攻撃者はより高速に動作し、より上手に溶け込み、防御者より先を行くためにAIをますます使用しています。
Crowdstrike 2026年グローバル脅威レポートは、検出が難しく実行が迅速なステルス性の高いアイデンティティ主導の攻撃へのシフトを強調しています。
「これはAI軍備競争です。ブレークアウト時間は侵害がどのように変わったかの最も明確な信号です。攻撃者は初期アクセスからラテラルムーブメントへ数分で移行しています」とCrowdStrikeの敵対者対抗作戦担当責任者であるAdam Mayersが述べました。
彼は付け加えて、「AIは意思から実行までの時間を圧縮し、エンタープライズAIシステムを標的に変えています。セキュリティチームが勝つためには攻撃者より高速に動作する必要があります」と述べました。
Crowdstrike 2026年グローバル脅威レポートの調査結果の内部
レポートは、現代の攻撃がどのように実行されるかの根本的なシフトを強調し、セキュリティチームに新しい課題をもたらしています。
攻撃者は従来のマルウェアに依存するのではなく、正当なシステムと信頼できるアクセスパスを通じて運用を行うようになっています。
2025年には、検出の82%がマルウェアなしであり、攻撃者が署名ベースの防御を回避し、通常のアクティビティに溶け込んでいることを強調しています。
アイデンティティ濫用とLiving-Off-the-Land技術
この進化はアイデンティティ濫用と密接に関連しています。攻撃者は明らかな脆弱性を悪用するのではなく、有効な認証情報、承認されたSaaS統合、および正当なアイデンティティワークフローを使用してラテラルムーブメントを実行しています。
このliving-off-the-landアプローチにより、攻撃者は信頼できるシステム内で静かに動作することができ、検出がより困難になります。
より高速なブレークアウト時間と短縮されたレスポンスウィンドウ
同時に、攻撃者はかつてないほど高速に動作しています。
初期アクセスからラテラルムーブメントまでのウィンドウであるブレークアウト時間の平均は29分に低下し、一部の攻撃は30秒以内に発生しています。
この圧縮されたタイムラインは手動対応の機会をほとんど残さず、組織は自動検出と迅速な封じ込め能力に依存する必要があります。
AI対応攻撃は脅威をスケーリング
AIはこのトレンドをさらに加速させています。CrowdStrikeはAI対応攻撃者からのアクティビティで89%の増加を観察し、これらのツールを使用してソーシャルエンジニアリングキャンペーンをスケーリング、偵察を自動化、ターゲティング精度を向上させています。
生成AIは特に、より説得力のあるフィッシング誘い文句を作成し、攻撃ワークフローを効率化するために使用されており、精密な攻撃への参入障壁を低下させています。
AIシステムが新しい攻撃表面になる
攻撃者はAIを力の倍増としてのために使用することに加えて、AIシステム自体もターゲットにしています。
プロンプトインジェクションなどの技術により、攻撃者はGenAIツールを操作して悪意のあるコマンドを生成させ、認証情報窃取またはデータ流出を可能にします。
組織がAIを開発パイプラインと業務に統合するにつれて、これらのシステムは新しく拡大している攻撃表面になっています。
サプライチェーン侵害はこの進化する脅威ランドスケープの別の重大なベクトルのままです。
攻撃者はますます上流プロバイダー、開発エコシステム、共有依存関係をターゲットにして、複数の下流の組織に一度にアクセスを獲得しています。
公開開示前のゼロデイ悪用の42%増加と組み合わせると、これらの戦術により攻撃はより拡張性、より検出が難しく、従来のアプローチを使用して緩和するのがより困難になります。
これらのトレンドは一緒に、より高速で、より隠忍強く、より適応力の高い攻撃者へのより広いシフトを示しており、組織は現代的な脅威に対して検出、対応、防御する方法を再考することを強制しています。
新興脅威への露出を軽減する方法
これらの進化する脅威に対応するために、組織はより積極的で層状のセキュリティアプローチを採用する必要があります。
- フィッシング耐性のあるMFA、最小権限、および認証情報の誤用と異常なアクセスパターンの継続的な監視を実施することでアイデンティティセキュリティを強化します。
- 相関テレメトリを使用してエンドポイント、クラウド、およびSaaS環境を異常な動作について監視します。
- 急速なパッチ適用の優先順位付けと継続的な攻撃表面管理の実装により、脆弱性と未知の資産への露出を削減します。
- ネットワークセグメンテーション、ゼロトラスト原則、およびAIと信頼されていないワークロード用の隔離環境を通じてラテラルムーブメントと実行リスクを制限します。
- 入力の検証、プロンプトインジェクションの監視、厳密なアクセス制御とガバナンスの実施によってAIシステムとワークフローをセキュアにします。
- 特権アクセス制御の実施、暗号化またはDLPで機密データを保護し、開発者およびエッジ環境をセキュアにすることによってシステムとデータをハードンします。
- インシデント対応計画をテストし、攻撃シミュレーションツールを使用し、レッドチーム演習を実施します。
これらのステップにより、組織は露出を削減し、新興脅威に対する回復力を構築することができます。
AIと新しいサイバー脅威ランドスケープ
CrowdStrikeの調査結果は、攻撃者がAIと信頼されたアクセスを使用して技術を適応させることによって従来の防御を回避している、サイバーセキュリティにおける継続的なシフトを指しています。
エンタープライズ環境がより複雑で相互接続されるようになるにつれて、通常のアクティビティと悪意のあるアクティビティを区別することはより課題になっています。
これらの課題に対処するため、組織は継続的な検証を優先し、環境全体の暗黙の信頼を制限するゼロトラストソリューションに目を向けています。
