【米国ニューヨーク州アーモンク - 2026年2月25日（現地時間）発】

IBMは、IBM X-Force脅威インテリジェンス・インデックス2026を発表しました。本調査により、サイバー犯罪者が基本的なセキュリティーの脆弱性を驚くほど高頻度に悪用している実態が明らかになりました。現在はAIツールによって攻撃者が以前より迅速に弱点を特定できるようになり、この傾向がさらに加速しています。IBM X‑Forceは公開アプリケーションの悪用を起点とする攻撃が44％増加したことを確認しており、主な要因として認証管理の不備とAIを活用した脆弱性発見を挙げています。  

本レポートの主な調査結果は以下の通りです。

• 活動中のランサムウェアおよび恐喝グループは前年比49%と急増し、攻撃者組織の細分化が進む一方、公表された被害数も約12％増加しました。
• 大規模なサプライチェーンやサードパーティーの侵害は、2020年以降、約4倍に増加しました。攻撃者はソフトウェアが構築・デプロイされる環境やSaaSの統合部分を悪用するケースが増加しているためです。
• 2025年にX-Forceが観測したインシデントの40％は脆弱性の悪用が発端であり、最大の攻撃要因でした。

IBMサイバーセキュリティー・サービス担当グローバル・マネージング・パートナーであるマーク・ヒューズ（Mark Hughes）は、次のように述べています。「攻撃者は新たな攻撃方法を考案するのではなく、AIを使って実行速度を高めています。根本的な問題は以前と変わらず、企業はソフトウェアの脆弱性に翻弄されています。今までとの違いは、攻撃のスピードです。攻撃者は数多く存在する、認証情報の入力を必要としない脆弱な箇所を狙い、人手を介するルートを迂回し、スキャンから直ちに攻撃に踏み切ることが可能です。そのためセキュリティー責任者は、より能動的なアプローチへと切り替える必要があります。エージェント型の脅威検知・対応機能を活用して脆弱性を特定し、脅威が拡大する前に対処しなければなりません」

深刻化するAI時代のアイデンティティー問題

2025年には、情報窃取型マルウェア（インフォスティーラー）によって30万件以上のChatGPT認証情報が流出しました。他の主要な企業向けSaaSソリューションと同様に、AIプラットフォームも認証情報の漏洩リスクに直面していることを示唆しています。

チャットボットの認証情報が漏洩すると、アカウントの不正利用だけでなく、AI特有のリスクも生じます。攻撃者によって出力内容が偽装され、機密データが外部に流出し、不正なプロンプトを仕込まれる可能性もあります。このようなリスクを回避するためにも、AI導入状況を全社的に評価するとともに、強固な認証および条件付きアクセス制御の整備が急務となっています。

AIと流出ツールの普及でランサムウェア・エコシステムへの参入障壁が低下

X-Forceは2025年、活動中のランサムウェア攻撃グループが49％増加（前年比）したことを確認しました。小規模で入れ替わりの激しいグループによる低頻度な攻撃が増えており、攻撃者の特定は極めて困難です。参入障壁は崩壊しつつあり、この傾向はさらに加速しています。脅威アクターは流出ツールを再利用して確立された攻撃手法を繰り返しながら、AIを活用して運用を自動化しています。X-Forceは、マルチモーダルAIモデルが成熟するに伴い、攻撃者が偵察や高度なランサムウェア攻撃といった複雑な作業を自動化し、より迅速かつ適応性の高い脅威を生み出すと予測しています。

サプライチェーンへの攻撃が拡大の兆候

X-Forceの調査によると、2020年以降、大規模なサプライチェーンやサードパーティーを標的とした攻撃は約4倍に増加しました。主な要因は、開発ワークフローやSaaS連携環境内の信頼関係やCI/CD自動化を悪用する攻撃者が台頭したことです。AIを活用したコーディング・ツールによってソフトウェア開発が迅速化している一方、未検証のコードを導入するケースも散見されるため、2026年以降はパイプラインやオープンソース・エコシステムに対する攻撃の可能性が高まると予測されています。

このような増加傾向から、国家レベルの勢力と金銭目的の脅威アクターとの境界が曖昧になっていることも見て取れます。攻撃の手法や技術が地下フォーラムで拡散し、AIが偵察や悪用を効率化させるにつれ、かつては国家レベルの攻撃者に限られていた手法が、金銭目的のグループにも採用されつつあります。

2026年版レポートでは、以下の調査結果も明らかにしています。

• AIによる攻撃サイクルの高速化：攻撃者はAIを駆使することで、標的を迅速に調査し、膨大なデータを分析し、攻撃ルートをリアルタイムに調整しています。例えば、北朝鮮のIT従事者による組織は、偽造ID用の画像加工やグローバル市場で活動するための翻訳ツールなど、AIを活用して活動規模を拡大しています。
• 依然として不十分な基礎的なセキュリティー対策：X-Force Redの不正侵入テストでは、認証情報の管理とソフトウェア構成における慢性的な弱点が明らかになりました。攻撃を受けた際の最も一般的な侵入経路は、アクセス制御の不適切な設定です。
• 製造業が5年連続でターゲット・リストの首位に：X-Forceが観測したインシデントの27.7%は製造業で発生しており、最も多かったのはデータの窃取でした。
• 北米が最も攻撃された地域として浮上：X-Forceが観測したインシデント総数のうち、北米で発生した割合は29％（2024年の24％から増加）にのぼり、6年ぶりに最も攻撃を受けた地域となりました。

IBM X-Force脅威インテリジェンス・インデックス2026は、こちらからアクセス可能です。

当報道資料は、2026年2月25日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳をもとにしています。原文はこちらを参照ください。

IBM、IBMロゴ、ibm.com、X-Forceは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、ibm.com/trademarkをご覧ください。