2025 年 10 月にパリのルーヴル美術館で起きたあの大胆な強盗事件を覚えていますか?窃盗犯は文字通りチェリーピッカー(空中作業車)を使って窓を割り、フランスの王冠の宝石を盗みました。これは、今年のサイバーセキュリティ界で起こったことをそっくりそのまま表すような出来事です。脅威アクターは、デジタルの重要な資産を手に入れるために、手に入るあらゆるツールを駆使します。
Ransomware as a Service(サービスとしてのランサムウェア、RaaS)のおかげで、今日のツールは非常に高度で、驚くほど簡単にアクセスできます。重要なのは、博物館とは異なり、企業の「宝物庫」は巨大で、世界中に広がっているということです。これは、監視すべき窓が非常に多いことを意味します。
企業がこれらのセキュリティ課題に対処できるよう支援することが、Akamai の使命です。Akamai の「インターネットの現状(SOTI)」レポートは、サイバーセキュリティの状況を変化させている脅威に対抗するために必要な知見を提供することを目的としています。
AI がセキュリティ分野で大きな役割を果たしていることは確かですが、巧妙な攻撃を検知して阻止するという点で、人間の真の専門知識に勝るものはありません。
振り返りと展望
「年間レビュー」では、Akamai 全体の優秀なサイバーセキュリティの専門家を集めて、この 1 年間の主要なセキュリティトレンドを分析し、2026 年に何が起こるかを探りました。
このブログ記事では、Roger Barranco、Richard Meeus、Reuben Koh、Steve Winterfeld、Tricia Howard が、セキュリティギャップを解消し、防御体制を構築するための実践的で実用的なアイデアを共有します。
2025 年に最も印象的だったことは何ですか?
Akamai は、非常に大規模な分散型サービス妨害(DDoS)攻撃の件数が劇的に増加していることを確認しました。数テラビット規模の攻撃が定期的に発生するようになっています。これまでのところ、これらの攻撃は容易に緩和されてきました。しかし、国家による攻撃など、より複雑な攻撃も増加しています。このことは、強力なネイティブ機能を備えたスケーラブルなプラットフォームと、複雑なゼロデイ攻撃に迅速に対処できる高度なスキルを持つ人材を組み合わせることの価値を強調します。
また、一部の組織が非常に執拗な攻撃者によってボット攻撃の標的にされているという現象も確認されています。Akamai は攻撃を緩和しますが、攻撃者は執拗に標的を狙い続け、多くの場合、スクレイピングアクティビティを組み合わせています。これは悪性であるかどうかに関係なく、製品情報を収集しようとするアグリゲーターである可能性があります。
多くの場合、このアクティビティは製品の発売やプロモーションイベントなど、特定のイベントのタイミングに合わせて行われます。このようなイベントの発生時には、我々の専任のセキュリティアーキテクトがお客様をサポートし、あらゆる異常にリアルタイムで対処します。
攻撃者による AI 利用の増加は、2025 年のもう一つの傾向でした。AI により、攻撃者の侵入障壁が低くなりました。脅威アクターはもはや熟練したプログラマーである必要はありません。AI を使用して攻撃を口頭で構築し、実行することができます。幸いにも、AI は攻撃の兆候となる微妙なふるまい異常を迅速に特定することで、防御側にも役立っています。
私は、昨年の「年間レビュー」で、 Mirai ボットネットが復活したことを取り上げましたが、今年は、さらに強力な Mirai の亜種がいくつか出現しており、Akamai は注視を続けています。
2026 年に予想される注目すべき問題は何ですか?
CISO は AI の迅速な導入を促進するという大きなプレッシャーにさらされており、これは AI 関連のイニシアチブに低いリスクレベルを割り当てることで、リスク登録項目の優先順位付けに悪影響を及ぼす可能性があります。これは、大規模言語モデル(LLM)などの AI 要素を効果的に保護する専用テクノロジーの必要性をさらに浮き彫りにしています。
また、AI の急速な普及により、API Security の新たな領域も生まれています。通常、LLM はある時点で API を経由する必要があるため、API 保護が不可欠です。現在、CISO は API Security を使用して重要なトラフィックを特定できることを認識しています。たとえば、アクセスしようとしているのが LLM か人間かの判断などです。
これによりアラートが生成され、セキュリティチームはトラフィックを許可するかブロックするかを決定できるようになります。そのため、LLM がどこにあるのか、あるいは AI が企業内部へのアクセスに使用されている場所を特定するために、API を監視することは大きな価値を持ちます。
AI ガバナンスへの注目が高まる中、従業員が業務を支援するために独自の AI を構築することを許可するか否かに関するルールを作成する組織が増えています。これにより、AI 制御委員会が許可されているものを判断し、監視を提供することで、過去のように完全に無規制にならないようにしています。これはセキュリティの観点から非常に重要です。
2024 年の「年間レビュー」では、量子コンピューティングに注力する必要性について言及しましたが、これは今後も懸念されます。組織はすでに、より高いレベルの暗号化を提供するように設計されたポスト量子安全証明書の問題に取り組んでいます。課題は、一部のエンドユーザーが新しいデジタル証明書をサポートしていないブラウザーを使用している場合に、それらの新しいデジタル証明書にどのように移行するかです。
2026 年には、企業がインフラをアップグレードし、顧客にポスト量子安全証明書をサポートするブラウザーへのアップグレードを促すことが予想されます。
2025 年に最も印象的だったことは何ですか?
この 1 年を最もよく表現する言葉は、レジリエンス、具体的にはその欠如だと思います。英国では、小売企業に対する重大かつ大規模な攻撃や、一部の大手メーカーを標的とした継続的な攻撃が発生しました。これらの攻撃の多くは、ユーザー情報にアクセスしてパスワードをリセットするためにカスタマーサービスを標的としていました。これは主要な攻撃ベクトルではありませんが、おそらく十分なレッドチームテストが行われていないベクトルとして浮上しました。
昨年、私は NIS2 指令が運用上のレジリエンスに重点を置いていることについて議論しました。これは 2024 年 10 月までに欧州連合(EU)加盟各国によって制定されるように設計されていますが、多くの国では未だ制定されていません。
これとは対照的に、デジタル・オペレーショナル・レジリエンス法(DORA)は、金融組織向けに強化されたレジリエンスのフレームワークを提供します。この法律は指令ではなく規制であるため、2025 年 1 月 17 日時点で EU 全体に適用されています。しかし、NIS2 は一部の国にとって大きな負担であることが証明されています。
2025 年には、不具合のあるアップデートによる大規模な障害も目にしました。これらは、さまざまな業界の企業や消費者に大きな混乱をもたらしました。この問題は、次のような重要な疑問を提起します。
すべてのベンダーのアップデートを信頼できると考えるべきか?
トリアージを行うべきか?もしそうならどのようなプロセスを設けているか?
サンドボックス化し、段階的ロールアウトや Canary Deployment が実施されているか?
企業は、こうしたリスクを緩和する手段を準備し、検討する必要があります。
2026 年に予想される注目すべき問題は何ですか?
すでに攻撃ベクトルとしてのカスタマーサービスについて述べましたが、2026 年には、AI チャットボットによって人間のサービス担当者がますます強化されるようになり、この傾向はさらに進化することが見込まれます。このようなチャットボットは、階層的なツリーベースの応答を超えて、インテリジェンスを高め、より多くの情報を迅速に顧客に提供する能力を備えつつあります。
しかし、人間のサービス担当者がソーシャルエンジニアリングの標的になるのと同様に、チャットボットも標的になる可能性があります。カスタマー・サービス・スタッフへの攻撃からこうしたエンドポイントへの攻撃への移行を理解することは、企業にとって大きな関心材料となります。
AI がインターネットの使用方法を変えることで、今後何が起こるのかを見るのは興味深いことです。人々の検索方法は、Altavista の時代から根本的に変化していません。しかし、人々が AI エージェントを使用して検索/予約/注文を行うことで、状況は変化します。
ここで興味深い疑問が生じます。Web サーバーまたはゲートウェイは、その状況を人間からの要求として扱うのでしょうか。あるいは(人間が仕掛けた)ボットからの要求として扱うのでしょうか。組織は、このインタラクションが及ぼす影響と、セキュリティの観点からそれを管理する方法を推測する必要があると思います。ある意味では、ボットに対する認識は、企業にとっての大きな問題から有益なものへと変化していくでしょう。
そのため、ボットの検証と認証が可能になることが重要になります。これにより、主要な AI ベンダーとの合意につながり、暗号化されたクエリーを検証することで、疑わしいスクレイパーとは異なる方法で処理されるようになります。
最後に、モノのインターネット(IoT)の脆弱性を悪用する DDoS 攻撃の増加が見込まれます。2024 年に EU が可決したサイバーレジリエンス法(CRA)は、攻撃者による悪用を容易にする IoT デバイスによく見られるセキュリティの不備に対処することを目的としています。
CRA は、コンプライアンスをシンプル化し、規制の重複を回避するように設計された、IoT デバイスセキュリティに対する調和のとれたアプローチを提供します。条項は時間の経過とともに段階的に行われるため、企業がどのようにコンプライアンスを遵守し、それが IoT セキュリティにどのような影響を与えるかが注目されます。
2025 年に最も印象的だったことは何ですか?
2025 年には、AI はサイバー攻撃機能において、実験段階から実用段階へと移行しました。AI は攻撃の成功を後押しし、従来の防御チームやセキュリティチームに課題をもたらしています。攻撃は検知が難しく、影響力が大きく、迅速に目標を達成するからです。
攻撃者は生成 AI を積極的に使用し、高度な技術スキルを必要とせずに、マルウェアから AI 脅威エージェントまで、あらゆるものを迅速に開発しています。防御側も黙って見過ごすわけにはいきません。この AI 軍備競争に適応しなければ、防御はすぐに時代遅れになります。
これは、より高い AI リテラシーの必要性を浮き彫りにしています。セキュリティチームは、テクノロジーに精通し、その力を活用できるようにする必要があります。たとえば、一部の企業では、蓄積されたセキュリティ知識をトレーニングデータセットとして活用し、経験の浅いチームメンバーが迅速に支援を受けることができるよう、独自の AI チャットボットを構築しています。
AI の急速な進化に伴い、チームは現在の能力を超えて何ができるかについてブレインストーミングを行う必要があります。また、ベンダーやサプライチェーンパートナーが AI セキュリティに重点を置いていることを確認することも重要です。企業は次のことを問う必要があります。「AI 対応ツールを使用している場合、LLM、データセット、その他の AI 要素をどのように保護しているか?」
2026 年に予想される注目すべき問題は何ですか?
自律型 AI を活用した攻撃ライフサイクルの急速な加速は、2026 年の最大の課題となるでしょう。自動化された脆弱性の悪用から AI 支援型のマルウェア開発まで、AI は新たなレベルの攻撃精度と効率性を推進しています。
調査によると、AI を活用した攻撃が成功を収めるために必要な時間は大幅に短縮されています。2026 年の一般的なデータ漏えいでは、影響が顕在化するまでの時間は、数週間どころか数時間しかかからなくなる見込みです。これは、アジア太平洋(APAC)地域で特に懸念されています。同地域の企業は依然として従来の境界防御と人間中心の対応に依存しています。成熟したセキュリティ運用と AI リテラシーが不足している組織は、大きな不利になります。
2026 年には、API が他のあらゆる攻撃ベクトルを上回り、アプリケーションレイヤーのデータ漏えいの主な原因となり、APAC 全域のすべてのアプリケーション攻撃の半分以上を占める可能性があります。APAC 地域の組織の 80% 以上が、過去 1 年間に少なくとも 1 件の API セキュリティインシデントを経験したと報告しています。
重要なのは、APAC 地域の組織の約 3 分の 2 が、組織内の API のうちどの API が機微な情報を処理しているのかを把握していないことです。これは、API インベントリの可視性とガバナンスの向上の必要性を浮き彫りにしています。
生成 AI を使用して API を作成する「バイブコーディング(AI がサポートしたコーディング)」の採用は、リスクをさらに高めるだけです。AI 支援コーディングは、設定ミス、安全でないデフォルト設定、見落とされている脆弱性の増加に関連しています。リスクを管理するためには、ライフサイクル全体を通じて API を探索、テスト、保護するための専門的なセキュリティツールが必要です。
2026 年には、RaaS と AI を活用した「バイブハッキング(AI を活用したハッキング)」により、ランサムウェアが完全に民主化されるでしょう。攻撃の頻度と速度が増加することが予想されます。サイバー犯罪者、ハクティビスト、国家と連携したオペレーターの境界線はあいまいになり、攻撃の動機が見えにくくなり、帰属判断がより困難になっています。
APAC 地域では、ハイテク製造業が主要な標的となる可能性があります。半導体製造工場に対するランサムウェア攻撃が成功すれば、世界のチップ供給が混乱し、多大な経済的損害を被ることになります。高度な攻撃ツールの民主化に伴い、組織はセキュリティ侵害の防止だけでなく、運用上のレジリエンスを迅速に強化する必要があります。
2025 年に最も印象的だったことは何ですか?
今年の SOTI レポートには、防御担当者向けのガイドに加え、アプリと API、ランサムウェアと DDoS、詐欺と悪用に関する脅威の傾向に関する最新情報が含まれています。 すべてのレポートを通じて、次の 2 つのパターンが明らかになりました。
第一に、ボットは革新を続け、DDoS と同様に持続的な脅威となります。
第二に、サイバー犯罪者は攻撃を収益化するために重要なデータを追跡し続けており、生成 AI/LLM が新たな標的領域になるとともに API が主な標的になると私たちは考えています。
統計では、これら 2 つの傾向を確認しています。たとえば、AI ボットトラフィックは 2024 年 7 月から前年比で 300% 増加しており、アプリケーションレイヤー(レイヤー 7)DDoS 攻撃は四半期で 94% 増加しています。また、AppSec チームの 47% は完全な API インベントリを維持しているものの、機微な情報を処理する API を特定できていません。
次に、SOTI レポートで検討されたフレームワークの一部について言及します。特に目立ったリソースは次のとおりです。
実際の攻撃アラートをさまざまなフレームワークにマッピングした知見。業界標準に基づいた実際の攻撃傾向を示しています(サンプル結果 — OWASP 32%、MITRE 30%、ISO 22%、GDPR 21%、PCI DSS 16%)
統一された学際的プログラムを構築するための 6 つのステップを提示したコンプライアンス統合プロセス
OWASP トップ 10 の脆弱性を不正プログラムにマッピングし、最初に修正すべきものの優先順位を決定する方法に関するガイダンス
これらの知見をどのように活用するかを考える際には、何が起きているのかを理解するために状況認識が必要であることを覚えておくことが重要です。また、リーダーシップのリスク許容度に基づいて緩和策をカスタマイズできる統合機能を備えたプラットフォームを提供するベンダーとも連携する必要があります。次に、演習とテストを通じてプロセスと技術的な制御を検証する必要があります。
最後に、犯罪エコシステムを検討することが重要です。このような犯罪エコシステムでは、地域的な戦争に基づく国家支援型攻撃、収益化されたボットや RaaS 機能、AI を活用した詐欺ツール(FraudGPT や WormGPT など)が、今日のサイバー脅威の状況を再定義しています。
2026 年に予想される注目すべき問題は何ですか?
2026 年に向けて、ほとんどの組織は、スクレイピングの新たな急増、ブランド保護の必要性、記録的な規模の DDoS 攻撃など、最新の傾向に対応できるように、サイバー・リスク・ポートフォリオを更新する必要があります。しかし、真の課題は、エッジ攻撃と業務の中断という 2 つの主要な脅威を確実に緩和できるようにすることです。
API と生成 AI の機能は爆発的に拡大しており、組織はそれらが安全であることを確認する必要があります。また、ランサムウェア攻撃を検知してセグメント化し、ビジネスに重大な影響を与えないようにする必要もあります。
さまざまな業界や地域で、サイバー脅威は AI イノベーションによって拡大し、規模も巧妙さも増しています。2026 年の課題は明らかです。テスト済みのプレイブックを通じてレジリエンスを構築し、フレームワーク(OWASP、MITRE、ISO など)を活用し、状況認識を測定可能な準備態勢に転換する検証演習を実施することです。
2025 年に最も印象的だったことは何ですか?
2025 年は、脅威が複雑であればあるほど、基本がより重要であることを証明し続けました。500 万米ドルの家を購入した後に、その基礎が悪い状態であることを知ったとします。かなり動揺するでしょう?引っ越した後に基礎を修復するためにどれだけ多くの費用がかかるか想像してみてください。
セキュリティも同じです。安全を維持するためには、基本的な基盤をしっかりと構築する必要があります。これまでに確認した最大規模のセキュリティ侵害の多くは、単純なフィッシングや多要素認証(MFA)の欠如が原因でした。基本は重要です。どうか脆弱性にパッチを適用してください!
攻撃者は長い間、確立された正当な戦術を悪性の意図を持って使い回してきましたが、その戦術自体も進化しています。最近特に懸念される傾向は、正当なものであるだけでなく、それを支援することを目的としたプロセスや機能を悪用する事例です。その良い例が、 Coyote マルウェアの新しい亜種です。これは、アクセシビリティ機能を武器化することで、Microsoft の UI 自動化(UIA)フレームワークを野放し状態で悪用した最初のケースです。
もう一つの例は、コンプライアンスや法律上の問題に関する知識を悪用して、身代金の支払いを確実に行う手口です。これは巧妙であるからこそ効果を発揮し、恐ろしいほど危険な手口です。引き続き警戒してください。
最後に、今年は AI と LLM が明らかな影響を与えました。これには、ビジネスロジックの悪用に重点を置いた攻撃も含まれます。攻撃者が AI を多用するほど、攻撃の背後にいる人々や心理を理解することが重要になります。
ツールと戦うだけでなく、ツールを構築して使用する人間と戦うことになります。攻撃者も人間であり、犯罪組織も企業です。他の人々と同じように、少ない労力でより多くのことを実現しようとしています。そのため、ツール自体にのみ集中するのではなく、攻撃者がこれらのツールを使用している理由と、何を達成しようとしているのかを問うことが、適切な防御のために非常に重要です。LLM と生成 AI は、人的な要素を排除するのではなく、補外(限られた情報から全体像を推定)します。
2026 年に予想される注目すべき問題は何ですか?
組織は侵害を想定する必要があります。まさに、これに尽きます。侵入されるかどうかを心配する段階は過ぎています。必ず侵入されるものと考えてください。実際、すでに侵入されている可能性があります。災害復旧は、今すぐ事業継続性計画の一部とすべきです。
これは特に、企業によく当てはまります。インシデントが発生すると、多くのことに非常に短時間で対応する必要があります。つまり、組織が効果的な対応を行うためには、マーケティングと広報、IT 部門、セキュリティ部門など、部門ごとのコミュニケーション障壁や技術的障壁を打ち破る必要があります。さらに、チーム間のコミュニケーションが多ければ多いほど、潜在的な脆弱性を見つける機会が増えます。
2026 年には、サードパーティーのリスクとサプライチェーンのリスクが非常に重要になると考えています。AI と LLM の登場により、これまで見てきたものとはまったく異なる局面を迎えています。セキュリティベンダーの中には、顧客のデータが GPT に取り込まれていることを開示せずに GPT を使用しているところがあるかもしれません。
防御者や CISO として、リスクが何であるかさえ把握していない場合、どのようにリスクを管理すればよいのでしょうか。ベンダー(およびその下請けベンダー)を評価し、どのような質問をすべきかを把握し、リスクを評価できることが不可欠です。
また、地政学に関連したハクティビズムも継続すると予想しています。世界の厳しい政治情勢のために、今日の人々はさらに目的志向になっています。AI ツールを使用した、より標的を絞ったサイバー攻撃(つまり、有名な経営幹部を標的とする高度なフィッシング攻撃)が増加すると考えられます。これらのツールはアジリティを備えているため、攻撃者は小規模企業を標的にする場合と同等の労力で、非常に大きな収益性が見込まれる標的に集中できます。
攻撃が金銭目的なものであっても、完全な破壊目的なものであっても、攻撃者の動機を理解することは、組織が防御努力をどこに集中させるべきかを決定するのに役立ちます。
学習への取り組み
2025 年の年間レビューで、確かな知見と有益な気づきが得られたのであれば幸いです。2026 年に向けて、サイバーセキュリティの世界を深く掘り下げ、皆さまにとって真に重要な事象をカバーすることに取り組み続けています。グローバルな脅威や地域の問題に対処している場合でも、関連性を維持しながら、新鮮な視点を提示できることを楽しみにしています。
詳細を見る
過去 1 年の詳細については、Akamai Security Intelligence Research のページにアクセスし、SOTI レポートとリサーチライブラリをご覧ください。
2026 年にまたお会いしましょう!
タグ
