攻撃はもう外から来ない？ 2300億件の脅威観測から見えた事実：セキュリティニュースアラート

Cloudflareはグローバル脅威レポートを発表した。サイバー攻撃手法の進化や攻撃者によるAI活用の実態を詳細に分析している。攻撃トレンドの変化に伴い、従来の防御手法が限界を迎えていることを指摘し、戦略の転換を推奨している。

[ITmedia エンタープライズ編集部，ITmedia]

　Cloudflareは2026年3月4日、脅威調査部門「Cloudforce One」の分析結果をまとめた「Cloudforce One グローバル脅威レポート（2026年版）」を公表した。

　国家関与集団やサイバー犯罪者の攻撃手法が、従来のシステム侵入型から認証情報を悪用するログイン型に移行しつつある実態が示された。AIの利用拡大も攻撃能力を押し上げているという。

AIが価値の高いデータの場所を探索　攻撃手法の高度化が止まらない

　同レポートは、Cloudflareのグローバルネットワークから収集した大規模データと脅威調査チームの分析を基に作成された。同社は1日平均で約2300億件の脅威を遮断しており、その通信データや攻撃パターンを調査材料としている。

　調査ではAIの発展が攻撃者にとって技術的な参入障壁を下げている点が大きな特徴として挙げられた。大規模言語モデル（LLM）を悪用し、ネットワーク構造を把握する他、新たなエクスプロイトを生成したり、ディープフェイクを作成したりするケースが確認された。Cloudforce Oneが追跡したある攻撃者は、AIで価値の高いデータの位置を特定し、多数の企業テナントを侵害することで大規模なサプライチェーン攻撃を引き起こしたとされる。

　国家関与型の攻撃活動にも変化が見られる。中国に関連する攻撃集団とされる「Salt Typhoon」や「Linen Typhoon」は、北米の通信事業者、政府機関、ITサービス企業を主な標的としている。従来の情報収集型スパイ活動から、重要インフラ内部に不正コードを配置する事前潜伏型の活動へと重点が移りつつある。

　企業の認証情報を狙う攻撃も増加している。北朝鮮の関係者とみられる工作員が、AI生成のディープフェイクや偽造IDを利用して企業の採用プロセスを通過し、給与管理システムにアクセスする事例が確認された。これらの活動には、米国内に設置された拠点から遠隔操作する「Laptop Farms」と呼ばれる仕組みが使われているという。

　DDoS攻撃の規模も拡大している。「Aisuru」と呼ばれるbotネットなどが登場し、攻撃トラフィックは最大31.4Tbpsに達した。これは単一の国家ネットワークの機能停止も想定される水準であり、人手対応だけでは防御が困難な規模だと同レポートでは分析されている。

　Cloudflareの共同創業者でCEOのマシュー・プリンス氏は、断片的で古い脅威情報が攻撃者に利用されていると指摘する。同社は「世界規模のセンサーネットワークを通じて脅威を観測しており、得られた情報を共有することで防御側の優位性を高める狙いがある」と説明した。この他、サイバー防御の考え方も変化しているとし、従来は外部からの侵入阻止が中心だったが、現在はネットワーク内部の利用者が本人かどうかを継続的に確認する仕組みが重要になっているという。

　Cloudflareは今回のレポートについて、攻撃の規模や手法の変化を理解するための指針になると位置付けている。組織は問題発生後に対処する姿勢ではなく、リアルタイムの脅威情報を基に先手を打つ防御戦略に転換する必要があるとしている。