検知まで11日、壊滅まで27秒 情シスを絶望させる「潜伏と強襲」にどう備える：侵入から最短27秒で横展開

サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。

[Staff report，TechTarget]

　「侵入されたら終わり」――。かつてサイバー攻撃は、長期間にわたって気付かれないまま内部に潜伏し、ある日突然被害が表面化するものだった。実際、検知までに年単位の時間がかかるケースは珍しくなかった。しかし、その前提は大きく崩れつつある。

　攻撃者の行動は、より速く、より自動化され、より大規模になった。一方で、防御側も監視やログ管理、インシデント対応の成熟によって検知能力を高めてきた。その結果、「どれだけ長く潜伏できるか」ではなく、「どれだけ速く侵入し、横展開し、目的を達成できるか」が攻撃の成否を分ける時代に入っている。

　一方、長期間の潜伏が減少している訳ではない。では、IT部門やユーザーは何に留意すればいいのか。本稿は、MandiantやCrowdStrikeといったセキュリティベンダーの調査レポートを基に、傾向や対策を紹介する。

滞在時間は短いものも長いものも。どうすれば？

併せて読みたいお薦め記事

サイバー攻撃の関連記事

• ランサムウェア集団「Qilin」が全攻撃の2割を支配　標的は“日本企業”へ
• 「製造業は身代金を払ってくれる」　サイバー犯罪者に“カモ”視される現場の弱点

　脅威インテリジェンスを専門とするセキュリティベンダーMandiant（2022年にGoogle Cloudが買収）が2025年7月に公開した調査レポート「M-Trends」によると、攻撃者が侵入してから検出されるまでの「滞留時間」（dwell time）の世界全体の中央値は、2011年の416日から2024年の11日まで大幅に短縮している。つまり、多くの組織は1年以上にわたり、気付かないまま攻撃者の侵入を内部に抱え込んでいたことになる。

　滞留時間の短縮には、大きく2つの理由がある。1つ目は、企業側の防御力の向上だ。監視、ログ管理、アラートといったセキュリティ運用は、成熟しつつある。2つ目は、ランサムウェアのように「短時間で成果を得ようとする攻撃」の増加だ。身代金を目的とする攻撃は、侵入から行動までが速く、結果として検知も早まる。

　一方で、長期間の攻撃者の潜伏がなくなった訳ではない。以下は攻撃者の長期間の潜伏を許容する要素だ。

• 慢性的なセキュリティ人材不足やスキル不足
• 未成熟なインシデント対応計画
• 「持続的標的型脅威」（APT：Advanced Persistent Threat）
• 「LOTL」（Living-off-the-Land）攻撃
  • システムで利用されている正規ツールを悪用して攻撃を仕掛ける手口

　攻撃者と防御側のいたちごっこは続いており、防御が強化されれば攻撃者はスピードと巧妙さを増して対抗している。

　セキュリティベンダーReliaQuestのレポート「Annual Cyber Threat Report」によれば、人工知能（AI）は攻撃の速度と規模を一変させている。

　同レポートによると、初期侵入からラテラルムーブメント（別のネットワークセグメントへ不正アクセスしながら横方向に移動する行為）までの時間を意味する「ブレイクアウトタイム」の平均時間は2025年に34分まで短縮した。ReliaQuestによると、最速記録は横展開までわずか4分で、2024年と比ベて85%加速した。さらに深刻なのは、データ流出だ。同社によると、データ流出が6分で完了する可能性がある。

　ReliaQuestは「BoaLoader」と呼ばれるマルウェアも紹介している。同社によると、BoaLoaderは以下の特徴を持ち、伝統的なサイバー犯罪のポイントを突いているのが特徴だ。

• AIとサイバー攻撃の融合
  • 大規模言語モデル（LLM）を使って見た目も動作も問題がなさそうなJavaScriptのコードを自動で生成し、「PDFエディタ」「レシピ管理ツール」などに見せかけてユーザーに配布。コード単体では悪意が読み取れず、メールゲートウェイやサンドボックスをすり抜ける。
• 脅威規模の急拡大
  • 2025年後半に登場したものの、ReliaQuestが観測したインシデントの20％を占めている。
• 持続性が高い
  • ユーザーの信頼を獲得し（ソーシャルエンジニアリング）、数カ月潜伏する。

決済分野でも加速する脅威と国際連携

　決済セキュリティの分野でも、攻撃スピードの加速は無視できない傾向だ。

　2026年1月、クレジットカードとセキュリティに関する世界的な業界団体PCI Security Standards Council（PCI SSC）は、2006年の設立以来初となる年次報告書「PCI Security Standards Council 2025 Annual Report」を公開し、次の点を強調した。

• 攻撃の高度化と高速化
• 単一組織では対処できない脅威の増加
• 国際的な連携と防御スピードの重要性

　同報告書では、モバイル、データ、デバイス、ソフトウェア、カードといった決済に関わる製品を対象に、支払いシステムの多様な攻撃手口とそれへの対策が整理されている。

　PCI SSCは、グローバルボードや地域イニシアチブを拡大する意向を示す一方、AIの悪用や業界の分断といった課題が残ると指摘している。同団体は、プロセスの簡素化とグローバル連携の強化によって、リスク低減を図る方針だ。

脆弱性は「少数」でも、武器化は高速化する

　脆弱（ぜいじゃく）性管理の現場でも、スピードの問題は深刻だ。

　セキュリティベンダーVulnCheckが2026年2月に公開した調査レポートによると、2025年に実際に悪用された脆弱性はCVE全体の1％未満だが、脆弱性の兵器化（エクスプロイト化）は量、スピードともに加速している。

　調査レポートによると、2025年に14400件以上のエクスプロイトが10500件のCVEに関連付けられていた。結果として、2024年と比べてエクスプロイトの総数は16.5％増加した。その一因として、AIを使って生成するPoC（概念実証）コードの増加だ。PoCコードは爆発的に増えたが、その大半が不完全、動かないといった課題を抱えており、悪意のあるコードを防御する側であるIT部門やSOCが、そのコードが本当に危険かどうかを選別するのが難しくなっている。

　侵入スピードの極端な短縮は、統計にも表れている。

　セキュリティツールベンダーCrowdStrikeが2026年2月に公開した調査レポート「2026 Global Threat Report」によると、2025年の平均ブレイクアウトタイムは29分。最短のケースでは、わずか27秒だったという。

　特徴的なのは、侵入の82％はマルウェアを使っておらず、正規の認証情報を悪用していた点だ。通常にトラフィックに紛れて検知を回避する傾向は強まりつつある。さらに、VPN機器や個人端末など、管理が行き届かないデバイスは格好の標的となっている。

　AIは攻撃側のリサーチ、フィッシング、脆弱性悪用を高速化する武器であると同時に、AIツール自体の脆弱性やプロンプトインジェクションなど「新しい攻撃面」としても悪用されつつある。