「ミリ秒単位の脅威でも技術的には追い越せる」 産業化したサイバー攻撃に対抗するための4つのポイント:データを増やしても圧倒されるだけ
SentinelOne Japanが「産業化」しているサイバー攻撃に対抗するための防御策をまとめた年次脅威レポートを公開した。
SentinelOne Japanは2026年5月28日、同社の脅威リサーチ部門SentinelLABsとWayfinderチームによる最新調査をまとめた年次脅威レポートを発表した。
調査によると、攻撃者はもはや単にアクセス権を得ることだけに注力しているわけではない。初期侵入の先へと進み、現代の企業を支える信頼されたアイデンティティーシステムやインフラ、自動化システムを組織的に悪用しているという。
現在、サイバー攻撃が「産業化」しているにもかかわらず、セキュリティチームは膨大な量のテレメトリーデータに圧倒されているだけで、攻撃者による侵入と無害な異常を区別するために必要なコンテキスト(背景情報)が欠如している。組織は以前よりも詳細な脅威インテリジェンスにアクセスできる一方で、自社環境を適切に管理するための具体的で実用的な対策にどう変換するかが課題になっている。
脅威インテリジェンスを、産業化した攻撃への対策に変換するための4つのポイント
レポートでは、セキュリティチームがプロアクティブ(能動的)でコンテキストを重視したレジリエンス(回復力)の高い体制に移行するためのポイントを分析している。
「アイデンティティーのパラドックス」 認証情報は増えたのに侵害は見抜けない
アイデンティティーは今やSaaSやクラウドインフラ、自律型エージェントにまで広がっており、1つのアカウントで数十ものシステムにアクセスできる状況になっている。
組織はかつてないほど多くのアイデンティティーデータを収集しているが、アイデンティティーを悪用した侵入は最も検出が困難な攻撃の一つだ。攻撃者は、盗んだトークンやフィッシング、侵害したアカウントを駆使し、有効な認証情報を使って活動する。
防御側は、認証だけに依存するのではなく、ログイン後の行動を継続的に監視することに焦点を移す必要がある。
開発パイプラインを標的にするLOTP攻撃
攻撃者は本番環境よりも、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインや開発ワークフローを標的にする「LOTP」(Living off the Pipeline)攻撃に注力している。
LOTP攻撃では、ビルドシステムを侵害することで、ソフトウェアが本番環境に到達する前に悪意のあるコードを混入させたり、機密情報を抽出したりできる。これにより、攻撃者は信頼された開発プロセス内で活動し、強固なランタイム防御を回避している。
LOTP攻撃を検知するには、ソフトウェア開発ライフサイクル全体における可視性と、長期間にわたる攻撃者の活動を関連付ける能力が必要だ。
ゼロデイ攻撃の46%が狙うエッジ機器の防御
エッジデバイスは現在、主要な攻撃対象となっており、最近のゼロデイ攻撃の約46%がこれらを標的にしているという。これらのシステムは管理が行き届いていない死角となっていることが多く、広範なシステム侵害への最初の足掛かりとして頻繁に使用されている。
この対策には、エッジを高リスクなものとして扱い、以下のような対策を講じる必要がある。
- サポートが終了したハードウェアの廃止
- ゲートウェイ監視のためのSIEM(Security Information and Event Management)によるログの一元管理
- ドメインコントローラーなどのTier 0資産に対する階層型ネットワークセグメンテーションの実装
- 全てのリモートアクセスポイントにおけるMFA(多要素認証)の義務化
自動化による防御能力の増幅
高精度の自動化は、AIが導き出したインサイトを防御の成果に結び付ける運用基盤となる。
攻撃者はこれまで、自動化されたワークフローを駆使し、攻撃を目的とした脆弱(ぜいじゃく)性スキャンや認証情報の窃取、ラテラルムーブメント(水平展開)などをミリ秒単位で仕掛けてきた。
だが、長年の試行錯誤を経て、防御側のテクノロジーが攻撃者のスピードを追い越しつつある。防御には、単なるアラートの生成よりも、信頼度が高い真の脅威の遮断を優先する自動応答ポリシーの強化が求められるという。
SentinelOneのチーフカスタマーオフィサーであるスティーブ・ストーン氏は、「攻撃者が信頼されたシステムや運用の死角を悪用するようになっている」と説明する。「防御側に必要なのは、攻撃者が投入する新しいツールを追いかけることではなく、現代の攻撃がもたらすプレッシャーに自社のコントロールが耐えられるかどうかを継続的にテストすることだ」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
31秒で失敗を修正 考えながらランサムを仕掛けるAI攻撃者の実態
Sysdigは、侵入から内部探索、権限奪取、ランサムウェア実行までをLLM主導で進めたと可能性が高い攻撃を報告した。特に研究者が注目したのは、人間の判断では難しい速度で失敗を修正しながら攻撃を続けた点だ。従来の自動化とは何が違うのか、その実態を追う。
脆弱性修正の猶予は「125日から0.5日」へ激減。セーフガード付き「Claude Fable 5」と最上位「Mythos」がもたらす激震
次世代AI「Claude Mythos」の登場と、その一般公開版「Claude Fable 5」のリリースが、サイバーセキュリティの前提を根底から覆した。この種の最先端のAIモデルが未知の脆弱性を自律的に見つけ出し、1時間足らずでデータを奪取するという、新たな脅威が生じている。セーフガードを巡る開発ベンダーの葛藤と、国家安全保障をも巻き込む激変の最前線、日本のIT管理者が取り得る対策について解説する。
脆弱性発見から悪用まで数分 シスコが語る「ポストMythos時代」の生存戦略
AIが脆弱性を見つけ、攻撃まで実行する時代。もはや人間がダッシュボードを見ながら対応する運用は限界を迎えつつある。Cisco Live!でシスコが示したのは、AIエージェントが自律的に原因を分析し、修復まで担う新たなインフラ運用の世界だった。
「侵入から横展開まで30分」がもはや標準 AIで高速化する攻撃、防御は間に合うのか?
ESETは、脅威アクターがAIを活用して攻撃を高速化している現状と防御側の対策について解説した。初期侵入から横展開までのブレークアウトタイムは平均約30分にまで短縮されていると警告している。
「9割が90分以内、最速は1秒」 企業AIシステム侵害の絶望的なスピード感
Zscalerは、企業のAIシステムが攻撃者によって極めて短時間で侵害される実態を明らかにした。AI活用が急拡大する一方、セキュリティ対策が追い付いていない現状が浮き彫りになった。