eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。パートナーへのリンクをクリックいただくことで、当社が収益を得る場合があります。 詳細はこちら
UltraViolet Cyberが第2四半期のセキュリティ脅威における主要トレンドを評価したところ、その対象範囲は非常に広範にわたっていました。
活発に活動する脅威アクター、悪用された脆弱性、ランサムウェア攻撃、AIを駆使したソーシャルエンジニアリング、ID(アイデンティティ)を起点とした侵入、そして急速に増加している「Fix型」攻撃群など、これらすべてが今四半期の脅威動向を形作りました。
しかし、本来あまり共通点を持たないはずのカテゴリーを横断して繰り返し現れたパターンが一つありました。それはマルウェアファミリーでも特定の脅威アクターでもありません。
むしろそれは、信頼された(トラステッド)アクセスや信頼された業務プロセスの悪用でした。事実、2026年の攻撃者は単に技術を悪用しているだけでなく、信頼そのものを悪用しているのです。
今日の攻撃者は、ID、人、業務プロセス、正規の技術に対する信頼を標的にすることで、技術的な防御策を迂回しています。
主要なポイント
- 信頼が主要な攻撃対象領域となっており、攻撃者は技術的な脆弱性のみならず、ID、業務プロセス、正規の業務手順をますます悪用するようになっています。
- 従来の脅威カテゴリーは融合しつつあり、ランサムウェア、国家主導の攻撃、AIを駆使したソーシャルエンジニアリング、ID攻撃が手口やインフラを共有するケースが増えています。
- ID保護には、認証だけでなく、継続的な検証、行動監視、より強固なアクセスガバナンスが求められています。
- 組織はゼロトラスト、インターネットに公開されたインフラへの迅速なパッチ適用、そして個々のセキュリティ対策がいずれ突破されることを前提とした多層防御を優先すべきです。
- セキュリティプログラムは、定期的なコンプライアンス確認作業から、ユーザー・システム・業務プロセス全体にわたる信頼を継続的に検証する運用上のレジリエンスへと進化させる必要があります。
崩れつつある従来の脅威の境界線
脅威カテゴリー間の従来の境界線は、今や消失しつつあります。
ランサムウェアのオペレーターは、国家主導型攻撃者の手口を取り入れています。
国家主導の攻撃者は、商用インフラ内部に事前に足場を築いています。
ソーシャルエンジニアリングは生成AIによって強化され、ユーザーが日頃から信頼するよう訓練されてきた業務フローを通じて実行されています。
セキュリティチームが優先すべきこと
このような環境を防御するには、セキュリティを定期的なコンプライアンス確認作業としてではなく、継続的な取り組みとして扱う必要があります。具体的には、ID検証、ゼロトラストアーキテクチャ、迅速なパッチ適用、そして技術的な対策を完全に迂回する攻撃に対するレジリエンスへの投資が求められます。
セキュリティチームにとって、特に注目すべき点は4つあります。
IDは認証だけの問題ではない
攻撃者は環境への強制的な侵入ではなく、正規のアカウントや正当なアクセス権限に依存する傾向を強めています。
ここ数カ月で最も活発だったランサムウェアグループ全体を見ると、認証情報の悪用と正規の管理ツールが、初期アクセスと横展開(ラテラルムーブメント)の両方を後押ししていました。
侵害はログインの時点で終わりませんでした。認証後も、セッションの乗っ取り、OAuth権限の悪用、ネイティブな管理ツールの不正使用を通じて、被害はさらに拡大し続けました。
サイバーセキュリティ業界では今、「攻撃者は侵入しているのではなく、ログインしているのだ」というフレーズが広まっています。
そしてそれは事実です。「どうすれば攻撃者のログインを阻止できるか」と問うこともできますが、「信頼されたIDが引き続き信頼に値することを、どう継続的に検証するか」と問う方が、より効果的かもしれません。
つまりIDをライフサイクルとして捉え、採用時のより厳格な本人確認、リモート従業員に対するより厳格なアクセスガバナンス、インサイダー脅威の兆候を捉えるための継続的な行動監視を行う必要があります。
マルウェアに代わり主要な攻撃対象領域となる「信頼」
第2四半期に成功を収めた攻撃の多くは、ユーザーが見慣れた人物、業務プロセス、業務フローを信頼していたからこそ成立していました。
脆弱性はソフトウェアの中にあったのではありません。人々がソフトウェアとどう関わるか、その部分にあったのです。
成功したソーシャルエンジニアリングの手法は、いずれも結局のところ信頼に行き着きます。
AI生成のフィッシングは、従来の啓発研修が前提としてきた典型的な兆候をもはや示さなくなっており、一方でボイスフィッシングは、確認されたインシデントにおいて主要なソーシャルエンジニアリングの手口としてメールを上回るようになっています。
ビジネスメール詐欺(BEC)におけるディープフェイク動画によるなりすまし、そしてClickFixおよびConsentFixというファミリーは、被害者自身に悪意ある操作を実行させることで、この信頼をさらに悪用しています。
セキュリティ意識向上の取り組みも、それに応じて進化させる必要があります。
多くのフィッシングメッセージが今や正規の通信と見分けがつかなくなっている以上、従業員に不審なメッセージを見抜くよう教えるだけではもはや十分ではありません。
今、本当に必要なスキルアップは、検証行動を中心に据えたものです。すなわち、別経路での確認、不審な依頼に対する独立した検証、そしてパスワードリセットやMFA変更に関するヘルプデスク手順の強化などが挙げられます。
依然として容易な侵入口となるエッジインフラ
インターネットに公開されたシステムは、最も高度な攻撃者にとって依然として好ましい侵入口であり続けており、しかも悪用までの所要時間は短縮され続けています。
課題は単に脆弱性にパッチを当てることではなく、攻撃者がそれを実戦投入する速度にどう追いつくかにあります。
中国の国家支援を受けた高度標的型攻撃(APT)グループであるSalt Typhoonは、今四半期において最も重大な脅威の一つでした。
その標的は北米の通信事業者、政府ネットワーク、商用ITサービス、そして防衛関連組織に集中しており、社内ネットワーク内部に比べて可視性が低くなりがちなエッジ側インフラを明確に好んで狙っています。
ここで挙げたことに、目新しいものは何もありません。私たちに欠けていたのは、一貫した実行力です。
組織は、ルーター、ファイアウォール、VPNコンセントレーター、SD-WANコントローラーなど、インターネットに面したネットワークインフラについて、不正な設定変更、想定外のファームウェアバージョン、異常な管理アクセスがないかを確認すべきです。
さらに、インターネットに公開されたシステムについては、標準的な30日周期を大幅に下回るまでパッチ適用サイクルを短縮してください。
最後に、管理プレーンを単なる利便性の高いエンドポイントとしてではなく、機密性の高い資産として扱ってください。そして、インフラのセグメント分割も忘れずに行ってください。
セキュリティ対策は突破されるものと想定する
今四半期最後のテーマとして、攻撃者は個々のセキュリティ対策に正面から挑むのではなく、それを迂回することで成功を収めています。つまり、組織がこれまで多大な時間をかけて導入してきた対策の多くが、実際には迂回されているのです。
ConsentFixは、第2四半期においてこれを最も鮮明に示す事例です。
この攻撃はブラウザ内で完結し、エンドポイント上でのコード実行を一切必要とせず、認証情報を盗む代わりに、既に認証済みのセッションからOAuth認可コードを窃取することで、フィッシング耐性を持つ認証方式さえも無効化してしまいます。
認証情報のフィッシングを封じるために導入されたパスキーやFIDO2キーも、そもそも盗み取るべき認証情報が存在しないため、ここでは何の防御にもなりません。
ここから得られる教訓は、特定の一つの対策が失敗したということではなく、そもそも単一の対策だけで十分になることは決してなかった、ということです。
セキュリティチームは、あらゆる攻撃を阻止できる万能の対策を探すことに力を注ぐのではなく、侵入をより早期に検知し、侵害をより迅速に封じ込め、より効果的に復旧し、ユーザー・システム・業務プロセス全体にわたって信頼を継続的に検証する、多層的な防御へと重点を移す必要があります。
今、私たちが立つ地点
この脅威の状況を特徴づけているのは、必ずしも攻撃(あるいは攻撃者)の高度化そのものではありません。
むしろ、攻撃者が攻撃ライフサイクルのあらゆる段階で信頼を悪用しているという事実であり、攻撃者の能力と防御側の対応速度との間の差は広がり続けています。
この環境を乗り切るのに最も適した立場にあるのは、セキュリティを定期的なコンプライアンス確認作業ではなく、継続的な運用上の取り組みとして扱う組織です。
技術的な悪用と人的な悪用の境界線は、今や消失しつつあります。
両者を別個の問題として扱っているプログラムは、攻撃者がすでに先へ進んでしまった昨日の脅威モデルを、今なお守り続けているに過ぎません。
翻訳元: https://www.esecurityplanet.com/threats/attackers-are-exploiting-trust-in-2026-not-just-technology/