現在の脅威状況はかつてないほど多様化し、深刻化しています。高度な国家アクターあり、超帯域幅消費型DDoS攻撃あり。ディープフェイクや詐欺師が採用面接を受け、Google Calendar、Dropbox、GitHubなどの信頼される内部ツールを悪用したステルス攻撃もあります。
昨年1年間に何兆ものネットワーク信号を実用的なインテリジェンスに変換したCloudforce Oneが、脅威の根本的進化を確認しています。ブルートフォースによる侵入の時代は終わりつつあり、信頼性の高いサービスを悪用して何としてでも結果を出すこと優先するモデルへ移行しています。この新しい時代に合った戦略的ロードマップを防御側に提供するため、当社は本日、初となる2026年Cloudflare脅威レポートを公開します。このレポートは、産業化されたサイバー脅威の台頭に対応するために必要なインテリジェンスを提供します。
Cloudforce Oneは、攻撃者の心理の幅広い変化を観察しています。手法の選択を理解するには、その背後にある理由、つまり有効性指標(MOE)を理解する必要があります。
2026年は、攻撃者が「高度化」(複雑で高コストの一度限りのハッキング)の追求よりも、スループットを重視するようになってきています。MOEは、攻撃者が次に悪用するものを決める際に使用する指標で、運用成果に対する労力の比率を冷徹に計算します。
窃取したセッショントークン(ID)を使う方がMOEが高いのに、高コストのゼロデイエクスプロイトを使うでしょうか?
レピュテーションシールド(LotX)で、ほぼ追跡不可能なインフラストラクチャを無料で使え、高い有効性を確保できるのに、カスタムサーバーを構築するでしょうか?
最も機密性の高いデータをつなげる結合組織の検出をAIで自動化できるのに、手作業でコードを書くでしょうか?
2026年の最も危険な脅威アクターは、最先端のコードを書く者ではありません。インテリジェンスとテクノロジーを単一の継続的なシステムに統合し、可能な限りの最短時間でミッションを達成できる者たちです。
2026年Cloudflare脅威レポートの主な調査結果
2026年の脅威状況の特徴は、MOEを動機とする8つの主要トレンドです:
AIが高速攻撃オペレーションを自動化 脅威アクターは、生成AIを利用してリアルタイムのネットワークマッピング、エクスプロイト開発、ディープフェイクの作成を行い、低スキルのアクターでも高インパクトの攻撃を実行できるようにしています。
国家支援型の事前配置活動により、重要インフラのレジリエンスが低下 中国の脅威アクター(Salt Typhoon、Linen Typhoonなど)は北米の通信事業者、商業、政府、ITサービスを優先的に狙い、居座りによって長期的な地政学的優位性を確保しようとしています。
SaaS統合時の過剰な権限付与により、攻撃の影響範囲が拡大 GRUB1によるSalesloft侵害で実証された通り、サードパーティAPI統合の結合組織が脆弱性となり、APIが1つ侵害されると、数百もの個別の企業環境に波及する可能性があります。
敵は、信頼されるクラウドツールを武器化して攻撃を隠蔽 脅威アクターは、Google Calendar、Dropbox、GitHubといった正規のSaaS、IaaS、PaaSツールを積極的に狙い、通常の業務活動の中に悪意ある行動をカモフラージュしています。
ディープフェイクペルソナにより、敵の工作員が欧米組織の従業員として潜入 北朝鮮は、諜報活動と不正収益を目的として、ディープフェイクと偽装アイデンティティを使って国家支援型工作員を欧米の組織に従業員として直接潜入させるリモートITワーカースキームを稼働させています。
トークン盗難により多要素認証が無力化 LummaC2のような情報窃取ツールを武器としてアクティブセッションのトークンを収集することにより、攻撃者は従来の多要素認証をバイパスし、認証後のアクションに直接入ります。
リレーの死角を突く内部ブランドなりすまし 「サービスとしてのフィッシング(PhaaS)」ボットは、メールサーバーが送信者のIDを再検証できないという盲点を悪用し、信頼性の高いブランドになりすましたメールをユーザーの受信トレイに直接配信します。
超帯域幅消費型攻撃でインフラ容量が枯渇 Aisuruのような巨大ボットネットによって可能になった超帯域幅消費型分散サービス妨害(DDoS)攻撃が、定期的に記録を更新しています。人間の対応では間に合わなくなってきています。
それでは、当社が確認した高MOE戦術の一つ、クラウドツールの武器化について詳しく見てみましょう。攻撃者は、既知の悪性サーバーを使用する代わりに、Google Drive、Microsoft Teams、Amazon S3などの正当なクラウドエコシステムを利用して、コマンド&コントロール(C2)トラフィックを隠蔽しています。「環境寄生型」(あらゆる「サービスとしてのX」に寄生)攻撃と呼ばれるもので、信頼されるプロバイダーを隠れ蓑にして活動し、通常の企業トラフィックとほとんど見分けがつかなくします。
SaaSプラットフォームは、攻撃のホスト、開始、リダイレクト、拡大にも使われます。たとえば、Amazon SESやSendGridは正当なメール一斉送信サービスですが、高度なフィッシングやマルウェア配布キャンペーンの端緒として頻繁に悪用されています。
クラウドリソースの悪用は昔からある手口ですが、2025年の調査で国家アクターの戦略が加速度的に成熟していることが明らかになりました。単なるインフラ悪用から広範な環境寄生型(LotX)攻撃への移行が引き続き進行しています。2026年は脅威アクターが、攻撃プレイブックの戦略目標として、このテクニックの標準化を図ると予想されます。
ここでは、脅威アクター集団とその活動拠点、攻撃方法の例をいくつか紹介します。
| 脅威アクター |
国 |
技術 |
詳細 |
例 |
| FrumpyToad |
中国 |
ロジックベースのC2 |
評判の高いSaaSロジックの「ボックス内」で動き、検出を回避 |
Google Calendarをクラウド間C2ループとして武器化し、暗号化したコマンドをイベント説明欄で直接読み書きします。 |
| PunyToad |
中国 |
暗号化されたトンネリング |
正規の開発者ツールを利用してエグレスフィルタリングを回避 |
トンネル機能とクラウドコンピューティングを活用して、レジリエントなクラウド環境寄生型アーキテクチャを構築し、バックエンドのオリジンIPを隠蔽し、長期間居座ることを優先します。 |
| NastyShrew |
ロシア |
ペーストサイトを悪用したデッドドロップリゾルバー |
公開「ペースト」サイトを利用してインフラ改変を画策 |
Teletype.inやRentry.coなどのサービスをデッドドロップリゾルバー(DDR)として使用します。感染したホストは、これらのサイトをポーリングして、ローテーションされているC2アドレスを取得します。 |
| PatheticSlug |
北朝鮮 |
境界のPaaS化 |
クラウドエコシステムの「レピュテーションシールド」を隠れ蓑にしてマルウェアを配布 |
Google DriveやDropboxを使ってXenoRATペイロードをホストし、GitHubを隠密C2として悪用することで、正当な企業トラフィックに紛れ込むことに成功しています。 |
| CrustyKrill |
イラン |
SaaSホスト型フィッシング |
一般的なクラウドホスティングにクレデンシャルハーベスティングを混入 |
Azure Web Apps(.azurewebsites.net)でC2ページをホストし、ONLYOFFICEを使ってペイロードをホストすることで、活動を正当に見せかけます。 |
Cloudforce Oneが2026年の状況を明らかにした方法
MOEの確立には、高レベルの観察だけでは不十分です。2026年の状況を真に解明するため、本レポートでは、Cloudforce Oneが当社ならではの専門スキルとグローバルテレメトリを活かして、従来のセキュリティモデルでは見逃されがちなインサイトを明らかにした方法を詳述しています。
方法は多岐にわたります。たとえば:
AI駆動型防御の研究の一環として、AIコーディングエージェントに脆弱性自己分析のタスクを課し、エージェント自体のセキュリティギャップを明らかにさせました。この「ドッグフーディング」により、CVE-2026-22813(9.4 CVSS)が発見されました。認証されていないリモートコード実行を可能にする、マークダウンレンダリングパイプラインの重大な欠陥です。
サービスとしてのフィッシング(PhaaS)に関する綿密な調査により、参入障壁が消失していることが明らかになりました。アナリストたちは、攻撃者が高評価ドメイン(Google Drive、Azureなど)を利用してフィルターをバイパスするのを観測しました。メールテレメトリから「アイデンティティギャップ」が判明しました。分析したメールのほぼ46%がDMARC(メール認証プロトコル)の認証に失敗し、それにより露出した攻撃対象領域をPhaaSボットがすぐさま悪用していることが明らかになったのです。
ステルス性の悪用からブラックアウト(通信停止)に追い込む試みまでの移行を追跡したところ、DDoS攻撃のベースラインが31.4 Tbpsになったことがわかりました。また、過去3か月のテレメトリから、全ログインの63%で既にどこかで侵害された認証情報が使われ、全ログイン試行の94%がボットから発信されていることも判明しました。
この調査の各段階を通じて、Cloudforce Oneは、当社の膨大なグローバルテレメトリと最前線の脅威インテリジェンスを活用し、一見孤立しているインシデントの点と点をつないできました。ゼロデイ脆弱性の悪用を未然に防ぐために自社のAIエージェントをドッグフーディングするにしても、住宅用プロキシを介してトンネリングする何百万ものボット感染ホストが仕掛けた攻撃を追跡するにしても、この統合された可視性のおかげで、1件の認証情報のフィッシングと数テラビットのブラックアウトの間にあるスルーライン(一貫したテーマ)を見出すことができます。
スルーラインの特定は最初のステップに過ぎません。脅威が機械のスピードで動くとき、人間中心の防御はもはや有効な盾にはなりません。「システムによる攻撃」に対抗するには、業界全体で防御者が、敵のMOEをゼロにするために自律型防御モデルへ転換しなければなりません。
自律型防御へ転換するには、手動のチェックリストや断片的なアラートからの脱却が必要です。リアルタイムの可視性と自動対応機能によってネットワークの結合組織を強化する必要があるのです。この新時代において、目標は優れた防御壁の構築だけではありません。誰も監視していなくても、システムが攻撃者より迅速に行動できるようにすることが肝要です。
この転換をサポートするため、当社は本日、脅威イベントプラットフォームの大幅なアップグレードを発表します。このアップグレードにより、単純なデータアクセスから、セキュリティオペレーションセンター向けの完全自動ビジュアルコマンドセンターへと進化します。
2026年Cloudflare脅威レポートを入手しましょう
脅威についての比類ない可視性とCloudforce Oneリサーチャーの専門スキルを活かして、産業化されたサイバー脅威のスピードに負けない防御に必要なインテリジェンスを提供します。データセット一式、詳細なケーススタディ、戦術的な推奨事項については、2026年Cloudflare脅威レポート本編をご覧ください。
当社の脅威インテリジェンス、マネージド防御、またはインシデント対応サービスについて詳細をご希望の方は、Cloudforce Oneの専門担当者にお問い合わせください。