M-Trends 2026が示す攻撃の産業化と企業の備え検知中央値14日、SAP・Oracle・SharePointが標的に

サイバー攻撃が「産業」になった──M-Trends 2026の衝撃

Google傘下のMandiantが3月24日に公開した「M-Trends 2026」レポートは、サイバーセキュリティの世界に大きな警鐘を鳴らしています。攻撃者グループ間の連携時間がわずか22秒にまで短縮され、企業の基幹システムが組織的に狙われる時代が到来しました。2025年の50万時間を超えるインシデント対応から得られた知見は、日本企業にとっても他人事ではありません。

SecurityWeekの詳細記事はこちら

検知中央値14日、そして攻撃者の「自己申告」が14%

レポートによると、2025年のインシデント検知の内訳は大きく3つに分かれます。組織が自ら侵害を発見した「内部検知」が52%、法執行機関やセキュリティ企業からの「外部通知」が34%、そして攻撃者自身が身代金要求などで「自己申告」したケースが14%でした。

内部検知の割合は2024年の43%から9ポイント改善しており、企業のセキュリティ体制が向上している兆候といえます。一方で、攻撃者の自己申告が14%を占める現実は、ランサムウェア被害がいかに蔓延しているかを如実に示しています。グローバルの検知中央値は14日で、2024年の11日からやや増加しました。特にサイバースパイ活動や北朝鮮関連のIT労働者による不正では、検知まで122日を要するケースも報告されています。

SAP・Oracle・SharePoint──狙われる企業基幹システム

2025年に最も悪用された脆弱性は、多くの日本企業が利用するエンタープライズ製品に集中しました。SAP NetWeaver（CVE-2025-31324）、Oracle E-Business Suite（CVE-2025-61882）、Microsoft SharePoint（CVE-2025-53770）の3つがトップに挙げられています。

特に注目すべきは、これらの脆弱性がパッチ公開前から悪用されていた点です。レポートでは「脆弱性が悪用されるまでの平均時間がマイナス7日」と報告されており、パッチが出る前に攻撃が始まる「ゼロデイ以前」の状況が常態化しています。攻撃者は初期アクセスを獲得すると、わずか22秒で別のグループに引き渡すケースも確認されました。2022年には8時間以上かかっていたこの連携が、自動化によって劇的に短縮されたのです。

「復旧を不可能にする」新たなランサムウェア戦術

レポートが指摘するもう一つの重大な変化は、ランサムウェア攻撃の目的が「データ暗号化」から「復旧妨害」へとシフトしている点です。AkiraやQilinといった主要なランサムウェアグループは、バックアップインフラ、認証基盤、仮想化管理プレーンを標的にするようになりました。

Mandiantのコンサルティング担当副社長は「現代のランサムウェアは根本的なレジリエンス問題となっており、組織は『身代金を払うか、ゼロから再構築するか』の二択を迫られている」と述べています。たとえバックアップがあっても、復旧基盤自体が破壊されれば意味がありません。この戦術変化は、企業のBCP（事業継続計画）の根本的な見直しを迫るものです。

御社が今すぐ取り組むべき5つのアクション

M-Trends 2026の知見を踏まえ、日本企業が優先的に取り組むべき対策は以下の通りです。

第一に、SAP、Oracle、SharePoint環境のパッチ適用状況を総点検してください。特にインターネットに公開されているシステムは最優先で確認が必要です。第二に、内部検知能力の向上に投資しましょう。SIEM（セキュリティ情報イベント管理）やXDR（拡張検知・対応）の導入・強化が有効です。第三に、バックアップ環境を社内Active Directoryから分離し、イミュータブル（不変）ストレージの導入を検討してください。

第四に、初期侵入から22秒で次の攻撃フェーズに移行する現実を踏まえ、低優先度のアラートでも即座に対応できる体制を構築することが重要です。第五に、ログ保持期間を90日以上に延長し、長期潜伏型の攻撃にも対応できる可視性を確保してください。

セキュリティ対策の強化はGXOにご相談ください

M-Trends 2026が示す攻撃の高度化・高速化に対応するには、専門的な知見と実行力が欠かせません。GXOは180社以上の支援実績を持ち、SIEM/SOAR導入からSOC運用、インシデント対応まで一貫してサポートいたします。攻撃者のスピードに負けないセキュリティ体制の構築について、まずはお気軽にご相談ください。

お問い合わせはこちら