脆弱性悪用が2026年サイバー侵入の主因に——パッチ管理が生死を分ける
2026年のサイバーセキュリティにおいて、最も警戒すべき脅威トレンドが明確になりつつある。脆弱性悪用(Vulnerability Exploitation)がサイバー侵入の初期アクセスベクターとして最大の割合を占め、全侵入の約48%に達した——。これは、CrowdStrike、Mandiant(Google Cloud)、Palo Alto Networks Unit 42といった主要な脅威インテリジェンス企業が2026年第1四半期に発表したレポートで一致して指摘されている事実だ。
かつてサイバー侵入の主流だったフィッシング攻撃は22%にまで比率を下げ、その座を脆弱性悪用に明け渡した。攻撃者は、ソフトウェアの脆弱性が公開されてからパッチが適用されるまでの「空白期間」を狙い撃ちにしている。しかも、ゼロデイ脆弱性(パッチ公開前に悪用される脆弱性)の発見・悪用件数も過去最高を更新しており、組織は「パッチが出る前から攻撃されている」という深刻な状況に直面している。
この記事では、なぜ脆弱性悪用がここまで急増したのか、攻撃者の手口はどう変化しているのか、そして日本企業が今すぐ取るべき対策は何かを、最新のデータとともに徹底解説する。
初期アクセスベクターの変遷
サイバー侵入における「初期アクセスベクター」とは、攻撃者が標的の組織に最初に侵入する際に使用する手法のことだ。過去5年間で、この初期アクセスベクターの比率は劇的に変化している。
以下の図は、2022年から2026年にかけての初期アクセスベクターの比率推移を示している。
この図から明確に読み取れるのは、脆弱性悪用(赤線)とフィッシング(青線)が2023年頃に逆転し、その差が年々拡大しているという事実だ。2022年時点ではフィッシングが38%でトップ、脆弱性悪用は32%で2位だった。しかし2024年にフィッシングが28%まで低下する一方で脆弱性悪用は38%に上昇し、2026年にはその差が26ポイントにまで広がった。
認証情報窃取(緑線)は20%前後で比較的安定しているが、これは1Passwordのようなパスワードマネージャーやパスキーの普及により、認証情報の直接窃取が困難になっていることが影響していると考えられる。ただし18%という数字は依然として無視できない水準だ。
なぜ脆弱性悪用が急増したのか
脆弱性悪用が初期アクセスの主流になった背景には、複数の構造的要因がある。
1. 攻撃対象面(Attack Surface)の爆発的拡大
クラウド移行、リモートワークの定着、IoTデバイスの普及により、組織がインターネットに露出するシステムの数は過去5年で平均3倍以上に増加した。VPN装置、ファイアウォール、メールゲートウェイ、ロードバランサーといった「境界デバイス」は、インターネットに直接面しているため脆弱性が発見されると即座に攻撃対象となる。
2. 自動化された脆弱性スキャン
攻撃者は、Shodanのようなインターネットスキャンエンジンやカスタムスキャンツールを使って、脆弱なシステムを大規模かつ自動的に発見している。脆弱性が公開されてから24時間以内にPoC(概念実証コード)がGitHubで公開され、48時間以内に大規模なスキャンが開始されるというのが2026年の典型的なタイムラインだ。
3. ランサムウェアグループの戦術変化
ランサムウェアグループは、フィッシングメールでの初期侵入よりも、脆弱なVPN装置やリモートアクセスツールを直接悪用する手法を好むようになった。フィッシングは人間の行動に依存するため成功率が不確実だが、脆弱性悪用は技術的に再現可能で、スケーラブルだ。
4. フィッシング対策の進歩
メールフィルタリング技術の向上、多要素認証(MFA)の普及、セキュリティ意識教育の浸透により、フィッシング攻撃の成功率は年々低下している。攻撃者は「最も抵抗の少ない経路」を合理的に選択しており、その結果として脆弱性悪用にシフトしている。
ゼロデイ脆弱性の増加傾向
脆弱性悪用の中でも特に深刻なのが、ゼロデイ脆弱性の急増だ。ゼロデイ脆弱性とは、ソフトウェアベンダーが修正パッチを公開する前に攻撃者に発見・悪用される脆弱性のことだ。
ゼロデイの発見件数推移
| 年 | 発見されたゼロデイ件数 | 前年比 | 主な悪用者 |
|---|---|---|---|
| 2022年 | 55件 | - | 国家支援型APT、ランサムウェア |
| 2023年 | 70件 | +27% | 国家支援型APT、商用スパイウェア |
| 2024年 | 97件 | +39% | 国家支援型APT、金銭目的のグループ |
| 2025年 | 118件 | +22% | ランサムウェア、国家支援型APT |
| 2026年(Q1時点) | 42件 | 年換算168件 (+42%) | ランサムウェア、国家支援型APT |
2026年は第1四半期だけで42件のゼロデイが報告されており、このペースが続けば年間168件に達する計算だ。これは2025年の118件を大幅に上回り、過去最高を更新する可能性が極めて高い。
狙われるターゲット
ゼロデイ攻撃で最も狙われているのは、以下のカテゴリのソフトウェアだ。
境界デバイス(Edge Devices): VPNアプライアンス(Ivanti、Fortinet、Palo Alto)、ファイアウォール、メールゲートウェイ。インターネットに直接面しているため、攻撃成功時のインパクトが大きい。2026年第1四半期だけでも、Ivanti Connect Secure、Fortinet FortiOS、Palo Alto PAN-OSに重大なゼロデイが発見された。
エンタープライズソフトウェア: Microsoft Exchange、Confluence(Atlassian)、GitLab、SAP。組織内で広く使われているため、一つの脆弱性で多数の企業に影響が及ぶ。
ブラウザ・OS: Chrome、Windows、iOS。消費者と企業の両方に影響するため、攻撃者にとって費用対効果が高い。
主要脅威レポートの知見
2026年第1四半期に発表された主要な脅威レポートから、重要な知見を抜粋する。
CrowdStrike 2026 Global Threat Report
CrowdStrikeの年次レポートは、以下の傾向を強調している。
- eCrime(金銭目的のサイバー犯罪)のブレークアウトタイム: 攻撃者が初期侵入からラテラルムーブメント(横方向の移動)を開始するまでの平均時間が31分に短縮(2024年は62分)
- クラウド環境への攻撃: クラウドインフラストラクチャへの攻撃は前年比75%増加。特にKubernetesクラスタの設定ミスを狙った攻撃が目立つ
- AI活用攻撃: 攻撃者がLLMを使ってフィッシングメールを生成したり、脆弱性のPoCコードを自動生成するケースが確認された
Mandiant M-Trends 2026
Google Cloudのセキュリティ部門であるMandiantのレポートは、以下を指摘している。
- 初期アクセスベクター: 脆弱性悪用が**全侵入の47%**を占め、過去最高を更新
- 検知までの滞留時間: グローバル中央値が10日に短縮(2024年は16日)。ただし日本を含むAPAC地域は24日と依然として長い
- 国家支援型攻撃: 中国、ロシア、北朝鮮、イランの4カ国からの攻撃が依然として活発
Palo Alto Networks Unit 42 Incident Response Report
Unit 42のレポートは、実際のインシデント対応データに基づいて以下を報告している。
- ランサムウェア: 暗号化までの平均時間が初期侵入から3時間以内に短縮。従来の「数日間の潜伏」パターンから大きく変化
- 恐喝のみ(暗号化なし): データを窃取して身代金を要求するが、暗号化は行わない「恐喝のみ」の攻撃が全ランサムウェアインシデントの**35%**に到達
- サプライチェーン攻撃: ソフトウェアのサプライチェーンを通じた攻撃が前年比60%増加
パッチ管理の重要性と現実
脆弱性悪用が主要な侵入経路となった今、パッチ管理(Patch Management)の重要性はかつてないほど高まっている。しかし、現実のパッチ適用速度は、攻撃者の速度に大きく劣っているのが実情だ。
以下の図は、業界別のパッチ適用までの平均時間を比較したものだ。
この図が示す最も重要なポイントは、攻撃者がゼロデイを悪用し始めるまでの時間(多くの場合24〜48時間以内)と、組織がパッチを適用するまでの時間(業界平均で21〜97日)の間に、巨大なギャップが存在するということだ。日本企業の平均78日は、グローバル平均の55日と比べても約1.4倍遅く、この遅延が日本企業を特に脆弱な状態に置いている。
パッチ適用が遅れる理由
パッチ適用の遅延は、怠慢だけが原因ではない。以下のような構造的な課題がある。
互換性テストの必要性: エンタープライズ環境では、パッチ適用により既存のアプリケーションが動作しなくなるリスクがある。特に基幹系システムとの互換性テストには時間がかかる。
ダウンタイムの回避: 製造業や医療機関では、システムの停止が直接的な損害(生産停止、患者への影響)につながるため、パッチ適用のためのメンテナンスウィンドウを確保しにくい。
資産管理の不備: そもそも「自社にどのようなソフトウェア・バージョンが存在するか」を正確に把握できていない組織が多い。把握できていなければ、パッチが必要なシステムを特定すること自体が困難だ。
人的リソースの不足: セキュリティチームの人員不足は世界共通の課題だが、日本では特に深刻だ。経済産業省の推計では、日本のセキュリティ人材は約4万人不足しているとされる。
自動パッチ管理の進化
パッチ管理の課題に対応するため、自動パッチ管理(Automated Patch Management)のソリューションが急速に進化している。
主要な自動パッチ管理ソリューション
| ソリューション | 提供元 | 特徴 | 価格帯(年額) |
|---|---|---|---|
| Qualys VMDR | Qualys | 脆弱性検出からパッチ適用まで一気通貫。リスクベースの優先順位付け | $15,000〜(約225万円〜) |
| Tanium | Tanium | リアルタイム資産可視化。大規模環境(10万台以上)に強い | $50,000〜(約750万円〜) |
| Microsoft Intune + Autopatch | Microsoft | Windows環境に最適。M365統合 | E3/E5ライセンスに含まれる |
| Rapid7 InsightVM | Rapid7 | 脅威インテリジェンス連携。クラウド・オンプレミス統合 | $10,000〜(約150万円〜) |
| CrowdStrike Falcon Spotlight | CrowdStrike | EDRと統合された脆弱性管理。リアルタイム検出 | $8,000〜(約120万円〜) |
| WSUS + SCCM | Microsoft | Windows標準。無料だが機能は限定的 | 無料(ライセンス内) |
リスクベースの優先順位付け
すべてのパッチを即座に適用することは現実的ではない。重要なのは、リスクベースの優先順位付けだ。以下の要素を組み合わせて、パッチの適用優先度を決定する。
- CVSS(Common Vulnerability Scoring System)スコア: 脆弱性の技術的な深刻度。9.0以上は「Critical(致命的)」
- EPSS(Exploit Prediction Scoring System): 今後30日以内に実際に悪用される確率。0.9以上は即座に対応が必要
- CISA KEV(Known Exploited Vulnerabilities): CISAが「実際に悪用されている」と確認した脆弱性リスト。このリストに掲載されたものは最優先
- 資産の重要度: インターネットに面しているか、機密データを扱うか、ビジネスクリティカルか
CVSSスコアだけでパッチの優先度を判断するのは、もはや時代遅れだ。CVSS 9.0の脆弱性でも、攻撃に利用可能なPoCが存在しなければ即座の脅威にはならない。逆に、CVSS 7.5の脆弱性でも、CISA KEVに掲載されていれば実際に攻撃に使われている証拠があり、即座の対応が必要だ。
認証情報管理の重要性
脆弱性悪用が最大の侵入経路となった一方で、認証情報窃取も全侵入の18%を占めている。脆弱性に加えて、認証情報の管理も引き続き重要だ。
パスワードマネージャーの効果
1Passwordのようなパスワードマネージャーを全社で導入することは、認証情報窃取に対する最も効果的な対策の一つだ。パスワードマネージャーの主な効果は以下の通りだ。
- パスワードの使い回し防止: サービスごとに固有の強力なパスワードを自動生成
- フィッシング耐性: 正規のURLでのみ自動入力されるため、偽サイトへの認証情報入力を防止
- パスキー対応: FIDO2/WebAuthn準拠のパスキーを管理し、パスワードレス認証を推進
- ダークウェブモニタリング: 漏洩した認証情報をリアルタイムで検出し、アラートを送信
MFA(多要素認証)のバイパス攻撃
注意すべきは、MFA(多要素認証)も万能ではないという事実だ。2025〜2026年にかけて、以下のMFAバイパス手法が活発化している。
Adversary-in-the-Middle(AiTM)攻撃: 攻撃者がリバースプロキシを使い、ユーザーと正規サイトの間に介入。ユーザーがMFAを含めて正規の認証フローを完了すると、攻撃者がセッショントークンを窃取する。EvilginxやModlishkaといったツールが広く使われている。
MFA疲労攻撃(Push Bombing): MFAのプッシュ通知を大量に送り続け、ユーザーが誤って承認するのを待つ手法。2024年のUber侵入事件で有名になったが、2026年も依然として使われている。
SIMスワッピング: 携帯電話キャリアを欺き、被害者の電話番号を攻撃者のSIMに移行する手法。SMSベースのMFAを完全にバイパスする。
これらの攻撃に対しては、FIDO2準拠のハードウェアセキュリティキーやパスキーが最も効果的な対策だ。
日本企業の脆弱性対応の課題
日本企業の脆弱性対応には、グローバルと比較していくつかの固有の課題がある。
パッチ適用の遅延
前述の通り、日本企業の平均パッチ適用時間は78日で、グローバル平均の55日より約1.4倍遅い。この遅延の背景には、以下の日本特有の事情がある。
稟議・承認プロセスの複雑さ: パッチ適用の判断に複数部門の承認が必要なケースが多い。特に基幹系システムについては、IT部門だけでなく業務部門やリスク管理部門の承認も求められる。
ベンダー依存のIT運用: 多くの日本企業はシステム運用を外部ベンダーに委託しており、パッチ適用のためにはベンダーとの調整が必要だ。この調整に1〜2週間かかることは珍しくない。
レガシーシステムの存在: 日本企業には、Windows Server 2012やRed Hat Enterprise Linux 7といったサポート終了済みのOSがいまだに稼働しているケースが少なくない。これらのシステムにはそもそもパッチが提供されない。
インシデント検知の遅延
Mandiantのレポートによれば、日本を含むAPAC地域のインシデント滞留時間(検知までの時間)は24日で、グローバル中央値の10日の2倍以上だ。これは、日本企業のセキュリティ監視体制(SOC)が十分に成熟していないことを示唆している。
セキュリティ人材の不足
経済産業省の2025年の調査によれば、日本のセキュリティ人材は約4万人不足している。特にインシデントレスポンスや脆弱性管理の専門人材の不足が深刻だ。この人材不足を補うために、自動化ツールの導入やマネージドセキュリティサービス(MSSP)の活用が急務となっている。
脆弱性管理のベストプラクティス
2026年の脅威環境に対応するために、以下の脆弱性管理のベストプラクティスを推奨する。
1. 資産管理の徹底
脆弱性を管理するには、まず「何を守るか」を把握する必要がある。CMDB(構成管理データベース)を最新の状態に保ち、すべてのハードウェア・ソフトウェア資産とそのバージョン情報を正確に記録する。特にインターネットに面している資産(外部公開サーバー、VPN装置、クラウドサービス)は優先的に可視化すべきだ。
2. リスクベースの脆弱性管理
CVSSスコアだけでなく、EPSS(悪用確率)、CISA KEV(既知の悪用脆弱性)、そして自社の資産重要度を組み合わせたリスクベースの優先順位付けを導入する。すべてのパッチを即座に適用するのは不可能だが、「本当に危険な脆弱性」を見極めて優先対応することは可能だ。
3. パッチ適用SLAの設定
脆弱性の深刻度に応じたパッチ適用のSLA(Service Level Agreement)を設定する。例えば以下のような基準だ。
| 深刻度 | CVSS | 条件 | パッチ適用SLA |
|---|---|---|---|
| 緊急 | 9.0以上 | CISA KEV掲載 or EPSS > 0.9 | 24時間以内 |
| 高 | 7.0〜8.9 | PoC公開済み | 7日以内 |
| 中 | 4.0〜6.9 | - | 30日以内 |
| 低 | 0.1〜3.9 | - | 90日以内 |
4. 仮想パッチ(WAF/IPS)の活用
パッチ適用までに時間がかかる場合は、WAF(Webアプリケーションファイアウォール)やIPS(侵入防止システム)で仮想パッチを適用する。これにより、本格的なパッチ適用前でも攻撃の影響を緩和できる。
5. 攻撃対象面の削減
不要なサービスの停止、使われていないポートの閉鎖、不要なソフトウェアのアンインストールにより、攻撃対象面を最小化する。「そもそも攻撃される面を減らす」ことが、最も根本的な対策だ。
主要セキュリティソリューションの比較
脆弱性管理と認証情報保護を包括的にカバーするために、複数のソリューションを組み合わせることが推奨される。
| カテゴリ | ソリューション例 | 主な機能 | 月額目安(1ユーザー) |
|---|---|---|---|
| パスワード管理 | 1Password Business | パスワード管理、パスキー、ダークウェブ監視 | $7.99(約1,200円) |
| EDR/XDR | CrowdStrike Falcon | エンドポイント検知・対応、脆弱性管理 | $8〜15(約1,200〜2,250円) |
| 脆弱性スキャン | Qualys VMDR | 脆弱性検出、リスク評価、パッチ管理 | $3〜8(約450〜1,200円) |
| SIEM | Splunk / Sentinel | ログ分析、脅威検知、インシデント対応 | $10〜30(約1,500〜4,500円) |
| MFA | Duo / Okta | 多要素認証、シングルサインオン | $3〜9(約450〜1,350円) |
中小企業でセキュリティ予算が限られている場合は、まず**パスワード管理(1Password)+ MFA(Duo Free)+ Windows Autopatch(M365ライセンス内)**の組み合わせから始めることを推奨する。
日本への影響と展望
JPCERT/CCの最新動向
日本のJPCERT/CCも、脆弱性悪用の増加に対応するため、2026年1月に「脆弱性管理ガイドライン」を改訂した。改訂の主なポイントは以下の通りだ。
- 重大脆弱性の報告義務化: CVSS 9.0以上の脆弱性がインターネット公開システムで検出された場合、72時間以内にJPCERT/CCへの報告が推奨される
- 自動パッチ管理の推奨: 手動パッチ管理からの脱却を明確に推奨
- サプライチェーンリスク管理: 委託先・取引先のセキュリティ状況の定期的な評価を推奨
経済安全保障推進法との関連
2024年に施行された経済安全保障推進法の「基幹インフラの安全性確保」制度は、電力、通信、金融、運輸、医療といった重要インフラ事業者に対して、サイバーセキュリティ対策の強化を求めている。脆弱性管理の体制整備は、同法への準拠においても重要な要素だ。
日本企業が今できること
日本企業が脆弱性悪用の脅威に対抗するために、今すぐ実行可能な施策は以下の通りだ。
短期(1ヶ月以内): インターネットに面しているすべての資産を棚卸しし、最新の脆弱性情報と照合する。CISA KEVリストに掲載されている脆弱性が未対応であれば、即座に対応する。
中期(3ヶ月以内): 自動パッチ管理ツールを導入し、パッチ適用SLAを設定する。併せて、1Passwordのようなパスワードマネージャーの全社導入とMFAの完全展開を実施する。
長期(6ヶ月〜1年): SOC(Security Operations Center)の整備またはMSSPの契約により、24時間365日のセキュリティ監視体制を構築する。インシデント対応計画を策定し、定期的な訓練を実施する。
まとめ
2026年のサイバーセキュリティにおいて、脆弱性悪用は最大の脅威となった。全侵入の約48%を占めるこの攻撃手法に対抗するには、パッチ管理の高速化、認証情報の保護、攻撃対象面の削減を同時に進める必要がある。
攻撃者は脆弱性公開後24〜48時間以内に攻撃を開始する。一方、日本企業の平均パッチ適用時間は78日。この巨大なギャップを埋めることが、2026年のセキュリティ戦略における最重要課題だ。
今すぐ取るべきアクションステップは以下の3つだ。
- CISA KEVリストをチェックする: CISA Known Exploited Vulnerabilities Catalog にアクセスし、自社で使用しているソフトウェアに該当する脆弱性がないか確認する。該当があれば即座にパッチを適用する
- 認証情報を棚卸しする: 1Passwordのようなパスワードマネージャーを導入し、全社の認証情報を一元管理する。使い回しパスワードの排除と、FIDO2準拠のMFA導入を最優先で進める
- パッチ適用SLAを策定する: 脆弱性の深刻度に応じたパッチ適用の期限(SLA)を策定し、経営層の承認を得る。緊急の脆弱性は24時間以内、高は7日以内、中は30日以内を目標とする
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星