- AI搭載ハッカーが企業がシステムにパッチを適用するより速くソフトウェア欠陥を悪用している
- モバイルフィッシング詐欺が世界中の企業環境で従来のメール攻撃を上回っている
- 不正なAIツールが世界中の職場で会社の機密情報を静かに漏らしている
約20年ぶりに、ハッカーが企業ネットワークに侵入する主な方法として、ソフトウェア脆弱性の悪用が盗まれたパスワードを上回るようになりました。
Verizonの2026年データ漏洩調査報告書によると、脆弱性の悪用は現在、確認されたすべてのデータ漏洩の31%を占めています。
かつての主要な侵入ポイントであった盗まれた認証情報は、今年は報告されたインシデントのわずか13%に低下しました。
脆弱性悪用が第1位の脅威になった
報告書は145カ国の31,000件以上のセキュリティインシデントを分析し、脅威の状況がどのように根本的に変わったかを明らかにしました。
攻撃者は人工知能を活用して、既知のソフトウェア欠陥の発見と武器化を加速させており、これはディフェンダーがシステムにパッチを適用するために利用可能なウィンドウを劇的に縮小し、応答時間を数ヶ月から数時間に短縮しています。
この高まるリスクにもかかわらず、報告書は2025年全体を通じて重大な脆弱性のわずか26%が完全に修復されたことを発見しました。
組織がパッチを適用するのにかかった中央値の時間は43日に跳ね上がり、ネットワークが数週間または数ヶ月間さらされたままになりました。
「AIが駆動するサイバー脅威の速度が増加している一方で、セキュリティの基本的な原則は依然として最も効果的な防御です」とVerizon BusinessのGlobal SolutionsのシニアバイスプレジデントであるDaniel Lawsonは述べています。
ランサムウェアはすべての漏洩の48%でほぼ半分に存在し、前年の44%から増加しました。
しかし、報告書は身代金の支払いが低下し、被害者の69%が支払いを拒否していることに注目しました。
モバイルデバイスはメールよりも危険な攻撃ベクトルになり、フィッシング シミュレーションはテキストメッセージと音声通話が従来のメール フィッシングより40%高いクリック率を達成することを示しています。
人的要素は依然としてすべての漏洩の62%に関わっており、攻撃者がユーザーが疑わしくないモバイル中心の通信チャネルをますます標的にしています。
すべての従業員のほぼ半分、または45%が現在職場でAIツールを使用しており、これは前年のわずか15%から大幅な増加を表しています。
しかし、これらのワーカーの67%は、承認されたコーポレートチャネルではなく、不正な個人アカウントを通じて人工知能プラットフォームにアクセスしています。
シャドウAIは悪意のないデータ漏洩の3番目に一般的な原因になり、企業秘密が意図しない曝露の重大なリスクにさらされています。
サプライチェーン攻撃も大幅に増加し、漏洩への第三者関与が前年比60%増加しました。
DBIRは攻撃者が戦術をシフトしたことを明確にし、ほとんどの組織は現代の脅威アクターのスピードに追いついていません。
セキュリティの基本とファイアウォールやマルウェア除去ツールの使用は依然として機能しますが、組織が実際に一貫して実践する場合にのみ機能します。
組織は、より速くパッチを適用し、モバイルチャネルを監視し、AI使用を制御し、第三者が最終的に侵害されると仮定することをお勧めします。
攻撃者はすでにその仮定に基づいて行動しており、DBIR数は彼らが間違っているより多く正しいことを証明しています。
