パスワード、放置VPN、休眠ID……“初歩的な隙”ばかり？ 重要インフラへの攻撃パターンとその対策：Microsoft調査から読み解く最新脅威動向

Microsoftは重要インフラを取り巻くサイバー脅威が構造的に変化している状況を解説するレポートを公開した。IDを起点とした攻撃や、国家主体の長期潜伏型の攻撃に警戒が必要だ。

[＠IT]

　Microsoftは2026年3月31日（米国時間）、国家安全保障や公共安全、経済を支える重要インフラを取り巻くサイバー脅威の変化を解説するレポートを公開した。

　脅威インテリジェンスチームであるMicrosoft Threat Intelligenceの観測によれば、脅威アクターは検知されずに潜伏し、最大限の混乱を引き起こせるタイミングで攻撃を仕掛けられる持続的なアクセスを確立しつつあるという。

　各国政府はこの状況に対応を進めている。米国は2023年3月に公表した「国家サイバーセキュリティ戦略」で重要インフラのサイバーセキュリティを国家安全保障上の必須事項と位置付けた。日本は2025年に「能動的サイバー防御」法制の基本方針を策定。欧州はNIS2（ネットワーク・情報システム指令第2版）指令の適用を進め、カナダは「Bill C-8」を導入した。

　米FBIサイバー部門が主導する共同取り組み「Operation Winter SHIELD」は、重要インフラを担う組織が単に脅威を認識するだけでなく、対策の準備ができている態勢へと移行するための支援に焦点を当てている。

• Claudeが“司令塔”となってメキシコ公共機関をサイバー攻撃　1万7000行のツールで攻撃の全プロセスを自動化（＠IT）
• G20加盟国の重要インフラが「2028年までに止まる」？――「AIの死角」とは（＠IT）

重要インフラが直面する5つの脅威

　重要インフラが直面する今日の脅威は、以下のように5つに分類できる。

1．IDが主要な攻撃経路　97％以上の標的がパスワード認証

　重要インフラ環境では、IDがITとOTを橋渡ししており、主要な攻撃経路となっている。ID基盤への攻撃の97％以上がパスワードベースの認証を標的としており、その大半はパスワードスプレーやブルートフォース攻撃といった総当たり攻撃による。

　攻撃者は「LotL」（Living Off the Land：環境寄生型攻撃）と正規の資格情報を使用して検知を回避する。IDが接続されたドメイン全体のアクセスを一元管理するようになった今、単一のアカウント侵害が関連システムへの特権アクセスにつながる可能性がある。

2．クラウドとハイブリッド環境が攻撃者の到達範囲を拡大

　クラウドおよびハイブリッド環境（「Microsoft Azure」ベース）のインシデントが増加している。Microsoftの調査では、侵入の18％がWebに面した接点から、12％がリモートサービスから、3％がサプライチェーンから発生している。

　OTシステムがクラウドベースのIDとリモートアクセスに依存しており、ITシステム内からOTへと脅威が波及し得る状況になっている。重要インフラ事業者にとっては、クラウドとハイブリッドのアーキテクチャがITシステムだけでなく、運用全体のレジリエンスに直接影響を与えるということだ。

3．国家主体の攻撃者が長期潜伏

　国家主体の攻撃者は、重要インフラ内で長期的に検知されずにアクセスを維持している。

　Microsoftと米国国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）によれば、中国の国家支援アクター「Volt Typhoon」は正規の認証情報と組み込みの管理ツールを使用して検知を回避し、ITとOTが混在する環境に潜伏しているという。

• 未知の脆弱性をAIが暴き出す　Googleが警告する「完全自律型サイバー攻撃時代」の幕開け（＠IT）
• NIST、ついに“脆弱性の全件分析”を断念　CVE爆増でパンク状態、方針転換（＠IT）

4．露出と設定ミスが初期アクセスを可能に

　Microsoftの調査で観測される侵入の大半は高度な手法ではなく、防止可能なものだ。インターネットへの接続が長期間有効なまま放置されたVPN（仮想プライベートネットワーク）、プロジェクト終了後も残る委託先のID、設定ミスのあるクラウドテナント、休眠中の特権アカウントが、攻撃者にとって手間のかからない侵入口となっている。不要な露出の削減は、重要インフラ事業者にとって最も効果的なリスク低減策の一つだ。

5．攻撃目的がデータ窃取から「サービス停止」へ転換

　攻撃キャンペーンが2025年初頭に急増する中で、クラウドにおける破壊的な活動や、攻撃者がネットワークやシステムに直接アクセスし、端末を手動で操作する「ハンズオンキーボード攻撃」が目立った。

　攻撃の目的はデータ窃取から運用妨害へと変化しており、IDシステム、クラウドコントロールプレーン、リモート管理レイヤーが標的となっている。重要インフラ事業者にとって影響はデータ損失にとどまらず、サービスの可用性と物理的プロセスに及ぶ。

• 「単独の管理者に任せないで」　米CISAが警告、エンドポイント管理システムの設定強化を呼び掛け（＠IT）
• 「侵入4分後にデータが消える」　AI悪用で“攻撃が速過ぎる”今、セキュリティチームが勝つには（＠IT）

重要インフラ環境で繰り返し観察される攻撃パターン

　実際に繰り返し観測されている3つの攻撃パターンは次の通り。

• 侵害された委託先ID→リモートアクセスの悪用→LotLによる永続化
  • 有効なサードパーティーアカウントがリモート管理システムへのアクセスに使われ、組み込みの管理ツールを通じて静かに居座り続ける
• クラウドテナントの設定ミス→特権昇格→IT／OT横断のID悪用
  • ハイブリッド環境の過剰な権限により、エンタープライズシステムと運用システムをつなぐIDの経路を通じてアクセスが拡大する
• 露出したリモートサービス→資格情報のリプレイ→管理ツール内での休眠型永続化
  • インターネットに面したサービスが資格情報の再利用を可能にし、信頼された管理フレームワーク内で長期間検知されないアクセスを維持する

求められる4つの対策

　重要インフラのセキュリティ強化は、長期戦略を持つ攻撃者には効きにくい。ハイブリッドなIT／OT環境では、一時的な対策ではなく、継続的な実践が求められる。

　Microsoftは、重要インフラを担う組織は、以下4つを並行して強化する必要があると述べている。

• 1．ID保護の強化
  • フィッシング耐性のある多要素認証（MFA）導入
  • 過剰権限の削減
  • レガシー認証の廃止
  • 委託先やサービスアカウントの管理強化
• 2．構成およびアーキテクチャの改善
  • リモートアクセスの強化
  • インターネット公開領域の削減
  • IT／OTのネットワーク分離
  • クラウド設定ミスの修正
• 3．テレメトリー整備（可視化）
  • ログの統合（ID、EDR＜Endpoint Detection and Response＞、クラウドなど）
  • SIEM（Security Information and Event Management）活用による横断的な監視
  • IT／OTの可視性ギャップの解消
• 4．対応準備と復旧
  • インシデント対応訓練（演習）
  • バックアップの隔離確認
  • 復旧手順（IT／OT両方）の検証
• 「入り口をふさぐ」だけではもう古い　企業の心臓を死守する「逆算型セキュリティ」の本質（＠IT）
• ランサムウェア攻撃が相次ぐ今、100兆件超の兆候を分析したMicrosoftが10のセキュリティ対策を提言（＠IT）