新たな脅威レポート：日常的なアクセスが現代の侵入を助長している

リモート・アクセスと信頼できる管理ツールは、今日の組織運営において中心的な役割を果たしている。Blackpoint Cyberの「2026 Annual Threat Report」によると、これらのツールは、侵入がどのように開始されるかという点においても、ますます中心的な役割を果たすようになっています。

報告期間中に実施された数千件のセキュリティ調査の分析に基づき、同レポートは攻撃者の行動の変化を浮き彫りにしています。攻撃者は、主に脆弱性の悪用に頼るのではなく、有効な認証情報や正規のツール、日常的なユーザ主導のアクションを利用してアクセスすることが多くなっています。

本レポートでは、これらのパターンを検証し、侵入活動を妨害した場所を文書化し、2025年を通して観察されたインシデント対応結果の分析から導き出された防御の優先順位を提示している。

その他のデータやインシデントのウォークスルーについては、Blackpoint Cyberが主催するライブ・ウェビナーで紹介する予定です。

➡️登録はこちらから

2026年年次脅威レポートからの主な調査結果

攻撃者は正規のアクセス経路から侵入している

本レポートで分析されたインシデント全体において、攻撃者は脆弱性を悪用するよりも、正規のアクセス経路を使用してログインする傾向がありました。

SSL VPN の悪用は、特定可能なインシデント全体の 32.8% を占め、最も一般的な初期アクセス経路の 1 つとなっています。多くの場合、脅威者は、有効ではあるが侵害された認証情報を使用して認証を行い、その結果、セキュリティ・コントロールからは正規の VPN セッションに見えていました。

いったんアクセスが確立されると、このようなセッションは多くの場合、内部への広範なアクセスを提供し、攻撃者はすぐに警告を発することなく、価値の高いシステムへと迅速に移動することができます。

信頼されたITツールが組織に悪用される

本レポートでは、アクセスや永続化の手段として、正規のリモート監視・管理ツールが頻繁に悪用されていることも報告しています。

RMM の悪用は、特定可能なインシデントの 30.3 % に見られ、ScreenConnect は不正な RMM ケースの 70 % 以上に存在しています。これらのツールは、標準的な IT 管理に一般的に使用されているため、不正なインストールは多くの場合、予期されたアクティビティと類似しており、強力な可視性がなければ見分けることは困難でした。

レポートでは、複数のリモート・アクセス・ツールが使用されている環境では、不正なインスタンスが既存のツールに紛れ込む可能性が高いと指摘しています。

インシデントの大半はエクスプロイトではなくソーシャル・エンジニアリングが原因

合法的なアクセス・パスによって多くの侵入が可能になる一方で、インシデント全体の発生件数を最も押し上げたのは、ユーザーとの対話でした。

偽のCAPTCHAやClickFixスタイルのキャンペーンは、特定可能なインシデント全体の57.5%を占め、レポートで文書化された中で最も一般的な攻撃パターンとなっています。

これらのキャンペーンは、ソフトウェアの脆弱性を悪用するのではなく、人を欺くプロンプトに依存していました。ユーザは、ルーチンの検証ステップの一部として、Windowsの「ファイル名を指定して実行」ダイアログにコマンドを貼り付けるよう指示されました。実行にはWindowsに組み込まれたツールが使用され、従来のマルウェアのダウンロードやエクスプロイト活動は行われませんでした。

MFA後のセッション再利用に焦点を当てたクラウド侵入

調査対象となったインシデントに関連する多くのクラウド環境では、多要素認証が有効になっていましたが、それでもアカウントの侵害は発生していました。

中間者攻撃型フィッシングは、報告書に記載されたクラウドアカウントの無効化の約16パーセントを占めています。これらのシナリオでは、MFAは設計どおりに機能した。攻撃者は、認証をバイパスするのではなく、MFAに成功した後に発行された認証済みのセッショントークンを取得し、クラウドサービスへのアクセスに再利用した。

クラウド・プラットフォームから見ると、この活動は正当な認証セッションと一致している。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

この調査結果がセキュリティ・チームにもたらすもの

業界、環境、攻撃の種類を問わず、このレポートでは一貫したパターンが浮き彫りになっています。

攻撃者は、新奇なエクスプロイトや高度なマルウェアに依存するのではなく、リモート・ログイン、信頼できるツール、標準的なユーザー・アクションなど、日常的なワークフローを悪用していました。本レポートでは、分析した攻撃チェーンに基づき、いくつかの防御上の優先事項を特定しています：

• リモート・アクセスを高リスク、高インパクトのアクティビティとして扱う。
• 承認された RMM ツールの完全なインベントリを維持し、未使用またはレガシーのエージェントを削除する。
• 未承認ソフトウェアのインストールを制限し、ユーザが書き込み可能なディレクトリからの実行を制限する。
• デバイスの状態、場所、セッションのリスクを評価する条件付きアクセス制御を適用する

これらのパターンは、製造業、ヘルスケア、MSP、金融サービス、建設業など、頻繁に標的とされるセクターで文書化されています。

これらの侵入パターンがどのように展開されるかを検証することに関心のあるチームのために、Blackpoint Cyber は、近日中に開催されるライブ・ウェビナーで、2026 Annual Threat Report の主な調査結果、事例、および防御のポイントについて説明します。

➡️登録して2026年年次脅威報告書を受け取る

Blackpoint Cyberが後援・執筆。