2026年第1四半期、サイバー犯罪者が低ノイズかつ高回避性の攻撃手法へと急速に移行したことで、世界の脅威状況は大きな転換点を迎えました。
200万件を超えるマルウェアおよびフィッシング調査を網羅した分析によると、攻撃者は正規のシステムツールを積極的に武器化し、企業の従来型防御を回避しようとしている実態が新たな脅威インテリジェンスから明らかになっています。
セキュリティ企業ANY.RUNが最近公開した「Q1 2026 Cyber Risk」レポートは、ビジネスのレジリエンスに直接影響を与える重大な可視性ギャップを指摘しています。
マルウェアのトレンドに関するデータドリブンな洞察と戦略的なガイダンスを組み合わせることで、本調査は現代の攻撃者がどのように活動しているかを明確に描き出しています。
セキュリティオペレーションセンター(SOC)チームは今、初期侵害が隠密性・スピード・信頼されたソフトウェアの悪用に大きく依存する環境への対応を迫られています。
レポートが示す最も警戒すべきトレンドの一つが、防御側がインシデントを検知・対応するための時間が急速に短縮されていることです。
攻撃者が侵害したネットワーク上で持続的足場を確立するまでの中央値は、わずか21秒にまで短縮されています。さらに、ネイティブのシステムツールを利用したLiving-off-the-Land(LOTL)手法による実行においては、その中央値はわずか16秒です。
この劇的な時間短縮により、初期感染から完全な足場確立までの猶予はほぼゼロに等しくなっており、組織は財務面・業務面で甚大な被害を受けるリスクにさらされています。
この高速攻撃チェーンを支えているのが、ローダーベースの攻撃における98.3%という驚異的な増加率です。
ローダーは初期侵害の主要な手段となっており、ランサムウェアやデータ窃取ツールといった破壊的なペイロードを密かに運ぶ配送機構としての役割を担っています。
こうした初期アクセスツールの役割拡大は、高度に効率化されたサイバー犯罪エコシステムの存在を示しています。脅威アクターはローダーを使ってネットワークに素早く侵入し、環境を調査した上で、セキュリティチームがアラートを発する前に二次マルウェアを展開します。
インシデント調査における速度と確実性は、もはや任意の要素ではありません。インシデントのエスカレーションを防ごうとするすべての現代のセキュリティチームにとって、不可欠な優位性となっています。
このスピードを維持しつつアラームを回避するため、攻撃者は正規ツールと有効なシステムIDの活用を最優先にしています。
レポートでは、Living-off-the-Land Binaries and Scripts(LOLBAS)攻撃が58.4%増加しており、特にJavaScriptを悪用したものが目立つと指摘しています。
LOLBAS手法は、あらかじめインストールされた信頼済みOSコンポーネントを使って悪意あるコマンドを実行するため、通常の管理者操作に容易に紛れ込むことができます。
このような低ノイズのアプローチにより、従来のシグネチャベースの検知システムはほぼ無効化されると、ANY.RUNは述べています。
こうした回避戦術と密接に絡み合っているのが、アイデンティティの悪用です。第1四半期を通じて、認証情報窃取活動は14.7%増加したことが調査で明らかになっています。
有効なユーザー名・パスワード・ワンタイムパスワード(OTP)を入手することで、脅威アクターはカスタムエクスプロイトを使うことなくリモートからログインし、ネットワーク内を横断的に移動することが可能になります。
認証情報の悪用と信頼されたツールの搾取を組み合わせた手口の普及により、行動ベースのモニタリングと異常検知は、企業が生き残るための必須要件となっています。
翻訳元: https://cyberpress.org/legitimate-tools-deploy-malware/
