サイバー犯罪はもはや単なる技術的脅威ではなく、専門化され、絶えず拡大し続ける、完全に確立されたグローバル経済となっている。CISOは、限られた予算と人材の中で、ますます高度化し資金力もある犯罪組織に直面している。
サイバー犯罪者は、正当な企業に似た組織モデルを持つ、構造化された犯罪グループを築き上げてきた。Bitdefenderのテクニカルソリューション担当ディレクターであるMartin Zugec氏によれば、「サイバー犯罪は産業化し、投資対効果(ROI)志向の経済となり、スピードと収益化に焦点を当てている」という。
Zugec氏は、サイバー犯罪グループのこの手口は、高度な専門化によって特徴づけられると説明する。そこには、初期アクセスブローカーや、ランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトなどが含まれる。「今日、洗練度はツールの複雑さではなく、実行チェーンの単純さとスピードで測られる」とZugec氏は言う。
この変化は、脅威検知ベースのアプローチから、予防に重点を置くアプローチへの転換を求める。「検知は攻撃者が日常的に回避するコモディティになっており、組織は反応的な監視を超えなければならない」とZugec氏は述べる。「目標は、攻撃者のプレイブックを崩し、成功に必要な運用空間を排除するプロアクティブなハードニングによって、内部環境を本質的に攻撃者にとって敵対的なものにすることだ。」
サイバー犯罪のビジネスは新しいものではない
WatchGuard Technologiesで南欧担当のセールスエンジニアリングディレクターを務めるGuillermo Fernández氏は、「サイバー犯罪は何年も前から産業として機能しており、つまり専門化が進み、攻撃はモジュール化されてきた」と語る。
実際には、単一の攻撃者がすべてを知っている必要はもはやなく、犯罪は専門領域に分割されている(資格情報を盗んで転売する者、ランサムウェアを開発・保守する者、インフラや交渉を提供する者など)。そして、ランサムウェア・アズ・ア・サービスの例に見られるように、これらすべてがサービスとしてのモデルにパッケージ化されている。「これにより参入障壁が下がり、攻撃コストが低下するため、キャンペーンが増え、量も増大している理由が説明できる」とFernández氏は言う。
さらにAIは、偵察、欺罔のパーソナライズ、プロセスの一部の自動化など、いくつかのフェーズやタスクの規模と高度化を加速させるのに役立っている。
その規模はどれほどか。「サイバー犯罪の世界経済への影響は10兆ドル近い。もしそれが一国の経済だとすれば、米国と中国に次ぐ世界三大勢力の一つになる。組織にとってこれは、インシデントに反応するだけでは不十分だということを意味する。防御も同じビジネスアプローチを取らなければならない。すなわち、予測、リスク管理、業務継続、そして設計段階からのレジリエンスだ」と、Fibratelのサイバーセキュリティ部門/fsafeのディレクターであるJuan Francisco Moreda氏は語る。
その結果、サイバー犯罪は完全に産業化された犯罪経済になったとMoreda氏は述べる。「今日、私たちが話しているのは、高度に専門化された組織であり、サービスとしてのモデル(ランサムウェア、フィッシング、マルウェア)、独自のサプライチェーン、そして収益性とスケーラビリティへの明確な焦点を持っている。」
そのため、Ingram Micro SpainでAdvanced Solutionsディレクターを務めるMartín Trullás氏,は、サイバー犯罪は、よく組織化された構造、さまざまな専門職プロファイル、短期・長期の目標、そして新技術や新戦略でモデルを改善し、作戦の成功を達成するための資金調達を備えて運営されていると考えている。
「サイバー犯罪者はもはや、コンピュータスキルと手っ取り早く簡単に金を稼ぎたいという欲求を持つ孤立した個人ではなく、場合によっては国家の支援があるように見えるアクターであり、経済・デジタル領域を超え、しばしば地政学の領域に入り込む闘争の一部として利用されているように見える。」
しかし同氏の見解では、依然として目的が金銭やデータであり、それを第三者に転売して利益化する単純なサイバー犯罪ギャングも存在する。「起きているのは、より強力な技術へのアクセスが改善され、運用を効率化できるようになったことだ。より高速に、そして大規模かつスケーラブルに攻撃できる。これによりサイバー防御のアプローチが変わる。企業やユーザーに異なるレベルの『盾』を装備させ、攻撃が来るのを待って撃退するという反応的な姿勢ではもはやいられず、行動を起こさなければならない」とTrullás氏は付け加える。
そのためTrullás氏は、最良のサイバー防御戦略は、受動的なセキュリティと、企業またはユーザーのデジタルエコシステム全体の能動的な監視を組み合わせ、インシデントの検知と対応に要する時間を短縮して被害を抑えるべきだと考えている。
セキュリティ戦略の進化
ReeVoのグローバル・サイバーセキュリティ責任者であるAlessandro Armenia氏は、現在の状況では3つの重要な側面が浮かび上がっていると考えている。「第一に、攻撃はもはや孤立した出来事ではなく、協調的で、場合によっては自動化された作戦であり、しばしば組織内部(例えば人的ミスや露出した資格情報)に起因する。第二に、時間要因が決定的な役割を果たす。今でも多くの企業は、手遅れになってから攻撃を受けていることに気づく。最後に、攻撃対象領域は、企業がそれを管理する能力よりも速く拡大している。」
その結果、防御戦略も進化しなければならない。「コンプライアンスや単発の介入だけに基づくことはできず、継続的で、構造化され、レジリエンス志向でなければならない」とArmenia氏は説明する。
そしてそれは、企業が攻撃対象領域を管理するために必要なツールを持っているにもかかわらず、である。「彼らがしばしば失敗するのはガバナンスモデルだ。サイバーセキュリティは依然として、時間をかけた一連の孤立したコンプライアンス演習として扱われており、まさにその演習と演習の間の隙間で、攻撃者は侵入して攻撃を実行できてしまう。」
なぜなら現実として、IT停止が深刻な問題になるのは、企業に計画がないときだからだ。「準備された組織は、定義されテストされた手順を備えており、数分で復旧できる。準備ができていない組織は、数時間、数日、場合によっては評判を失うリスクを負う」とArmenia氏は結論づける。
その結果、サイバー犯罪者は企業に似た組織モデルを持つようになった。「これらのグループには、組織の規模に応じてさまざまなタイプのプロファイルが存在する。協調チームで働くより技術的な人材から、交渉が必要な場合に被害者対応を担うより商業的な人材までだ」と、Trend Microのシニア脅威リサーチャーであるDavid Sancho氏は警告する。
さらにSancho氏は、ビジネスの世界で言えばチャネルやマーケティングに相当する、作成した製品をパートナーや顧客に販売する担当者がいることも多いと説明する。「これはすでに現実だ。」
確立されたグループ
Infinigate IberiaのプリセールスエンジニアであるAbraham Vázquez氏は、DragonForceやAnubisといったグループ, を例に挙げ、「インフラ、管理パネル、テクニカルサポート、そしてさまざまな恐喝モデルを提供する、真の犯罪サービス提供者として活動している。非常に断片化されたエコシステムだが、同時に非常にレジリエントで、迅速に適応し再生できる」と述べる。
これにより同氏は、防御における主な含意は、最終的な攻撃に反応するだけではもはや不十分だという結論に至る。「攻撃の初期段階から影響を限定するために、セキュリティの中心的柱としてアイデンティティを強化し、適切な資格情報衛生を優先し、より高いテレメトリ能力と迅速な封じ込めメカニズムを整備して、犯罪チェーン全体を分断する必要がある」とVázquez氏は付け加える。
そして見通しは明るくない。「世界経済フォーラムによれば、サイバー犯罪経済は成長を続け、2027年までに23兆ドルに達する。産業化されたランサムウェア、自動化された詐欺ネットワーク、そして収束する犯罪モデルがこの成長を牽引する」と、Fortinet IberiaのシステムズエンジニアリングディレクターであるGorka Sainz氏は語る。
AIと自動化の役割
CyberProofUSTのSalvador Sánchez Taboada氏は、「AIは犯罪経済の新たな燃料だ。攻撃をマーケティングキャンペーンのようにスケールさせることができる」と主張する.
ビジネスの状況を一瞥するだけで、人工知能が犯罪経済の規模を実際に増幅する要因になっていることが分かる。Abraham Vázquez氏が述べるように、オンデマンドで極めて粒度が細かくパーソナライズされたフィッシングキャンペーンを生成できるようになった。「これには、経営幹部のディープフェイクから、WormGPTやFraudGPTのようなツールに支えられた、より回避的なマルウェアまで、あらゆるものが含まれる。これらの能力のおかげで、攻撃はより信憑性が高く、検知が難しく、複製が容易になっている。」
例として、CrowdStrikeのThreat Hunting レポート2025は、サイバー犯罪者がAIエージェントを構築するために使われるツールを標的にしている様子を明らかにしている。「彼らの目的はアクセスを得て、資格情報を盗み、マルウェアを展開することだ。これは、自律システムと非人間のアイデンティティが、今日の企業の攻撃対象領域の重要な一部であり、大規模な自動化攻撃を可能にする要因として拡大していることを浮き彫りにしている」と、CrowdStrikeのテクノロジーストラテジストであるÁlvaro del Hoy氏は語る。
これに加えて、犯罪グループは生成AIをランサムウェアに直接統合しており、「それを用いて亜種を自動生成し、攻撃実行、被害者との交渉、恐喝戦略といったプロセスを最適化している」とAbraham Vázquez氏は述べる
一方で、自動化はアクセス、ライフサイクル、権限プロセスを効率化する鍵だが、攻撃者がアイデンティティと特権を大規模に悪用しようとしていることも認識していると、CyberArkでイベリア担当セールスディレクターを務めるAlbert Barnwell氏は語る。
「これは、攻撃側の自動化によってサイバー犯罪者がより速く動き、侵害されたアイデンティティを摩擦なく悪用できることを意味する。したがって組織は、防御側の自動化、とりわけアイデンティティのライフサイクル、権限、権利の管理において対応しなければならない」とBarnwell氏は付け加える。
Guillermo Fernández氏によれば、オーケストレーションによって攻撃サイクル全体を自動化できる段階にすでに到達しつつある。企業とその従業員を調査するエージェント(ソーシャルメディア上の足跡、関心、潜在的弱点を含む)、高度に標的化され説得力のあるフィッシングを生成する別のエージェント、そしてマルウェア感染へと至るチェーンである。「そこからマルウェア自体が環境を学習し、企業内にどのようなツールや防御があるかを把握して、手法を調整し影響を最大化できる」と同氏は言う。
そしてこれは初期アクセスにとどまらず、恐喝さえ自動化できる。身代金交渉でさえ、支払いを引き出すために、応答に基づいて言説や条件を適応させるボットが行うことが可能だ。
Martin Zugec氏は、AIは攻撃者にとって魔法の弾丸ではないと言う。言語の壁を取り払い、誘い文句の品質を改善することでソーシャルエンジニアリング攻撃のスケールに大きく寄与してきた一方で、侵入の重い作業にはこれらのツールは特に有用ではない。
「AIが脆弱性研究やエクスプロイト開発において人間の専門性をうまく置き換えているという証拠はほとんど見られない。RaaSエコシステムは信頼と人間の創意工夫に依存している。成功する攻撃の主な推進力は、依然として手動で動き、複雑なネットワークを渡り歩くハッカーとアフィリエイトだ。問題は、理論上AIが何をできるかではなく、経済的観点から意味があるかどうかだ。プロの脅威アクターにとって、AIフレームワークの管理、調整、保護にかかるコストは、従来の実証済みハッキング手法に対する効率向上分をしばしば上回る」とZugec氏は詳述する。
2026年の主な脅威と攻撃ベクトル
現在の地政学的状況も楽観を許さない。Serval Networksでプリセールスおよび事業開発責任者を務めるCarlos Castañeda-Marroquin氏は、「2026年には地政学的緊張に起因するハイブリッド脅威が増加し、サイバー空間が国家および関連グループ間の経済・戦略的対立の延長として利用されるだろう。これは、重要インフラと主要産業セクターの双方を標的とする、諜報、デジタル破壊工作、偽情報キャンペーンへとつながる」と考えている。
FactumのオペレーションディレクターであるDavid López García氏によれば、資格情報やトークンの窃取、インフォスティーラーの使用、正当なアクセスの悪用に加え、マルウェアを使わない手法やハンズオンキーボード活動への重点が、ここ数カ月で勢いを増している。これらは多くの場合、ランサムウェアと恐喝へと発展するシステム侵入につながり、攻撃サイクルはますます短く、自動化され、運用面・経済面への影響を明確に狙うものになっている。
López García氏はまた、2026年には拡張された境界と第三者との関係が重要性を増すと警告する。「露出面が広がることで、サイバー犯罪者は設定、アイデンティティ、外部依存関係を悪用する機会をより多く見いだし、サプライチェーンにおける侵害を見つける可能性も高まる。」
その結果、組織にとっての課題は、もはや自社システムを守ることだけではなく、相互接続されたデジタルエコシステムを効果的に統治することへと移っている。そこでは信頼が最も重要な資産の一つとなり、堅牢なソリューションや協力者を持つことが運用上の必須要件となる。
攻撃ベクトルに関してGuillermo Fernández氏は、リモートアクセスやVPNにおける脆弱性と弱い設定が引き続き目立つほか、SaaSツール(アカウント、権限、連携)の侵害も顕著になると考えている。「そして人的側面では、高度なフィッシングや画像・音声のディープフェイクによりソーシャルエンジニアリングがさらに効果的になり、詐欺リスクが増大する。同様に、なりすましと初期アクセスが増えるだろう。WatchGuardはまた、2026年が、エージェントベースのAIによりオーケストレーションされたエンドツーエンド侵害の初年度となり、攻撃側の自動化が『マシンスピード』に到達する可能性があると予測している」とFernández氏は言う。
企業はサイバー防御に十分投資しているのか?
Sophos X-Opsの脅威インテリジェンスディレクターであるRafe Pilling氏によれば、予算だけでなく、ロードマップを定義し、主要指標を理解し、成熟度目標へ進化するための戦略的リーダーシップと能力の可用性にも影響する「サイバーセキュリティ貧困ライン」は、既存の問題である。「サイバーセキュリティ市場の好調は、実際のリスクと経営層の認識との根本的なギャップを解消しない。Sophosは、2026年に最も深刻な混乱の多くは高度な手法の結果ではなく、完全に予防可能な基本的セキュリティ衛生の失敗によって起きると予測している」と同氏は説明する。
Pilling氏は、企業にCISOがいること自体が今や贅沢であり、専門人材不足の深刻さを示していると主張する。企業はサイバーレジリエンスを、技術的課題としてだけでなく、経営レベルの戦略的優先事項として理解しなければならない。利用可能な能力と現実の脅威とのこのギャップが、ほとんどの組織が、高度に産業化された犯罪エコシステムに対して効果的に自衛するために必要な可視性、統制、専門性を欠いている理由を説明している。
明らかなのは、サイバー脅威が増大するにつれ、組織はセキュリティ攻撃が単なる可能性ではなく確実性であるという現実に直面していることだ。「同時に、世界的に470万人以上の有資格専門家が不足していると推定されており、これは最も必要なときに重要なセキュリティ職が埋まっていないことを意味する」とGorka Sainz氏は言う。
「有効性には依然として明確なギャップがある」とAbraham Vázquez氏は述べる。同氏の見解では、「多くの組織はいまだにリスク露出に対する真の可視性を欠き、取締役会は防御能力への信頼が限定的であり、第三者は引き続き大きな役割を果たしていて、セキュリティ侵害のおよそ30%に関与している」という。
一方で、環境の複雑さ(ハイブリッド、SaaS、マルチクラウド)とアイデンティティ制御の成熟度の間には依然としてギャップがある。同様に、多くの組織はいまだにインテリジェントな特権制御を一貫して適用しておらず、アイデンティティと権限のライフサイクルを自動化する必要性は、現在の投資が常に十分であるとも、適切に的を射ているとも限らないことを示している。
そしてこのギャップはそれだけではなく、Salvador Sánchez Taboada氏が指摘するように文化的ギャップも存在する。「多くの経営陣はサイバーセキュリティを、命綱ではなく費用として見ている」と同氏は認める。スペインとラテンアメリカでは、既存のリスク計画と新たな脅威の間をAIで統合することにより、その見方を変えようとしている。レジリエンスへの投資は、家を建てる前に良い基礎に投資するようなものだ。サイクルが変わるたびに、基礎のように目に見えないものが、私たちが価値を置くすべてを支えていることを思い出させてくれる。」
支出の増加は「実際のリスクに対処するのではなく、マーケティングに煽られたAIの誇大宣伝や、奇跡のように謳われるソリューションに流れがちだ」とMartin Zugec氏は主張する。そのため同氏は、攻撃者が、LOTLやClickFixのような、より単純で検知しにくい手法へと進化してきたと考えている。これらは正当なシステムツールとユーザー操作を武器化し、セキュリティ層を回避する。
「防御側が投資する場所と、攻撃者が進化する方向とのこの乖離は危険な傾向であり、実際のフォレンジック調査の所見と、専門ネットワークで広まるナラティブを比較すると明確に見て取れる。この乖離は無謀だ」と同氏は警告する。
CISOの優先事項
この状況において、CISOは防御戦略を継続的に再考せざるを得ない。「強固な社内チームと適切な予防ツールを持つことに加え、より包括的にサイバーリスクを管理できる信頼できるテクノロジーパートナーや保険会社で、これらの能力を補完する必要性が高まっている」と、StoïkのサイバーセキュリティディレクターであるVincent Nguyen氏は語る。
攻撃者が専門化し、作戦をスケールさせるにつれ、Nguyen氏は、効果的な防御には、先進的なサイバーセキュリティソリューション、サイバー保険によるリスク移転、そしてインシデント発生時の運用支援を組み合わせた、プロアクティブで統合的なアプローチが必要だと考えている。「リスクを横断的に捉える戦略的パートナーは、攻撃の前・最中・後に組織に伴走し、社内のセキュリティリーダーシップを置き換えることなくレジリエンスを強化できる」と同氏は付け加える。
いずれにせよ、Martín Trullas氏は、CISOにとって唯一の勝利戦略があるわけではなく、異なる領域に焦点を当てた複数の戦略の集合であると認める。「一方では、アイデンティティセキュリティを強化しなければならない。より深刻な攻撃への入口になり得るからだ。そしてこのアイデンティティセキュリティは、もはや『人間のアイデンティティ』としてだけ理解されるべきではなく、接続されたデバイスのアイデンティティにも焦点を当てなければならない。これも攻撃ベクトルになり得る」と同氏は説明する。
「同時に、企業内で組織面と意識面の変革を実施する必要がある。適切なガバナンス、全従業員へのサイバーセキュリティ教育、リスク低減のためのベストプラクティスの促進、そして攻撃発生時の検知・対応時間を短縮するためのプロアクティブ文化だ。これらのプロセスには会社全体が関与しなければならない。サイバーセキュリティをCISOや担当部門だけの責任にしてしまうのは、非常に高くつく可能性のある誤りだ。」
もちろん、これにはCISOが適切なリソースを持つことが必要だ。「しかし彼らにとっては容易ではなく、しばしば非現実的な期待が、燃え尽きの兆候を引き起こしている」と、Proofpointのスペインおよびポルトガル担当ゼネラルマネージャーであるFernando Anaya氏は言う。
Anaya氏は次のデータを挙げる。「スペインでは、セキュリティ管理者の51%が、目標を達成するために必要な手段が依然として不足していると述べている。同様に、インシデント対応能力を強化することが極めて重要だ。特に、スペインの組織の3分の1が準備不足を認めていることを考えるとなおさらである。また、ユーザーをただ信頼するだけにとどまらず、データ損失を減らすための具体的で効果的な行動を含む、サイバーセキュリティ文化を醸成するために、はるかにプロアクティブなアプローチが必要だ。これらのリソース制約が、急速に変化する脅威環境と組み合わさることでCISOへの圧力は増大しており、必要な支援と適切な意思決定を確保する共有ビジョンを求めて、組織の取締役会と戦略的に足並みを揃えることが不可欠になっている。
同時に、Abraham Vázquez氏は、ゼロ–トラストモデルと境界のハードニングを前進させ、レガシーVPNを排除し、エッジ環境でのパッチ適用プロセスを加速すること、さらに不変バックアップと隔離された復旧環境によって実証済みのレジリエンスを確保することが不可欠になると考えている。「SOARおよびAIプラットフォームに支えられた検知と対応の自動化により、検知から封じ込めまでのサイクルを効率的に閉じることができ、対応時間を効果的に短縮できる。これに加えて、サイバーセキュリティ態勢の継続的評価と、最小限だが関連性のあるテレメトリに基づく、より成熟した第三者およびサプライチェーン管理の必要性がある。」
「支払いを伴わないランサムウェア攻撃、経営陣のディープフェイクを用いた詐欺、重要サプライヤーの停止など、現実的なシナリオを考慮した社内危機管理演習を実施することが鍵となるだろう。」
