50万時間超のインシデント対応を分析 GoogleがM-Trends 2026公表:セキュリティニュースアラート
GoogleはMandiantの調査に基づく報告を公表した。侵入後の滞在期間の長期化や音声詐欺の増加、侵入連携の高速化、バックアップ破壊を伴う攻撃の拡大、エッジ機器悪用やAI利用の進展など最新動向が示されている。
Googleは2026年3月24日(現地時間)、Google Cloud傘下のMandiantの年次報告「M-Trends 2026」を公表した。2025年に実施した50万時間超のインシデント対応分析を基に、サイバー攻撃の実態と変化を整理した内容だ。
攻撃の二極化と長期潜伏の実態、初期侵入手段の変化と音声詐欺の台頭
報告によると、サイバー攻撃者の活動は二極化が進んでいる。短期的な影響を狙う犯罪グループと、長期間潜伏するスパイ活動型が併存している。侵入後の平均滞在期間は14日に伸び、特定の事案では100日超に達した。検知は企業内部による割合が増えたが、依然として侵入自体の巧妙化が続いているという。
初期侵入経路では「脆弱(ぜいじゃく)性悪用」が最多で32%を占めた。特徴的なのは音声を使った詐欺の急増で、11%に達し主要手段となった。電子メール型は減少傾向にある。業種別ではハイテク分野が最多となり、従来上位だった金融分野を上回った。
攻撃プロセスにも大きな変化が見られた。初期侵入を担うグループと、後続の実行主体が連携するモデルが進み、その引き継ぎ時間は2022年の8時間超から2025年には22秒へと極端に短縮した。事前に不正ツールを仕込む手法により、侵入直後から攻撃が本格化する構造となっている。
ランサムウェアの性質も変化した。単なる暗号化だけでなく復旧手段そのものを破壊する動きが顕著だ。バックアップ削除や認証基盤の悪用、仮想化基盤への攻撃などにより、企業は復旧か支払いかの選択を迫られる。
長期潜伏型の攻撃ではVPNやルーターなどエッジ機器が標的となっている。これらは監視が不十分な場合が多く、ゼロデイ脆弱性の悪用も進んでいる。脆弱性公開前に攻撃が実行される事例も確認され、検知の難しさが増している。メモリ常駐型マルウェアによって再起動後も残存するケースがあり、痕跡の把握が困難だ。
AIの活用も進んでいる。攻撃コードが実行中に大規模言語モデル(LLM)に問い合わせる事例や、機械学習モデルから情報を抽出する試みが報告された。ただし侵害の主因は依然として人為的ミスや設定不備であり、AI単独が原因となるケースは限定的と分析している。
防御側への提言として低リスクに見える警告の重視やバックアップ環境の分離、認証管理の強化、振る舞い分析の導入、ログ保存期間の延長などが挙げられた。攻撃速度の上昇に対応するため、従来型の対策だけでは不十分と指摘している。
Mandiantは17年間にわたり同報告を継続しており、今回も現場データに基づく知見を提示した。企業に対し、可視性の確保と迅速な対応能力の強化を求めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
リソースの制約をどう克服するか? SCS評価制度に見る「持続可能なセキュリティ」の形
サプライチェーン全体にセキュリティを求められるなど、セキュリティ対策の重要性が高まる一方、専門人材の不足や実施コストの増大は避けて通れない課題です。SCS評価制度はその現実にどう折り合いを付けたのでしょうか。制度設計の裏側を読み解くと、単なる評価制度では終わらない“もう一つの意図”が浮かび上がります。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。