Cyber Risk
TrendAI™ 2026 サイバーリスクレポート
2026年版サイバーリスクレポートは、前年の調査結果を拡充したテレメトリに基づいてまとめられており、攻撃者が到達する前に対処すべき重要なエクスポージャー(リスクにさらされている領域)の優先順位付けに役立つ、方向性を示す知見とデータを組織に提供します。
目次
- はじめに
- 世界のサイバーリスクインデックス、2年連続の改善を記録
- 企業規模別のリスク:中堅エンタープライズ層のCRIが最も高い
- クラウドアクセスとアイデンティティ、2年連続でリスクイベント上位を占める
- セキュリティ設定の不備が同一環境内で併発している
- 攻撃者は第一段階の目標として防御回避を優先
- 脆弱性リスクを単体で評価しない:深刻度の低い CVEが深刻度の高いCVEを増幅し得る
- Attack Path Predictionはエクスポージャーの所在だけでなく、攻撃者の動き方をマッピングする
- ランサムウェアのエコシステム、確認済み侵害が236%増加
- 特定されたリスクに対処する能力は、導入済みのツールにすでに備わっている
- 参考記事
はじめに
TrendAI™ Research は、進化し続ける脅威情勢に組織が先手を打てるよう、世界中の企業環境にわたるリスクの動向を追跡しています。2026年版サイバーリスクレポートは、主として TrendAI Vision One™ Cyber Risk Exposure Management(CREM)ソリューション、XDR 機能、およびグローバルな脅威インテリジェンス基盤から得られた2025年のテレメトリに基づき、通年データが揃っていない領域については入手可能な最新のデータセットで補完しています。
CREM の中核をなすのがサイバーリスクインデックス(CRI)です。CRI は、個々の資産スコアとリスク要因スコアを統合し、組織全体のセキュリティリスクを定量化する指標です。
本年のレポートでは、TrendAI Vision One™ の Attack Path Prediction(攻撃経路予測)機能のテレメトリから得られた新しいデータセットを導入し、年次分析の柱であるサイバーリスクインデックスのスコアとイベント検出を、将来予測の観点から補完しています。
本レポートは、前回のサイバーリスクレポートを土台とした移行期のレポートです。2026年のテレメトリが蓄積されるのに伴い、2027年版レポートでは、ここで示したリスク、検出、脆弱性、攻撃経路に関する基礎的な分析の上に、AI関連のリスクおよび脅威のデータセットをさらに拡充していく予定です。本レポートの数値は、特定の業界・地域や脅威情勢全体を統計的に代表するサンプルではなく、当社の顧客基盤における観測結果を反映したものであり、傾向を示すシグナルとして提示しています。また、指標が変動あるいは乖離する理由に関する説明は、統計的に検証された因果関係ではなく、アナリストの知見に基づく判断を反映したものです。
TrendAI™ 2026 サイバーリスクレポート ダウンロード
世界のサイバーリスクインデックス、2年連続の改善を記録
世界平均のサイバーリスクインデックスは2024年の38.5から2025年には35.8へ低下し、改善傾向が続いています。ただし月次の推移を見ると、改善は一本調子ではありませんでした。CRI は4月に37.4まで急上昇した後、7月には最低値の34.1まで下がり、年末時点では36.7に落ち着いています。こうした上下動を繰り返すパターンは、2024年の着実な前月比低下とは対照的であり、組織が継続的な改善を維持するのではなく、リスクに事後対応的に対処している可能性を示唆しています。前年比では改善したものの、テレメトリ対象のすべての組織が依然として中リスク帯(31〜69)に位置しています。
企業規模別のリスク:中堅エンタープライズ層の CRI が最も高い
従業員5,001〜10,000人の組織は、規模別セグメントの中で最も高い41.5の CRI を記録しており、最大規模のエンタープライズをも上回っています。この層は、従業員10,000人超の組織に匹敵するネットワークの複雑さを抱えながら、その規模の組織が持つセキュリティ運用の成熟度や人員の厚みを欠いた状態で運用しているのが一般的です。最大規模のエンタープライズは2024年から3.8ポイント低下の40.4と、最も大きな絶対値での改善を記録しました。これは集中型リスク管理プログラムによるスケールメリットを反映しているとみられます。従業員100人以下の組織は、規模帯の中で唯一 CRI が前年比で上昇して32.4となりました。これは、より大きなサプライチェーンへの入口として中小企業への攻撃者の関心が高まっていることと整合しています。
クラウドアクセスとアイデンティティ、2年連続でリスクイベント上位を占める
Risky Cloud App Access(リスクの高いクラウドアプリへのアクセス)が1位、Stale Microsoft Entra ID Account(長期間未使用の Microsoft Entra ID アカウント)が2位を、いずれも2年連続で維持しています。上位10件のリスクイベントのうち7件はアイデンティティ関連であり、その中には4位の MFA 無効化アカウント、7位と9位のパスワード有効期限の無効化が含まれます。これらが2年連続で上位を占め続けていることは、問題が認知されていながら体系的な修復にはつながっていないことを示唆しています。
ZTSA(Zero Trust Secure Access)Rule Match - Private Access Control が初めて上位5件に入りました。これはゼロトラスト導入の拡大により、従来は検出されていなかったポリシー違反が可視化されるようになったことを反映しているとみられます。長期間未使用のアカウントと MFA の不備が同じ上位10件に併存していることは、ゼロトラストの枠組みが、整理の済んでいないアイデンティティ基盤の上に展開されていることを示唆しています。
セキュリティ設定の不備が同一環境内で併発している
Web Reputation 設定が2年連続でエンドポイントの設定不備一覧の最上位を占めています。Anti-Malware Scanning、Predictive Machine Learning、Endpoint Sensor、Firewall、Application Control、Behavior Monitoring の各設定が、数千の環境で同時に最適化されないまま放置されています。これらは互いに独立した欠陥ではなく、それぞれの弱点が他の弱点を増幅させます。クラウド環境では、Application Control 設定、Firewall 設定、Log Inspection 設定が設定不備一覧の上位を占めており、クラウドワークロード保護の「導入」と「運用定着」の間に根強いギャップがあることを示しています。
「ギャップは技術ではなく、運用定着にあります。最適な設定を強制できるソリューションの中で設定不備が放置され、アカウントのライフサイクル管理を自動化できるプラットフォームの中でアイデンティティリスクが積み上がり、修正プログラムが提供されているにもかかわらず脆弱性が未修正のまま残っているのです。」
攻撃者は第一段階の目標として防御回避を優先
2025年の XDR モデル検出の最上位は Possible Disabling of Antivirus Software(ウイルス対策ソフトウェア無効化の可能性)であり、2024年に首位だった Possible OS Credential Dumping(OS 認証情報ダンプの可能性)に取って代わりました。この変化は、攻撃者がエンドポイント防御を回避しようとするのではなく、第一段階の目標としてその無力化に動くようになったことを示唆しています。上位10件には Registry Run Key Creation in Temp Location(一時フォルダでのレジストリ Run キー作成)、Backdoor File Detection(バックドアファイルの検出)、Hacking Tool(ハッキングツール)の各検出が続き、「防御を無効化し、永続性を確立し、権限を昇格させ、水平移動・内部活動を行う」という一貫した攻撃者の行動順序をなぞっています。
脆弱性リスクを単体で評価しない:深刻度の低い CVE が深刻度の高い CVE を増幅し得る
検出数の多い未修正の CVE(共通脆弱性識別子)上位10件は、いずれも2025年のものです。リモートコード実行(RCE)の脆弱性には CVE-2025-24035(Windows リモートデスクトップサービス、8.1 High)や CVE-2025-21376(Windows Lightweight Directory Access Protocol(LDAP)、8.1 High)が含まれ、攻撃者による任意のコードのリモート実行を可能にします。権限昇格(EoP)の脆弱性には CVE-2025-24044(Windows カーネルモードドライバ、7.8 High)や CVE-2025-21420(Windows システムユーティリティ、7.8 High)が含まれ、初期侵入の足がかりからシステムの完全掌握へと至る昇格経路を提供します。同一環境に RCE と EoP の脆弱性が未修正のまま存在すると、攻撃者に完全な侵害経路を与えることになります。
上位10件の CVE のうち3件、CVE-2025-24992(5.5)、CVE-2025-21247(4.3)、CVE-2025-21377(6.5)は中程度の深刻度スコアです。いずれも単体では致命的ではありませんが、ローカルでの情報漏洩、コンテンツセキュリティのバイパス、水平移動・内部活動に利用可能な NTLM ハッシュの漏洩などを通じて、同じ一覧に含まれる深刻度の高い脆弱性の悪用を直接後押しする可能性があります。共通脆弱性評価システム(CVSS)のスコアを理由にこれらの優先度を下げている組織は、深刻度の高いエクスプロイトの成功率を高める条件をそのまま放置していることになります。
TrendAI™ TippingPoint™ のデータは、仮想パッチがこのギャップの橋渡しに役立つことを示唆しています。2025年の脆弱性に対する仮想パッチの平均リードタイムは発見から115日である一方、攻撃者は既知の脆弱性を一般公開から平均39日で武器化しています。発見は必ず公開に先行するため、仮想パッチは、脆弱性が公に知られて積極的に狙われるようになる前の防護の猶予期間を提供できます。注意すべきは、仮想パッチを正式なパッチ適用への橋渡しとしてではなく、その代替として扱ってしまうことのリスクです。
Attack Path Prediction はエクスポージャーの所在だけでなく、攻撃者の動き方をマッピングする
本年のレポートでは、TrendAI Vision One™ の Attack Path Prediction(攻撃経路予測)機能のテレメトリを初めて導入しました。この機能は、攻撃者が初期侵入の足がかりから価値の高い標的へ至るまでにたどる一連の連鎖をモデル化します。サイバーリスクインデックスが現在のエクスポージャーを測定するのに対し、Attack Path Prediction はそのエクスポージャーがどのように悪用され得るかをシミュレーションします。2025年の通年データがまだ揃っていないため、本セクションは完全な年間測定ではなく、新たに現れつつあるパターンの傾向を示すものとしてお読みください。
未修正の脆弱性は、アクティブな攻撃経路の最大の発生源であり、予測された2,317,503件の経路の起点となっています。これは、続く2つのカテゴリの合計を約15%上回る数です。パスワードスプレー攻撃(1,135,327件)とパスワード推測(880,527件)が2位と3位を占め、本レポート全体で示してきたアイデンティティ管理の不備をそのまま突く形になっています。
侵入の起点となる資産タイプとして最も多いのはパブリック IP アドレスで、1日平均4,979件です。これらの IP アドレスに紐付く DNS(ドメインネームシステム)ホスト名であるドメイン資産は1日平均2,781件であり、両者を合わせて、攻撃経路の起点となる境界エクスポージャーの側面を形づくっています。連鎖の反対側では、ユーザアカウントが最終標的として最も多く、1日平均32,964件と、2位の資産タイプ(デバイス、18,445件)の2倍近くに達します。CRI スコアを押し上げているアイデンティティリスクは、攻撃チェーンの到達先としてユーザアカウントが選ばれやすくなる条件そのものでもあるとみられます。
ランサムウェアのエコシステム、確認済み侵害が236%増加
上位10グループを合計した確認済みランサムウェア侵害は、2024年の1,518件から2025年には5,096件に増加しました。INC Ransom(558件)、SafePay(509件)、Lynx(279件)、DragonForce(264件)、Sinobi(252件)の5グループが初めて上位10位に入りました。2024年に2位だった LockBit は、法執行機関による摘発を受けて上位10位から完全に姿を消しました。RansomHub は2024年の1位から2025年には213件で10位に後退しました。
Qilin(TrendAI™ では Agenda として検出)は、2024年の最下位から2025年には確認済み侵害1,262件で1位に躍進し、増加率は1,270%に達しました。同グループはランサムウェア・アズ・ア・サービス(RaaS)のプラットフォームとして運営されており、その急成長はアフィリエイト(実行役)ネットワークの拡大を反映しています。Akira は106件から857件へと708%増加し、2番目に活発なグループとなりました。複数の新興グループが一気に規模を伴って参入している状況は、既存のランサムウェア組織を摘発しても、全体の脅威は減少するのではなく再配分されるにすぎないことを示唆しています。
特定されたリスクに対処する能力は、導入済みのツールにすでに備わっている
本レポートの調査結果を貫く一貫したパターンは、技術のギャップではなく運用定着のギャップです。最適な設定を強制できるソリューションの中で設定不備が放置され、アカウントのライフサイクル管理を自動化できるプラットフォームの中でアイデンティティリスクが積み上がっています。中程度の深刻度の CVE は、深刻度の高いエクスプロイトを後押しする役割が実証されているにもかかわらず、優先度を下げられています。TrendAI Vision One™ Cyber Risk Exposure Management(CREM)ソリューションは、アタックサーフェスの継続的な可視化、統合されたリスクスコアリング、XDR を活用した検出と対応、そして自動修復を提供します。2025年に最も目に見える進歩を遂げたのは、定期的なセキュリティレビューから、継続的かつインテリジェンス主導のリスク管理へと移行した組織でした。
TrendAI™ 2026 サイバーリスクレポート ダウンロード
参考記事
TrendAI™ 2026 CYBER RISK REPORT
By: TrendAI Research
翻訳:与那城 務(Platform Marketing, TrendAI Research)