67.3%の攻撃者がAIを利用し、リスクが上昇中。サイバー攻撃の手法が変化している。

AIがサイバー攻撃の性質や手法を変革する中、セキュリティコミュニティが使用する技術やフレームワークはどれだけ通用するのでしょうか？新たなレポートでは、その問いに答えるべく調査を行いました。

2025年3月から2026年3月にかけて、悪意あるサイバー活動によりバンされた832件のアカウントを調査し、MITRE ATT&CK（サイバー攻撃者が使用する戦術や手法のデータベース）にマッピングしました。この結果の一部はVerizonの2026年データ侵害調査報告書（DBIR）に掲載され、ここではより詳細な分析を共有します。これら832件は、この期間にバンされたアカウントの総数の一部に過ぎませんが、攻撃者の手法を徹底的に評価するために十分な詳細が得られたケースです。

分析からの主な結論は3つあります。

以下に各結論の要約を提供します。詳細な分析は当社のFrontier Red Teamブログでお読みいただけます。

データベース内で最も一般的なAIを活用した活動は、サイバー攻撃の準備に関連しており、832件のアカウントのうち67.3%（560件）がこの目的でAIを使用しました。より複雑な活動にAIを使用する者は少数であり、例えば832件のアクターのうち6.5%（54件）がAIを利用して「横移動」（侵害されたネットワーク内を深く移動すること）を支援していました。

攻撃者の脅威レベルを引き上げるためにAIが使用されていることを示す証拠も見つかりました。分析の最初の6か月間で、我々のリスクスコアリングシステムにより、アクターの33%が中リスク以上と分類されました。しかし、2番目の6か月間では、その割合が56%に急増しました。これは約1.7倍の増加です。

研究した期間を通じて、攻撃者のAIの使用は、システムへの初期アクセスを得る手法から、システム内で実行される活動にシフトしました。例えば、アカウント発見のためのAIの使用は8.9%増加し、AIを用いたフィッシング（システムにアクセスを得る一般的な手法）は8.6%減少しました。これは、攻撃者が攻撃ライフサイクルのより深い部分でAIを適用していることを示唆しています。

このような「コンプロマイズ後」の手法は、以前はそれを実行する技術的知識を持つ者に制限されていました。我々の調査は、AIが今や、技術的知識が少ないアクターのためにこれらの活動を実行できることを示しています。

サイバー攻撃者のリスクレベルを評価するために、セキュリティチームは通常、彼らが使用するさまざまな手法の数や利用するツール・インターフェースに関する情報を用いてきました。しかし、我々の分析は、これらのシグナルが特定の脅威アクターのリスクレベルを正確に描写しなくなっていることを示唆しています。

AIが攻撃者のために高度な技術的タスクを実行できるようになった今、脅威アクターのスキルと彼らが使用する手法の数の間にはほとんど相関がありません。データセット内の最もスキルの低いアクターは平均約16の異なる手法を使用し、一方で最もスキルの高いアクターは約20の手法を使用しました。同様に、使用される特定のプラットフォーム（Claude Code、API、チャットインターフェースなど）も、アクターのリスクレベルとは相関しません。