「90日間ログ保持」はもう古い VPNの脆弱性やActive Directoryを悪用するランサムウェアの実態と対策：「22秒で破壊、400日間の潜伏」 攻撃者の行動が二極化

Mandiantは年次レポート「M-Trends 2026」を発表した。2025年に実施した50万時間以上のインシデント調査では、サイバー犯罪の分業化と連携の進展により、初期アクセスから攻撃実行グループへの引き継ぎ時間が2022年の8時間超から2025年には22秒に短縮されたことが明らかになった。

[＠IT]

　Google傘下のサイバーセキュリティ企業Mandiantは2026年3月24日（米国時間）、年次レポート「M-Trends 2026」を発表した。2025年にMandiantがグローバルで実施した50万時間以上の現場対応のインシデント調査に基づくものだ。

「22秒で破壊、400日間の潜伏」　攻撃者の行動が二極化

　Mandiantは攻撃者の行動が二極化していることに注目している。

　サイバー犯罪グループは攻撃の分業化と連携を進め、初期侵入から攻撃実行までの時間を2022年の8時間超から2025年には22秒へと極端に短縮し、即時的な破壊や復旧妨害を狙っている。

• 「9割が90分以内、最速は1秒」　企業AIシステム侵害の絶望的なスピード感（＠IT）
• 「侵入4分後にデータが消える」　AI悪用で“攻撃が速過ぎる”今、セキュリティチームが勝つには（＠IT）

　他方では、スパイ活動グループがエッジデバイスやネイティブ機能を悪用し、約400日間に及ぶような長期間にわたって検知を回避する極めて持続的な攻撃を志向している。

• 「侵害は社外で始まる」　クラウドや取引先に“潜伏する”脅威と、求められるセキュリティ再設計：金融業で考えるサプライチェーンのリスク管理（3）（＠IT）

数字で見る攻撃の変化

• グローバルの滞留時間（中央値）は14日間で、2024年の11日間から増加
  サイバースパイ活動と北朝鮮のIT労働者関連インシデントの滞留時間（中央値）は122日間
• 初期感染経路はエクスプロイト（脆弱《ぜいじゃく》性を悪用するプログラム）が6年連続で最多となり、全体の32％
  ビッシング（音声を使ったフィッシング）が11％で2番目に多い経路に急浮上
• 組織が内部で悪意のある活動を最初に検知した割合は52％で、2024年の43％から増加
• ハイテク業界が17％で最も多く標的とされ、金融業界（14.6％）を上回った

攻撃グループ間のアクセス引き継ぎ時間の大幅短縮

　2025年に観測された「最も顕著な傾向」とされるのは、サイバー犯罪エコシステム内の専門分業化と連携の深化だ。初期アクセスパートナーは悪意のある広告や「ClickFix」ソーシャルエンジニアリング（人の心理を巧みに操って意図通りの行動をさせる詐欺手法）などの低影響な手法で足掛かりを確保し、ランサムウェア（身代金要求型マルウェア）などの影響の大きい攻撃を実行する二次グループにアクセスを引き渡す。

• 「なぜ正規アカウントが奪われたのかまでは分からない」の原因　〜フィッシング？　ClickFix？〜（＠IT）

　初期アクセスイベントから二次脅威グループへの引き継ぎ時間の中央値は、2022年には8時間超だったが、2025年にはわずか22秒に短縮された。初期アクセスパートナーは初期感染時に、二次グループが好むマルウェアやトンネルを事前に準備するようになっており、二次アクターはネットワークに最初に接触した時点で攻撃を開始できる状態にある。

　侵害されたアクセスの再利用は初期感染経路として世界的に3番目に多かった（全体の10％）、ランサムウェア攻撃では最も多く（全体の30％）、2024年の15％から倍増した。

• 攻撃経路「オンプレからクラウドへ」はもう古い　インフォスティーラーが変えたセキュリティの新常識（＠IT）

音声フィッシングとSaaSアイデンティティーの危機

　自動化された技術的な対策の改善により、メールフィッシングは2025年の侵入の6％にまで低下した。一方で攻撃者は、ITヘルプデスクを標的とした対話型の音声ベースのソーシャルエンジニアリングに移行している。

• 政府サービス、偽ChatGPT、無料チケット……最新詐欺の侵入経路、カスペルスキーが報告（＠IT）

　脅威アクターは長期間有効なOAuthトークンやセッションCookieを収集することで標準的な防御を迂回（うかい）している。サードパーティーのSaaSベンダーを侵害してハードコードされた鍵やパーソナルアクセストークンを窃取し、それを使用して下流の顧客環境にピボット（侵入拡大）して大規模なデータ窃取を実行している。

ランサムウェアが復旧妨害型に進化

　ランサムウェアグループはデータの暗号化にとどまらず、復旧能力の破壊に積極的に取り組んでいる。2025年には「REDBIKE」（Akira）や「AGENDA」（Qilin）を使用するグループがバックアップインフラ、IDサービス、仮想化管理プレーンを標的にした。

• ランサムウェア、失敗対応に学ぶ「4つの教訓」：KRAKEN、Akira、Qilin、Silent（＠IT）

　攻撃者は誤設定された「Active Directory証明書サービス」（AD CS）のテンプレートを悪用して管理者アカウントを作成し、クラウドストレージからバックアップオブジェクトを削除している。ハイパーバイザーのデータストアを暗号化することで、関連する全ての仮想マシンを同時に動作不能にする手法も確認された。

• なぜ「Active Directory」は狙われるのか？　ID基盤を守るべき理由と防御のポイント（＠IT）

エッジデバイスとゼロデイ攻撃による長期潜伏

　スパイ活動グループはVPN（仮想プライベートネットワーク）やルーターなど、EDR（Endpoint Detection and Response）テレメトリーが欠如するエッジおよびコアネットワークデバイスを標的としている。脆弱性の悪用までの平均時間は推定マイナス7日（公開前）となり、パッチ（修正プログラム）が公開される前に悪用が発生している。

• 「AIがVPN不正アクセスを自動化」　脆弱性が「0」でも600台超のFortiGateが陥落：低スキル攻撃者の脅威 - ＠IT

　攻撃者は、バックドア「BRICKSTORM」などのカスタムインメモリマルウェアをネットワークアプライアンスに展開し、標準的な修復やシステム再起動に耐える深い永続性を確立している。BRICKSTORMの滞留時間は約400日間に達しており、標準的な90日間のログ保持ポリシーでは初期アクセス経路の特定が不可能になっている。

M-Trends 2026の推奨事項

　同レポートは以下の対策を推奨している。

• 影響の小さいアラートを重大な指標として扱い、攻撃者による手動操作攻撃が開始される前に修復する
• 仮想化および管理プラットフォームをTier-0（最上位権限）資産として最も厳格なアクセス制約を適用する
• バックアップインフラを企業のActive Directoryドメインから分離し、イミュータブル（変更不可能）ストレージを使用する
• 静的なIOC（侵害指標）に頼らず、行動ベースの異常検知モデルを実装する
• ログ保持ポリシーを標準の90日間を超えて延長する