サイバー攻撃者は、気付かれないうちに活動の仕方を変えつつあります。そして最新のPicus Red Report™ は、もはや混乱を引き起こすことが目的ではないことを示しています。
システムを暗号化したり即時の混乱を引き起こしたりするのではなく、Picus Securityは、攻撃者が企業環境内でのステルス性、持続性、長期的なアクセスを優先していることを明らかにしました。
「2026年版Red Reportは、『スマッシュ・アンド・グラブ』型サイバー犯罪の時代が終わり、『デジタル・パラサイト』の時代が始まったことを確認しています」と、Picus Security共同創業者でPicus LabsのVPであるスレイマン・オザルスラン博士は、eSecurityPlanetへのメールで述べました。
さらに同氏は、「私たちは戦略的な転換を目の当たりにしています。攻撃者は即時の破壊を捨て、静かな持続性を選びました。
オザルスラン博士は、「ランサムウェアによる暗号化は38%減少し、その代わりに、上位の攻撃手口の80%が回避と、見えない長期アクセスの維持に割り当てられている状況へと置き換わりました」と説明しました。
また同氏は、「現代の攻撃者はもはやドアを破って侵入するのではなく、ただログインしているだけです」とも付け加えました。
攻撃者行動の変化
Picusは、2025年を通じて企業環境で観測された110万件超の悪性ファイルと1,550万件の攻撃者アクションに関する広範な分析に基づいて本レポートを作成しました。
データは、攻撃者の優先順位が明確に変化していることを示しています。ランサムウェアの暗号化活動は38%減少した一方で、ステルス性、持続性、長期アクセスを目的とした手法は大幅に増加しました。
Picus Labsによると、最も頻繁に観測される攻撃者手法のおよそ80%は、即時の混乱ではなく、回避、持続、アイデンティティ悪用に焦点を当てています。
攻撃者は新たなエクスプロイトの種類を持ち込むのではなく、確立された手法を洗練させ、通常の企業運用にシームレスに溶け込むようにしています。
3年連続で、プロセスインジェクション(T1055)が最も一般的な手法としてランクインし、分析したマルウェアサンプルの30%に出現しました。
正規で信頼されたプロセスに悪性コードを注入することで、攻撃者は通常のシステム活動を装って動作でき、従来のエンドポイント制御による検知の可能性を低減します。
回避手法も、自動化されたセキュリティパイプラインに直接挑む形へと進化しています。
仮想化およびサンドボックス回避(T1497)は急増し、2025年に観測された手法の中で4番目に多いものとなりました。
現代のマルウェアは、解析環境で実行されているかどうかをますます確認し、特徴的な指標を検知すると実行を抑制します。
Picus Labsは、LummaC2のようなマルウェアファミリーを取り上げ、幾何学的計算を用いてマウス移動パターンを分析し、人間の操作と自動サンドボックスを区別することを示しました。
挙動があまりに正確または人工的に見える場合、マルウェアは休眠状態を保ち、誤った安心感を生み出します。
アイデンティティの悪用は、この持続性重視の戦略を支えるもう一つの基盤要素です。
パスワードストアからの資格情報(T1555)は、分析した攻撃の約4分の1に出現し、アイデンティティ—従来のネットワーク境界ではなく—が主要な標的になっているという考えを裏付けています。
攻撃者が有効な資格情報を入手すると、正規ユーザーとして認証し、システム間を水平移動し、最小限の抵抗でアクセスを維持できます。多くの場合、長期間にわたり日常的なユーザー活動に紛れ込みます。
組織がリスクを低減する方法
攻撃者の戦術がステルス性と持続性をますます重視する中、組織は通常の運用に溶け込む活動を検知できるよう、防御を調整する必要があります。
正規のツール、資格情報、信頼されたインフラを悪用する脅威は、従来のセキュリティ制御だけでは確実に表面化しない可能性があります。
以下の対策は、セキュリティチームが可視性を高め、潜伏期間を短縮し、対応能力を強化するために取れる実践的な手順を示しています。
- プロセスインジェクションやサンドボックス回避などのステルス手法を含め、実際の攻撃者の行動に対してセキュリティ制御を継続的に検証する。
- 監視:資格情報、アイデンティティ、正規ツールの異常な使用を監視し、有効ユーザーとして活動する攻撃者を検知する。
- 最小権限アクセス、資格情報の衛生管理、アイデンティティ脅威検知・対応(ITDR)機能により、アイデンティティセキュリティを強化する。
- エンドポイントおよびシステムで行動ベースラインを確立し、持続化やなりすましに関連する微妙な逸脱を特定する。
- クラウド、ネットワーク、ハードウェア層全体の可視性を向上させ、信頼されたサービスやデバイスを経由するC2(コマンド&コントロール)活動を検知する。
- 管理ツール、スクリプト環境、リモートアクセス機構を制限し、監視して、正規機能の悪用を抑える。
- インシデント対応計画を定期的にテストし更新して、チームが低ノイズで持続性重視の侵入を特定・封じ込め・復旧できるようにする。
これらの対策を組み合わせることで、組織は微妙な攻撃者行動をより早期に検知し、長期的な持続化を抑え、通常の運用に溶け込むよう設計された脅威により効果的に対応できます。
攻撃者が溶け込むとき
本レポートは、多くの攻撃者が即時の混乱ではなく、静かで長期的なアクセスを優先していることを示しています。
信頼されたツール、有効な資格情報、見慣れたインフラに依存することで、攻撃者は通常の運用に溶け込み、潜伏期間を延ばすことができます。
この変化に対処するため、セキュリティチームは、継続的な行動可視性、防御の継続的検証、そしてより強固なアイデンティティ制御に注力し、低ノイズ活動の検知と対応を改善する必要があります。
アイデンティティと信頼に基づく悪用へのこのシフトにより、組織はユーザー、デバイス、サービス全体における暗黙の信頼を低減するゼロトラストソリューションの評価を進めています。
