これは私が毎年楽しみにしている時期です。春が訪れ、夏の約束が近づいているからではなく、毎年必ず読む報告書の一つが公開されるからでもあります。
毎年私の読書リストに必読報告書が何冊かあり、Verizonデータ侵害調査報告書はその筆頭です。
最新のVerizon 2026年データ侵害調査報告書(DBIR)は、サイバー脅威の環境がどのように進化し続けているかについて、再び興味深い洞察を提供しています。警察、サイバーセキュリティ企業、CSIRTなど145カ国の様々な組織から報告された31,000件以上のセキュリティインシデントと22,000件以上の確認されたデータ侵害の分析に基づいており、このベンダーニュートラルな報告書は毎年発表される最も包括的なサイバーセキュリティ研究の一つであり、私が必読リストに入れている理由です。
サイバーセキュリティ業界において、多くの人が最新の脅威、最新の攻撃技術、または新興技術に焦点を当てる傾向に失望することが多い一方で、多くの組織は依然としてサイバーセキュリティの基本に苦労しています。今年のDBIRはこの見方を強化し、攻撃者は高度な技術を必要としないが、益々サイバーセキュリティの基本的なギャップを悪用していることを強調しています。
脆弱性の悪用
今年の報告書から私にとって最も目立つ発見は、脆弱性の悪用が侵害における最も一般的な初期アクセスベクトルとなり、盗まれた認証情報を上回ったということです。脆弱性の悪用は侵害の31%を占める一方、ユーザー認証情報の悪用は13%に低下しました。
これは私にとっていくつかの理由で重要な変化です。第一に、犯罪者は常に組織を侵害するために最も効果的な方法を使用することを示しています。
長年の間、サイバーセキュリティの議論の多くはフィッシングメールとパスワード盗難に集中していました。それが犯罪者が組織を侵害していた方法だからです。これらの脅威は消え去ってはいませんが、攻撃者は益々、インターネットに公開されたシステムとアプリケーションのパッチを十分に迅速に適用しない組織を利用するようになっています。
第二に、AIに関する懸念、特に最近見出しを独占しているAnthropicのMythosが、より多くの脆弱性を特定するために使用されることについての多くの懸念を強化しており、多くの組織がこれらの脆弱性をタイムリーにパッチまたは修復することができない可能性があります。
DBIRは、CISAの既知の悪用脆弱性カタログに記載されている重大な脆弱性のうち、2025年に完全に修復されたのはわずか26%であり、前年の38%から低下していることを指摘しています。一方、脆弱性を完全に修復するまでの平均時間は43日に増加しました。脆弱性の修復に要する時間が増加している一方で、新しい脆弱性の数量が増加しており、防御側にとって厳しい時代が訪れています。
多くの組織にとって、これは大きな懸念事項であるべきです。多くの企業は限定的なITおよびセキュリティリソースで運営されながら、EU GDPR、EU NIS2、EU DORAなどの増加する規制要件に同時に対処しようとしています。しかし、攻撃者が脆弱性を特定して悪用するペースは遅くなっておらず、組織は追いつくために苦労しています。
DBIR報告書から得られる結論は、問題はもはや単に組織がパッチを適用し損なっていることではないということです。現在発見されている脆弱性の膨大な量が、多くの組織が効果的に対応する能力を圧倒しています。言い換えれば、パッチ管理は技術的な問題と同じくらい容量の問題になりつつあります。
この問題に対する短期的な解決策はおそらくありませんが、保護が必要な資産を理解する、攻撃表面を減らす、システムをハードニングする、重要な資産を隔離・セグメント化する、強化されたモニタリング、堅牢なインシデント対応の実装、およびビジネスへのサイバーレジリエンスの組み込みなどの他の脆弱性管理制御に焦点を当てる必要があります。
ランサムウェアとサードパーティリスク
ランサムウェアが脅威の状況を支配し続けているのを読むことは驚きではありませんでした。DBIRレポートによると、ランサムウェアは今年分析されたすべての侵害の48%に関与しており、これは昨年の44%から増加しています。
ただし、統計の中には小さな良いニュースが隠されています。レポートはランサムウェアの被害者の69%が身代金要求を支払わなかったことを発見しました。これは組織がより回復力を持つようになり、より良いバックアップ戦略、改善されたリカバリ機能、そして犯罪者に支払うことが肯定的な結果を保証しないという認識が高まっていることを示唆しています。
そうは言っても、ランサムウェアは、特に中小企業にとって、組織が直面する最も破壊的なリスクの一つです。多くの小規模企業にとって、ランサムウェアによる運用の混乱は、身代金要求自体よりもはるかに損害を与える可能性があります。
もう一つ注視する価値がある領域はサードパーティリスクです。レポートは、組織のサプライチェーンを含む侵害が60%増加し、サードパーティの侵害が現在48%の侵害に関与していることを発見しました。
これは現代のビジネスの現実を反映しています。組織は益々クラウドプロバイダー、マネージドサービスプロバイダー、SaaSプラットフォーム、アウトソースされた給与計算システム、および外部のITパートナーに依存しています。これらのサービスは多大なビジネス上の利点をもたらしていますが、組織が管理する必要がある追加的な攻撃経路とサイバーセキュリティリスクも生じさせています。
サイバー犯罪とAI
今日のサイバーセキュリティレポートはAIのサイバー犯罪における役割について言及しないでは済まず、VerizonのDBIRも例外ではありません。レポートによると、犯罪者はターゲット選択、マルウェア開発、脆弱性研究、およびソーシャルエンジニアリング攻撃を支援するために生成AIを使用しています。
組織がAIを生産的に使用する方法について大量の議論がある一方で、サイバー犯罪者が同じテクノロジーを使用して攻撃をスケールして改善する方法についてはおそらく焦点が少ないかもしれません。
多くの組織を懸念させるべき一つの領域は「Shadow AI」の成長です。Verizonは、企業デバイスでAIサービスにアクセスしているユーザーの67%が企業外のアカウントを使用していることを発見しました。さらに顕著なことに、レポートは従業員の45%が職場でAIツールの定期的なユーザーになっていることを発見し、これは前年のわずか15%から増加しています。
ここでのリスクは理論的なものではなく、過去にBring Your Own Device(BYOD)の波で経験したものです。
DBIRはソースコード、内部ドキュメント、構造化データ、および技術ドキュメントが許可されていないAIプラットフォームにアップロードされていることを特定しました。機密個人データ、機密ビジネス情報、または知的財産を処理する組織にとって、これは明らかなセキュリティ、プライバシー、およびコンプライアンスの懸念を生じさせます。
BYODの波と企業データの個人デバイスへの急速な流出と同様に、組織は上昇するAI潮を止めようとするKing Canuteアプローチを取るのではなく、AIの使用を受け入れるためのポリシー、ツール、およびコントロールを開発する必要があります。
人的要因
人的要因も引き続きレポート全体で重要な役割を果たしています。Verizonは人的要因が62%の侵害に関与していることを発見しました。
ソーシャルエンジニアリング攻撃は進化し続けており、特にボイスフィッシングとSMS詐欺などのモバイル中心の攻撃を通じて進化しています。実際、レポートはモバイルベースのフィッシングシミュレーションのエンゲージメント率が従来のメールフィッシングシミュレーションより40%高かったことに注目しています。
その発見だけで、組織がセキュリティ意識啓発トレーニングにどのようにアプローチするかを再考すべきです。従業員はもはや疑わしいメールを単独で処理するデスクに座っていません。彼らはリモートで働き、旅行し、マルチタスクを行い、益々モバイルデバイスを通じてビジネスシステムと相互作用しており、人々は自然により気が散りやすく、より信頼性が高いです。
犯罪者はまた、企業メール以外のメッセージングチャネルを使用して従業員に到達し、WhatsApp、ソーシャルメディア、および個人メールアカウントなどのすべてのプラットフォームを使用しています。ほとんどの企業サイバーセキュリティソリューションはこれらのプラットフォームをカバーしていません。
セキュリティの基本に焦点を当てる
レポートで私に目立つ項目は、多くの侵害が多要素認証の欠落、弱い認証情報管理、およびクラウド環境における過度なユーザー権限などの基本的なセキュリティ障害にリンクされていたことです。
今年のDBIRから得られる明確なメッセージが一つあるとすれば、組織は革新的な新しいセキュリティ戦略を必ずしも必要としないということです。彼らが必要なのは、運用規律を達成するための包括的なロードマップを開発することです。
資産管理、パッチング、MFA、最小権限、インシデント対応計画、サプライヤー保証、およびユーザー意識トレーニングは華やかなトピックではありませんが、組織が実装できる最も効果的なセキュリティ制御のままです。
サイバーセキュリティはしばしば技術的問題として描かれています。それは益々ビジネス回復力の問題です。進化する脅威の状況に最も対処できる組織は、必ずしもセキュリティツールに最もお金を費やしている組織ではなく、基本を一貫して実行している組織です。
翻訳元: https://www.helpnetsecurity.com/2026/05/25/lessons-from-verizon-dbir-2026-findings/
