ハッカー攻撃はAIによって大幅に加速されています。ある調査によると、悪用されるまでの時間は72分に短縮されています。
andrey_l – shutterstock.com
AIの登場により、サイバー攻撃に必要な時間が大幅に短縮され、人間の防御者がついていけなくなっています。これはPalo Alto Networksの2026グローバルインシデント対応レポートのやや予想通りの結果です。この調査では、Unit-42の研究チームが50カ国の750件のインシデントを分析しました。
分析された最速の攻撃では、犯人は最初のアクセスからデータ流出まで72分以内に到達しました。これは2024年の約5時間と比較されます。「これは脆弱性の検出、フィッシング、実行に必要な時間を短縮するAIの能力によってますます説明できます」と研究報告書に記載されています。
基本的なセキュリティ上の欠陥がサイバー攻撃を助長します
しかし、研究結果をより詳しく見ると、危険はどこかほかにあります。企業に本当に害をもたらすのは、迅速に行動する攻撃者やAIではなく、弱い認証、リアルタイム透過性の欠如、複雑な多数のセキュリティシステムによる設定ミスなどの基本的な欠陥です。
理論的には、これらすべての問題は解決可能です。分析の著者は次のように指摘しています。「私たちが観察している速度と自動化にもかかわらず、ほとんどのインシデントは根本的に新しいものから始まります。同じ隙間が何度も出現します。多くの場合、攻撃者は洗練されたエクスプロイトに頼らず、見落とされた脆弱性に頼っていました。」
アイデンティティ紛争と複雑さ
繰り返し出現するテーマは、多くの企業がアイデンティティと信頼に関して持つ紛争です。研究チームは、これが調査された90%のインシデントで役割を果たしていることを発見しました。攻撃者の戦術には、ソーシャルエンジニアリング(33%)、アイデンティティベースのフィッシング(22%)、認証情報の悪用とブルートフォース攻撃(21%)、およびインサイダー脅威(8%)が含まれていました。
Palo Alto Networksが分析した680,000のクラウドユーザー、ロール、サービスのうち99%では、多くのアカウントが過度な権限を持っていました。これには60日以上使用されていないアカウントも含まれていました。企業がますます多くのクラウド、SaaS、およびAIアプリケーションを追加するにつれて、セキュリティ専門家によると、アイデンティティの攻撃面は、基本的な問題が解決できるよりも速く拡大しています。
これらのアイデンティティは、ますますマシンアイデンティティ(サービスアカウント、自動化ロール、APIキー、AIエージェント)、シャドウアイデンティティ(未承認アカウント、開発環境、サードパーティ)、およびアイデンティティ「サイロ」(ローカルADとは複数のクラウドアイデンティティプロバイダー)を指しています。
「攻撃が単一の環境に限定されることはめったにありません。代わりに、エンドポイント、ネットワーク、クラウド、SaaS、およびアイデンティティ全体にわたる調整されたアクティビティを観察しているため、防御者はすべてを同時に監視する必要があります」とアナリストは述べています。
サプライチェーンはもう一つの脆弱な領域です。インシデントの23%では、攻撃者はサードパーティのSaaSアプリケーションを利用して、従来のセキュリティ管理を回避することができました。「アップストリームサプライヤーが侵害またはダウンタイムを報告した場合、顧客は基本的な質問に立ち止まって自問する必要があることがよくありました。私たちは影響を受けていますか?多くの場合、彼らは自分たちの曝露についての限定的な見通ししかありませんでした」と研究著者は報告しています。
パラダイムシフト
攻撃者が防御者より常に先を行くこの無限のサイクルに対するUnit 42の回答は、パラダイムシフトです。サイバーセキュリティは現在非常に専門的になってきており、その解決策は、抽象的な脅威ではなく実際の脅威に対抗するために、ゼロから開発された管理されたサービスを使用することにあります。
この背景から、Palo Alto Networksは新しいSOCサービスを導入しました:Unit 42 Managed Extended Security Intelligence and Automation Management(XSIAM)2.0。同社の主張によると、XSIAM 1.0を完全なオンボーディング、脅威の検索と対応、および従来のSOCよりも高速に実行される攻撃パターンのモデリングで拡張しました。
しかし、これは本当に説得力がありますか?CISOはこのメッセージを何度も聞いています:古いものはもう機能していないので、何か新しいものに投資してください。そして、常にピカピカの新しいものに置き換える必要がある古いシステムまたは古いサービスがあります。
さらに、ますます高度なSOCのアイデアが万能薬ではない可能性があります。一部の専門家は、SOC自体が最終的に従来のIT部門と同じ問題(人員不足と予算制限など)にさらされる可能性があると考えています。
Palo Alto Networksが表現しているように:「ほとんどのSOCは今日の攻撃の速度に対応するように設計されていません。」つまり:従来のSIEMやSOARなどの単なるアラート生成だけの古いツールは廃止する必要があります。最新のAI搭載SOCは「機械の速度で」対応する必要があります。(jm)
