トレンドマイクロは7月10日、「TrendAI 2026 サイバーリスクレポート」を公開した。その概要は以下のとおり。
■世界のサイバーリスクインデックス(CRI)、2年連続の改善
世界平均のCRIは2024年の38.5から2025年には35.8へ低下し、2年連続で改善傾向が続いている。ただし月次推移では4月に37.4まで急上昇する局面もあり、改善は一本調子ではなかった。この上下動は、組織がリスクを継続的に管理するのではなく、事後対応型で対処している可能性を示唆している。全組織が依然として中リスク帯(31〜69)に位置しているという事実も変わっていない。
■企業規模別では中堅エンタープライズ層のリスクが最高水準
従業員5,001〜10,000人の組織は、規模別で最高となるCRI 41.5を記録した。この層は大規模エンタープライズ並みのネットワーク複雑性を抱えながら、セキュリティ運用の成熟度と人員では劣後している。一方、従業員100人以下の組織はCRIが前年比で唯一上昇しており、サプライチェーン経由の侵入口として中小企業への攻撃者の関心が高まっていることと符合する。
■クラウドアクセスとアイデンティティ、2年連続でリスクイベント上位
リスクイベントでは、「リスクの高いクラウドアプリへのアクセス」が1位、「長期間未使用のMicrosoft Entra IDアカウント」が2位を、いずれも2年連続で維持している。上位10件のうち7件はアイデンティティ関連で、MFA無効化アカウントやパスワード有効期限の無効化も含まれる。
これらが2年連続で上位に挙がり続けていることは、問題が認知されながらも体系的な修復につながっていないことを示している。また、ゼロトラスト導入の拡大により従来は見えていなかったポリシー違反が可視化される一方、整理の済んでいないアイデンティティ基盤の上にゼロトラストが展開されているという構造的問題も浮かび上がっている。
■設定不備は単発ではなく環境全体で併発している
エンドポイントではWeb Reputation設定の不備が2年連続で最上位を占め、Anti-Malware ScanningやBehavior Monitoringなど複数の設定が同一環境内で同時に最適化されないまま放置されている。クラウド環境でもApplication Control・Firewall・Log Inspectionの設定不備が上位を占めており、ツールの「導入」と「運用定着」の間のギャップが根強く残っている。
■攻撃者は防御回避を第一目標に
2025年のXDR検出の最上位は「ウイルス対策ソフトウェア無効化の可能性」で、前年首位の「OS認証情報ダンプの可能性」に取って代わった。攻撃者が侵入後に防御を迂回するのではなく、最初の段階でエンドポイント防御を無力化しようとする行動変容が見られる。検出上位には、レジストリ永続化、バックドア設置、ハッキングツール使用も含まれており、「防御無効化→永続性確立→権限昇格→水平移動」という一連の攻撃シーケンスを裏付けている。
■中程度のCVEが高深刻度の脆弱性を増幅させるリスク
2025年に検出数の多い未修正CVE上位10件はすべて2025年のもので、RCE(リモートコード実行)とEoP(権限昇格)の脆弱性が並存している。注目すべきは、CVSSスコアが中程度(4〜6台)の3件が、単体では致命的でないながらも、同一リスト上の高深刻度脆弱性の悪用を後押しする連鎖経路を形成している点。仮想パッチの平均提供リードタイムは115日である一方、攻撃者の武器化は39日で完了しており、この76日のギャップをいかに埋めるかが課題となっている。
■攻撃経路予測:ユーザーアカウントが最終標的の筆頭
今回から導入されたAttack Path Predictionのテレメトリでは、未修正の脆弱性が231万7503件の攻撃経路起点を生成し、パスワードスプレー(113万5327件)・パスワード推測(88万527件)を大きく上回った。攻撃の起点として最多なのはパブリックIPアドレス(1日平均4979件)、最終標的として最多なのはユーザーアカウント(1日平均3万2964件)であり、アイデンティティリスクが攻撃チェーンの終端として機能している実態が示された。
■ランサムウェア侵害が前年比236%増
上位10グループによる確認済み侵害件数は2024年の1518件から2025年には5096件に急増した。Qilinが1262件(増加率1270%)で首位に躍進。Akiraも857件(同708%増)で続いた。LockBitは法執行機関による摘発を受け上位10位から消えた一方、INC Ransom・SafePay・Lynxなど新興グループが台頭しており、摘発が脅威の消滅ではなく再配分をもたらすにすぎないことが改めて示されている。
■結論:ギャップは技術ではなく運用定着にある
今回のレポートを通じた一貫したメッセージは、問題の根源が技術不足ではなく運用定着の欠如にある点。設定強制できるツールの中で設定不備が放置され、自動化できるプラットフォームの中でアイデンティティリスクが積み上がっている。定期的なセキュリティレビューから継続的かつインテリジェンス主導のリスク管理へと移行した組織が、2025年に最も目に見える改善を達成している。
関連リンク
