IBM、2026 X-Force Threat IndexでAIが基本的なセキュリティ欠陥の悪用を加速と警告

IBMはFeb 25, 2026に公開した2026 X-Force Threat Intelligence Indexで、攻撃者は依然として基本的なsecurity gapを突いて成果を上げており、AIがその速度を高めていると警告した。IBM X-Forceによれば、public-facing applicationsの悪用から始まる攻撃は前年比44%増で、背景にはmissing authentication controlsとvulnerability discoveryの高速化があるという。

このreportでは、2025年にX-Forceが観測したincidentのうち40%がvulnerability exploitationを初期侵入経路としており、これが最大のentry pathになったと説明している。つまり、threatの議論をphishing中心だけで捉えるのは不十分だ。internet-facing service、patch discipline、露出したadministrative path、そして一貫性のないidentity controlが再び中核リスクになっている。IBMの主張は、AIが全く新しいattack chainを発明しなくても、既知の弱点をより速く発見し運用化するだけで脅威環境を変えられるという点にある。

ransomwareとextortionの生態系も細分化が進んだ。IBMはactive groupが前年比49%増え、公開されたvictim数も約12%増加したとしている。小規模なoperatorがleaked toolingと既存playbookを再利用することで参入障壁が下がり、multimodal modelが進歩するほど自動化はさらに進むと見る。同時に、infostealer malwareは2025年に300,000件を超えるChatGPT credentialを露出させた。AI platformも他の主要enterprise SaaSと同じcredential riskを抱える段階に入ったということだ。

業種別と地域別の数字も重要だ。Manufacturingは5年連続で最も狙われたindustryで、X-Forceが観測したincidentの27.7%を占めた。North Americaは全caseの29%を記録し、6年ぶりに最も攻撃を受けたregionになった。これは、問題がsoftware companyやAI-native startupだけに限られないことを示す。operational technology、supply chain、広範なenterprise networkが依然として主要標的だ。

defenderにとっての実務的な示唆はむしろ保守的だ。IBMは、access control、patching、credential hygiene、exposure managementといった基本対策がAI時代に重要性を失うのではなく、むしろ増していると伝えている。攻撃者がautomationで速度を上げるほど、組織は日常的なgapをどれだけ早く閉じられるかで差がつくことになる。