2025年には、攻撃者の潜伏時間が増加し、音声フィッシングがメールフィッシングを上回り、脅威行為者がバックアップおよびアイデンティティシステムをますます標的にするようになった。これはMandiantの最新インシデント対応データによるものである。
本日RSA Conferenceで発表されたMandiantのM-Trends 2026レポートは、攻撃者がより速く動き、より協力的に活動し、組織が侵害から回復するために依存するシステムに対してますます焦点を当てていることを示しています。
レポートは、2025年の50万時間以上のインシデント対応業務に基づいており、攻撃者が攻撃ライフサイクルの主要段階を圧縮している一方で、中央値の潜伏時間は前年の11日から14日に増加したことを示しています。
さらに、戦術に変化が見られます。音声フィッシングは初期感染ベクトルの11%を占め、エクスプロイト(32%でリード)に次ぐ2番目に一般的なエントリーポイントとなりました。メールフィッシングは前年の14%から6%に低下し、より対話的なソーシャルエンジニアリングへの移行を反映しています。これらの傾向を合わせると、攻撃の展開速度と攻撃者が内部侵入後に達成しようとしていることの両方における転換を指しています。
また、速度と持続性の間の不均衡の増加を浮き彫りにしています。一部の攻撃段階は数秒で展開されるようになっている一方で、その他はより長期化しています。外部通知を通じて特定されたインシデントの中央値潜伏時間は25日でしたが、内部で検出されたものは9日で、内部検出の改善を示している一方で、特に複雑な環境での可視性の継続的なギャップを指摘しています。
同時に、攻撃者は目的を洗練させています。ランサムウェア関連の侵入は調査の13%を占めた一方で、恐喝行為は23%のケースに出現しました。データ盗難は前年の37%からわずかに増加し、インシデントの40%で観察されました。
Google CloudのMandiant Consultingバイスプレジデント、Jurgen Kutscherがレポートに添えたブログ投稿で述べているように、財務的な動機を持つグループは「即座の影響と意図的な復旧否定に最適化」されている一方で、国家支援の脅威行為者などの他の行為者は長期的な永続性に焦点を当てています。
攻撃タイムラインが圧縮され脅威行為者が特化
最も重要な発展の1つは、ハンドオフ操作の台頭です。ここでは、1つの脅威行為者が初期アクセスを取得し、別の脅威行為者(多くの場合ランサムウェアグループ)に迅速に譲渡します。この転換の主要な推進力は、Mandiantが「サイバー犯罪エコシステム内での専門化と協力の増加」と説明するものです。
その転換の速度は劇的に変わりました。「2022年には、初期アクセスイベントと二次脅威グループへのハンドオフ間の中央値時間は8時間以上でした。2025年には、その時間帯は22秒にまで縮小しました」とKutscherは述べています。
先行する侵害、つまり別の脅威行為者からアクセスを継承することは、世界的には初期感染ベクトルのおよそ10~13%を占め、ランサムウェア操作では最大30%でした。防御者にとって、かつては低優先度と思われていたアラートは、ほぼ即座に本格的なインシデントにエスカレートする可能性があります。
エクスプロイトが初期感染ベクトルの先導を32%で維持している一方で、レポートはより適応的なソーシャルエンジニアリングへの転換を強調しています。音声フィッシングは急速に上昇し、メールフィッシングは引き続き低下し、大量キャンペーンからリアルタイム対話への移動を示唆しています。
Mandiantのデータは、メールフィッシングが2025年の侵入のわずか6%に低下したことを示しています。その代わりに、敵はきわめて対話的な音声ベースのソーシャルエンジニアリングへと転向しました。
攻撃者はまた、メッセージングプラットフォームとソーシャルメディアを使用して標的に直接関与し、ヘルプデスクプロセスやアイデンティティ検証ワークフロー操作を通じて技術的制御をバイパスしています。レポートは、攻撃者がSaaS環境を悪用し、トークンと認証情報を収集して、組織とそのパートナー全体で横方向に移動する方法を強調しています。
AIが初期段階の攻撃を加速するが、結果は加速しない
人工知能がこれらの変化に寄与していますが、成功した侵害の主要な推進力ではありません。レポートは、攻撃者が大規模言語モデルを使用してフィッシング、偵察、および回避を改善し、初期段階の操作の効率を上げていることを示しています。
同時に、成功した侵入の根本的な原因は変わらません。「成功した侵入の大多数は依然として基本的な人的エラーとシステムの失敗に由来している」とKutscherは述べています。
AIは既存の攻撃方法を加速させており、それらを置き換えるのではなく、CISOがパッチング、アイデンティティセキュリティ、および可視性の永続的なギャップに対処する必要性を強化しています。
ランサムウェアが復旧否定へシフト
ランサムウェアの戦術は進化しています。暗号化とデータ盗難は引き続き中心的であり、攻撃者は組織の回復能力を損なうことにますます焦点を当てています。2025年に、Mandiantはランサムウェア操作者がバックアップインフラストラクチャ、アイデンティティサービス、および仮想化管理プレーンを積極的に標的にするシステム的転換を観察しました。
復旧否定へのこのシフトは恐喝のダイナミクスを変えます。回復能力を侵害または破壊することで、攻撃者はバックアップが存在していても被害者が支払う可能性を高めます。「現代的なランサムウェアは現在、基本的な復旧力の問題であり、組織を支払うか再構築するかの選択に強制している」とKutscherは述べています。
持続性の改善に伴い潜伏時間が増加
中央値の潜伏時間の増加は、特に諜報活動および北朝鮮のIT労働者スキームに関連した活動における永続性への広範なトレンドを反映しています。これらのケースでは、中央値潜伏時間は122日に達し、一部の攻撃者が即座の影響ではなく長期アクセスに最適化している方法を示しています。
攻撃者はまた、監視インフラストラクチャのギャップを悪用しています。レポートは、一部の脅威がほぼ400日の潜伏時間を達成していることに注目しており、ログ保持の制限とエッジデバイスの監視に結びついた永続的な可視性の課題を強調しています。
検出は改善されるが、ギャップは残る
Mandiantの研究は、2025年に52%の組織が内部で侵入を検出したことを示しており、前年の43%から増加しました。外部通知は検出の34%を占めた一方で、攻撃者が最初に開示したのはインシデントの14%でした。
内部検出は改善されていますが、外部の当事者と敵の開示への依存は、特にハイブリッドおよびクラウド環境における継続的な可視性ギャップを強調しています。
CISOが優先すべきこと
Mandiantの推奨事項は、静的防御から、より速く、より適応的な対応モデルへの転換を反映しています。
1つの重要な推奨事項は、セキュリティチームがアラートトリアージを再考する必要があるということです。ハンドオフ時間が現在秒単位で測定されているため、低レベルの検出は日常的なノイズとして扱われることはできなくなりました。孤立したアラートに見えるかもしれないものは、二次侵入の開始を示唆している可能性があり、攻撃者がハンズオンキーボード活動に移行する前に即座のアクションが必要です。
組織はまた、コアインフラストラクチャ(アイデンティティシステム、バックアップ環境、および仮想化プラットフォーム)を重要な制御プレーンとして扱う必要があります。これらは現在、復旧を損なおうとしている攻撃者の主要な標的であり、隔離され、厳密に制御され、Tier-0資産として保護される必要があります。
アイデンティティが中央の戦場になりつつあります。対話的なソーシャルエンジニアリングが従来のMFAをバイパスするため、組織は継続的なアイデンティティ検証、より厳格な特権制御、およびSaaS統合に対するより厳密なガバナンスが必要です。
攻撃者が正当なツールおよびメモリ内マルウェアに依存するようになるにつれて、検出戦略も進化する必要があります。静的インジケータはあまり効果的ではなく、異常なアクセスパターン、疑わしいAPI活動、または認証トークンの悪用などのアノマリーをフラグするための行動検出への転換が必要です。
最後に、可視性ギャップは永続的な問題のままです。ネットワーク、クラウド、および仮想化環境全体でのログ保持の拡張とテレメトリの一元化は、長時間実行されている侵入を検出し、その完全なスコープを理解するために重要です。
