Lumen、2026年版Defender脅威情勢レポートを発表:サイバー防御の新たな最前線は「ネットワーク上流の可視化」

※本リリースは、Lumen（本社：米国ルイジアナ州モンロー）が、2026年4月7日（現地時間）に発表した英文リリースに基づいて作成した日本語抄訳です。原文（全文）はこちらをご参照ください。

2026年4月7日、デンバー発 —脅威アクターが新しい巧妙な手法でネットワークを横断する中、Lumen Technologies (NYSE: LUMN)は「2026年版Lumen Defender脅威情勢レポート」を発表しました。本レポートは、サイバー環境における大きな変化を明らかにしています。すなわち、最も重要なシグナルはもはやエンドポイントではなく、ネットワーク自体の上流に存在しているということです。

Lumenの脅威調査・運用部門であるBlack Lotus Labsが作成した本最新レポートは、Lumenが世界最大級のインターネット・バックボーン事業者の1社であるという強みを活かし、サイバー犯罪者が、産業化されたオペレーションを行う「強盗団(heist crew)」へと進化した実態を追跡しています。特に、脅威アクターが偽装プロキシ、侵害されたエッジ・デバイス、生成AIを用いて、いかに攻撃を事前に準備しているかについて、重要な洞察を示しています。

主な調査結果

「2026年版脅威情勢レポート」では、攻撃者の手口における次のような重要な変化を明らかにしています。

生成AIが運用エンジンに

脅威アクターはAIを活用し、悪意あるインフラを機械並みの速度で反復・再生成しています。この自動化により、悪意あるキャンペーンの持続性が高まり、検知してから実際に影響が生じるまでの時間が短縮されています。

エッジにある「金庫の扉」が標的に

エンドポイント検出・対応(EDR)技術の成熟に伴い、攻撃者の標的は、ルーター、VPNゲートウェイ、ファイアウォールなど、インターネットに露出したエッジ・デバイスへと移りつつあります。これらの資産は、特権的なアクセスを提供し、フォレンジック機能が限定的であり、通常は従来のエンドポイント・セキュリティの可視範囲外で稼働しています。

住宅用に偽装されたプロキシの台頭

犯罪組織や国家支援系アクターは、侵害されたSOHO (小規模オフィス/ホームオフィス)向けデバイスを利用して、プロキシ・ネットワークを産業化しています。攻撃者は、こうした「レンタル可能なアイデンティティ」を乗っ取ることで、正当な住宅用トラフィックに紛れ込み、ゼロ・トラストやジオロケーション制御を回避しています。

帰属の境界線が曖昧に

高度なスパイ・キャンペーンの多くは、近年「盗用された準備基盤」の上に構築されています。これは、国家支援系アクターが犯罪者のインフラを乗っ取り、ありふれた犯罪活動が飛び交う中に紛れて、自らの痕跡を隠す手法です。

LumenのSVP兼最高セキュリティ責任者であるNat Habtesionは、次のように述べています。「攻撃者がインターネットに露出したエッジ・インフラへと軸足を移すにつれ、防御側は攻撃の重要な局面で可視性を失いつつあります。LumenとBlack Lotus Labsのチームは、攻撃者がネットワーク層で攻撃用インフラを構築していく段階を捉えることで、脅威アクターの活動を早期に特定し、進行中のキャンペーンを阻止し、被害が発生する前にセキュリティ・チームの運用負担を軽減できます」

サイバー犯罪のプロフェッショナル化

本レポートは、「強盗団」モデルこそがサイバー作戦の新たな標準であると位置付けています。これらのアクターは、単体のマルウェアを展開するのではなく、物流企業のような精密さで活動します。生成AIを用いて、防御側が手動で追跡するよりも速いスピードでIPアドレスやドメイン名を切り替え、侵害された住宅用ルーターを通じて「レンタル可能なアイデンティティ」を利用し、日常の住宅用トラフィックに紛れ込みます。この高度にプロフェッショナル化された体制により、攻撃者はネットワークの「準備拠点」において姿を見せずに行動でき、標的と接触する時点では、すでに最も抵抗の少ない経路が切り開かれています。

上流インテリジェンスへの移行

従来の防御モデルの多くは、感染後にネットワーク内部で得られるシグナルに依存しています。しかし、2026年版レポートでは、エンドポイントでアラートがトリガーされた時点で、攻撃者による準備、すなわちスキャン、インフラの切り替え、プロキシの形成がすでに完了していることが示されています。

Lumenは、パブリックIPv4アドレスの99%に対する可視性を有し、毎日2,000億件を超えるNetFlowセッションと4万6,000件のC2を監視しています。この観測上の優位性により、Black Lotus Labsは、連携したインフラの挙動を、その兆候が現れた段階で特定できます。2025年には、Lumenは複数パートナーによる8件の摘発作戦に参加し、5,000件のIPを無力化して、敵対者の能力低下を図りました。

本レポートでは、この新たな時代を象徴する注目度の高い攻撃活動についても、いくつか詳しく分析しています。

Kimwolf

住宅用プロキシのエコシステムを悪用し、数週間で数十万規模にまで拡大した大規模なDDoS (分散型サービス拒否)ボットネットです。Lumenの観測では、Kimwolfはわずか1週間でボット数を3倍に増やし、毎秒30テラビット(Tbps)に達する攻撃を仕掛けていました。

Rhadamanthys

摘発時点では量的に最大規模のMaaS (サービスとしてのマルウェア)プラットフォームです。サブスクリプション・プランやカスタマー・サポートを備え、プロフェッショナルなスタートアップ企業のように運営されており、1万2,000人を超える被害者を出していました。

Raptor Train

侵害された20万台以上のIoT (モノのインターネット)デバイスを、エンタープライズ規模のコントロール・センターで管理していた国家支援系ボットネットです。

IDCのセキュリティ&トラスト担当バイス・プレジデントであるChris Kissel氏は、次のように述べています。「脅威インテリジェンスは、敵対者をできるだけ早く、かつできるだけ発生源に近い地点で見つけ出すために必要です。Lumenの大規模なインフラとBlack Lotus Labsの高い専門性により、IPバックボーンを最適な形で可視化できるため、サイバー攻撃キャンペーンが成功する可能性を大幅に低減できます」

2026年に向けた戦略的指針: 攻撃の準備拠点を無力化

Lumenは、組織が後追い型の指標への依存から、インフラの把握へと移行することを推奨しています。Habtesionは次のように結論付けています。「効果的な防御には、侵入の最終地点を強化するだけでなく、攻撃者が経路を構築する上流環境、すなわち“準備拠点”を無力化することが必要です」

「2026年版Lumen Defender脅威情勢レポート」の全文は、現在ダウンロード可能です。

Lumen Technologiesについて

Lumenは世界のデジタルの可能性を最大限に引き出しています。人、データ、アプリケーションを迅速、安全、かつスムーズにつなぐことで、ビジネスの成長を後押しします。Lumenは、AI向けの信頼できるネットワークとして、自社ネットワークの規模を活かし、お客様企業がAIの可能性を最大限に引き出せるよう支援しています。メトロ接続や長距離データ伝送から、エッジ・クラウド、セキュリティ、マネージド・サービス、デジタル・プラットフォーム機能に至るまで、当社はお客様の現在のニーズだけでなく、将来に向けた構築ニーズにも対応します。ニュースとインサイトについては、news.lumen.com、LinkedIn (/lumen-asia-pacific)、X (@lumentechco)、Facebook (/LumenTechnologiesJapan/ )、Instagram (@lumentechnologies)、YouTube (/lumentechnologies)をご覧ください。

将来の不確実な事象に関する記述 

本プレスリリースには、将来の出来事についての一定の将来予測に関する記述が含まれています。これらの将来予測に関する記述は、将来の結果を保証するものではなく、あくまで当社の現時点での予想に基づくものであり、さまざまな不確実性の影響を受けます。実際の結果は、米国証券取引委員会への提出書類に記載されている要因を含む複数の要因により、これらの記述の中で当社が予想した結果と著しく異なる可能性があります。

報道機関向けお問い合わせ先

Lumen Technologies

Tricia Low

Tricia.Low@lumen.com