Active Directory到達まで約3.4時間 サイバー攻撃の調査で分かった厳しい実態：セキュリティニュースアラート

Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67％で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。

[ITmedia エンタープライズ編集部，ITmedia]

　Sophosは2026年3月12日、サイバー攻撃の動向をまとめた「ソフォス・アクティブアドバーサリーレポート2026年版」を公表した。

　インシデント対応および、マネージドサービス（MDR）の調査事例を分析した結果、全体の67％で認証情報の窃取や不正利用などID関連の問題が侵入の起点となったことが判明した。攻撃者は新しい技術に依存せず、既存の認証基盤の弱点を突く手口を広く使用している。

AD到達まで3.4時間　661件の調査で判明した攻撃の高速化と実態

　同調査は2024年11月1日〜2025年10月31日までに対応した661件の事例を対象とし、70カ国・34業種の組織を分析した。初期侵入手段ではブルートフォース攻撃が15.6％となり、脆弱（ぜいじゃく）性悪用の16％に近い水準に達した。ID情報を足掛かりに内部ネットワークに侵入する傾向が強まっているという。

　侵入後の展開も迅速化している。組織ネットワークに入りこんだ攻撃者が「Active Directory」に到達するまでの時間は約3.4時間だった。滞留時間の中央値は3日に縮小した。攻撃側の行動が速くなった側面はあるが、監視サービスなどによる検知速度向上も影響しているとみられる。

　攻撃の実行時間帯にも特徴がある。ランサムウェアのペイロード展開の88％、データ窃取の79％が業務時間外に発生した。管理体制が手薄になる時間帯を狙う傾向が依然強い。

　ID関連の弱点として、多要素認証（MFA）の不足が指摘された。調査対象の59％でMFAが導入されていなかった。盗まれた認証情報がそのまま利用可能となり、境界型防御を回避する侵入を許す要因になっている。

　脅威環境の拡大も確認された。同レポートによると、サイバー攻撃グループの活動数は過去最多になった。ランサムウェアでは「Akira」と「Qilin」が活発で、Akiraは全インシデントの22％を占めた。全体では51のブランドが確認され、そのうち24が新規グループだった。

　2020年以降継続して観測されているランサムウェア関連のブランドや手法は「LockBit」「MedusaLocker」「Phobos」「BitLocker」の4種類に限られた。法執行機関の摘発によって犯罪基盤が分散し、新しいグループが出現する構図が続いている。

　AIの影響についても分析した。同調査は「生成AIはフィッシング文面作成やソーシャルエンジニアリングの効率を高めているが、攻撃手法そのものを大きく変える段階には至っていない」と結論付けた。

　防御面においては、ID基盤の保護と監視体制の強化が重要だ。ソフォスは対策としてフィッシング対策機能を備えたMFAの導入と設定確認、公開サービスの露出削減、エッジ機器を含む脆弱性への迅速なパッチ適用、24時間監視体制の確保、セキュリティログの長期保存を挙げた。

　ログ不足も課題となっている。ファイアウォール機器のログ保存期間が短い場合が多く、保存期間不足によるログ欠落は前年の約2倍に増えた。調査や分析を困難にする要因となっている。同社はID管理やログ収集、監視体制という基本要素の整備が組織防御の基盤になると述べた。