「侵入4分後にデータが消える」 AI悪用で“攻撃が速過ぎる”今、セキュリティチームが勝つには：AIはランサムウェア開発も支援する

サイバーセキュリティ企業CrowdStrikeは「2026年版グローバル脅威レポート」を発表した。AIを活用した攻撃者の活動が前年比89％増加し、偵察や認証情報の窃取、検知回避といった領域でAIを武器化する動きが加速しているという。

[＠IT]

　サイバーセキュリティ企業CrowdStrikeは2026年2月24日（米国時間）、「2026年版グローバル脅威レポート」を発表した。

　AIを活用した攻撃者の活動は前年比89％増加し、偵察や認証情報の窃取、検知回避といった領域でAIを武器化する動きが加速しているという。侵入は信頼されたアイデンティティーやSaaS（Software as a Service）アプリケーション、クラウドインフラを介して進行し、通常のアクティビティーに紛れ込むことで、防御側が対応できる時間を大幅に短くしている。

AIが攻撃の加速と新たな攻撃対象を生む

　サイバー犯罪のブレークアウトタイム（侵入からラテラルムーブメント《水平展開》を開始するまでの時間）は平均29分で、2024年と比較して65％高速化している。過去最速のブレークアウトはわずか27秒と報告されており、ある侵入では初期アクセス取得から4分以内にデータ流出が開始された。

　攻撃者によるAIシステム自体の悪用も確認されている。90以上の組織で生成AIツールに対する悪意のあるプロンプトインジェクションが確認され、認証情報や暗号資産の窃取のためのコマンド生成に悪用された。

• ChatGPTを「AIへのプロンプトインジェクションは防げない」前提で守る方法　OpenAIが解説（＠IT）

　AI開発プラットフォームの脆弱（ぜいじゃく）性を悪用して永続的なアクセスを確立し、ランサムウェア（身代金要求型マルウェア）を展開した事例、信頼できるサービスになりすました悪意のあるAIサーバによる機密データの傍受事例も確認された。

• AIが脆弱性を探し、ランサムウェア構築を支援　5つのAI悪用手口と対策リスト（＠IT）

国家主導型攻撃者のAI利用が拡大

　ロシア関連の「FANCY BEAR」は大規模言語モデル（LLM）を用いたマルウェアを展開し、偵察とドキュメント収集を自動化した。

　サイバー犯罪アクターの「PUNK SPIDER」はAI生成スクリプトを用いた活動が確認され、認証情報の抽出やフォレンジック（サイバー攻撃の原因や経路を突き止めるための鑑識調査）証拠の消去を高速化した。

　北朝鮮関連の「FAMOUS CHOLLIMA」はAI生成ペルソナ（偽装された人物像）を活用して内部者に偽装した攻撃活動を拡大した。

• ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘　どう対策すればいいのか？（＠IT）

中国と北朝鮮関連活動が急増

　2025年に中国関連の活動は38％増加し、物流業界への標的化は85％増加した。中国関連アクターが悪用した脆弱性の67％は即時のシステムアクセスにつながるケースが確認され、40％はインターネットに公開されたエッジデバイスを標的とした。

　北朝鮮関連のインシデントは130％以上増加し、「PRESSURE CHOLLIMA」による14億6000万ドル（約2263億円《1ドル＝約155円換算》）の暗号資産の窃取は、報告された中で過去最大の単独金融窃盗事件となった。

ゼロデイ攻撃とクラウド侵入の拡大

　脆弱性の42％は公開前に悪用された。クラウドを標的とした侵入は全体で37％増加し、インテリジェンス収集のためにクラウド環境を標的とする国家主導型脅威アクターによる侵入は266％増加した。

• 攻撃経路「オンプレからクラウドへ」はもう古い　インフォスティーラーが変えたセキュリティの新常識（＠IT）

　CrowdStrikeでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ氏は「攻撃者は初期アクセスからラテラルムーブメントまでを数分で実行している。AIは、侵入から攻撃実行までの時間を短縮する一方、企業のAIシステムそのものを攻撃対象へと変えている。セキュリティチームが勝つには、攻撃者よりさらに速く行動する必要がある」と述べている。