CrowdStrikeが2026年グローバル脅威レポートを発表—すべてのセキュリティチームに警鐘
セキュリティブリーフィングであまりにも頻繁に使われ、もはや意味を失ったフレーズがあります。「攻撃者のスピードが速くなっている」。カンファレンスの基調講演でうなずきながら聞き、展示会場に着く頃にはすっかり忘れてしまう、そんな言葉です。
CrowdStrikeの2026年グローバル脅威レポートは、その印象を一変させました。
注目すべき数字は、eCrimeの平均ブレイクアウトタイム(攻撃者が最初に侵入してから初めて横展開するまでの時間)が2025年には29分に短縮されたことです。2024年の48分、2021年の98分から大幅に短縮。最速のブレイクアウトは27秒。あるケースでは、初回アクセスからわずか4分でデータの持ち出しが始まりました。
この事実をしっかり受け止めてください。侵害からデータ窃取までわずか4分。多くの組織は4分でSlackのスレッドすら立ち上げられません。ましてや侵入の封じ込めなど到底不可能です。
このレポートは、2025年を「回避型アドバーサリー(敵対者)の年」と位置付けています。その特徴は、スピード、IDの悪用、そしてAIシステム自体への直接攻撃。そして、これらの主張を裏付けるデータは理論ではなく、世界中の何千もの組織で実際に発生した侵入、インシデント対応、脅威インテリジェンスから得られたものです。
5つの重要なポイント
- ブレイクアウトタイムが平均29分に短縮—これが「平均」です。 2025年のeCrimeの平均ブレイクアウトタイムは29分に短縮され、2024年の48分からさらに短くなりました。最速は27秒。インシデント対応プロセスが「時間」単位なら、すでに手遅れです。
- 侵入の82%がマルウェアを使っていません。 攻撃者は盗まれた認証情報や標準の管理ツールでログインし、悪意のあるコードは使いません。シグネチャベースの防御はもはや最前線ではなく、ID監視とクロスドメイン相関が主役です。
- AIは「武器」であり「標的」でもあります。 AIを活用した攻撃は前年比89%増加。国家支援の攻撃者はLLM(大規模言語モデル)を活用したマルウェアを展開し、eCrimeグループは認証情報窃取を自動化。CrowdStrikeは、90以上の組織でAI開発ツールやデータプラットフォーム自体が直接攻撃されたインシデントにも対応しました。
- 中国系アクターがエッジデバイスの大規模な搾取を実行。 中国関連の活動は38%増加し、そのうち40%がVPN、ファイアウォール、ルーターなどEDRのカバー範囲外のエッジデバイスを標的に。脆弱性公開から2日以内にエクスプロイトが武器化され、ゼロデイ悪用は42%増加。
- ランサムウェアはエンドポイントを離れ、14億6千万ドルの暗号資産窃盗が規模を証明。 ランサムウェアグループはクラウド、ID、仮想化レイヤーにまたがって展開。クラウドを意識した侵入は37%増加、国家系アクターは266%増加。DPRK(北朝鮮)によるサプライチェーン攻撃で史上最大規模の金融窃盗が実行されました。
スピードの問題は「数学」の問題へ—防御側は劣勢
ブレイクアウトタイムの短縮は単なるトレンドではありません。侵入の構造自体が変化しています。
かつてブレイクアウトタイムが「時間」単位だった頃は、防御側にも検知・調査・封じ込めの現実的な猶予がありました。しかし29分—しかも最速は「秒」単位—となると、「検知して対応する」という概念そのものが変わります。もはや進行中の侵入に対応しているのではなく、すでに横展開され、永続化され、場合によってはSOCアナリストがアラートを読み終える前にデータ持ち出しまで進んでいる侵入に対応しているのです。
CrowdStrikeはこの加速の要因として、攻撃者が正規の認証情報や信頼されたツールの利用に長け、AI生成スクリプトでポストエクスプロイト活動を自動化し、セキュリティツール間の隙間を体系的に突いていることを挙げています。レポートによると、2025年の検知の82%がマルウェアを伴わないものでした。つまり、従来型の悪意あるコードは使われていません。攻撃者は有効な認証情報、標準の管理ツール、市販のリモートアクセスツールを使い、通常の業務活動に紛れ込んでいます。
これは、WEFグローバルサイバーセキュリティアウトルック2026が指摘する「組織の複雑化」がもたらす実際的な結果です。相互依存、レガシー技術、可視性の断片化が、時間とともに複合的なリスクを生み出します。セキュリティスタックがマルウェア検知に最適化されている一方で、侵入の82%がマルウェアを使わないのであれば、それは「調整」の問題ではなく「アーキテクチャ」の問題です。
AIの軍拡競争は理論ではなく現実に
AIを活用した攻撃者の活動は2025年に前年比89%増加しました。しかしCrowdStrikeレポートは、AIがまったく新しい戦術を生み出しているのではなく、既存の手法を加速させている点を強調しています。攻撃者は生成AIをソーシャルエンジニアリングからマルウェア開発、防御回避までキルチェーン全体に組み込み、既存技術でも運用面で大きなインパクトをもたらしています。
具体例にも注目です。ロシア系アクターFANCY BEARは、LLM対応マルウェア「LAMEHUG」を展開し、プロンプトベースのロジックで侵害システムからの偵察や文書収集を自動化。eCrimeアクターPUNK SPIDERは、AI生成スクリプトで認証情報ダンプやフォレンジック証拠の消去を高速化。DPRK系FAMOUS CHOLLIMAは、AIツールを使って偽装インサイダー雇用スキームを拡大し、AI生成の履歴書や面接回答、ID書類でターゲット組織にオペレーターを潜り込ませました。
しかし、レポートが最も警鐘を鳴らすのは「AIが標的になる」点です。CrowdStrikeは、90以上の組織で攻撃者が正規のAI開発ツールに悪意のあるプロンプトを注入し、ローカルAIコマンドラインインターフェースを悪用して認証情報や暗号資産を窃取するコマンドを生成させるインシデントに対応しました。その他にも、LangflowなどAIプラットフォームの脆弱性を突いて永続化やランサムウェア展開を実施。正規のModel Context Protocol(MCP)サーバーの悪意あるクローンが、AIワークフローを通過する機密データを傍受するケースも確認されています。
この事実は不都合ですが避けられません。生産性やセキュリティ向上のために導入しているAIツールが、同時に攻撃対象領域を拡大しています。モデルアクセス、プロンプト入力、データフロー、統合ポイントのガバナンスがなければ、AI導入はリスク導入でもあるのです。
中国系アクターによるエッジデバイス標的型キャンペーンの拡大
AI以外でも、レポートは中国系アクターの活動が2025年に全体で38%急増したことを記録しています。物流分野の標的化は85%増、通信や金融サービスも大きな影響を受けました。しかし最も重要なのは、インターネットに接続されたエッジデバイスの体系的な搾取です。
VPNアプライアンス、ファイアウォール、ルーター、メールサーバー—これらは境界に位置しながら、しばしばエンドポイント検知ツールのカバー範囲外です。中国系アクターが脆弱性を悪用したケースの40%で、標的はエッジデバイスでした。そのスピードも脅威です。多くのエクスプロイトは公開から数日で武器化され、最短2~6日で運用化。ゼロデイ悪用も前年比42%増加しています。
これは偶発的なスキャンではなく、産業化された脆弱性搾取です。Dragos 2026 OT/ICSサイバーセキュリティレポートでも、産業環境においてIvanti、Fortinet、Cisco、F5などのインターネット接続資産が体系的に標的とされ、運用技術ネットワークへの侵入口となっている同様のパターンが指摘されています。脆弱性公開から公開エクスプロイトまでの中央値は24日まで短縮され、場合によってはベンダーがパッチを出す前に攻撃者がエクスプロイトを完成させていました。
セキュリティやデータ保護の責任者にとって、これは構造的な問題を意味します。エッジデバイスは即座にシステムアクセスを許し、堅牢な監視が不足しがちで、パッチサイクルが週単位や月単位であることが多く、数日単位で武器化される脅威に対して根本的にミスマッチです。機密データがこれらのデバイスを経由したりアクセス可能である—多くの組織でそうですが—場合、攻撃者が積極的に突いてくる可視性のギャップが生まれます。
ランサムウェアはエンドポイントを離れ、IDが新たな「玄関口」に
CrowdStrikeレポートは、2025年におけるランサムウェアの運用が大きく進化したことを詳細に記しています。最も高度なグループは従来のエンドポイント中心の展開を超え、クラウド、ID、仮想化環境を横断するクロスドメインキャンペーンへと移行しています。
SCATTERED SPIDERやBLOCKADE SPIDERはクラウドやIDインフラを横断して横展開し、多くの場合VMware ESXiシステム—多くのエンタープライズサーバー環境の基盤でありながらユーザーエンドポイントほど監視されていない仮想化レイヤー—に限定してランサムウェアを展開。PUNK SPIDERは198件の侵入(134%増)を観測され、SMB共有経由でリモートファイル暗号化を行い、管理ホスト上で直接ランサムウェアを実行せずにデータ暗号化を実現しました。
サプライチェーンの側面も深刻です。DPRK系PRESSURE CHOLLIMAは、SafeWalletとBybitをサプライチェーン攻撃で侵害し、悪意のあるJavaScriptやスマートコントラクトロジックを信頼された金融ソフトウェアに挿入、史上最大規模の14億6千万ドルの暗号資産窃盗を実行。その後、証拠隠滅のためコード変更を元に戻しました。
クラウドを意識した侵入は2025年に37%増加、国家系アクターは266%増加。有効なアカウントの悪用がクラウドインシデントの35%を占めています。これらは総当たり攻撃ではなく、フィッシングやインフォスティーラーマルウェア、ダークウェブでの購入などで正規の認証情報を入手し、クラウドやSaaS環境の「玄関口」から堂々と侵入しています。
Dragosレポートも、産業環境でのこのID中心の攻撃モデルを裏付けています。ランサムウェアのアフィリエイトがインフォスティーラーから得た認証情報ログやOT/IT間のパスワード使い回し、侵害されたベンダーアカウントを活用し、境界防御を完全に迂回する事例が増加。業界を問わず、ID侵害が主要なアクセス経路となり、クラウドやSaaSプラットフォームが主な標的環境となっています。
セキュリティおよびデータリーダーへの示唆
CrowdStrike 2026グローバル脅威レポートは、WEFグローバルサイバーセキュリティアウトルック2026やDragos OT/ICSレポートと合わせて読むことで、従来のセキュリティモデルがもはや追いつけない脅威状況を明確に示しています。ID侵害、SaaSの悪用、エッジ搾取、AI操作が連鎖し、断片化したセキュリティツールの相関速度を上回るスピードでドメインを横断する攻撃が主流となっています。
WEFレポートによれば、61%の組織が「急速に進化する脅威状況」を最大のレジリエンス課題とし、46%がサプライチェーンの脆弱性を懸念しています。これらは別個の問題ではなく、同じ構造的課題の側面です。組織は「見えないデータ」を守れず、「監視できないアクセス」を統制できず、「プロセスが追いつかない脅威」に対応できません。
今、すべてのCISOが取るべき行動
29分を「例外」ではなく「前提」として計画する。 すべてのインシデント対応計画、机上演習、検知ワークフローは、30分未満のブレイクアウトシナリオでストレステストすべきです。検知・封じ込めの平均時間が「時間」単位なら、もはや現実の脅威状況に合っていません。Kiteworksの自動ポリシー適用とリアルタイム監視は、脅威のスピードに対応し、データアクセス制御が手動プロセスよりも先に有効化・強制されることを保証します。
マルウェア検知からID中心の防御へシフト。 侵入の82%がマルウェアを使わない今、検知の重心はIDの挙動、アクセスパターン、クロスドメイン相関へ移行すべきです。認証イベント、権限昇格、横展開の継続的監視をエンドポイント、クラウド、SaaS、IDインフラ全体で実施。Kiteworksはデータレイヤーでこれを実現:属性ベースアクセス制御でユーザーID、データの機密性、利用目的を評価し、アクセス前に判定。すべてのやり取りは統合監査ログに記録されます。
AIツールのガバナンスを攻撃者より先に確立。 攻撃者が90以上の組織でAIシステムを標的にしたというレポートの事実は、自社環境のすべてのAIツール、モデル、統合の即時棚卸しを促すべきです。アクセス制御の確立、プロンプト入力・出力の監視、AI支援による持ち出しに特化したデータ損失防止策の導入を推進。KiteworksのセキュアMCPサーバーは、すべての外部エージェントとのやり取りにロールベース・属性ベースの制御を適用し、AI導入に必要なガバナンス基盤を提供します。
エッジデバイスの可視性ギャップを解消。 エッジデバイスはエンタープライズセキュリティの「弱点」です。インターネット接続アプライアンスは公開から数日以内にパッチ適用。侵害されたエッジデバイスからの横展開を制限するネットワークセグメンテーションを実施。EDRがカバーできないデバイスにも監視を展開。Kiteworksの強化仮想アプライアンスは、組み込みファイアウォール、侵入検知、保存時の二重暗号化により、最も機密性の高いデータを扱うプラットフォームが「監視されていない境界」の一部とならないようにします。
サイロ化したダッシュボードではなく、クロスドメインの可視性を。 ランサムウェアがESXiに限定展開され、クラウド侵入が盗まれたIDトークンに依存し、AIツールが横展開の経路となる今、エンドポイントで止まる可視性では不十分です。効果的な防御には、エンドポイント、ID、クラウド、SaaS、AIインフラ全体を単一の運用ビューで相関することが必要です。Kiteworksは、すべての通信チャネルにわたる機密データの統合ガバナンスと、断片化したツールが生むギャップを排除する統合監査ログを提供します。
「29分」の現実が求める新たなアーキテクチャ
CrowdStrike 2026レポートの核心メッセージは、「攻撃者が防御側よりも早く適応した」ということです。ブレイクアウトタイムは短縮し続け、マルウェアは「必須」ではなくなり、AIは武器であり標的。IDが境界となり、エッジデバイスが侵害ポイントに。クロスドメインキャンペーンが例外ではなく「標準」になっています。
顧客情報、財務情報、知的財産、規制対象コンテンツなど、機密データを守る責任を持つ組織にとって、もはや「攻撃者がデータに到達するかどうか」ではなく、「攻撃者が到達した際に、ガバナンス基盤が検知・封じ込め・コンプライアンス証明をできるか」が問われています。
Kiteworksはこの現実のために設計されたプラットフォームです。メール、ファイル共有、SFTP、マネージドファイル転送、Webフォーム、APIにわたる統合データガバナンス。すべてのIPアドレスをデフォルトでブロックするゼロトラストアーキテクチャ。データレイヤーでポリシーを強制する属性ベースアクセス制御。あらゆるチャネルのやり取りを記録する統合監査ログ。FIPS 140-3認証暗号化と顧客所有鍵。50以上の規制フレームワークに対応した経営層向けコンプライアンスレポートも提供します。
「29分」のブレイクアウトウィンドウは一時的なものではなく、新たな運用現実です。データを守れる組織とは、手作業のプロセスではなく「マシンスピードの攻撃者」に対応できるガバナンス基盤を持つ組織です。
ウィンドウは急速に閉じつつあります。あなたの防御は、その中に間に合っていますか?
Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。
よくあるご質問
シグネチャベースのツールは既知のものしか検知できません。攻撃者が有効な認証情報、標準の管理ツール、市販のリモートアクセスツールを使う場合、シグネチャで一致するものがありません。必要なのは行動ベースの検知、すなわち異常なIDアクティビティ、通常と異なる権限昇格、横展開パターンの監視です。すべてのデータアクセスイベントを記録する監査ログが、もはやシグネチャベースツールでは得られないフォレンジック記録となります。
FAMOUS CHOLLIMAのオペレーターはAI生成の履歴書を提出し、隠しデバイスで面接を自ら練習し、ディープフェイクや借用IDでビデオ審査を通過します。検知には、政府発行のID書類を第三者検証サービスで確認し、ライブかつ台本なしのビデオ面談を求め、応募内容を既知のDPRKフロント企業パターンと照合することが必要です。採用後は、職務範囲に限定した属性ベースアクセス制御と、すべてのデータ操作を監査ログで記録することで、万一侵入された場合の被害範囲を限定できます。
多くのEDRツールはゲストOS上で動作し、ESXiハイパーバイザー層自体では動作しません。ESXi上で直接展開されたランサムウェアは、すべてのホストVMを暗号化しますが、ゲスト側のエージェントは検知できません。有効な対策としては、ハイパーバイザー層での監視、ESXi管理インターフェースのネットワーク分離、ESXi管理者認証情報の権限制限、ESXiホストシステム上のデータをカバーする監査ログの整備などが挙げられます。これにより、暗号化発生時に即座に影響範囲を特定できます。
悪意のあるMCPサーバークローンは、LLMアプリケーションと企業ツール間を流れる機密データを傍受し、認証情報、個人データ、知的財産を従来のアラートを出さずに窃取します。ガバナンスには、MCPサーバーの正規性を導入前に検証し、すべてのエージェント操作にロールベース・属性ベースアクセス制御を適用、AIプロンプト入出力へのDLPポリシー適用、LLMツールのすべての操作を改ざん不可能な監査ログに記録することが必要です。
GDPRでは、漏洩を認識してから72時間以内に監督当局へ通知が必要です。ブレイクアウトが29分で発生し、検知に数時間~数日かかる場合、通知期限のカウントダウンはフォレンジック範囲が確定する前から始まります。リアルタイムの監査ログで全データアクセスを記録していない組織は、どの個人データがアクセスされたか特定できず、最悪ケースを前提とした通知や、不完全・不正確な通知による二次違反リスクに直面します。
追加リソース
- ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証
- 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
- ブログ記事 DSPMで機密データが検知された後の安全対策
- ブログ記事 ゼロトラストアプローチで生成AIへの信頼を構築
- 動画 ITリーダーのための機密データ安全保管ガイド