GoogleドライブやAmazon S3も危ない、2026年は「コスパの良い」攻撃が横行：Cloudflareが8つの脅威トレンドを分析

Cloudflareは、2026年版の年次脅威レポートを公開した。近年の攻撃者は高度で複雑な攻撃よりも「効率性」を重視する傾向が強まっており、正規クラウドツールの悪用やディープフェイクを用いた手口が拡大している。

[＠IT]

　CDN（コンテンツデリバリーネットワーク）事業者のCloudflareは2026年3月3日（米国時間）、同社の脅威インテリジェンスチームCloudforce Oneによる年次脅威レポート「2026 Cloudflare Threat Report」を公開した。膨大な通信データの分析に基づき、脅威状況の変化を明らかにしている。

“コスパが良い”攻撃ほど横行する？

　Cloudforce Oneは、攻撃者の心理に大きな変化が起きていると指摘する。攻撃者は意思決定の判断基準として「MOE」（Measure of Effectiveness）と呼ばれる指標を用いている。これは、投入したコストや労力に対してどれだけ成果が得られるかを評価する指標だ。

　2026年において最も危険な脅威アクターとは、最も高度な技術を持つ者ではなく、インテリジェンスとテクノロジーを単一の継続的なシステムに統合し、最短時間でミッションを達成できる者だとレポートは指摘している。

　攻撃者はMOEを基準に、以下のようにより効率の良い攻撃手法を選択する傾向を強めているという。

• コストがかかるゼロデイ攻撃よりも、盗んだセッショントークンの方がMOEが高い
• 独自の攻撃サーバを構築するよりも、「レピュテーションシールド」（信頼性の高い外部クラウドサービスを悪用し、悪意ある活動を隠蔽する手法）を利用する方が追跡されにくい
• 手動のコード作成よりも、AI（人工知能）を活用して脆弱（ぜいじゃく）性を自動発見する方が効率が良い

2026年の脅威を定義する8つのトレンド

　レポートでは、2026年の脅威状況を定義する8つの主要トレンドを特定している。

1. AIによる攻撃の自動化

　攻撃者は生成AIを使い、ネットワークの構成や接続関係をリアルタイムで把握したり、脆弱性を突く攻撃コードを作成したり、ディープフェイクを生成したりしている。これまで高度な技術が必要だった攻撃を、スキルの低い攻撃者でも実行できるようになっている。

2. 国家主体による重要インフラへの潜伏活動

　中国系の攻撃グループ「Salt Typhoon」や「Linen Typhoon」は、北米の通信事業者や民間企業、政府機関、ITサービスを標的に侵入を進めている。これらの活動は、将来の地政学的な対立や圧力に備え、攻撃を仕掛けるための足掛かりをあらかじめ確保する狙いがある。

3. SaaS連携の過剰な権限を悪用

　脅威アクターGRUB1がセールス支援ツール「Salesloft」に侵入した事例では、外部サービスとのAPI連携を経由して被害が拡大する可能性が明らかになった。1つのAPIが侵害されると、そのAPIと連携している複数のサービスや企業環境に影響が広がり、数百社規模で被害が連鎖する恐れがある。

4. 正規クラウドサービスの悪用

　攻撃者は「Googleカレンダー」や「Dropbox」「GitHub」などを含め、正規のクラウドサービスを悪用している。不正な活動を通常のクラウドサービス利用に紛れ込ませ、検知を回避しようとしている。

5. ディープフェイクによる西側企業への侵入

　北朝鮮のグループは、ディープフェイクや偽造身元を利用して西側企業のリモートIT人材として潜入し、スパイ活動や資金獲得を狙っている。

6. トークン窃取による多要素認証の無効化

　「LummaC2」などのインフォスティーラー（情報窃取型マルウェア）を用いてアクティブなセッショントークンを収集し、多要素認証（MFA）を回避する攻撃が増えている。

7. リレーの盲点を悪用したブランドなりすまし

　PhaaS（Phishing as a Service）のボットは、メールサーバが送信者のIDを再検証しない盲点を悪用し、信頼されたブランドになりすましたメールをユーザーに直接配信している。

8. ハイパーボリュメトリックDDoS攻撃

　「Aisuru」などの大規模なボットネットを使い、毎秒数Tbit（テラビット）を超える大量の通信を送り付けるDDoS（分散型サービス妨害）攻撃が増えている。こうした大規模な攻撃は、従来の人手による対処では対応が難しくなっており、自動化された防御の必要性が高まっている。

正規クラウドツールの悪用手法

　レポートは、MOEの高い攻撃手法として「正規クラウドツールの武器化」を詳しく分析している。攻撃者は既知の悪意ある専用サーバではなく、「Googleドライブ」「Microsoft Teams」「Amazon S3」（Amazon Simple Storage Service）などのサービスをC2（コマンド＆コントロール）通信に利用している。

　この手法は「LotL」（Living off the Land：環境寄生型攻撃）から派生した「LotC」（Living-Off-The-Cloud）と呼ばれ、信頼されたクラウドサービスを利用することで、攻撃トラフィックを通常の業務通信に紛れ込ませる。

　さらに、「Amazon SES」（Amazon Simple Email Service）や「SendGrid」など正規の大量メール配信サービスも、フィッシングやマルウェア配布キャンペーンに悪用されているとレポートは指摘している。

国家レベルの脅威アクターグループ

　Cloudforce Oneは、国家レベルの脅威アクターグループによる具体的な手法も公開している。

• FrumpyToad（中国）
  • Googleカレンダーをクラウド間C2ループに悪用し、イベントの説明欄に暗号化されたコマンドを読み書きする
• PunyToad（中国）
  • トンネリング機能とクラウドコンピューティングを使用してLotCアーキテクチャを構築し、バックエンドのIPを隠蔽（いんぺい）している
• NastyShrew（ロシア）
  • 「Teletype.in」や「Rentry.co」などのペーストサイト（テキストを公開できるWebサービス）を「デッドドロップリゾルバ」（外部に隠した指示情報の取得先）として利用している。感染した端末はこれらのサイトに定期的にアクセスし、更新されたC2アドレスを取得して通信先を切り替える仕組みだ。
• PatheticSlug（北朝鮮）
  • GoogleドライブとDropboxを使用してXenoRATペイロードをホストし、GitHubを隠密なC2に活用している
• CrustyKrill（イラン）
  • Webアプリホスティングサービス「Azure Web Apps」でC2ページをホストし、オンラインオフィススイート「ONLYOFFICE」を使用してペイロードをホストしている

自律型防御への移行を提唱

　Cloudforce Oneは、脅威がマシンスピードで動く現代において、人間中心の防御はもはや有効な盾ではないと指摘している。攻撃者のMOEをゼロに近づけるためには、自律型防御モデルへの移行が必要だとしている。

　この移行には、手動のチェックリストや断片的なアラートへの依存から脱却し、ネットワーク全体をリアルタイムで可視化しながら自動応答できる体制を整えることが求められる。目標は「より強固な壁を作ること」ではなく、「誰も監視していない状況でも、攻撃者より速く行動できるシステムを構築すること」だとCloudforce Oneは指摘している。