Verizon 2026 DBIR：ソフトウェアの脆弱性がパスワードを抜き、侵害の主要侵入経路に

Verizon 2026 DBIR：ソフトウェアの脆弱性がパスワードを抜き、侵害の主要侵入経路に

ほぼ20年にわたり、盗まれたパスワードや弱いパスワードは、攻撃者がシステムに侵入する最も一般的な手段として、不名誉な首位の座を占めてきました。その時代は公式に終わりました。Verizonの2026年データ侵害調査報告書（DBIR）によると、脆弱性の悪用が侵害全体の31%を占め、同報告書の歴史で初めて盗難資格情報を上回りました。一方、ランサムウェアは全侵害インシデントの48%に現れています。これらの調査結果は、VPNを含む単一のセキュリティツールに頼ってデータを守ろうとしているすべての人にとって、現実的な意味を持ちます。

2026年版DBIRが実際に明らかにしたこと

数字は明らかです。侵害の31%は、攻撃者がソフトウェアの脆弱性を悪用することから始まっています。前年報告の約20%から大幅に増加しました。これは単年での大幅な上昇です。長年首位だった資格情報の悪用は、2位に押し出されました。

ランサムウェアに関する知見も同様に重要です。現在、全侵害インシデントのほぼ半数にランサムウェアが関与しており、これは攻撃者が単にソフトウェアの脆弱性から侵入するだけでなく、そうした侵入経路を利用して被害をもたらす利益志向のペイロードを展開することが増えていることを示しています。未修正のソフトウェアとランサムウェアの組み合わせは、特に危険なループを生み出します。適用されなかったパッチが開かれた扉となり、その扉が暗号化されたファイルと身代金要求へとつながるのです。

また、同報告書は、AIが攻撃面でこの構図を加速させ始めており、多くの組織が対応するよりも速く、攻撃者による悪用可能な脆弱性の特定を支援していると指摘しています。

パッチ適用が遅れる理由と、その代償を誰が払うのか

2026年版DBIRと合わせて語られる冷静な数字の一つに、重大な脆弱性のうち適時にパッチが適用されるのはごく一部に過ぎないという事実があります。パッチ適用にはダウンタイムやテスト、チーム間の調整が必要なため、組織は日常的にアップデートの優先度を下げています。攻撃者はまさにこのギャップを突く術を身につけてきました。

これは大企業だけの問題ではありません。中小企業はしばしば最小限のIT要員で運用しているため、パッチ未適用のサーバーや古いアプリケーションが数週間から数か月にわたって露出したまま放置されることがあります。2026年版DBIRのデータは、その露出の窓がかつてないほど積極的に武器化されていることを示唆しています。

この変化は、IDとアクセスについての考え方にも影響します。同じ報告サイクルでは、モバイルフィッシングが新たな侵害経路として浮上しており、フィッシングによって資格情報が収集されると、その資格情報が未修正のシステムの悪用と組み合わせてネットワーク内部を水平移動するケースが増えています。この二つの脅威は相互に強め合います。

VPNだけでは不十分な理由

VPNはインターネットトラフィックを暗号化し、IPアドレスを隠すため、特に信頼できないネットワーク上で転送中のデータを保護するのに確かに役立ちます。しかし、VPNは脆弱なアプリケーションのパッチを適用するわけではありません。攻撃者がサーバー上で稼働するソフトウェアの未修正の脆弱性を特定すれば、そのサーバーがVPN接続の背後にあるかどうかに関わらず、悪用可能です。

これこそが、2026年版DBIRの数字に隠された核心的な教訓です。セキュリティツールは階層的に機能するものであり、単一の層ですべての脅威に対処できるわけではありません。暗号化された接続は、移動中のデータを保護します。強力で一意のパスワード（パスワードマネージャーで管理）は、資格情報の露出を減らします。多要素認証は、資格情報ベースの攻撃のコストを引き上げます。そして、適時のパッチ適用は、脆弱性悪用が依存する扉を閉ざします。

ランサムウェアは、VPNを導入している組織とそうでない組織を区別しません。未修正のシステムや侵害された資格情報が提供する、最も抵抗の少ない経路をたどるだけです。

これがあなたにとって意味すること

2026年版DBIRは、個人と組織の両方にとって有益な現実確認です。データが示す結果に対応するために取るべき実践的なステップは次のとおりです。

• パッチ適用を最優先する。 オペレーティングシステム、ブラウザ、プラグイン、アプリケーションについて、可能な限り自動更新を有効にしてください。組織は、パッチ適用のための定められた時間枠を設け、それを厳守してください。
• ソフトウェア資産を棚卸する。 稼働していると認識していなければ、パッチを適用することはできません。アプリケーションとその現在のバージョンの簡単な一覧作成が出発点です。
• 防御を多層化する。 暗号化された接続にはVPNを、強力で一意の資格情報にはパスワードマネージャーを、そして対応しているすべてのアカウントで多要素認証を使用してください。
• バックアップの観点でランサムウェアを深刻に捉える。 オフラインバックアップやイミュータブルバックアップは、ランサムウェアに対する最も効果的な対策の一つです。攻撃を防ぐことはできませんが、攻撃者が持つ交渉材料を制限します。
• 境界防御ツールが内部の脆弱性をカバーすると思い込まない。 ファイアウォールとVPNは境界を守ります。ネットワーク内部の脆弱性には、依然として直接的な注意が必要です。

2026年版DBIRは未来の脅威を述べているのではなく、すでに大規模に起きていることを述べています。セキュリティを単一の製品購入ではなく、補完し合う習慣の集合として扱う個人や組織こそが、来年の統計の一部となるのを避ける上で最も有利な立場にあります。