、昨年の32日よりもほぼ2週間長くなっています。」
この悪化の原因は何でしょうか?Verizonは、CISAの既知悪用脆弱性カタログを含む脆弱性数の劇的増加のせいだと指摘しており、パッチの優先順位付けがこれまで以上に大きな問題となっています。残念ながら、研究者であれ攻撃者であれ、脆弱性発見にAIを使用することは、さらなる負担を増す可能性があります。
Verizonはさらに深刻な統計も指摘しました。
侵害における第三者の関与が年間で60%増加し、現在すべての侵害の約半分を占めているにもかかわらず、対応は遅いです。
第三者クラウドアカウントのMFAギャップは通常1か月以内に解決されていますが、第三者組織のわずか23%のみがMFA問題を完全に解決しました。弱いパスワードと権限設定の誤設定は、すべての検出の半分を修正するのに約8か月かかります。
ソーシャルエンジニアリング、ランサムウェア、恐喝
Verizonは、フィッシャーがメールよりも音声とテキストメッセージでユーザーをターゲットにする場合に、より高い成功率を達成していることを発見しました。
プリテキスティングは、攻撃者が情報またはアクセス権を渡すようターゲットを操作するためにシナリオを作成するソーシャルエンジニアリング手法ですが、ランサムウェアと恐喝攻撃への初期侵入ベクトルとしてより一般的になっています。
このアプローチは、Lapsus$やShiny Huntersのような攻撃グループによって普及し、彼らは電話経由で攻撃を実行することが多いです。(そして現在、フィッシングキットがあり、ビッシング攻撃に拍車をかけています。)
「ランサムウェアは再び全侵害の48%に増加し、前年の44%から上昇しました。しかし、ランサムウェア被害者の69%が支払わなかったため、当社のデータセットではランサム支払いは引き続き減少しています」とVerizonは述べています。
インフォステーラーはランサムウェア攻撃へのパイプラインとして機能しています。以前の認証情報漏洩があったランサムウェア被害者の半分は、攻撃から95日以内にそれを経験しており、盗まれた認証情報は初期アクセスブローカーによってパッケージ化され販売され、ランサムウェアオペレーターが単に買収して、横方向移動、権限昇格、ランサムウェア展開、および組織への恐喝に努力を集中させることができます。
AI脅威
AI支援脆弱性発見とは別に、AIは他の方法で組織のリスクを増加させています。
「Shadow AIは現在、2025年の当社のデータ損失防止(DLP)データセットで検出された3番目に一般的な非悪意的インサイダーアクションであり、前年比で4倍の増加率です」と研究者は述べています。
しかしLLMとAIエージェントはあらゆるステップで攻撃者を支援しており、エクスプロイトとマルウェアを作成し、よく記録された技術を実行してより効率的にスケーリングし、フィッシング支援を得たり、その他多くのことを行っています。
CISO向けアドバイス
「2026 DBIRは、攻撃者がパッチ適用されていない脆弱性の悪用、侵害された弱い認証情報の活用、およびスピードと効率でのソーシャルエンジニアリングのスケーリングなど、最も信頼できる侵害パスを優先し続けていることを明確にしています」とCISセキュリティベストプラクティスコンテンツ開発の副会長Phyllis Leeは述べています。
「実証済みで優先順位付けされたセキュリティ管理と適切な改善に焦点を当てた組織は、リスク低減とこれらの一般的な攻撃パターンの破壊により適切に対応できます。」
Verizonはまた、基本的なセキュリティとリスク管理慣行を優先する緊急の必要性を指摘しました。
CISOとサイバーセキュリティプロフェッショナルは、パッチの本格化に備え、「設計によるセキュア」フレームワークにAIを統合し、防御段階戦略にAIを自ら活用することが推奨されています。
翻訳元: https://www.helpnetsecurity.com/2026/05/20/verizon-2026-dbir-findings/
