SentinelOne Japanが「産業化」しているサイバー攻撃に対抗するための防御策をまとめた年次脅威レポートを公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
SentinelOne Japanは2026年5月28日、同社の脅威リサーチ部門SentinelLABsとWayfinderチームによる最新調査をまとめた年次脅威レポートを発表した。
調査によると、攻撃者はもはや単にアクセス権を得ることだけに注力しているわけではない。初期侵入の先へと進み、現代の企業を支える信頼されたアイデンティティーシステムやインフラ、自動化システムを組織的に悪用しているという。
現在、サイバー攻撃が「産業化」しているにもかかわらず、セキュリティチームは膨大な量のテレメトリーデータに圧倒されているだけで、攻撃者による侵入と無害な異常を区別するために必要なコンテキスト(背景情報)が欠如している。組織は以前よりも詳細な脅威インテリジェンスにアクセスできる一方で、自社環境を適切に管理するための具体的で実用的な対策にどう変換するかが課題になっている。
レポートでは、セキュリティチームがプロアクティブ(能動的)でコンテキストを重視したレジリエンス(回復力)の高い体制に移行するためのポイントを分析している。
アイデンティティーは今やSaaSやクラウドインフラ、自律型エージェントにまで広がっており、1つのアカウントで数十ものシステムにアクセスできる状況になっている。
組織はかつてないほど多くのアイデンティティーデータを収集しているが、アイデンティティーを悪用した侵入は最も検出が困難な攻撃の一つだ。攻撃者は、盗んだトークンやフィッシング、侵害したアカウントを駆使し、有効な認証情報を使って活動する。
防御側は、認証だけに依存するのではなく、ログイン後の行動を継続的に監視することに焦点を移す必要がある。
攻撃者は本番環境よりも、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインや開発ワークフローを標的にする「LOTP」(Living off the Pipeline)攻撃に注力している。
LOTP攻撃では、ビルドシステムを侵害することで、ソフトウェアが本番環境に到達する前に悪意のあるコードを混入させたり、機密情報を抽出したりできる。これにより、攻撃者は信頼された開発プロセス内で活動し、強固なランタイム防御を回避している。
LOTP攻撃を検知するには、ソフトウェア開発ライフサイクル全体における可視性と、長期間にわたる攻撃者の活動を関連付ける能力が必要だ。
エッジデバイスは現在、主要な攻撃対象となっており、最近のゼロデイ攻撃の約46%がこれらを標的にしているという。これらのシステムは管理が行き届いていない死角となっていることが多く、広範なシステム侵害への最初の足掛かりとして頻繁に使用されている。
この対策には、エッジを高リスクなものとして扱い、以下のような対策を講じる必要がある。
高精度の自動化は、AIが導き出したインサイトを防御の成果に結び付ける運用基盤となる。
攻撃者はこれまで、自動化されたワークフローを駆使し、攻撃を目的とした脆弱(ぜいじゃく)性スキャンや認証情報の窃取、ラテラルムーブメント(水平展開)などをミリ秒単位で仕掛けてきた。
だが、長年の試行錯誤を経て、防御側のテクノロジーが攻撃者のスピードを追い越しつつある。防御には、単なるアラートの生成よりも、信頼度が高い真の脅威の遮断を優先する自動応答ポリシーの強化が求められるという。
SentinelOneのチーフカスタマーオフィサーであるスティーブ・ストーン氏は、「攻撃者が信頼されたシステムや運用の死角を悪用するようになっている」と説明する。「防御側に必要なのは、攻撃者が投入する新しいツールを追いかけることではなく、現代の攻撃がもたらすプレッシャーに自社のコントロールが耐えられるかどうかを継続的にテストすることだ」
31秒で失敗を修正 考えながらランサムを仕掛けるAI攻撃者の実態
脆弱性修正の猶予は「125日から0.5日」へ激減。セーフガード付き「Claude Fable 5」と最上位「Mythos」がもたらす激震
脆弱性発見から悪用まで数分 シスコが語る「ポストMythos時代」の生存戦略
「侵入から横展開まで30分」がもはや標準 AIで高速化する攻撃、防御は間に合うのか?
「9割が90分以内、最速は1秒」 企業AIシステム侵害の絶望的なスピード感Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ