本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
ベライゾンは5月19日、第19版となる2026年版「データ漏洩・侵害調査報告書(DBIR)」を公表した。侵害の入口ではソフトウェアの脆弱性悪用が31%を占め、盗まれた認証情報の悪用をDBIR公表19年目で初めて上回った。報告書は、攻撃者によるAI活用が既知の脆弱性の悪用までの時間を数カ月から数時間へ縮め、防御側の対応猶予を大きく圧縮していると位置付けた。
既知脆弱性の武器化加速
今回の焦点は、AIが新規・希少な攻撃手法を大量に生み出している点ではない。すでに知られている欠陥を見つけ、攻撃に使える形へ整える速度が上がった点にある。企業が修正プログラムを当てる前に攻撃が始まるまでの時間が短くなり、従来の月単位の対応では間に合いにくくなっている。
報告書は2025年のデータを用いており、AIの影響を運用上の圧力として示した。脆弱性管理やパッチ適用の遅れは、そのまま侵害リスクに直結しやすくなっている。最新のAIモデルによる影響をすべて織り込んだ数字ではないが、攻撃側のスピードが防御側の手順を上回り始めている構図は鮮明になった。
人にかかわるリスクも拡大している。モバイル中心のソーシャルエンジニアリングの成功率は、従来型のメールフィッシングより40%高かった。従業員が未承認のAIツールを使う「シャドーAI」も、非悪意のデータ漏えい関連行為で3番目に多く、AIツールの高頻度利用は1年で15%から45%へ増えた。
広がる攻撃面と基礎対策の重み
第三者が関与する侵害は60%増え、全侵害の48%を占めた。取引先、委託先、クラウドサービスなど外部とのつながりが増えるほど、自社だけを固めても守り切れない領域が広がる。AIボットのインターネットクローラーも月次で21%増となり、人間主導トラフィックの0.3%増を大きく上回った。
報告書が示す中心的な示唆は、AI起因の未知の超高度攻撃への警戒だけでなく、既知の弱点を放置しない基本動作の重要性にある。脆弱性の把握、修正プログラムの迅速な適用、認証情報の保護、外部委託先の管理、未承認AI利用の統制といった対策が、以前より短い時間軸で問われるようになった。
DBIRは、法執行機関、フォレンジック企業、法律事務所、サイバー保険会社、業界協力組織、ベライゾンの調査案件など、複数の供給元データに基づく年次報告書である。今回の結果は、AI時代のサイバー対策が先端技術だけの問題ではなく、日々のリスク管理の速度と徹底度をめぐる競争になっていることを示している。
