サイバー犯罪の被害額は12兆ドル超に 犯罪組織の最新動向が判明：セキュリティニュースアラート

Huntressはサイバー犯罪の実態をまとめた「2026 Cyber Threat Report」を発表した。正規ツールの悪用やClickFixなどの巧妙な手口で組織化するサイバー犯罪の現状を明かした。攻撃者は効率化を優先し、ID窃取や信頼されたプロセスを悪用するという。

[ITmedia エンタープライズ編集部]

　Huntressは2026年2月17日（現地時間）、組織化・商業化が進むサイバー犯罪の実態をまとめた「2026 Cyber Threat Report」を発表した。

　世界のサイバー犯罪による被害額は2031年までに年間12.2兆ドルに達する見通しで、同社は犯罪集団が使う戦術・技術・手順（TTPs）の体系的な分析結果を公表した。

サイバー攻撃手法に生まれた変化　犯罪組織の実態調査から分かった現状

　同レポートは、世界23万以上の組織で保護されている400万超のエンドポイントと900万件のIDから得たテレメトリーを基に作成された。ランサムウェアの動向や攻撃者の戦術変化、今後取るべき対策を整理した。

　まず、正規のリモート監視および管理（RMM）ツールの悪用が急増した。前年比277％増となり、全インシデントの24％を占めた。攻撃者は信頼された管理ツールを使ってマルウェアを配布したり、認証情報を窃取したり、リモートでコマンドを実行したりしている。また、従来型のハッキングツールは53％減少し、リモートアクセス型トロイの木馬や悪性スクリプトもそれぞれ20％、11.7％減少した。

　感染の入口では「ClickFix」が拡大した。2025年に確認されたマルウェアローダー活動の53％がClickFix関連だった。攻撃者は、ユーザーにCAPTCHA解決など普段の操作をさせるふりをして、情報窃取型マルウェアやランサムウェア、遠隔操作ツールをインストールさせる。

　ランサムウェア攻撃においては、侵入から暗号化までの平均時間（Time-to-Ransom）が17時間から20時間へと延びた。攻撃者は発覚を避けつつ高価値データの探索と持ち出しに時間をかける傾向が強まっている。多くの組織がバックアップ体制を整備したことを受け、攻撃者は暗号化よりも、データ窃取による恐喝やダークWeb市場での販売に重点を移している。

　ランサムウェアグループの勢力図では「Akira」「Medusa」「Qilin」「Ransomhub」の4グループが全体の51.3％を占めた。競争激化の中で新奇な攻撃より実績ある攻撃経路を踏襲する傾向が強まり、各グループ間のTTPsの多様性は低下している。

　初期侵入経路の売買も活発化している。盗まれた認証情報は安価に大量流通し、不審な地域からのログインや不正VPN利用など、アクセス方針や信頼境界の逸脱がID関連攻撃の37.2％を占めた。

　ビジネスメール詐欺（BEC）に発展する前段階として、メールボックスの操作やOAuthの悪用が増加した。自動転送ルールで電子メールを隠す、悪意あるアプリで持続的アクセスを確保するなどの手口が使われ、ID関連攻撃のうちそれぞれ19％と10.1％を占めた。

　Huntressのプリンシパル・スレット・インテリジェンス・アナリストであるグレッグ・リナレス氏は「攻撃者は派手な手法よりも、単純で効果的かつ拡張性の高い方法を選んでいる。信頼されたツールや認証情報、利用者の行動を悪用することで効率を最大化している」と指摘する。今後はAIの活用により自動化と高度化が進む可能性があるとしてID保護の強化、正規プロセス悪用の監視、従業員教育の徹底を求めた。