Picus Labsが110万件以上の悪意あるファイルと1550万件の攻撃行動を分析した「Red Report 2026」が公開されました。本レポートは、サイバー攻撃者がランサムウェアによる破壊的な暗号化から、長期間にわたりシステムに潜伏する「デジタル寄生虫(Digital Parasite)」型の攻撃へと戦略的に移行していることを明らかにしています。セキュリティ業界が派手な攻撃に注目する一方で、より危険な変化が静かに進行していました。
この記事のポイント
- ランサムウェアの暗号化攻撃(T1486)が前年比38%減少し、21%から約13%へ低下
- 攻撃者は「即座の破壊」から「長期潜伏によるデータ窃取」へ戦略転換
- MITRE ATT&CKトップ10技術のうち8つが回避・永続化・C2通信に集中
- AI駆動型マルウェアの実質的な増加は観測されず、従来の手法が依然として主流
ランサムウェアの衰退と新たな攻撃モデル
レポートで最も注目すべき発見は、「Data Encrypted for Impact(T1486)」の大幅な減少です。この技術は2024年の21%から2025年には約13%へと38%も低下しました。これは攻撃者が暗号化による直接的な妨害から、データの窃取や認証情報の収集へと明確に軸足を移していることを示しています。
攻撃者は被害者のシステムを稼働させたまま、機密情報を静かに収集し、後から恐喝に利用するという手法を取るようになりました。つまり、攻撃者のビジネスモデルそのものが「即時の破壊」から「長期的なアクセス維持」へと変化しているのです。被害組織は攻撃を受けていることにすら気づかないまま、長期間にわたってデータを抜き取られ続けるリスクが高まっています。
認証情報の窃取が主要な攻撃手段に
「Credentials from Password Stores(T1555)」は、観測された攻撃の約4分の1に出現しています。攻撃者はブラウザやパスワードマネージャーに保存された認証情報を抽出し、それを利用して権限昇格やラテラルムーブメント(横方向の移動)を実行します。
重要なのは、攻撃者が複雑なエクスプロイトを使わず、正規の管理ツールを通じてネットワーク内を移動している点です。これにより、攻撃活動が通常の管理操作と区別しにくくなり、従来のシグネチャベースの検出では発見が困難になっています。認証情報を手にした攻撃者は、事実上の「正規ユーザー」としてシステム内を自由に動き回ることができるのです。
ステルス重視の攻撃技術が主流に
MITRE ATT&CKフレームワークにおけるトップ10技術のうち、実に8つが回避(Evasion)、永続化(Persistence)、またはC2通信(Command and Control)に関連するものとなりました。主要な技術として以下が挙げられます。
- プロセスインジェクション(T1055):正規プロセスにコードを注入し、検出を回避
- ブート/ログオン自動起動(T1547):システム再起動後も攻撃を持続
- アプリケーション層プロトコル(T1071):通常のWeb通信に紛れてC2通信を実行
- 仮想化/サンドボックス回避(T1497):分析環境を検知して実行を抑制
特に注目すべきは、マルウェアの「自己認識」能力の進化です。LummaC2というマルウェアは、マウスの動きを幾何学的計算で分析し、人間の操作かサンドボックスの自動操作かを判別します。仮想環境と判断した場合は実行を停止し、分析者の目を欺くという高度な手法を用いています。
AI駆動型攻撃の現状
業界ではAIを活用した攻撃の増加が懸念されていますが、Picus Labsの分析では、AI駆動型マルウェア技術の実質的な増加は観測されませんでした。現実の攻撃では依然として従来の手法が支配的であり、LLM(大規模言語モデル)の実験的な利用はコマンドの取得程度にとどまっています。AIによる攻撃の根本的な戦略変化は、少なくとも2025年時点ではまだ起きていないと言えます。
ただし、これは将来的にもAIが脅威にならないという意味ではなく、現時点では既存の成熟した攻撃手法の方が効果的であるという現実を反映しています。
知っておくと便利なTips
- MITRE ATT&CKフレームワークを活用して自組織の防御範囲をマッピングし、上記トップ10技術への対策状況を確認する
- ブラウザやパスワードマネージャーの認証情報保存設定を見直し、ハードウェアキーや多要素認証の導入を検討する
- EDR/XDRソリューションでプロセスインジェクションやラテラルムーブメントの振る舞い検知を強化する
- サンドボックス分析だけに依存せず、実環境でのリアルタイム行動分析も併用する
まとめ
Picus LabsのRed Report 2026は、サイバー攻撃の世界で起きている根本的なパラダイムシフトを明確にしました。攻撃者はもはやランサムウェアで目立つ破壊を行うのではなく、「デジタル寄生虫」として被害者のシステムに長期間潜伏し、静かにデータを吸い上げるモデルへと進化しています。この変化に対応するためには、シグネチャベースの検出に頼る従来のアプローチから脱却し、振る舞い検知、認証情報の衛生管理、そして継続的な攻撃面の検証を優先する防御戦略への転換が求められます。派手な攻撃に目を奪われず、静かに進行する脅威にこそ注意を向ける必要があります。
📎 元記事: https://thehackernews.com/2026/02/from-ransomware-to-residency-inside.html
コメント