Mandiant M-Trends 2026を読む5つの数字：22秒の引き渡しと、JAPAC潜伏期間の大幅延長

一枚要約

M-Trends 2026は「攻撃の高速化と長期化が同時進行している」報告です。初期アクセスから次段への引き渡しは22秒に短縮された一方、サイバー諜報や北朝鮮IT労働者の中央値滞在時間は122日にも及びます。日本を含むJAPAC地域は「脆弱性悪用に極端に偏った構造」から「グローバル並みの分布＋長期潜伏型へ拡張」した変質期にあり、内部検知能力の改善（31%→49%）という良い兆候と、滞在時間の延長（6日→15日）という新たな課題が並存しています。VishingとAI連携マルウェアという「対話型攻撃」の新ドメインへの備えが、2026年のセキュリティ投資の方向性を定めます。

このテーマを取り上げる理由

Google Cloud Security傘下のMandiantが毎春公開するM-Trends¹は、Mandiant ConsultingとGoogle Threat Intelligence Group（GTIG）が前年に対応した実インシデントの集計レポートで、Verizon DBIRと並ぶ業界標準の数字レポートです。2026年3月に公開された M-Trends 2026 Report は、2025年1月から12月の500,000時間を超えるインシデント対応エンゲージメントから、83件のキャンペーンと8件のグローバルイベントを73か国・6大陸で観測した結果に基づきます。

本稿では、グローバル全体の数字に加えて、当ブログの読者にとって最も実務上の重みが大きいJAPAC²（Japan and Asia Pacific）地域の構造変化にフォーカスして5つの数字を選び、2025年との差分も含めて整理します。Google Cloud公式ブログや海外メディアで取り上げられている観点とは異なり、日本を含む地域固有の脅威動向の変質を中心に読み解きます。

本編：M-Trends 2026の5つの数字

数字1：22秒、初期アクセスから次段攻撃者への引き渡しが極限まで短縮

M-Trends 2026の中核的な観察のひとつは、初期アクセス取得時点と次段の攻撃者（多くの場合ランサムウェア配布者）が環境内でアクセスを得た時点との時間差の中央値が、2022 年の 8 時間超から 2025 年は22 秒にまで短縮した事実です（特集記事内で報告されている代表値、PDF 該当箇所を参照）。出典はレポート巻末の特集記事「A Minor Infection Today Can Be a Ransomware Attack Tomorrow」（M-Trends 2026 Report p55）で、Mandiant自身がこの指標を「earliest activity by an initial access partnerとearliest activity by a secondary groupの時間差」と定義しています。

引き渡しがここまで速いということは、初期アクセスブローカーが地下フォーラムで売買する従来モデルから、自動化されたパイプラインでマルウェアを直接配信する構造に移行していることを示唆します。SOCが「優先度低」とラベル付けしたマルウェア・アラートが、数十秒後に対話型キーボード操作や暗号化に発展する前提でプレイブックを書き直す必要があります。日次のマルウェア検知ログを「二次侵害の可能性」とみなす運用が現実解になります。

数字2：14日、グローバル滞在時間中央値の反転と諜報型の122日

2025年のグローバル滞在時間³中央値は14日で、2024年の11日からさらに3日延びました。Mandiantが初版を発行した2010年以来、長期的な短縮トレンドが続いていましたが、2024年に初めての反転が起き、2025年で2年連続の上昇となります。短期化の長期トレンド自体は維持されているものの、内訳に質的変化があります。

• 内部検知：9日（2024年は10日、わずかに改善）
• 攻撃者通知（ランサムノート等）：7日（同5日）
• 外部組織からの通知：25日（2024年は11日、2倍以上に延長）
• サイバー諜報・北朝鮮 IT 労働者起因の侵入：中央値 122 日（約 4 ヶ月）。なお北朝鮮 IT 労働者の意図せぬ採用・報酬支払は OFAC 大統領令（E.O.13722/13810）の制裁対象となりうるため、リモート開発者採用プロセスに OFAC SDN リスト照合を組み込むことが推奨されます（2022 年 5 月・2023 年 10 月の米政府勧告参照）。

外部通知ベースの中央値が大きく伸びた背景は、長期潜伏型攻撃（Living-off-the-Land、独自マルウェアを最小限に抑え正規ツールで侵入活動を行う）の比率が増えたためです。Mandiantは2025年を「AIが直接的に侵害を引き起こした年とは見なさない」としつつ、攻撃者がAIを早期段階の偵察・ソーシャルエンジニアリング高度化に活用し始めていると指摘しています。

数字3：11%、Vishing（音声フィッシング）が初期侵入経路の2位に急浮上

2025年の初期侵入経路では、Vishing⁴（音声フィッシング）が11%で初めて2位に登場しました。脆弱性悪用は32%で6年連続首位を維持していますが、注目すべきはメールフィッシングの位置づけ変化です。

• 2022年：22%（メールフィッシングが侵入経路2位）
• 2023年：17%
• 2024年：14%
• 2025年：6%（以前のトップ陣から脱落）

代表事例として、Mandiantは2025年上半期にUNC6040が標的従業員に電話をかけ、攻撃者が制御する正規SaaSアプリケーション（攻撃者がコピーしたOAuth認可ページ）への認証を音声誘導してアクセス権を引き出した一連のキャンペーンを挙げています。盗み出された顧客データは後に「ShinyHunters」を名乗る恐喝グループ（GTIGはUNC6240として追跡）から非公開対価を要求する形で連絡が入りました。もうひとつの常連はUNC3944（Scattered Spiderと公開報道で重なる金銭目的クラスタ）で、ヘルプデスク要員に対し従業員を装ってパスワード再発行と多要素認証設定の変更を依頼する手口を2022年初頭から継続しています。「メールの不審リンクを踏むな」という従来の研修フレームでは捉えきれない攻撃で、ヘルプデスク・サービスデスク要員への本人確認スクリプトの再設計が急務です。

数字4：JAPACの脆弱性悪用率が64%から33%に正常化、一方で滞在時間が6日から15日へ大幅延長

最も大きな構造変化は日本を含むJAPAC地域に現れました。2024年から2025年への動きを比較します。

指標	2024年JAPAC	2025年JAPAC	2025年 グローバル
脆弱性悪用	64%	33%	32%
盗難クレデンシャル	14%	23%	9%
既存侵害（prior compromise）	7%	16%	10%
内部検知	31%	49%	52%
滞在時間中央値（全体）	6日	15日	14日
滞在時間中央値（外部通知）	10日	38日	25日
1週間以内発見	51.2%	43.1%	41.5%

JAPACは2024年に「脆弱性悪用に極端に偏った地域」でしたが、2025年はグローバル平均に近づき、代わりに盗難クレデンシャル・既存侵害ベースの長期潜伏型へ攻撃構造が移行しました。内部検知比率の49%（前年31%）は日本企業を含む地域の検知能力が大幅に底上げされた良い兆候です。一方で、滞在時間が15日に延びたのは、諜報型・北朝鮮IT労働者・サプライチェーン経由の長期型侵入が日本含む地域に本格的に到来したことを意味します。MandiantはJAPAC観測で中国系サイバースパイクラスタがSAP NetWeaverのCVE-2025-31324は初期にパッチ公開前の0-dayとして悪用され、パッチ公開後も未適用環境でのn-day悪用が継続しました。Mandiantはパッチ適用済み環境においても侵害痕跡の確認を推奨しており、JAPAC のケースでは攻撃者が長期偵察用のダウンローダを設置していた事例を挙げています（M-Trends 2026 Report JAPAC Threat Groupsセクション）。

数字5：PROMPTFLUX・PROMPTSTEAL・QUIETVAULT、マルウェアが実行中にLLMを呼ぶ新世代

M-Trends 2026はAIを独立セクションとして扱い、3つの新型マルウェア観測例を挙げています。

• PROMPTFLUX⁵：実行中に大規模言語モデルへ問い合わせ、検知回避用のコードを動的生成する家族
• PROMPTSTEAL：類似の手法で攻撃ペイロードを実行時生成
• QUIETVAULT：NPMパッケージマネージャのサプライチェーン侵害から導入されたクレデンシャルスティーラー。被害端末にAI CLIツール（Claude CLI等）が導入されているか確認し、あれば事前定義プロンプトで設定ファイルを探索、GitHub・NPMトークンを発見次第、公開アクセス可能なGitHubリポジトリへ転送する

QUIETVAULTは「マルウェア自身がAIツールを利用して機密情報を抽出する」という、これまでなかった攻撃面を示しました。生成AIガバナンスでは「社員がAIに何を入力するか」だけでなく「侵害された端末のAIツールがどんな情報にアクセスできるか」を統合的に管理する必要があります。CLIツールに付与されているトークン・スコープ・履歴ファイルがインシデント時の被害拡大要因になり得ます。

2025レポートからのアップデート点

M-Trends 2025（2024年データ）の主要数字と比較すると、1年で動いたポイントが見えてきます。

• 侵入経路：脆弱性悪用が33%→32%とほぼ横ばいで首位維持。Vishingが新たに2位に登場し、メールフィッシングが14%→6%へ激減。盗難クレデンシャルは16%→9%でグローバルでは減少（ただしJAPACでは14%→23%へ増加）。
• 滞在時間：グローバルが11日→14日。JAPACは6日→15日と地域差が縮小し、長期潜伏型へ攻撃構造が変質。
• 業種上位：金融業（17.4%）→ハイテク業（17%）に首位交代。Mandiantの2025年顧客プロファイルがSaaS・クラウド開発者に寄った可能性に加え、SaaSサプライチェーン経由の侵害（UNC6395のSalesforce顧客環境への波及攻撃等）がハイテク業の数字を押し上げた構造的要因と考えられます。
• 検知ソース：グローバル内部検知43%→52%、JAPACは31%→49%。両方とも改善基調。
• ランサムウェア：全侵入の21%→13%へ低下。一方でデータ盗難型は微増、ランサム関連の初期侵入経路として既存侵害（prior compromise）が15%→30%と倍増（ランサム関連内訳の数字、グローバル全体のprior compromiseは8%→10%）。アクセスブローカーから次段ランサム配布者への引き渡しモデルが定着しています。

業種別影響

• 金融・保険：M-Trends 2026では金融業が14.6%（前年17.4%）に低下し、ハイテク業（17%）に首位を譲ったものの、依然上位2位。SEC 4日ルール（適用は米国籍発行体、起算点は重要性決定日から4営業日、FPI は Form 6-K で対応、Item 1.05(c) の DOJ 承認による開示遅延例外あり）や金融庁検査との直結度の高さは変わらず、外部通知ベースの中央値が 25 日に延びた事実は、規制報告期限への即応プロセスの再点検を促します。
• ハイテク・SaaS事業者：自社が標的になる頻度が上がっただけでなく、「サードパーティSaaS経由でクライアントへ波及するハブ」になるケースが顕著です。OAuthトークンとService Principalの設計を侵害想定で監査し、テナント間の被害分離を確認する必要があります。
• 製造業・重要インフラ：JAPACで脆弱性悪用率が下がった一方、長期潜伏型の比率が増えたため、IT/OT境界の正規ツール乱用（PsExec・PowerShell・WMI経由のラテラルムーブメント）の異常検知に注力する局面に移行しました。
• 政府・公共：北朝鮮IT労働者によるインサイダー脅威の中央値滞在時間は122日と長く、業界横断（金融・通信・メディア・小売・テクノロジー）で観測されています。リモート従業員の身元確認プロセスを継続的に強化する必要があります。

今日着手できる3アクション

• 22秒前提のアラート分類見直し：日次のマルウェア・PUA・LotLツール検知を「優先度低」とせず、初動24時間以内に脅威ハンティングを実施するルールをSOCプレイブックに追加し、Critical SaaSへの自動セッション切断・MFA再認証要求のプレイをテーブルトップ演習で確認する。
• ヘルプデスク本人確認スクリプトの再設計：Vishing 11%という観測を踏まえ、パスワード再発行・MFA設定変更・特権アカウント解除の依頼に対し、ビデオ通話＋第二要素本人確認を必須化したスクリプトを整備する。UNC3944の手口（マネージャ詐称）に耐えるかチェックリスト形式で部門別にテスト。
• JAPAC長期潜伏前提の検知強化：Edge機器とドメインコントローラのログを階層化保持（ホットストレージ90日、コールドストレージで12〜18ヶ月、EDRテレメトリは可能な限り365日）し、PsExec・WMIC・PowerShellの異常パラメータ検知ルール、Active Directoryリコネ系コマンド（nltest、net group “Domain Admins”）の監視をSIEMで組み合わせる。15日の滞在時間中央値は「2週間以内に検知できなければ長期化する」分水嶺と捉える。

AI×セキュリティの観点

PROMPTFLUX・PROMPTSTEAL・QUIETVAULTが示すのは、AIが攻撃側のツールチェーンに組み込まれ始めた構造変化です。Mandiantは2025年を「AIが直接侵害を引き起こした年とは見做さない」と慎重に位置付けていますが、攻撃ライフサイクルの初期段階（偵察・ソーシャルエンジニアリング）と回避フェーズでAIが「force multiplier」として機能している事実は否定していません。

防御側の対応軸は3つに整理できます。第一に、社員側のAI利用ガバナンス（生成AIへの会社アカウントログインのSSO限定、個人デバイスでの企業ブラウザ使用禁止、プロバイダ側の多要素認証契約）。第二に、端末上のAI CLIツールのスコープ管理として、~/.claude/credentials、~/.config/gh/hosts.yml、.npmrc、.aws/credentials 等の認証ファイルをEDRのファイル監視対象に追加し、CLIに発行するOAuthトークンをread-onlyで運用できる場合はその設定を選ぶ。第三に、自社MLモデルへのdistillation attack（モデル抽出攻撃、知識蒸留と呼ばれる訓練技術とは別物で、APIへの大量クエリでモデルの判断ロジックを模倣・複製する手口）への対策（モデルAPIのレート制限、異常クエリパターンのロギング、出力サンプルのモニタリング）。AIガバナンス文書を「社員行動ルール」だけにとどめず、攻撃面としてのAIコンポーネント運用基準まで拡張する判断が求められます。

用語ミニ解説

1. M-Trends：Mandiantが2010年以来毎年発行している脅威動向レポート。前年に対応した実インシデント調査データに基づき、初期侵入経路・滞在時間・マルウェア・脅威グループ動向等を集計する。 ↩
2. JAPAC：Japan and Asia Pacificの略。Mandiantの地域分類のひとつで、M-Trendsでは北米・EMEAとは別建てで日本を含む地域の数字を提示している。 ↩
3. 滞在時間（dwell time）：攻撃者が標的環境に侵入してから検知されるまでの日数。中央値で示されることが多く、短いほど被害最小化につながる指標。 ↩
4. Vishing：Voice phishingの略で、電話・音声通話を使ったソーシャルエンジニアリング攻撃。ヘルプデスクや経理部門の担当者を標的にするケースが2025年に急増した。 ↩
5. PROMPTFLUX：実行中に大規模言語モデルへ問い合わせ、検知回避用コードを動的生成するマルウェア家族。M-Trends 2026で初めて公表されたAI連携型マルウェアの代表例。 ↩

参考リンク

• Mandiant M-Trends 2026 Report (Google Cloud Security)
• M-Trends 2026 Executive Edition (Google Cloud)
• M-Trends 2026: 最前線のデータ、分析、戦略情報のまとめ (Google Cloud公式日本語ブログ)
• CISA Known Exploited Vulnerabilities Catalog
• MITRE ATT&CK Framework