Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > Dataminrの2026年サイバー脅威動向レポート、サイバー「メガ損失」時代の到来を警告

Dataminrの2026年サイバー脅威動向レポート、サイバー「メガ損失」時代の到来を警告

by Patrick Spencer updated 2月 26, 2026 サイバーセキュリティー・リスク管理
Reading Time: 9 minutes

数字が出揃いましたが、その内容は衝撃的です。

Dataminrの2026年サイバー脅威動向レポートが今週発表され、CISO、コンプライアンス担当者、取締役会の全員が注目すべき内容となっています。サイバー脅威が徐々に増加しているという話ではありません。2024年と比較して、平均月間脅威アクターアラートが225%増加しています。これは進化ではなく、爆発的な増加です。

しかし、本当に重要なのは、攻撃の性質が根本的に変化したことです。攻撃者はもはや侵入しているのではありません。正規の認証情報でログインしているのです。この違いが、組織がデータセキュリティ、データコンプライアンス、データプライバシーをどう捉えるべきかを根本から変えています。

5つの重要ポイント

  1. 脅威アクターの活動が爆発的に増加 — 月間アラートが225%増加。Dataminrは2025年に5,000以上の脅威アクターを追跡し、18,000件を超えるランサムウェアアラートを記録、200万件以上のドメインなりすましインシデントを検出しました。平均月間脅威アクターアラートは2024年比で225%増加しています。これは徐々に増加しているのではなく、機密データを扱うすべての組織が直面するサイバー脅威の量とスピードが構造的に変化したことを意味します。
  2. アイデンティティが新たな主要攻撃対象に。現在、侵入の約30%が有効な認証情報を利用しています。攻撃者は侵入するのではなく、ログインしているのです。フィッシングによるインフォスティーラーマルウェアの配布が84%急増し、盗まれた認証情報、セッショントークン、ブラウザデータが犯罪マーケットで売買されています。ソーシャルエンジニアリングの多くはAIによって強化され、フィッシング攻撃がより巧妙かつ検知困難になっています。
  3. 単一インシデントによる損失が壊滅的な規模に拡大。2025年にはランサムウェアの件数は安定したものの、個々のインシデントによる財務的損失は大幅に拡大しました。Dataminrの正規化損失分析では、1億ドル規模の損失が集中しており、10億ドルを超えるケースも見られます。組織は、認証情報の窃取、データ流出、業務妨害、規制リスクが組み合わさった、より少数だがより大規模で多面的な攻撃に直面しています。
  4. 従来の脆弱性スコアリングは実際のビジネスリスクを反映しなくなっている。最新の侵害の4件に1件は、第三者の脆弱性を悪用しており、その多くは公開された同年中に武器化されています。CVSSスコアは、業界ごとの標的傾向や悪用の可能性、財務的影響など重要な文脈を見落としがちです。技術的な深刻度スコアだけで対応を優先すると、誤った指標に最適化してしまいます。
  5. 人手のみのセキュリティチームでは対応が追いつかない。1日あたり43テラバイト以上のシグナルが取り込まれ、年間で数百万件のアラートが発生する現在の脅威環境では、人手だけのセキュリティ運用では限界です。早期にシグナルを相関させて滞留時間を短縮し、壊滅的損失を防ぐには、専用の検出プラットフォームが不可欠です。

誰も語りたがらないアイデンティティ問題

現在、侵入の約30%が有効な認証情報を利用しています。もう一度言います。3件に1件近くの侵害が、盗まれた鍵で正面玄関から入られた結果発生しています。

これは攻撃手法の大転換を意味します。長年、セキュリティチームは境界防御に執着してきました。ファイアウォール、侵入検知システム、ネットワークセグメンテーション。いずれも価値があり、必要不可欠ですが、攻撃者が正規ユーザーとして認証する場合、もはや本質的な対策ではなくなっています。

この変化をもたらした仕組みは、フィッシングによるインフォスティーラーマルウェアの配布で、過去1年で84%増加しました。これらは高度な国家レベルのツールではなく、認証情報やセッショントークン、ブラウザデータを収集し、犯罪マーケットでパッケージ販売される汎用マルウェアです。

この問題は規模を考えるとさらに深刻です。Dataminrは1年間で5,000以上の脅威アクターを追跡し、18,000件超のランサムウェアアラート、200万件超のドメインなりすましインシデントを検出しました。これは脅威の状況というより、産業規模で稼働する脅威エコシステムです。

自社のセキュリティを信じていますか。本当に検証できますか

Read Now

従来のセキュリティ指標が機能しない理由

Dataminrレポートが明らかにした不都合な真実は、従来の脆弱性スコアリングシステムが実際のビジネスリスクを反映していないということです。

多くの組織は、共通脆弱性スコアリングシステム(CVSS)の評価に基づいて対応の優先順位を決めてきました。重大な脆弱性は即時パッチ、中程度は次回メンテナンスで対応。このアプローチは、技術的な深刻度と現実の悪用リスクが連動していた時代には理にかなっていました。

しかし、その連動は崩れています。

攻撃者は、脆弱性が公開されてから数カ月以内に武器化します。最新の侵害の4件に1件は第三者の脆弱性を悪用しており、従来のリスク評価が追いつく前に攻撃が始まります。一方、CVSSスコアは業界ごとの標的傾向や悪用の可能性、そして何より財務的影響を見落としがちです。

その結果、組織は熱心にパッチを適用し、コンプライアンス要件を満たしても、誤った指標に最適化しているため侵害を防げていません。

「メガ損失」現実

Dataminrレポートで最も重要な発見の一つは損失規模に関するものです。2025年にはランサムウェアの件数は安定したものの、影響の分布を見れば安心できません。

単一インシデントによる損失が大幅に拡大しています。レポートの正規化損失分析では、1億ドル規模の損失が集中し、10億ドルを超える事例も存在します。

これはサイバーリスクの構造的変化を示しています。組織は、認証情報の窃取、データ流出、業務妨害、規制リスクが1つのインシデントで同時に発生する、より少数だがより大規模な攻撃に直面しています。従来の「頻繁だが限定的な侵害」モデルは、「稀だが壊滅的な事象」へと変化しています。

コンプライアンス担当者やリスクマネージャーにとって、この変化はサイバーリスクのモデル化、開示、保険のあり方を根本から見直す必要性を示しています。

運用環境におけるデータセキュリティギャップ

Dataminrの調査結果は、Dragosの2026年OTサイバーセキュリティレポートで記録されたより広範なトレンドとも一致しており、運用技術や産業制御システムへの脅威を分析しています。これらのレポートは、ITとOTのリスクが収束し、新たなデータセキュリティ課題を生み出している実態を浮き彫りにしています。

脅威グループは、単なるアクセスに満足せず、制御ループの体系的なマッピング、エンジニアリングプロジェクトファイル、アラームデータ、HMI/SCADAデータベース、構成バックアップの流出を進めています。これらの運用データは将来の攻撃のインテリジェンスとなり、物理プロセスの精密な妨害を可能にします。

データセキュリティへの影響は従来のITの枠を超えます。製造現場とサプライヤー間で共有される設計ファイル、グローバル拠点間でやり取りされる品質管理手順、生産スケジュール、保守記録、ベンダーの技術仕様。こうした機密性の高い運用データが、レガシーなSFTPサーバーやメール添付、非セキュアなファイル共有を通じてシステム間を流れています。

これらのチャネルこそが、脅威アクターが悪用する経路です。OTネットワークのうち適切な可視性や監視があるのは1割未満であり、被害が発生するまで何が流出したか把握できないのが現状です。

多くの組織が見落とすデータプライバシーへの影響

DataminrおよびDragosのレポートは主にセキュリティと運用リスクに焦点を当てていますが、関与するデータの種類には、現代の規制枠組みの下で重大なプライバシーリスクが伴います。

これらの攻撃で盗まれるものを考えてみてください。オペレーターの個人名を含む行動履歴、シフトパターン、エラー履歴、安全インシデント。認証情報やアクティビティログは、機微な個人データに該当します。設定ファイルや侵入経路の記録がTelegramやXで公開され、個人識別情報が世界中にさらされるケースもあります。

多くの組織は、こうした運用データを個人識別情報として分類していません。しかしGDPRやCCPA、各州の新しいプライバシー法の下では、その多くが該当します。アイデンティティデータ、行動パターン、位置情報の組み合わせは、ほとんどの産業組織が想定していなかった規制リスクを生み出します。

侵害通知義務が発生した際、組織は自分たちが機微な個人データを適切に管理・保護していなかったことに気付くのです。

コンプライアンスの現実

両レポートの調査結果は、組織が体系的に遵守できていない規制義務と直結しています。

インフォスティーラーログによるアイデンティティの悪用、パスワードの使い回し、脆弱な多要素認証は、ほぼすべてのコンプライアンスフレームワークにおけるアクセス制御要件を損ないます。攻撃者はVPN、RDPセッション、クラウドプラットフォームに正規の認証でログインし、境界検知を完全に回避します。

脆弱性管理プログラムは、武器化のスピードに追いついていません。脆弱性公開から数週間でエクスプロイトが出現するため、月次パッチサイクルでは恒常的なリスクが残ります。

特に懸念されるのは、インシデント対応の30%が「何かおかしい」という気付きから始まり、その多くで運用テレメトリが収集されていないことです。可視性がないまま「サイバー関与なし」と公表する組織もあり、ほとんどの規制フレームワークで求められるデューデリジェンスや侵害評価要件を満たせていません。

検知までの時間差が状況を如実に物語っています。包括的な可視性を持つ組織は平均5日でインシデントを検知しますが、業界平均は42日です。この6週間の差が、データの露出期間拡大、侵害範囲の拡大、規制・法的責任の大幅な増加につながります。GDPRの72時間通知要件や、HIPAA・業界固有フレームワークの同等要件を見逃すリスクも高まります。

ファイル転送の脆弱性

ランサムウェアグループはファイル転送プラットフォームを高価値ターゲットとして特定しています。Dragosレポートでは、Cleo MFT、CrushFTP、Wing FTPなどのMFTやFTPシステムの悪用が明記されています。これらのプラットフォームは、機密ファイルの窃取、バックドアの設置、複数拠点での業務妨害の起点となっています。

攻撃者の視点から見れば、この標的化は理にかなっています。ファイル転送システムは本質的に機密データを扱い、分離されたネットワークセグメントを接続し、しばしば高い権限で稼働し監視も最小限です。

レガシーなファイル転送インフラを運用し続ける組織にとって、これは緊急のデータセキュリティリスクです。エンジニアリング文書、コンプライアンス記録、ベンダー仕様、規制対象データなどがこれらのチャネルを通じて流れています。侵害されれば、影響範囲はデータエコシステム全体に及びます。イミュータブルな監査証跡、DLP制御、異常検知を備えた専用のマネージドファイル転送プラットフォームにより、レガシーSFTPのリスクを統治された可監査チャネルに置き換えることができます。

実際に有効な対策とは

Dataminrレポートは、現在の脅威環境の規模とスピードが人手のみのセキュリティチームの限界を超えていることを結論付けています。脅威アクターアラートが225%増加し、数百万件のインシデントが相関を要する今、自動化された検知・対応の必要性はかつてなく高まっています。

しかし、テクノロジーだけでは問題は解決しません。現代の攻撃がアイデンティティベースである以上、セキュリティアーキテクチャの根本的な見直しが求められます。

多要素認証の徹底—チェックボックス的な運用ではなく、本当の多層防御としての導入。ユーザーがソーシャルエンジニアリングで漏らす可能性のあるコードに頼らない、フィッシング耐性のある認証手法(ハードウェアキーやパスキーなど)がより効果的です。インフォスティーラーによる認証情報流出を前提とした継続的な監視も不可欠です。

運用環境では、最優先は可視性です。見えないものは守れません。組織は、メール、SFTP、ファイル共有、APIなど、すべてのデータ交換チャネルにわたる包括的な監査機能が必要です。業界平均の42日という検知遅延は、システム間のデータ移動の死角が直接の原因です。ファイル転送、メール、Webフォーム、APIなど、あらゆるチャネルからシグナルを取り込むSIEMプラットフォームが、攻撃者の潜伏を許すギャップを埋めます。

ゼロトラスト・アーキテクチャは、もはや理想論ではなく必須要件です。すべてのデータ交換を信頼しない前提で扱うことで、ITとOT間の内部転送を含め、攻撃者が悪用する横移動経路を遮断します。特にIT/OT境界では、正当な業務目的で運用データが流れるため、ここでの対策が重要です。

サプライチェーンや第三者リスク管理も同様の厳格な管理が必要です。4件に1件の侵害が第三者の脆弱性に起因している今、ベンダーアクセスのガバナンスは最重要のセキュリティ管理策となります。期間限定の権限付与、包括的なトラッキング、不審な外部関係者や侵害アカウントへの即時権限剥奪が最低限の要件です。

組織はこれからどう進むべきか

Dataminr 2026年サイバー脅威動向レポートは、セキュリティ実務者が感じていたことを裏付けています。私たちは、アイデンティティベースの攻撃、武器化までの期間短縮、壊滅的な単一インシデント損失が特徴の新たなサイバーリスク時代に突入しました。

データセキュリティの観点では、境界防御中心の発想からアイデンティティ保護と継続的な監視への転換が必要です。データプライバシーの観点では、運用データにも規制対象となる個人情報が含まれることを認識する必要があります。データコンプライアンスの観点では、チェックボックス的な運用と実際の攻撃手法に対応する本質的なセキュリティコントロールのギャップを埋めることが求められます。

脅威アクターアラートの225%増加は、ただのトレンドではなく、行動を促す警鐘です。アイデンティティ管理の強化、包括的な可視性の確保、あらゆるチャネルでのデータ交換の統治を実現した組織だけが、この時代を乗り越えられるでしょう。そうでない組織は、メガ損失の分布の「間違った側」に立たされることになります。

選択権は、常に組織自身にあります。

Kiteworksがどのように支援できるかについては、カスタムデモを今すぐご予約ください

よくある質問

インフォスティーラーマルウェアは、通常フィッシングを通じて配布され、感染したエンドポイントから認証情報、セッショントークン、ブラウザ保存パスワードを収集し、それらを犯罪マーケットで販売するためにパッケージ化します。購入者はその認証情報を使ってVPNやクラウドプラットフォーム、エンタープライズシステムに正規ユーザーとしてログインし、境界防御を完全に回避します。現在、侵入の約30%がこの経路をたどっています。これを防ぐには、SMSコードやワンタイムパスワードなど、ユーザーがソーシャルエンジニアリングで漏らす可能性のある手法に頼らない多要素認証が必要です。ハードウェアキーやパスキーなどのフィッシング耐性のある認証方法が特に有効です。さらに、MFAに加えて監査ログやSIEMによる異常検知を重ねることで、認証だけでは防げない認証情報の悪用も検知できます。

CVSSスコアは技術的な深刻度(悪用の複雑さやシステムへの影響)を測定しますが、実際の攻撃者の行動を考慮していません。最新の侵害の4件に1件は第三者の脆弱性に起因し、その多くは公開から数カ月以内に武器化されています。CVSSスコアは、脆弱性が自組織の業界を標的にしているか、エクスプロイトコードがどれだけ早く出回ったか、それが自社環境で悪用された場合の財務的影響など、重要なビジネス文脈を見落とします。CVSSスコアだけでパッチ適用を判断すると、攻撃者が重視しない脆弱性を優先し、実際に狙われているものを放置してしまいます。効果的な優先順位付けには、技術スコアに加え、アクティブな悪用パターンや自社サプライチェーンのリスクに関する脅威インテリジェンスを組み合わせる必要があります。

マネージドファイル転送やSFTPプラットフォームは、どの環境でも特に魅力的な標的となります。その理由は3つあります。第一に、エンジニアリングファイル、コンプライアンス記録、ベンダー仕様、規制対象の個人データなど、複数のソースから機密データが集約されるためです。第二に、通常は分離されたネットワークセグメントを接続するため、横移動の起点となりやすいこと。第三に、レガシー環境では高い権限で稼働し、監視も最小限なため、侵害が発見されにくい点です。DragosレポートでCleo MFT、CrushFTP、Wing FTPへの攻撃が記録されているのもこのパターンを反映しています。レガシーSFTPを、イミュータブルな監査証跡、DLP制御、異常検知を備えた統治型MFTプラットフォームに置き換えることで、これらのシステムが悪用される死角を排除できます。

はい。これは産業・重要インフラのセキュリティで一貫して見落とされがちなコンプライアンスリスクの一つです。OT環境で日常的に収集されるオペレーター情報(個人名のシフトパターン、アクセス履歴、エラー記録、行動ログなど)は、GDPRやCCPAの下で個人データに該当します。多くの組織はこれをPIIとして分類せず、適切な棚卸や保護もしていません。ハクティビストグループが認証情報やアクティビティログを公開した場合、想定外のフレームワークで侵害通知義務が発生し、ITシステムだけが対象だと思っていた組織にとって重大なリスクとなります。データプライバシー影響評価には、OT環境も明示的に含めてリスクを特定しておく必要があります。

OTやエンタープライズの侵害検知における業界平均42日は、複数の観点でコンプライアンス上の責任を複雑化させます。GDPRでは、侵害を認識してから72時間以内に監督当局へ通知する義務があり、データ交換チャネル全体を可視化できていない組織はこの期限を守れないことが多いです。HIPAAでは対象組織に60日以内の通知義務があり、侵害評価要件ではアクセスされたデータの証拠が求められます。NERC CIPや金融規制当局など、業界固有の通知期限も存在します。さらに、長期間の滞留は「誰が・どのデータに・どのシステム経由で・いつアクセスしたか」という、規制当局が求めるフォレンジック記録の提出も困難にします。ファイル転送、メール、API、MFTチャネルを横断する包括的な監査証跡が不可欠であり、それがなければコンプライアンス証拠自体が存在しません。

追加リソース

  • ブログ記事 ゼロトラスト・アーキテクチャ:決して信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで機密データが検出された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める方法
  • 動画 ITリーダーのための機密データ安全保管ガイド決定版

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks