2026年3月12日
<<報道資料>>
ソフォス株式会社
ソフォス、2026年版アクティブアドバーサリーレポート:脅威グループの急増に伴い、アイデンティティ攻撃が主流に
~セキュリティインシデントの3分の2がアイデンティティ関連の脆弱性に起因 - より迅速に動き、業務時間外を狙う攻撃者~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役社長 足立 達矢)は本日、2026年版ソフォスアクティブアドバーサリーレポート(https://www.sophos.com/ja-jp/blog/2026-sophos-active-adversary-report)を発表しました。本レポートでは、昨年ソフォスのインシデント対応(IR)チームおよびManaged Detection and Response(MDR)チームが調査した全インシデントの67%が、アイデンティティ関連の攻撃に起因していたことが明らかになりました。この調査結果は、攻撃者が新たなツールや手法を導入することなく、侵害された認証情報、脆弱な多要素認証(MFA)、MFAが未実装であること、アイデンティティシステムの保護が不十分であることを悪用し続けている実態を浮き彫りにしています。
主な調査結果は以下の通りです。
• 脆弱性悪用から認証情報侵害への移行が進み、初期アクセス手法としてブルートフォース攻撃(15.6%)が脆弱性悪用(16%)にほぼ並びました。
• 滞留時間の中央値が3日に短縮されました。これは攻撃者が移動したことによるものですが、防御側の対応が迅速化したことも一因です。なお、この傾向はMDR環境で特に顕著でした。
• 攻撃者がActive Directory(AD)に到達する速度が加速しています。組織内に侵入してからADサーバーに到達するまで、わずか3.4時間しかかかりません。
• ランサムウェアの活動は依然として業務時間外に集中しています。ランサムウェアペイロードの88%は、営業時間外に展開されています。同様に、データ窃取の79%も営業時間外に発生しています。
• テレメトリ不足が防御側の取り組みを阻害しています。データ保持の問題を原因とするログの欠落は、昨年比で倍増しました。この増加は主にファイアウォールアプライアンスが原因で、そのデフォルト保存期間はわずか7日間、場合によっては24時間でした。
MFA導入が不足している中、アイデンティティ攻撃が加速
本レポートでは、認証情報の窃取、ブルートフォース攻撃、フィッシングなど、アイデンティティ侵害を根本原因とする攻撃が継続的に増加していることが示されています。脆弱性の悪用が要因であることに変わりはありませんが、攻撃者は初期アクセスを得るために有効なアカウントを利用する傾向が強まっており、従来型の境界防御を迂回できるようになっています。また、59%のケースでMFAが導入されておらず、これが窃取・侵害された認証情報の悪用を容易にし、組織への侵入を可能にしています。
「本レポートで最も懸念すべき発見は、実は長年にわたり進行していた問題です。すなわち、初期アクセスが成功する根本原因として、アイデンティティ関連の要因が圧倒的に多いという事実です。侵害された認証情報、ブルートフォース攻撃、フィッシングなどの戦術は、単純なパッチ管理では対処できない弱点を悪用しています。組織はアイデンティティセキュリティに対して積極的なアプローチを取る必要があります」と、ソフォスのフィールドCISOであり本レポートの筆頭著者であるJohn Shier(ジョン・シャイヤー)は述べています。
脅威グループの増加とリスクの拡大
ソフォスの研究グループは、本レポート史上最多となるアクティブな脅威グループを確認しました。つまり、脅威環境全体が拡大し、攻撃者の特定がさらに困難になっています。
• 最も活発だったランサムウェアブランドはAkira(GOLD SAHARA)とQilin(GOLD FEATHER)で、Akiraは全インシデントの22%を占めました。
• 全体では51のランサムウェアブランドが確認され、そのうち27が過去にも確認されていたブランド、24が新規ブランドでした。
• 2020年(「アクティブアドバーサリーレポート」データの発表初年度)以降、継続的に活動しているブランドまたは手法は、LockBit、MedusaLocker、Phobos、BitLocker悪用の4つのみです。
Shierは次のように続けます。「法執行機関の取り締まりにより、ランサムウェアのエコシステムで混乱が発生し続けています。LockBitの活動は引き続き確認されていますが、かつての支配力と評判は明らかに損なわれています。しかしこれは、支配権を争う他のグループが多数現れ、さらに多くの新興グループが台頭していることを意味します。防御側の組織を最大限に保護するためには、これらのグループとそのTTP(戦術、手法、手順)を理解することが重要です」
AIへの期待と現実
多くの予測に反し、ソフォスは攻撃者の行動にAIによる大きな変革の兆候を確認できませんでした。生成AIはフィッシングやソーシャルエンジニアリングの手口を高速化・高度化しましたが、根本的に新しい攻撃手法を生み出すには至っていません。
「AIによって攻撃の規模とノイズは増していますが、攻撃者は依然として人間です。将来的に生成AIが次なる加速要因となる可能性はありますが、現時点では基本的な対策こそが重要です。つまり、強固なアイデンティティ保護、信頼性の高いテレメトリ、そして問題発生時の迅速な対応能力が不可欠です」とShierは述べています。
防御策の要点
ソフォスは「アクティブアドバーサリーレポート2026年版」の調査結果に基づき、組織に対して以下の対策を推奨いたします。
• フィッシング対策機能を備えたMFAを導入し、その設定を検証すること
• アイデンティティインフラストラクチャおよびインターネットに公開されているサービスの露出を低減すること
• 既知の脆弱性、特にエッジデバイス上の脆弱性に対して迅速にパッチを適用すること
• MDRまたは同等の機能による24時間365日の監視を確保すること
• 迅速な検知と調査を支援するため、セキュリティログを保存・保持すること
2026年版ソフォスアクティブアドバーサリーレポートでは、2024年11月1日から2025年10月31日までに対処された661件のインシデント対応のケースおよびMDRのケースを分析しました。対象は70か国、34業種にわたる組織です。
レポート全文はこちら(https://www.sophos.com/ja-jp/blog/2026-sophos-active-adversary-report)からご覧いただけます。
ソフォスについて
ソフォスは、AI駆動型プラットフォームと専門家主導のサービスを通じて、世界中で60万の組織をサイバー攻撃から保護しているサイバーセキュリティのリーダー企業です。当社は、企業のセキュリティ成熟度に応じた支援を提供し、その企業の成長に合わせてサイバー攻撃を阻止しています。ソフォスのソリューションは、機械学習、自動化、リアルタイム脅威インテリジェンスを、Sophos X-Ops の現場の最前線にいる専門家による知見と組み合わせ、高度な24時間体制の脅威監視、検出、および対応サービスを提供します。ソフォスは、エンドポイント、ネットワーク、メール、クラウドセキュリティ、拡張型検出と対応(XDR)、アイデンティティ脅威検出と対応(ITDR)、次世代SIEMを含む包括的なサイバーセキュリティ技術ポートフォリオと、業界をリードするMDR(Managed Detection and Response)サービスを提供しています。これらの機能は、専門家のアドバイザリーサービスと組み合わさり、組織がリスクをプロアクティブに軽減し、迅速に対応できるよう支援し、進化する脅威に対抗するための可視性と拡張性を提供します。当社は、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)、リセラー、ディストリビューター、マーケットプレイス統合、サイバーリスクパートナーを含むグローバルなパートナーエコシステムを通じて市場展開しています。これにより、組織はビジネスを保護する際、信頼できるパートナーを柔軟に選択できます。ソフォスは、イギリス・オックスフォードに本社を置いています。詳細については、www.sophos.com(日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。
以上
<<報道資料>>
ソフォス株式会社
ソフォス、2026年版アクティブアドバーサリーレポート:脅威グループの急増に伴い、アイデンティティ攻撃が主流に
~セキュリティインシデントの3分の2がアイデンティティ関連の脆弱性に起因 - より迅速に動き、業務時間外を狙う攻撃者~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役社長 足立 達矢)は本日、2026年版ソフォスアクティブアドバーサリーレポート(https://www.sophos.com/ja-jp/blog/2026-sophos-active-adversary-report)を発表しました。本レポートでは、昨年ソフォスのインシデント対応(IR)チームおよびManaged Detection and Response(MDR)チームが調査した全インシデントの67%が、アイデンティティ関連の攻撃に起因していたことが明らかになりました。この調査結果は、攻撃者が新たなツールや手法を導入することなく、侵害された認証情報、脆弱な多要素認証(MFA)、MFAが未実装であること、アイデンティティシステムの保護が不十分であることを悪用し続けている実態を浮き彫りにしています。
主な調査結果は以下の通りです。
• 脆弱性悪用から認証情報侵害への移行が進み、初期アクセス手法としてブルートフォース攻撃(15.6%)が脆弱性悪用(16%)にほぼ並びました。
• 滞留時間の中央値が3日に短縮されました。これは攻撃者が移動したことによるものですが、防御側の対応が迅速化したことも一因です。なお、この傾向はMDR環境で特に顕著でした。
• 攻撃者がActive Directory(AD)に到達する速度が加速しています。組織内に侵入してからADサーバーに到達するまで、わずか3.4時間しかかかりません。
• ランサムウェアの活動は依然として業務時間外に集中しています。ランサムウェアペイロードの88%は、営業時間外に展開されています。同様に、データ窃取の79%も営業時間外に発生しています。
• テレメトリ不足が防御側の取り組みを阻害しています。データ保持の問題を原因とするログの欠落は、昨年比で倍増しました。この増加は主にファイアウォールアプライアンスが原因で、そのデフォルト保存期間はわずか7日間、場合によっては24時間でした。
MFA導入が不足している中、アイデンティティ攻撃が加速
本レポートでは、認証情報の窃取、ブルートフォース攻撃、フィッシングなど、アイデンティティ侵害を根本原因とする攻撃が継続的に増加していることが示されています。脆弱性の悪用が要因であることに変わりはありませんが、攻撃者は初期アクセスを得るために有効なアカウントを利用する傾向が強まっており、従来型の境界防御を迂回できるようになっています。また、59%のケースでMFAが導入されておらず、これが窃取・侵害された認証情報の悪用を容易にし、組織への侵入を可能にしています。
「本レポートで最も懸念すべき発見は、実は長年にわたり進行していた問題です。すなわち、初期アクセスが成功する根本原因として、アイデンティティ関連の要因が圧倒的に多いという事実です。侵害された認証情報、ブルートフォース攻撃、フィッシングなどの戦術は、単純なパッチ管理では対処できない弱点を悪用しています。組織はアイデンティティセキュリティに対して積極的なアプローチを取る必要があります」と、ソフォスのフィールドCISOであり本レポートの筆頭著者であるJohn Shier(ジョン・シャイヤー)は述べています。
脅威グループの増加とリスクの拡大
ソフォスの研究グループは、本レポート史上最多となるアクティブな脅威グループを確認しました。つまり、脅威環境全体が拡大し、攻撃者の特定がさらに困難になっています。
• 最も活発だったランサムウェアブランドはAkira(GOLD SAHARA)とQilin(GOLD FEATHER)で、Akiraは全インシデントの22%を占めました。
• 全体では51のランサムウェアブランドが確認され、そのうち27が過去にも確認されていたブランド、24が新規ブランドでした。
• 2020年(「アクティブアドバーサリーレポート」データの発表初年度)以降、継続的に活動しているブランドまたは手法は、LockBit、MedusaLocker、Phobos、BitLocker悪用の4つのみです。
Shierは次のように続けます。「法執行機関の取り締まりにより、ランサムウェアのエコシステムで混乱が発生し続けています。LockBitの活動は引き続き確認されていますが、かつての支配力と評判は明らかに損なわれています。しかしこれは、支配権を争う他のグループが多数現れ、さらに多くの新興グループが台頭していることを意味します。防御側の組織を最大限に保護するためには、これらのグループとそのTTP(戦術、手法、手順)を理解することが重要です」
AIへの期待と現実
多くの予測に反し、ソフォスは攻撃者の行動にAIによる大きな変革の兆候を確認できませんでした。生成AIはフィッシングやソーシャルエンジニアリングの手口を高速化・高度化しましたが、根本的に新しい攻撃手法を生み出すには至っていません。
「AIによって攻撃の規模とノイズは増していますが、攻撃者は依然として人間です。将来的に生成AIが次なる加速要因となる可能性はありますが、現時点では基本的な対策こそが重要です。つまり、強固なアイデンティティ保護、信頼性の高いテレメトリ、そして問題発生時の迅速な対応能力が不可欠です」とShierは述べています。
防御策の要点
ソフォスは「アクティブアドバーサリーレポート2026年版」の調査結果に基づき、組織に対して以下の対策を推奨いたします。
• フィッシング対策機能を備えたMFAを導入し、その設定を検証すること
• アイデンティティインフラストラクチャおよびインターネットに公開されているサービスの露出を低減すること
• 既知の脆弱性、特にエッジデバイス上の脆弱性に対して迅速にパッチを適用すること
• MDRまたは同等の機能による24時間365日の監視を確保すること
• 迅速な検知と調査を支援するため、セキュリティログを保存・保持すること
2026年版ソフォスアクティブアドバーサリーレポートでは、2024年11月1日から2025年10月31日までに対処された661件のインシデント対応のケースおよびMDRのケースを分析しました。対象は70か国、34業種にわたる組織です。
レポート全文はこちら(https://www.sophos.com/ja-jp/blog/2026-sophos-active-adversary-report)からご覧いただけます。
ソフォスについて
ソフォスは、AI駆動型プラットフォームと専門家主導のサービスを通じて、世界中で60万の組織をサイバー攻撃から保護しているサイバーセキュリティのリーダー企業です。当社は、企業のセキュリティ成熟度に応じた支援を提供し、その企業の成長に合わせてサイバー攻撃を阻止しています。ソフォスのソリューションは、機械学習、自動化、リアルタイム脅威インテリジェンスを、Sophos X-Ops の現場の最前線にいる専門家による知見と組み合わせ、高度な24時間体制の脅威監視、検出、および対応サービスを提供します。ソフォスは、エンドポイント、ネットワーク、メール、クラウドセキュリティ、拡張型検出と対応(XDR)、アイデンティティ脅威検出と対応(ITDR)、次世代SIEMを含む包括的なサイバーセキュリティ技術ポートフォリオと、業界をリードするMDR(Managed Detection and Response)サービスを提供しています。これらの機能は、専門家のアドバイザリーサービスと組み合わさり、組織がリスクをプロアクティブに軽減し、迅速に対応できるよう支援し、進化する脅威に対抗するための可視性と拡張性を提供します。当社は、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)、リセラー、ディストリビューター、マーケットプレイス統合、サイバーリスクパートナーを含むグローバルなパートナーエコシステムを通じて市場展開しています。これにより、組織はビジネスを保護する際、信頼できるパートナーを柔軟に選択できます。ソフォスは、イギリス・オックスフォードに本社を置いています。詳細については、www.sophos.com(日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。
以上
