Silent Pushによる2026年の予測

Silent Pushの脅威インテリジェンスチームは、2026年に世界が直面するであろう最大の脅威とその要因について議論しました。2026年の予測は以下のとおりです。

本記事は、マキナレコードが提携するSilent Push社のブログ記事『Silent Push 2026 Predictions』（2025年10月29日付）を翻訳したものです。

こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

2026年には、常に先手を取る脅威ハンティングが当たり前の概念としてさらに定着すると予想しています。脅威の機先を制するプロアクティブな戦略を導入しない企業や組織は、防御力と高度な脅威への対応能力において後れを取ることになります。

プロアクティブな脅威ハンティングとは、攻撃に利用される前に有害なインフラストラクチャを特定することを指します。これはSilent Pushにおける脅威ハンティング手法の基盤です。この手法は当社のデータ収集戦略や、集めたデータにIP密度またはASN密度、多様性指標、変更分析のような参考情報を付加する際の根拠となっています。脅威アクターが使用する展開戦略や有害コンテンツを特定・追跡するために私たちが使用している技術的フィンガープリントは、こうした参考情報を基盤に作成されています。

当社のチームはフィンガープリントを残した脅威アクターが一貫して下す判断基準を突き止めることにより、新しいインフラが立ち上げられ、インターネット上に公開された瞬間にリアルタイムでこれを検知しています。インフラ導入時の戦術、繰り返し使用される断片的なコード、再利用されるCSSファイルや画像などが調査の対象になる場合もあります。こうしたパターンや一貫性のある判断基準を探すことは、プロアクティブな脅威ハンティングの中核を成しています。

攻撃手法は絶えず変化し続けていますが、同じように進化と発展を続ける検知方法でこれに対抗することが可能です。まだ存在が知られていない脅威であっても、同様にこれまで知られていなかったデータポイントや検知方法を構築することで洗い出すことができます。その作業にはある程度の創造力と調査力が必要ですが、事前にスキルを身につけ、誰も踏み入っていない領域を探索することで、驚くほど多くのことを発見できます。

Silent Pushは専用のツールを開発し、防御する側がFast Fluxネットワーク（一連のIPアドレスを高速に切り替えるドメインネットワークで、その多くは世界中に分散したさまざまなAS番号でホストされる）を簡単に追跡できるようにしました。複雑な技術アーキテクチャを効果的に脅威ハンティングするためのツールがセキュリティチームに備わっていなければ、脅威アクターに打ち勝つことはできません。だからこそSilent Pushは、脅威アクターを継続的に研究し、非常に複雑なキャンペーンさえも追跡できる方法を追い求めているのです。

インターネット全体の変化パターンを分析し、新たな有害インフラがスピンアップする時点でフィンガープリントを特定するために、Silent Pushでは世界トップクラスの研究者とデータサイエンティストによって常に試験と改良が重ねられている高度な機械学習モデルを活用し、インフラが武器化される前にこれを捕捉できるようにしています。また、社内で機械学習とAIを活用したさまざまな実験を行い、決定論的な成果を導き出しています。こういった新しいツールを防御に導入する際、漠然とした推測や「奇跡に期待する」よりも、ターゲットを絞り、エンドユーザーテストを徹底的に実施したAIのユースケースのほうがはるかに効果的な対策を講じられることもわかりました。　　

発展し続けるトレンドへの対応が防御側に求められる中、AI駆動型の攻撃とAIを活用した防御がますます注目を集めると予想しています。

知識がなくとも、標的に酷似した完成度の高いWebサイトを大規模かつ瞬時に、しかも簡単に作れるため、脅威アクターはAI型Webサイトビルダーを好んで使用します。マルバタイジング攻撃やその他の悪意あるキャンペーンに向けてドメインのエイジングが行われているWebサイトのうち、AI型Webサイトビルダーを使って作成されたものが無数に存在することをSilent Pushは確認しています。したがって、AI型Webサイトビルダーとそこから作成されたWebサイトを追跡していないと、一連の攻撃全体の起点を見逃してしまうことになります。なぜなら脅威アクターの多くは、最初の攻撃が完了するか、防御側にブロックされた後に次の「一斉攻撃」を仕掛けるからです。

こうしたWebサイトビルダーを利用する以外に、AIを攻撃チェーンに高度に組み込んでいる脅威アクターはまだほとんどいません。それでも初期アクセスを獲得するためのツールやコード生成、スクリプト生成支援に使われており、現時点ではその使用を瞬時に見抜くことができます。当社チームは2026年に脅威アクターがAI分野での実験を増やすと予測しており、HuggingFaceのようなプラットフォーム上で公開されているオープンソースの大規模言語モデル（LLM）を使うことに加え、OpenAIやGoogleといったトップ企業が提供するクラウドLLMへの正規利用に見せかけた接続も増加するとみています。

北朝鮮系APTグループやその他の金銭目的の脅威アクターによる音声クローン、またはオンライン面接動画の偽造といった手法もこれまで以上に広まり、多くの企業を数年先まで悩ませる重大な問題になると予想しています。

結局のところ、脅威ハンティングの過程において人間の要素すべてをAIで置き換えることはできず、完全に自動化することは不可能と思われます。とはいえ、防御側の能力を強化し、人間の専門家がより大きな効果をもたらすために、AI技術がますます活用されることは間違いありません。同じように攻撃者が常に技術を磨き、それに応じた戦略を採り入れていることも覚えておく必要があります。したがって、防御側は攻撃側に後れを取らないだけでなく、常に先手を打つために相手と同じ思考を身につけなければならないのです。

住宅プロキシを使う脅威アクターが増え続けると予想しています。その一方で、より規模を拡大し、一般市民や企業、大手ISPに等しく影響を及ぼすこの不法行為に対して、法執行機関の監視が強まることを期待しています。

1,900万台のデバイスに影響を与えた911 S5プロキシボットネットのテイクダウンから1年以上が経ちました。予想されていたとおり、攻撃者は不正な家庭用VPNソフトウェアをマルウェアやフリーウェアなどのツールと抱き合わせ、家庭内ネットワークと企業内ネットワークの両方に展開することで、似たようなボットネットを構築し、その規模を拡大し続けています。

保護されていないエッジデバイス・ルーター・家庭用IoTデバイスは、ボットネット構築を企てる脅威アクターに狙われ続けることになります。Silent Pushのチームは、このような機器が企業を狙った攻撃のサポート、住宅用プロキシネットワークの拡張、広告詐欺スキームの実行などに使われていることを引き続き確認しています。

北朝鮮の脅威アクターは攻撃の発信元を隠ぺいするため、今後もプロキシやVPNプロバイダーを積極的に使用すると考えられます。とりわけAstrill VPNについて、Silent Pushでは過去の特集記事で大きく取り上げました。組織が適切なデータやコンテキスト、インテリジェンス製品へ正しくアクセスできれば、北朝鮮の攻撃キャンペーンを初期段階で突き止められる可能性があることを意識してください。

ランサムウェアは今後も活発に利用され、あらゆる規模の組織に影響を及ぼすと予想しています。

それでもなお、法執行機関はScattered SpiderなどThe Comに関連する脅威アクターのメンバーを拘束・逮捕し続けると確信しています。ただし、ロシアのランサムウェアグループの活動を阻止したり、国境を越えて活動する脅威アクターを法で裁くことは、困難な課題であり続けると思われます。しかしながら、2026年にはサイバー犯罪者に司法の手が届くようになり、ランサムウェアの背後に潜む犯罪者を特定・逮捕・起訴できるようになるとの前向きな予測も立てています。現在の傾向を見る限り、得られる金銭の額や、攻撃に関与するコミュニティの大きさに惹かれた若い世代が、すでに深刻な問題となっているランサムウェア攻撃に参加すると予想されます。

企業や一般市民に深刻な影響を及ぼすランサムウェア攻撃に対し、世界各国の政治家が立ち上がり、こうした攻撃に関与した者への罰則を強化したり、効果的な対策を講じるために法執行機関の予算を増額したりすることにより、これらの脅威をより深刻に受け止めるようになることをSilent Pushは期待しています。

身代金を奪うことを目的に、顧客情報を狙うサプライチェーン攻撃やベンダー攻撃がさらに増加すると予想しています。

残念ながら、2025年はサプライチェーン攻撃が急増した1年になり、その結果としてランサムウェアによる非常に深刻なインシデントが相次ぎました。このような状況から、サポートベンダーを攻撃することは犯罪グループにとって依然として頼りになる攻撃戦略であることがわかります。Shai-Huludのようなワームがシンプルなコードでも甚大な被害を生み出しているため、オープンソースコードを狙った攻撃が今後も続くだろうとSilent Pushは予測しています。ほかにもブラウザのプラグインや拡張機能に加え、AIブラウザを狙ったプロンプトインジェクション攻撃を介した新たなサプライチェーン攻撃が展開されると見込んでいます。

2025年に発生したサプライチェーン攻撃の多くは、標的のユーザーから直接、あるいは企業へのランサムウェア攻撃を介して暗号資産を奪うことに注力していました。脅威アクターがこれらの攻撃で得た資金をロンダリングまたはキャッシュアウトする際、運用セキュリティ（OPSEC）上のミスで逮捕される事例が今後も続くと予想しています。また、より大規模なハッキングを行う脅威アクターが法執行機関によって設置されたマネーロンダリング用のハニーポットに引っかかるケースも増えると思われ、こうした施策が今後も継続されるとみています。Tornado Cashのような暗号資産ロンダリングツールも、間違いなく使われ続けるはずです。カナダがマネーロンダリング防止法の施行に踏み切り、TradeOgre Exchangeを閉鎖して5,600万カナダドル（約60億円）相当の暗号資産を押収したように、2026年にはより多くの国が資金洗浄行為に反撃すると予測しています。

とはいえ、攻撃を受けてしまったとしても、その後の復旧作業からは、プロアクティブな脅威ハンティングへ転換するためのチャンスが依然として得られるものと思われます。

侵害されたシステムから攻撃者がいなくなった後も、盗まれたデータや侵入時に発見された脆弱性は組織にとって大きなリスクであり続ける上、新たなアクセスの手段として悪用される危険性があります。復旧作業の担当者はこういった可能性を考慮に入れ、攻撃者が次の攻撃のために準備しているほかのインフラの発見にも尽力すべきです。

そもそも、企業が適切なデータ保持体制を整え、必要なデータを収集していれば、脅威アクターによる過去の活動でさえも先制防御に向けた脅威ハンティングの手がかりとなるはずです。Silent Pushの経験上、こうした痕跡はネットワークのアウトバウンド通信ログに現れる可能性が高く、多くの場合、有害インフラに関する当社のデータと関連付けて分析することができています。これは、当社のデータに初めて接続する新規顧客のオンボーディング時にも頻繁に確認されているケースです。

地政学的サイバーセキュリティの展望

世界各地の緊張関係と紛争は、今後もサイバー空間にまで拡大し続けることが予想されます。政府の支援を受けた本格的なAPTグループと、明らかに間接的な支援を受けていると思われる脅威アクターたちによって、それぞれの国家政府に黙認された活動が繰り広げられるはずです。

• これを踏まえると、2026年にはロシア系脅威アクターがさらに高度な戦術を採り入れるとともに、中国の脅威グループとの連携を深める可能性が高いとみています。両者は戦術やマルウェアを共有し、ランサムウェアを含む巧妙な攻撃で協力すると思われます。
  

北朝鮮は今後も新たな攻撃ベクターを活用し、リモート雇用詐欺の標的範囲をますます広げるとともに、偽求人スキームで脆弱な個人を搾取し続けると予想されます。

• 2026年には米国とヨーロッパにおいて、ラップトップファームの運営で北朝鮮系脅威アクターに協力したとされる逮捕者がさらに増えるとみています。こうしたキャンペーンの規模に加え、収入を必要とする人々がこれまで簡単に勧誘されていることを考えると、これらのスキームに無意識のうちに手を貸している人々は、手遅れになるまで、この犯罪行為に加担することの本当の意味を理解できないようです。
• また、大手企業は「顧客確認（KYC）」プロセスと採用時のチェックを今後も進化させ続けることが予想され、このような脅威との戦いに欠かせない適切なデューデリジェンスの負担が増えると思われます。
  

オンラインコミュニティ「The Com」の脅威アクター（Scattered Spider／SHSL、CryptoChameleon、PoisonSeed）により、組織・セキュリティチーム・個人は引き続き難しい対応を迫られると予想されます。

• 企業を狙ったランサムウェア攻撃の重罪により、Scattered Spiderのメンバーが逮捕・起訴されてから2年近く経過しました。しかし、同グループが2025年にDragonForceと提携し、LapsusやShiny Huntersとも関係を築いていた事実は、このエコシステムが無秩序に広がり、防衛側が望むような単純な結末には程遠いことを物語っています。
• The Comのメンバーで、通称「CryptoChameleon」が実行する暗号資産を標的とした攻撃キャンペーンは、今後も主要メディアに大きく報じられないまま、密かに拡大していく可能性が高いと思われます。これらのキャンペーンと連携した活動「PoisonSeed」は、高度な暗号資産フィッシング攻撃に使うインフラを確保するため、Eメールプロバイダーにサプライチェーン攻撃を仕掛けています

ボイスフィッシング（ビッシング）や AIビデオインタビューの偽装は、個人と企業にとって大きな問題になると予想されます。

• 米国出身で国内に拠点を置く脅威アクターから北朝鮮の攻撃者に至るまで、AIツールを用いて声を偽装したり、ライブビデオフィードに細工したりするさまざまな事例が確認されています。主要プラットフォーム上でのディープフェイクの使用を防止する取り組みを支援すべく、業界全体に防御的な検出ツールが導入されているにもかかわらず、こうしたAIツールは使いやすさが改善され、人気のテレビ会議プラットフォームでも使用できるようになりました。この分野では新参・古参にかかわらず防御側の追い上げが見られるものの、攻撃者はそれ以上に迅速に動いています。

米国を含め、中国系APT「Salt Typhoon」に標的とされる国々は、時代遅れの共通線信号No.7（SS7）システムを刷新するために膨大な資金を投じる、または同システムを維持するという難しい選択を迫られると予想されます。

• 安全性に問題のある電話システムを通じ、中国が世界中で盗聴を行っているとの疑惑を裏付ける証拠は数年前から見つかっているものの、攻撃の詳細は今なおゆっくりと、少しずつしか明らかにされていません。米CISAと同政府が正式に『U.S. Telecommunications Insecurity Report (2022)／米国電気通信業界のセキュリティに関する報告書（2022年）』を発表し、このような攻撃の詳細が公になれば、通信システムのアップデートを行わない場合のリスクについて米国民の意識が高まるはずです
  
• また、世界中でより多くの政治家がSS7システムについて言及するようになり、暗号化フレームワークを活用するために同システムを刷新することの重要性を強調するようになると思われます。とはいえ、こうした変革を実現させるには、各業界への財政支援が必要になるとみています。

中国の地域紛争が2026年までに平和的に終結する可能性は低いと予想しています。

• 中国は2026年に翌2027年の軍事計画を本格的に始動するとみられ、その場合は台湾への圧力がさらに強まると思われます。台湾を標的としたサイバー攻撃は激しさを増す可能性が高く、国家間の関係を監視するための諜報活動も近年と同様の規模で続くはずです。

AI型Webサイトビルダーを使用したマルバタイジングや有害キャンペーンの増加が予想されます。

• 英語を母語としない脅威アクターの多くは、AIを使ったWebサイトビルダーを好んで利用しています。テキストを大量に作成・翻訳することなく完全なカスタムコンテンツを調達できることがその理由です。このようなサイトを使ってマルバタイジングキャンペーンなどの高度な攻撃に移る前に、ドメインエイジを高める目的でAI生成したWebサイトを導入する事例が増えると思われます。

対策を上回るペースでボットネットの規模が拡大し、分散型サービス拒否（DDoS）攻撃の記録が更新され続けると予想しています。

• DDoSボットネットが生成するトラフィックの記録は数か月おきに破られており、この傾向は今後も続くと思われます。ボットネット管理者にとって、DDoS攻撃は制御可能なデバイスの数を誇示する広告であり、キャッシュアウトを目的とする無数のスキームにデバイスが利用される可能性を高めます。
• 侵害されたルーターやIoTデバイスで構成されるボットネットは、あらゆる種類の犯罪活動に利用され、プロキシネットワークや広告詐欺スキームを支援しています。Raspberry Robinなど一部の脅威アクターは、侵害された家庭用デバイスをマルウェアのC2ドメインのホストとして利用してきました
  

中国の犯罪組織「三合会」とつながっているFUNNULL CDNのような組織は、今後も有害インフラをホストし、世界中の個人を狙った詐欺活動を継続すると予想されます。

• 当社チームは3年以上にわたり、CDN（コンテンツデリバリーネットワーク）企業FUNNULLを追跡しています。2025年、米財務省はFUNNULLとその運営者に制裁を科し、「FBIに報告された暗号資産投資詐欺サイトの大部分はFUNNULLに関連している。このような詐欺サイトは米国内の被害者に2億米ドル以上の損害を与えたと伝えられており、1人あたりの平均損失額は15万米ドルを超える」と報告しました。
• 法執行機関やこれらのスキームの被害者にとっては残念なことに、制裁発動後もFUNNULLの勢いは衰えていません。それどころか活動範囲を広げており、今ではヨーロッパでの活動においても勢力を強めています。ヨーロッパがFUNNULLに対抗する行動を起こすことで、世界的な圧力が高まるとともに、FUNNULLのインフラを意図せずホスティングしている企業間で連携が深まり、テイクダウンにつながることを期待しています。
• 中国発のスミッシング（SMSフィッシング）攻撃を介したその他の金融詐欺は、引き続き世界中の個人やセキュリティチームに課題を突きつけるはずです。脅威アクターは大規模なスミッシング攻撃を行うためにSMSファームの規模を拡大し続けており、これらのネットワークがスパム攻撃にとどまらない攻撃機会を提供し続けると思われます。

防弾ホスティング（BPH）プロバイダーは進化しています。しかし、防御側の大多数がこの進化に対応できる適切なツールや態勢を整えられていないため、BPHプロバイダーは規模を拡大し、その手法を刷新し続けると予想されます。

• 当社チームは、不正使用にまつわる特定の内容の申し立てを意図的に無視する会社も含め、BPHに該当すると思しきホスティング会社が運営するASN（自律システム番号）の範囲を100件以上追跡しています。BPHプロバイダーは通常、ほかの管轄区域で違法となるコンテンツをホスティングしています。
• BPHプロバイダーにピアリングサービスを提供するASNのような協力関係に対する監視を強化し、その後の法執行措置につながることを当社は期待しています。
• 米国を含め、捜査の手が届きにくい管轄区域にシェル会社を登録するBPHプロバイダーはさらに増えています。これは、この手法が事業上のリスクを高めるものではないとみられる上、BPHプロバイダーがKYCプロセスを回避するための隠れ蓑としてある程度有効であるためです。
• 米国法を無視するホスティング会社の業界は成長し続けており、各プロバイダーがそれぞれのプラットフォームでホストされたあらゆる犯罪スキームを支援しています。今や「DMCA（デジタルミレニアム著作権法）を無視したオフショアホスティング」というフレーズがマーケティング用のキャッチコピーになっているだけでなく、こうしたプロバイダーの無責任なポリシーにもなっているのです。

脅威の機先を制する意識に加え、「攻撃こそ新たな防御」という考え方へ切り替わりつつあり、米国では攻撃的なセキュリティプログラムに推定10億ドルの資金が投じる計画が進められています。

• 中国は近年、サイバー攻撃をこれまで以上に発見して公表し、米国家安全保障局や各国諜報機関が実行していると主張するようになっており、2026年にはこうしたキャンペーンの話題を耳にする機会がさらに増えると思われます。

SocGholishを筆頭に、正規のWebサイトを侵害して有害なペイロードをホストする脅威アクターたちは、「お使いのブラウザのバージョンが古くなっています」といった文言や同様のルアーでユーザーを騙し、それぞれの攻撃を継続すると予想されます。また、被害者を騙してデバイス上で有害なコードを実行させようとするClickFixやFileFix、あるいはこれらに類似するルアーが増加すると思われます。

• 無防備なユーザーを狙った攻撃をホストするため、侵害されたWordPressサイトが継続的に使われていることを当社チームは確認しています。WordPressコミュニティにはこのような課題に対処する強力な取り組みがないらしく、この問題は今後数年間にわたってくすぶり続けると予想されます。ビジネスへの影響を抑えるには、これらのキャンペーンに使われたマルウェアのC2通信と、侵害されたWebサイトの両方を追跡する必要があることを意識しなければなりません。

米司法省は2025年、米国人を標的とした「豚の屠殺」型投資詐欺と世界的なマネーロンダリングへの関与を理由に、カンボジア有数の複合企業プリンス・ホールディング・グループから150億米ドル相当の暗号資産を押収しました。米国の法執行機関は、巨額の資金が集まるところに監視の目を光らせています。

• 米司法省や各国の法執行機関がこうした国際的な犯罪スキームの責任を追及し、収益の差し押さえに一層力を入れると予想・期待しています。

まとめ

これらの傾向は、ますます複雑化し、不透明になりつつある現況の暗い影を浮かび上がらせています。各組織やセキュリティチームにとって2026年は、準備が整っているかどうかに関係なく、こうした状況を乗り切ることを余儀なくされる1年になりそうです。絶え間なく進化し続ける敵対的インフラとの戦いにおいて、組織を守りながら、事業を滞りなく運営し続けるための最善策は、脅威の機先を制するプロアクティブな手法と意識を採り入れることにほかならない。Silent Pushはそう確信しています。

増大する脅威について最新情報を入手するには

最新の調査結果を確認するには、LinkedInやX（旧Twitter）でSilent Pushをフォローしてください。

Silent Pushのサイバー防御テクノロジーを詳しく知るに

Silent Pushコミュニティ版の無料アカウントにサインアップし、当社の先駆的脅威ハンティングソリューションを体感してください。新たに姿を現す脅威インフラの全貌をリアルタイムで確認し、当社独自の将来攻撃指標™（IOFA™）を通じて有害な活動を追跡・監視することができます。

サインアップはこちらから

また、当プラットフォームの体験方法やサイバーセキュリティの恩恵を確かめるには、脅威ハンティングのエキスパートによるデモをお申し込みください。一元化されたプラットフォームを通じ、IOFA™を活用して脅威の機先を制し、ノイズを軽減する方法を実演するだけでなく、これまで以上により速く、より確実にセキュリティ上の意思決定を行える理由をご説明いたします。

※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。
詳しくは、以下のフォームからお問い合わせください。