メインコンテンツまでスキップ
セキュリティ知識

2026年DBIRに見る企業セキュリティの盲点:脆弱性悪用は高速化し、情報流出はなお画面から始まる

|
約9分
MonitorDogチーム
MonitorDogチーム
AI搭載ビジュアルハッキング防止ソリューション

Verizonが毎年発行するData Breach Investigations Report(DBIR)は、実際の侵害データに基づいているため、読むたびに不都合な数字を突きつけてきます。2026年版も例外ではありません。攻撃者はより速く動き、侵入口はより実用的になり、人を狙う攻撃は従業員が日常的に使う業務チャネルへ移っています。

最も大きな変化:脆弱性悪用が1位に

2026年DBIRでは初めて、脆弱性悪用が侵害の最初の侵入口として1位になりました。全侵害の31%がここから始まっており、DBIRの19年の歴史で脆弱性悪用が盗まれた認証情報を上回ったのは今回が初めてです。

この数字を「もっと早くパッチを当てるべき」というメッセージだけで読むと、より本質的な問題を見落とします。根本にあるのは、攻撃者と防御側のスピード差です。攻撃者は公開されたエクスプロイトと自動化ツールで脆弱なシステムを素早くスキャンできます。一方、防御側は資産を特定し、影響範囲を判断し、変更承認を通さなければなりません。VPN、ファイアウォール、リモートアクセス機器、放置された管理コンソールのようにインターネットに露出したシステムが多いほど、この差は広がります。

人を狙う攻撃はチャネルを変えた

脆弱性悪用が増えたからといって、ソーシャルエンジニアリング攻撃が減ったわけではありません。攻撃者は、より自然なチャネルへ移動しています。

2026年DBIRは、モバイル中心のソーシャルエンジニアリングの増加を強調しています。従来のメールフィッシングに利用者が少しずつ慣れてきたことで、攻撃者はSMS、音声通話、モバイルメッセンジャー、リアルタイムのなりすましへチャネルを広げています。Verizonは、モバイルベースのソーシャルエンジニアリングが従来のメールフィッシングよりも高い成功率を示していると説明しています。業務認証の依頼、セキュリティチームを装った連絡、緊急承認の要求は、PCのメールボックスではなく従業員のスマートフォンに届きます。小さな画面、素早く返信する習慣、業務通知と個人通知が混在する環境は、攻撃者に有利に働きます。

「悪意ある添付ファイルを開かない」という教育だけでは足りません。いま攻撃者が狙っているのは、利用者の日常的な意思決定の流れです。

脆弱性悪用と画面からの流出は別問題ではない

サーバー脆弱性と画面セキュリティを別々の領域として扱うと、実際の事故の流れを見落とします。

攻撃者が脆弱性を通じて内部システムに入ると、次に探すのは機密データの場所です。顧客情報、決済情報、設計文書、管理者画面がどこにあるのかを確認しようとします。このとき、多くの情報はファイルだけに存在するわけではありません。ブラウザ、CRM、コールセンターの相談画面、社内ダッシュボードに表示されます。

逆方向も同じです。内部者や委託先の従業員は、システムをハッキングする必要がありません。すでに権限のあるアカウントで機密画面を開き、スマートフォンで撮影すればよいのです。ネットワーク転送も、USBコピーも、クリップボード利用も発生しません。従来のDLPやSIEMが観測できるイベントはほとんど残りません。

問うべきなのは「攻撃者がどう入ったか」だけではありません。セキュリティチームは、どの画面が閲覧され、その画面上の情報がどのように外へ出たのかも確認する必要があります。

既存のセキュリティツールが見ているもの、見落とすもの

EDRはプロセス実行やファイル変更を追跡します。DLPはメール添付、クラウドアップロード、USBコピー、印刷を制御します。SIEMはログを収集し、シグナルを相関分析します。これらのツールは不可欠です。ただし共通する前提があります。いずれもシステム内で発生したイベントを中心に設計されています。

スマートフォンでモニターを撮影する行為は、システム内で発生しません。会社PCのファイルシステムには記録されず、会社ネットワークの通信も発生せず、クリップボードやスクリーンショットAPIも呼び出されません。画面上の情報が、個人スマートフォンのカメラを通じて画像として保存されるだけです。機密情報が実際に露出する場所は画面ですが、多くのセキュリティ体制はその画面の前で起きる物理的な行為を観測できません。

スマートフォンが生む2つのセキュリティリスク

2026年DBIRが直接示しているのは、モバイルソーシャルエンジニアリングの増加です。そこに実際の業務環境における画面流出シナリオを重ねると、スマートフォンは2つの方向でセキュリティリスクになります。

1つ目は、攻撃者が従業員をだますチャネルとしてのスマートフォンです。SMSフィッシング、音声フィッシング、MFA承認誘導は、モバイル環境では自然に機能します。2つ目は、情報流出ツールとしてのスマートフォンです。モニター画面を撮影したり、顧客情報が表示されたコールセンター画面を画像として保存したりするのに、特別な技術は必要ありません。高解像度カメラとクラウド自動バックアップにより、一度撮影された画像が素早く外部へ広がる可能性もあります。

スマートフォンをMDMポリシーの対象としてだけ見ると、2つ目のリスクを見落とします。業務画面の前に置かれたスマートフォン、機密エリアへ持ち込まれたスマートフォン、リモートワーク環境でモニターに向けられたスマートフォンまで、運用上のリスクとして捉える必要があります。

いま確認すべきこと

2026年DBIRの示唆を実際の運用に落とし込むには、まずいくつかの点を確認する必要があります。

インターネット露出資産の棚卸しから始めるべきです。脆弱性悪用が主要な侵入口になっている環境では、セキュリティチームが把握していないシステムはパッチ対象にも入りません。文書上の資産一覧だけでなく、外部から実際に見えているものを把握する必要があります。VPN、ファイアウォール、リモートアクセスシステム、管理コンソール、古いサブドメインまで含めて確認します。

パッチの優先順位はCVSSスコアだけでなく、CISA KEV(Known Exploited Vulnerabilities)への掲載有無も見るべきです。実際に悪用が確認された脆弱性がインターネット露出システムに存在する場合、通常のパッチサイクルではなく緊急対応プロセスで扱う必要があります。

セキュリティ教育がメール添付ファイルのクリック禁止にとどまっているなら、現在の攻撃の流れを反映できていません。SMS、電話、QRコード、MFA承認要求、セキュリティチームのなりすましを訓練シナリオに含める必要があります。特に管理者、経理・財務担当者、DevOpsチームは攻撃者が狙いやすいワークフローを持つため、重点的な対策が必要です。

機密画面がどこで開かれているかを把握することも重要です。データ分類はファイルリポジトリには適用されていても、実際の業務画面には適用されていないことがよくあります。顧客情報や設計文書が頻繁に閲覧されるエリアでは、座席配置、来訪者動線、スマートフォン持ち込みルールを個別に見直すべきです。

最後に、最も直接的な問いがあります。現在運用しているセキュリティツールのうち、従業員のモニターに向けられたスマートフォンを検知できるものはどれか。 多くの組織で答えは「ない」です。検知も記録もなければ、事故後の対応や立証は難しくなります。ポリシーで禁止しているだけでは十分ではありません。

画面セキュリティは追加の防御層である

画面セキュリティは、既存のDLPやEDRを置き換えるものではありません。役割が異なります。DLPはデジタルチャネルを通じたデータ移動を監視します。EDRはエンドポイント内部の悪性行為を監視します。SIEMはログ上の異常を確認します。AIを活用した画面セキュリティが見るのは、業務画面の前の物理的状況、スマートフォン撮影の姿勢、リモートワーク環境での視覚的露出です。

MonitorDogは従業員PCのウェブカメラを通じて画面周辺を分析します。スマートフォンによる撮影の試みを検知すると、即座に画面をブランクにし、イベントを記録します。従来のセキュリティツールでは見えなかった画面前の瞬間を、監査可能なセキュリティイベントとして残すアプローチです。

攻撃者がより速く動く環境では、侵入口だけを守っていても不十分です。機密データが最終的に表示される場所は多くの場合画面であり、その画面の前で起きる行動もセキュリティプログラムの一部にする必要があります。

実際の業務環境でMonitorDogがどのように動作するかを確認したい場合は、無料デモをお申し込みください。

デモを申し込む

参考資料

関連コンテンツ

一覧を見る

security

2026年4月24日

ログに残らない情報流出:スマートフォン撮影事故が遅れて発覚する理由
security

2026年3月19日

DLPソリューション比較:従来型DLP vs AIを活用した画面セキュリティ
security

2026年3月13日

リモートワーク時代に画面セキュリティが重要な5つの理由