Blackpoint Cyberの2026年年次脅威レポートによると、リモートアクセスと信頼できる管理ツールは、組織の運用と侵入戦略の両方の中核となっています。 数千件のセキュリティ調査から得られたこのレポートは、攻撃者の戦術における大きな変化を強調しています。それは、脆弱性エクスプロイトから、有効な認証情報、正規のツール、および通常のユーザーアクションの使用への移行です。 このレポートは、これらのパターンを分析し、侵入活動がどこで妨げられたかを文書化し、2025年中に観察されたインシデント対応の結果に基づいた防御の優先順位を提供します。 **➡️ [ウェビナーに登録](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)** ## 2026年年次脅威レポートからの主要な発見 ### 攻撃者は正規のアクセスパスから侵入している レポートによると、攻撃者は初期侵入のために脆弱性をエクスプロイトするよりも、正規のアクセス方法を使用してログインする可能性が高くなっています。 SSL VPNの悪用は、すべての特定可能なインシデントの32.8%を占め、主要な初期アクセスベクトルとなっています。攻撃者はしばしば侵害された認証情報を使用して認証を行い、セキュリティコントロールには正規に見えるVPNセッションをもたらします。 これらのセッションは、多くの場合、広範な内部アクセスを許可し、攻撃者がすぐにアラートをトリガーすることなく、価値の高いシステムに向かって迅速に移動できるようにします。 ### 信頼できるITツールが組織に対して悪用されている レポートはまた、アクセスと永続性のために正規のリモート監視および管理（RMM）ツールの頻繁な悪用を強調しています。 RMMの悪用は、特定可能なインシデントの30.3%に存在し、ScreenConnectは不正なRMMケースの70%以上で顕著でした。これらのツールはIT管理に一般的に使用されているため、強力な可視性なしに不正なインストールを検出することは困難です。 複数のリモートアクセスツールを持つ環境は、既存のツールに紛れ込む不正なインスタンスに対してより脆弱です。 ### エクスプロイトではなくソーシャルエンジニアリングがインシデントの大部分を占めた 正規のアクセスパスは重要ですが、ユーザーインタラクションが全体的なインシデントボリュームの最大の推進要因であり続けています。 偽のCAPTCHAおよびClickFixキャンペーンは、特定可能なインシデントの57.5%を占め、最も一般的な攻撃パターンとなっています。これらのキャンペーンは、ユーザーにWindowsの実行ダイアログにコマンドを貼り付けるように指示する欺瞞的なプロンプトに依存しており、従来のマルウェアダウンロードやエクスプロイトアクティビティなしに組み込みのWindowsツールを利用しています。 ### クラウド侵入はMFA後のセッション再利用に焦点を当てている 多くのクラウド環境で多要素認証（MFA）が有効になっていても、アカウントの侵害は依然として発生しました。 攻撃者対攻撃者（Adversary-in-the-Middle）のフィッシングは、クラウドアカウントの無効化の約16%を占めました。攻撃者は、成功したMFA後に発行された認証済みセッショントークンをキャプチャし、それらを再利用してクラウドサービスにアクセスしました。クラウドプラットフォームの観点からは、このアクティビティは正規の認証済みセッションとして表示されます。 ## 初期アクセスからネットワークピボットまで これらの攻撃の多くは正規のアクセスから始まりますが、実際の損害は後続の段階で発生します。 最近の調査では、Blackpoint CyberのSOCが、WebSocketベースの通信を使用してシステム間でピボットし、ネットワークトラフィックに紛れ込みながらアクセスを維持するように設計された新しいインプラントであるRoadk1llを特定しました。 [席を確保する](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=ctabox&utm_content=episode-002) ## これらの発見がセキュリティチームにとって何を意味するか レポートは、業界、環境、攻撃タイプ全体で一貫したパターンを強調しています。成功した侵入は、通常の運用に紛れ込むアクティビティに依存することがよくあります。 攻撃者は、新しいエクスプロイトや高度なマルウェアに依存するのではなく、リモートログイン、信頼できるツール、および標準的なユーザーアクションなどの日常的なワークフローを悪用しています。分析された攻撃チェーンに基づき、レポートはいくつかの防御の優先順位を特定しています。 * リモートアクセスをハイリスク、ハイインパクトのアクティビティとして扱う。 * 承認されたRMMツールの完全なインベントリを維持し、未使用またはレガシーエージェントを削除する。 * 未承認のソフトウェアインストールの制限と、ユーザー書き込み可能なディレクトリからの実行を制限する。 * デバイスの姿勢、場所、セッションリスクを評価する条件付きアクセス制御を適用する。 これらのパターンは、製造業、ヘルスケア、MSP、金融サービス、建設業など、頻繁に標的とされるセクター全体で文書化されました。 **➡️ [2026年年次脅威レポートを受け取るために登録](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)**