テクノロジー業界への包囲網：CrowdStrike 2026年テクノロジー脅威レポートを読み解く

AIの基盤となる構成要素――モデル、学習データ、研究パイプライン――が、今や国家支援のスパイ活動の主要な標的となっている 。具体的には、MURKY PANDA、MUSTANG PANDA、OVERCAST PANDA、SUNRISE PANDA、WARP PANDAといった特定の中国系攻撃グループが、他のどの業界よりもテクノロジーセクターを標的にしていることが観測された 。レポートはこの活動を、サプライチェーン侵害に支えられた長期的な情報収集活動であり、目先の金銭的利益ではなく戦略的目標の達成を目的としていると特徴づけている 。

北朝鮮の「信頼されたアクセス」作戦の拡大

北朝鮮に関連する脅威アクターは、テクノロジー企業を標的とする独自の活動プロファイルを確立している。北朝鮮関連のグループは、従来の侵入手法だけに頼るのではなく、ITワーカーの潜入（西洋のテクノロジー企業にリモート契約社員として工作員を送り込む手口）や、ソフトウェアサプライチェーンの侵害を通じて「信頼されたアクセス」を獲得する範囲を拡大している 。

テクノロジーセクターに焦点を当てた本レポートはこれらの「信頼されたアクセス」作戦を強調しているが、並行して発表されたCrowdStrikeの「2026年金融サービス脅威レポート」は、より広範な北朝鮮のキャンペーンを裏付けている。同レポートによると、北朝鮮関連の攻撃者は2025年に数十億ドル相当のデジタル資産を窃取し、AIを活用した欺瞞によってサイバー犯罪を「産業化」している 。特にFAMOUS CHOLLIMAグループは活動ペースを倍増させ、PRESSURE CHOLLIMAグループは、トロイの木馬化されたソフトウェアを介したサプライチェーン侵害により、史上最大の金融窃取事件――14.6億ドル相当の暗号資産の盗難――を実行した 。

加速するeCrime：「ブレイクアウトタイム」が29分に激減

金銭目的のサイバー犯罪者もテクノロジー企業への攻勢を強めており、初期アクセスブローカー（IAB）、ランサムウェアオペレーター、恐喝グループがこのセクターを優先的に狙っている 。同時に発表された「2026年グローバル脅威レポート」によると、eCrimeにおける平均「ブレイクアウトタイム」（初期アクセスから内部の別の機器へ水平展開するまでの時間）は、2025年にわずか29分にまで短縮された。これは2024年と比較して65%もの高速化である 。最も速かった侵入事例では、初期アクセスからデータ窃取までが2分以内で完了し、あるインシデントではわずか27秒を記録した 。

人間が対話的に操作する「ハンズオンキーボード」型の侵入は、過去2年間で43%増加した。この手法により、攻撃者は標的の価値に応じて、窃取、恐喝、情報収集へと柔軟に作戦を切り替えることが可能になる 。人間が直接操作するキャンペーンへの移行は、攻撃者が通常の管理者の挙動に溶け込むことを意味し、検知を著しく困難にしている 。

サプライチェーンと「信頼の悪用」問題

攻撃者は従来のマルウェアに頼る代わりに、信頼関係、有効な認証情報、SaaSの連携、ソフトウェアサプライチェーンを悪用するケースが増えている 。レポートは、2025年の全検出の**82%**がマルウェアを一切使用しない「マルウェアフリー」であったと報告している。攻撃者は、正規のツールを使って環境内に潜伏する「Living off the Land」手法や、AIで強化したソーシャルエンジニアリングを用いて、シグネチャベースの防御を回避しているのだ 。

AIプラットフォームや開発者向けツールも現在、直接的な攻撃にさらされている。敵対者は、信頼されたリポジトリ、CI/CDパイプライン、ワークフローを侵害し、ダウンストリーム（下流）の標的への永続的なアクセスを獲得する 。このサプライチェーンアプローチは、一つの開発ツールを侵害するだけで、各標的への直接的な侵入を必要とせずとも、数十から数百の組織へ連鎖的にアクセスが及ぶ可能性を意味する。

拡大するAIの攻撃対象領域

人工知能は、レポートの対象期間中に「二重の脅威」として浮上した。AIを利用した敵対者の活動は前年比**89%**増加し、フィッシング、偵察、ソーシャルエンジニアリング、技術操作を加速させた 。攻撃者は、ChatGPT、Gemini、DeepSeekといった一般に利用可能な生成AIツールを、ソーシャルエンジニアリングやマルウェア開発、作戦計画に使用していた 。

同時に、AIシステム自体が新たな攻撃対象領域となった。90を超える組織で、正規のAIツールが悪用され、悪意のあるコマンドを生成したり、機密モデルを窃取したりする事例が確認された 。レポートは、攻撃者が本番環境の生成AIツールに有害なプロンプトを注入したり、AI開発プラットフォームを悪用して知的財産を窃取したりする手口を記録している 。

レポートは2025年を、信頼関係を標的とし、AIツールに習熟し、エンドポイント、ID、SaaS、クラウド環境にまたがるセキュリティの死角を突くことに特化した技術を示す「回避型攻撃者の年」であったと総括している 。

CrowdStrikeのレポートは、テクノロジー企業がこの脅威の集中に対し、従来のアプローチでは防御できないことを明確に示している。 攻撃者が初期侵入から30分以内に水平展開し、大多数の攻撃がマルウェアの痕跡を残さない現代において、既知の不正指標に基づく検出戦略は根本的に不十分だ。世界最先端のテクノロジーを生み出すこのセクターは、今や世界で最も争いの激しいデジタル領土となっているのである。