サイバー攻撃に8割の企業が「丸裸」 穴だらけの環境をどう守る？：計画だけでは意味がない

タニウムの調査によると、サイバー攻撃の備えができている企業はわずか2割であることが明らかになっています。ゼロデイ脆弱性の悪用や開発環境侵害、インフォスティーラーなど企業を狙う攻撃が相次ぐ中、自社を守るにはどうすればいいでしょうか。

[雨輝ITラボ（リーフレイン）, 編集：田渕聖人，＠IT]

　「社内の全デバイスを把握できている企業は2割弱」「インシデント時に経営層が関与できる体制を構築できている企業は2割程度」――。セキュリティベンダーのタニウムが2026年1月に実施した調査が、企業のサイバーセキュリティ対策の実態を赤裸々に映し出しています。

　サイバーインシデントへの備えが整っている企業はごくわずかです。それにもかかわらず、攻撃者側の動きは止まりません。直近だけでも、「Linux」環境を直撃するゼロデイ脆弱（ぜいじゃく）性の連続公開や開発環境を標的にした侵害事案が相次ぎ、企業がふさぐべき穴は至る所に口を開けています。防御の準備が整わないまま攻撃にさらされ続ければ、その末路は悲惨なものになりかねません。

8割の企業が「丸裸」　サイバーBCPは形だけの実態

　タニウムの調査によると、復旧計画の技術的検証を実施している企業は約2割にとどまり、定期的な訓練を実施している企業も4分の1程度に過ぎません。「計画を作ること自体がゴールになっているケースが多い」と同社のシニアマーケティングマネージャーである村井新太郎氏は警鐘を鳴らしています。

サイバーBCPの準備ができている企業は20％。残る約80％の企業は「想定」のまま運用（提供：タニウム）

• 参考記事：訓練なし、検証なし、責任者不明　サイバーBCPの危うい実態

　IT資産の可視化不足も深刻です。非管理端末を排除できている企業も2割弱であり、「見えないものは守れない」状況が常態化しています。攻撃者にとって、こうした非管理端末は格好の侵入口となります。

全てのIT資産を可視化できている企業は2割を切っている（提供：タニウム）

　一方、攻撃側の環境は整っています。警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、グローバルIPアドレス1つ当たり1日に約9600回もの脆弱性スキャンを受けているとのことです。

警察庁が観測した不審なアクセス件数（提供：警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」P28）

　攻撃は自動化・サービス化され、常に侵入の機会を狙われている状況です。備えが整わない企業は、この圧倒的な非対称構造の中に無防備のままさらされることになります。

　こうした中、「Linuxカーネル」のゼロデイ脆弱性や開発環境侵害、インフォスティーラーなど、企業側の“未整備”を前提にした脅威は増加しています。

Linuxを直撃するゼロデイが連続公開　企業インフラの足元が揺らぐ

　近年は、企業システムの基盤として広く利用されるLinux関連でも深刻な脆弱性が相次いで見つかっています。影響範囲が広い上に、権限奪取につながるケースもあり、対応の遅れが重大インシデントにつながる可能性があります。

AIがLinuxカーネル脆弱性を発見　攻撃の高速化も進む

　韓国のセキュリティ企業Theoriは2026年4月、同社のAI脆弱性スキャンツール「Xint Code」により発見された、Linuxカーネルに存在するローカル権限昇格の脆弱性「Copy Fail」（CVE-2026-31431）を公表しました。

　公開されたPoC（概念実証）コードは短く、環境依存性も低いもので、一般ユーザー権限からroot権限奪取につながる可能性があり、悪用難易度の低さも懸念されています。「Ubuntu」や「Red Hat Enterprise Linux」（RHEL）など主要なディストリビューションが影響を受けるということです。

　特に注目されるのは、この脆弱性が2017年に導入されたコードに起因し、約9年間にわたって見過ごされてきた点です。Linuxカーネルのような広く利用される基盤ソフトウェアでも、長期間発見されないまま危険が潜伏していたことになります。

　さらに、今回の発見では、従来の研究に加えてAIを活用した解析が脆弱性特定を後押ししたという点も見過ごせません。今後はAI活用によって脆弱性発見や解析の速度が加速する可能性もあります。

• 参考記事：LinuxカーネルのゼロデイをAIが発見　悪用で簡単にroot権限奪取が可能に

Dirty Frag――主要Linuxに影響するroot権限奪取の恐れ

　2026年5月には、セキュリティ研究者のキム・ヒョンウ氏がLinuxに新たな権限昇格の脆弱性「Dirty Frag」を公開しました。IPsec ESPモジュールとRxRPCモジュールに起因する2つのCVEを組み合わせてroot権限を取得できるもので、Copy Fail対策を済ませた環境でも安全確保に直結しないという厄介な性質を持つものです。

　競合状態を必要とせず高い成功率を持つ点も問題視されていたため、キム氏は予定を前倒しして詳細情報やPoCコードの公開に踏み切りました。クラウド基盤や通信基盤など、Linuxの利用が広がる中、修正適用の遅れは大きな危険要因となります。

• 参考記事：Linux主要配布版にroot権限奪取の恐れ　ゼロデイ脆弱性「Dirty Frag」公開

開発環境も標的に　マネーフォワード事案が示す新たなリスク

　脆弱性だけが企業の穴ではありません。2026年5月、マネーフォワードは認証情報の漏えいによって「GitHub」への不正アクセスが発生し、リポジトリがコピーされたと発表しました。ソースコードや個人情報の一部が流出した可能性があり、銀行口座連携機能の一時停止を余儀なくされました。

　同社によると、個人情報の取り扱いを伴うサービスの更新作業の過程で、個人情報が含まれたファイルが本来の管理手順から外れ、誤ってGitHubに保管されていたということです。認証情報の管理ミスが発端となり、開発環境から本番サービスの停止にまで波及した構図といえます。

　この事案が示すのは、ファイアウォールの内側だけを守っていればよいという時代はとっくに終わっているという現実です。ソースコード管理ツール、CI/CD（継続的インテグレーション／継続的デリバリー）パイプライン、クラウドサービスの認証情報など、開発、運用プロセスのあらゆるポイントが攻撃者の標的になり得ます。

• 参考記事：GitHub侵害で銀行連携停止　マネーフォワード事案が突き付ける開発リスク

多要素認証も突破される　インフォスティーラーという見えない脅威

　認証情報の管理問題に関連して、見落とされがちな脅威が「インフォスティーラー」です。

　インフォスティーラーとは、感染した端末から認証情報やセッションクッキーをはじめとする機密情報の窃取に特化したマルウェアを指します。多要素認証（MFA）を有効にしていても、認証後に発行されるセッションクッキーを盗まれれば、攻撃者はIDやパスワードの入力も多要素認証の手順もスキップしてログインできてしまいます。

　さらに深刻なのはWebブラウザの同期機能との組み合わせです。テレワーク中の従業員や委託先が私用端末のWebブラウザで業務アカウントを同期していた場合、その端末がインフォスティーラーに感染するだけで、組織のリソースへの侵入口が開いてしまうことになります。

　「Lumma」や「Vidar」「StealC」といった主要なインフォスティーラーは「Malware as a Service」（MaaS）として流通しており、週当たり130〜200ドル程度のサブスクリプション料で専門知識のない攻撃者でも利用可能です。被害に気付きにくい点も厄介で、盗んだ正規の認証情報でログインされると、ログ上は不審なログイン試行もなく一発で侵入が成功したようにしか見えません。

• 参考記事：多要素認証でも守れない　「インフォスティーラー」を“正しく”恐れよ

暗号化しないランサム攻撃「GhostLock」　従来の防御策が通じない新手口も

　セキュリティ研究者のキム・ドヴァシュ氏は、2026年5月に、ファイルを書き換えずにランサムウェア級の被害を発生させる攻撃手法「GhostLock」を発表しました。

　GhostLockの特徴は、従来型ランサムウェアのような暗号化や拡張子変更を伴わない点にあります。「Windows」のSMB共有機能における排他制御を悪用し、ファイルを開いたまま保持することで、他の利用者や業務システムからアクセスできない状態を作り出します。

　検証では、約50万件のファイルを含む共有領域に対し、数分で49万件超のファイルをロックしたとされています。ERP（統合基幹業務システム）や文書管理システム、共有ワークフローなどが次々と利用不能になり、外部からは一般的なランサムウェア被害と区別しにくい状況になるということです。

　さらに問題視されているのが、従来型の防御製品による検知が難しい点です。GhostLockはファイル内容を書き換えないため、多くのEDR（Endpoint Detection and Response）製品や振る舞い検知型AI製品が監視対象としてきた「暗号化」「大量書き込み」「拡張子変更」などの兆候が発生しません。

　ネットワーク監視製品やDLP（Data Loss Prevention）製品でも検知は容易ではないとされます。大量データ転送やファイル改変が発生せず、通常のSMBアクセスと区別しにくいためです。

　この問題は新たな脆弱性ではなく、Windowsで長年利用されてきたSMB共有機能の仕様に根差しています。そのため、単純なパッチ適用だけで解決できる問題ではない可能性も指摘されています。

　攻撃者側に必要なのは、共有領域への読み取り権限と通常のドメインアカウントのみ。フィッシング被害後の初期権限でも実行可能な点が懸念されます。

　復旧も容易ではありません。「Active Directory」でアカウントを停止しても、既存SMBセッションが一定時間維持されるため、NAS側でセッションを特定し、手動切断する必要があるということです。

• 参考記事：99％のファイルを数分で封鎖　暗号化不要の準ランサム攻撃「GhostLock」とは？

「出たとこ勝負」からの脱却を　組織と技術の両面からの対策が急務

　数々のサイバー脅威への対処は待ったなしの状況です。では、何から手を付けたらよいのでしょうか。

　技術面では、まずIT資産の完全な可視化が出発点です。見えない端末は守ることはできません。非管理端末の排除と合わせ、インシデント後のシステム復旧時に正常性を十分確認できる体制も必要です。

　インフォスティーラー対策としては、ブラウザへのパスワード保存を原則禁止にした上で、組織全体でクラウド型パスワード管理ソフトウェアの導入を進めることが有効です。多要素認証の徹底も必須ではありますが、メンテナンス用アカウントや一時的なアカウントにも漏れなく適用することが重要です。

　組織面では、何よりもIT部門と経営層の認識のギャップを埋めることが重要です。タニウムの調査では、復旧目標時間（RTO）について経営が許容できるビジネスの限界停止時間と「協議して合致させている」企業は約2割にとどまっています。有事の意思決定を迅速化するには、経営層が関与できる体制と責任範囲の明確化が不可欠です。

　そして、机上の計画ではなく実際に機能する体制を整えるために、計画に基づく定期的な訓練と技術的な復旧検証を繰り返すことが求められます。GhostLockへの対応としても、セキュリティ部門とストレージ管理部門が共同訓練を実施し、事前対応手順を整備する必要があると指摘されています。

　攻撃者は隙を突いてくるものです。ゼロデイ脆弱性、開発環境の認証情報、インフォスティーラー、そして従来の防御策をすり抜ける新手口など、穴は想像以上に多くなっています。企業はまず、「出たとこ勝負」からの脱却を急ぎ、組織と技術の両面から対策を講じる必要があるでしょう。