逆ピラミッドのように、現在、様々な攻撃手法の範囲は、単一のアイデンティティ悪用という頂点の上に構築されている。
盗まれた認証情報は主要な脅威である。不正に取得された正規の認証情報は、違法な行為者に正規のアクセスを提供する。ネットワーク内に侵入すると、これらの悪意のある行為者はより大きな能力を持ってステルスで行動できる。ランサムウェア攻撃の継続的な増加がこれを証明している。
認証情報の盗難と転売は産業規模で運営されている。ますます巧妙になるインフォスティーラーの増加に支えられ、盗まれた認証情報は「ログ」に梱包され、ブラックマーケットで犯罪者に販売されている。Ontontinueは報告している。「LummaC2に関連するリスティングだけで72%急増し、高権限のクラウドコンソール認証情報は1,000~15,000ドル以上で販売されている」と報告書は述べている。
ランサムウェアは盗まれた認証情報の主要な恩恵者の1つであった。2025年を通じて7,000件以上の事件と129のアクティブなグループが追跡された。同時に、身代金の支払いは2024年の892百万ドルから2025年の820百万ドルへわずかに減少した。この見かけの矛盾は実は論理的である。
「より大きな対象、より大きな支払い可能性を持つものは、この攻撃パターンへの露出を軽減する最も積極的な企業投資(プロセスと技術)を見てきたであろう」とBugcrowdのチーフストラテジー兼トラストオフィサーであるTrey Fordは説明する。これらのより大きな対象はまた、身代金を支払わないという政府の圧力に対してより敏感であり、ランサムウェアの収入は結果として減少した。ランサムウェアグループはより多くのがより小さい企業からより小さい支払いを要求する、より多くの攻撃で対応している。
これらの悪意のある行為者は同時に痛みの閾値を増加させている。恐喝のためのデータ盗難は数年間増加しているが、現在は運用上の混乱で補完されることが多い。「エンドポイントの暗号化を超えて、攻撃者はシステムをワイプ、バックアップを削除、仮想化を妨害、OT/ICS隣接サービスを攻撃、またはアイデンティティ/管理プレーンを破壊することによって、操作する能力を混乱させる。」
現代的なランサムウェアを多層的な恐喝マシンと考えてほしい。「被害者が支払いを避けたとしても、彼らはダウンタイム、規制上の露出、第三者の中断、および長い復旧サイクルに対処している」とDarktraceのセキュリティ兼AI戦略副社長およびフィールドCISO Nathaniel Jonesは付け加えている。「脅迫者は単にターゲットのデータを身代金のために暗号化することだけに依存するのではなく、ダブルまたはさらにはトリプル恐喝戦略をますます採用し、機密データを暗号化するだけでなく、盗まれたデータをリークまたは販売することを脅迫するであろう。」
同時に、攻撃を支援するためのAIの敵対的な使用が増加している。洗練された説得力のあるフィッシング攻撃は既に明らかであるが、Ontontinueは「2025年下半期のLLM支援マルウェア開発の最初の意味のある兆候」も見ている。これはまだ自律的なマルウェアではないが、攻撃者がAIを使用して速度と機能のためのマルウェア開発を支援しているという兆候である。
「LLMはマルウェアを書きませんでしたが、その大部分を書きました」とOntontinueは言う。「これは劇的にバーを下げます。最小限のエンジニアリング能力を持つ敵対者は、より専門的に見えるが、それでも基本的なセキュリティフローを含むツールを出荷している。」
盗まれた認証情報はサプライチェーンおよびSaaS攻撃も促進している。2025年の2つの大きな例は、Salesloft Drift OAuthキャンペーン(700以上の被害組織を含む)およびShai-Hulud npmワームである。両方のキャンペーンは現代的なビジネスインフラストラクチャに必要な信頼を悪用し、その信頼は正規だが盗まれた認証情報によって違反された。
世界的な地政学的緊張の増加はサイバーセキュリティの戦場をさらに増加させ、複雑にした。そして、残りの「盗賊の名誉」を減少させた可能性が高い。Shai-Huludの行為者(国家ではなく経済的に動機付けられている)は、例えば、収穫するものがほとんど見つからない場合、ターゲットのホームディレクトリを削除しようとする可能性がある。「このニヒリスティックな「焦土作戦」フォールバックは新しく、著者の不可逆的な損傷を引き起こすという意思を示唆している」とOntontinueは指摘している。
そのような振る舞いは伝統的に国家レベルの政治的動機に関連付けられていた。これは広がっている。もはや政府対政府ではない。ターゲットは現在民間企業を含み、攻撃者は政治的に動機付けられた市民とともにエリート国家レベルの行為者を含む。Ontontinueは3つの例を引用している:北朝鮮のLazarus Groupの15億ドルの暗号通貨盗難;Ghost Blizzardによるポーランドの民間インフラを対象とするワイパー攻撃;500,000以上のIPを持つボットネット経由で31.4 Tbpsでピークに達するレコード設定DDoS活動。
地政学的に動機付けられた攻撃が近い将来減少する可能性が低いという兆候がほとんどない。増加する可能性が高い。米国/イスラエルのイラン戦争に促されて、イランの行為者は今年初めにStryker攻撃でワイパーを使用した。
悪意のあるこの逆ピラミッドの基盤は活動を促進するインフォスティーラーによって占有されている。インフォスティーラーは悪意のある行為者にとって成功したツールである。彼らはソーシャルエンジニアリングを使用してインストールされる。業界はソーシャルエンジニアリングを防止するための成功した方法をまだ見つけていないため、インフォスティーラーを停止できる可能性は低い。含意は、組織は攻撃者が攻撃で使用する正規のアイデンティティを持っているか、または得るであろうと仮定すべきである。
これは、単に盗難を防止しようとするのではなく、使用中の認証情報の悪用を認識およびブロックするために、より多くのエネルギーを適用する必要があることを意味する。「AIの力の乗数によって駆動される脅威の今日の新しい時代に対処するために、我々は適応的なアイデンティティの新しいアプローチを採用する必要がある」とSailPointのCEOであるMark McClainは言う。
「現代的なアイデンティティツールは、通常のユーザーアクティビティと異常なアクティビティを区別し、それに応じてアクセスを許可または拒否できる必要がある。すべてのアクセス決定は、アイデンティティが何であるか、彼らが接触するデータの文脈、およびそれらを取り巻くセキュリティシグナルによって駆動される。アイデンティティ、セキュリティ、およびデータのコンテキストを統一することにより、企業は操作を混乱させることなくリスクを軽減するためのリアルタイム決定を行うことができる。」
Ontontinueがこれを要約している。「この新しい環境で成功する組織は必ずしも最強の周辺を持つ組織ではなく、アイデンティティ全体にセキュリティがどのように適用されるかを再考する組織であろう。これは、アイデンティティをコアコントロールプレーンとして扱い、認証活動をエンドポイント動作と同じくらい密接に監視し、人間と非人間の両方のアイデンティティを等しい厳密さで保護することを意味する。」
