2025年12月10日、スロバキア・ESETからCRO(Chief Research Officer)のローマン・コヴァチ(Roman Kovac)氏と、CTO ユライ・マルホ(Juraj Malcho)氏が来日。2025年のサイバー脅威動向と2026年の脅威予測、およびそれへの対策をテーマに会見を開催した。会見では、最新の脅威が紹介され、ランサムウェアや国家支援型アクター(APT)の動向、そしてAIがもたらす攻撃手法の進化について解説された。
会見前半、コヴァチ氏は2025年のサイバー脅威の現状と2026年の予測について、同社の脅威インテリジェンスに基づいた分析結果を発表した。グローバル規模での脅威ランドスケープにおいて、ESETのテレメトリデータが示すトップの脅威は「フィッシング」と「詐欺(Scam)」だ。これはグローバル各国で報告されている統計データを見ても顕著であり、依然としてサイバー攻撃の多くを占めている。同社における日本のデータを参照してもグローバルトレンドと類似しており、フィッシングや各種詐欺が上位に位置している。
特にフィッシング攻撃においては、AIの活用が進んでいることが指摘された。AIを用いることで攻撃者は、より洗練された翻訳による自然なコミュニケーションが可能になり、攻撃の質を向上させている。同氏は数年前と比較して、AIによって生成される詐欺メッセージの“言語の質”が大幅に改善されている現状を説明した。
さらに、ESETはAI駆動型のランサムウェア事例も確認。「PromptLock」と呼ばれるランサムウェア型攻撃は、まだ概念実証(PoC)の段階に留まっているが、ハードコーディングされたLLMのプロンプトとオープンソースのAIモデルを用いて、悪意のあるスクリプトを動的に生成する。これは将来の脅威がどのように進化しうるかを示す、興味深い事例だという。
ESETの調査によると、現在最も活発なランサムウェアグループの一つはアサヒグループを襲った「Qilin」であり、オープンソースデータや同社のテレメトリデータからもその活発な活動が確認されている。
特に注目すべきは、ランサムウェアグループと国家支援型アクターとの連携の可能性だ。ESETは、Qilinが複数のケースにおいて、北朝鮮系のAPTグループである「Lazarus」と連携している事実を確認。こういった連携は、サイバー犯罪の背後に“国家の意図”が絡んでいる可能性を示唆している。
続けてコヴァチ氏は、APTの活動について具体例を挙げて説明した。APT活動は、中国、ロシア、北朝鮮、イランといった国家の政府と連携または支援されているアクターによるもので、ESETは200近くのアクターを追跡している。
日本に関連する活動としては、中国系の「MirrorFace」の事例が紹介された。数年前には日本の政治団体を標的とした「Liberal Face」作戦が確認され、今年初めには新たに「赤い龍」作戦が確認された。赤い龍作戦は、中央ヨーロッパの外交機関を標的としたものだったが、その機関は日本のNGOと密接な関係を持っていた。攻撃者は日本のNGOになりすまして外交機関への侵入を試みており、実際に侵入に成功したケースもあったという。
別の中国系アクターである「Silver Fox」は今年、日本の数百社を標的としたキャンペーンを展開。Silver Foxはスピアフィッシングメールを送信し、リモートアクセス型のトロイの木馬をインストールさせようとした。興味深いのは、この攻撃で用いられたフィッシングメールが非常にシンプルな作りで、署名などの要素が欠けていた点だ。
しかし、同じアクターがマレーシアやインドなどのアジア諸国で展開したキャンペーンでは、より洗練されたメールを使用しており、標的の防御レベルに応じて手法を使い分けている可能性が示唆された。
また、Lazarusは近年、ドローン関連技術を標的とした「Dream Job」作戦を展開している。これは、同国が自国のドローン兵器を近代化しようとする明確な意図と一致しており、ドローンの製造業者やサプライチェーン全体を標的としたものだ。
これらの動向も踏まえて、コヴァチ氏は2026年の脅威予測として主に次のように説明する。
まず、ランサムウェアの継続的な脅威だ。Qilinや「Akira」などの既存の主要グループに加え、「Warlock」といった新しいアクターも活動を拡大すると予測される。ランサムウェアは依然としてパッチ未適用のシステム、弱いパスワード、開かれたRDPポートといった「古典的な脆弱性」を突いてくるだろう。また、EDRのようなエンドポイントセキュリティを無効化する「EDRキラー」と呼ばれるツールの使用も増加すると見られる。
次に、国家支援型アクターのドローン技術への傾注だ。ロシア、中国、イラン、北朝鮮といった主要な国々が、ドローン産業へのサイバースパイ活動を強化すると予測される。これは、ドローンの製造、サプライチェーン、関連技術のエコシステム全体を標的とする動きを加速させることを意味する。「目的は各国で異なり、たとえばロシアはウクライナ戦争を有利に進める目的で、中国は台湾周辺のドローン技術に対抗する目的で、そしてイランと北朝鮮は自国のドローン兵器近代化のために活動を続ける」とコヴァチ氏。APTグループとサイバー犯罪組織のチームワークもさらに強化されると見込まれる。
最後に、AIの本格的な浸透だ。AIは引き続き、より高度なフィッシング、詐欺、ソーシャルエンジニアリングに利用されるだろう。AIはソフトウェア内の脆弱性発見にも有効であり、防御側と攻撃側の双方で利用が進む。一方で、一般に公開されているAIモデルや、そのロジックが不明確な内部LLMの利用が増えることで、ソフトウェアサプライチェーンの一部として組み込まれた場合のリスクが増大することも警告された。
会見後半に登壇したマルホ氏は、こうした脅威に対抗するためのESETの技術開発と取り組みについて解説した。過去10年、同社はR&Dに関わる投資を3倍以上に増やしている。「オープンなXDR」の実現を優先事項として、エンドポイントだけでなく、クラウド、アイデンティティ、ネットワークなど、あらゆる攻撃ベクトルとワークロードをカバーする方向へ舵を切っている。
また、AIがもたらす課題に対処するため、ESETは以下の技術開発に取り組んでいると述べた。
- 自然言語処理(NLP)を活用したユーザーとの対話:セキュリティ製品が自然言語でユーザーと対話できるチャットボット機能を組み込むことで、製品の使いやすさと対応の迅速化を図る
- AIに対する防御策としてのAIの活用:AIチャットボットとの通信を監視するブラウザ拡張機能を開発し、ユーザーが公開AIチャットボットに機密情報を漏洩させることを防ぐとともに、悪意のあるリンクや詐欺的なアドバイスがチャットボット経由でユーザーに送られるのを阻止する。また、ESET社内でのR&Dを目的として、LLMの内部開発も計画している
- 自社の環境内でデータを安全に保つ:顧客の環境内でデータを完全にプライベートに保ちつつ、高速かつ高スループットなネットワーク監視を行う技術(IDS/IPS機能を持つセキュリティプローブ)を開発し、マネージドサービスとして提供している
マルホ氏は、ESETが今後もオープンなXDRを志向し、エンドポイント、ネットワーク、クラウド、アイデンティティを含むすべてをカバーする製品の開発に注力すると強調した。
なお、ESETは2026年1月より、日本で新たなリサーチ部門を設置し、初の日本人脅威リサーチャーを迎えることを発表。これにより、日本国内における脅威動向の分析・調査に特化した取り組みを強化し、日本市場における研究開発体制を拡充していくとのことだ。
【関連記事】
・ESET「ESET Threat Intelligence」に中小企業向けAPTレポートプランを追加
・10月はアサヒG狙った「Qilin」が最も活発に活動、ランサムウェア被害は前年比48%増──CPR
・サイバー攻撃を受けた日本企業の8割超が身代金を支払ったと回答──Cohesity調査
この記事は参考になりましたか?
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア
