組織の攻撃ベクトル(脅威ベクトルとも呼ばれる)とサイバーセキュリティーの脆弱性を合わせて、攻撃対象領域が構成されます。攻撃対象領域は、企業がデジタル・トランスフォーメーションに取り組むにつれ、人工知能(AI)の採用、クラウドとデータセンターの移行、モノのインターネットデバイスの使用、リモートワークの導入などに広がっています。非常に多くの資産が、ますます複雑で分散化しているテクノロジー環境の一部となっているため、サイバー犯罪者がネットワークやオペレーティング・システムに侵入するための入口が増えています。
一方で、攻撃ベクトルの範囲と巧妙さも進化しています。脅威アクターは、AIなどの新しいテクノロジーを活用してユーザーを操作し、従来のセキュリティー対策を回避します。
幸いなことに、エンタープライズ・セキュリティー・チームは、攻撃対象領域管理(ASM)などのサイバーセキュリティー分野を活用して、これらの攻撃者を阻止することができます。ASMは、組織が潜在的な攻撃方法を特定し、攻撃ベクトルを防御するのに役立ちます。これは、サイバーセキュリティー・リスクを軽減するための重要なステップです。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
疫学では、ベクターは感染症を伝播するエージェントです。それらは、生物(蚊、コウモリ)から無生物(シリンジ、紙幣)まで多岐にわたります。1これらのベクトルを理解することで、公衆衛生の分野における病気の予防と感染の取り組みに役立つ情報が得られます。
同様に、サイバーセキュリティー攻撃ベクトルの多様性を理解することは、組織(および組織と連携するサイバーセキュリティー専門家)が、サイバー脅威の検知と修復のためのストラテジーとツールを考案し、デプロイするのに役立ちます。
このような検知と修復を行わなければ、重大な結果が生じる可能性があります。攻撃ベクトルは多くの場合、脅威アクターが重要な情報や機密情報にアクセスするデータ侵害を可能にします。
IBMの「2025年データ侵害のコストに関する調査」によると、データ侵害の損害額における平均は444万米ドルです。コストは侵害の調査と監査、顧客、規制当局、利害関係者への侵害報告、和解金と訴訟費用、そして顧客を失うことで発生します。規制の厳しい分野では、データ侵害が規制上の罰金につながる可能性があるため、インシデントのコストが特に高くなる傾向があります。例えば、IBMのレポートによると、2025年のヘルスケア・データ侵害の平均コストは742万米ドルです。
ハッカーが攻撃ベクトルをデプロイして、資産を無効化または破壊し、ビジネスや経済に重大な混乱を引き起こすこともあります。例えば、2025年9月には空港のチェックインシステムへのサイバー攻撃が発生し、ヨーロッパの主要都市の空港でフライトの欠航や遅延が発生しました。同月初めには、英国の大手自動車メーカーがサイバー攻撃によって数週間のシャットダウンを余儀なくされました。
病原体の変異と同様に、サイバー脅威の状況も進化しています。例えば、20年前であれば、データ侵害の約半数の攻撃ベクトルが、ノートPCやUSBメモリーなどのデバイスの紛失や盗難でした。IBMの2025年データ侵害のコストに関する調査によると、今日のデバイスの盗難はデータ侵害の10%未満で、それ以外はフィッシングからサプライチェーンの侵害に至るまで、その他のさまざまなベクトルが関与しています。
サイバー犯罪者は新しい技術を活用してベクターへのアプローチを効率化しています。例えば、説得力のあるフィッシング・メールやWebページなど、欺瞞的な活動を作成するためにAIをデプロイするケースが増えています。IBMの2025年データ侵害のコストに関する調査によると、データ侵害の平均16%にはAIを使用した攻撃者が関与しており、AIが生成したフィッシング攻撃(37%)やディープフェイクによるなりすまし攻撃(35%)が最も多くなっています。
ハッカーはまた、ダークウェブを閲覧してサービスとしての犯罪(CaaS)ソフトウェアを購入し、スパイウェアの使用からパスワード・クラッキングまでのサイバー犯罪活動を支えています。2025年のIBM X-Force脅威インテリジェンス·インデックスによると、高度なツールを活用することで、「サイバー敵対者は形を変えてより多くのアクセス権を獲得し、ネットワーク間をより簡単に動き、比較的わかりにくい場所で新たな拠点を築いている」とのことです。
脅威アクターの進化する攻撃ベクトルを追跡することは、企業が脅威に対抗するのに役立ちます。IBM Securityの特別待遇エンジニアであるJeff Crumeは、最近公開されたIBMテクノロジーの動画で「ハッカーの行動について知れば知るほど、防御体制を強化することができる」と説明しています。「情報は力なのです。」
組織ごとに攻撃ベクトルの分類方法は異なりますが、共通するカテゴリーは次のとおりです。
ソーシャル・エンジニアリング攻撃は、信頼できる相手とやり取りしていると信じるように人々を操り、個人データ(銀行のパスワード、クレジット・カード番号など)や組織の資産(専有情報、企業秘密)のセキュリティを侵害するように仕向けます。
最も一般的なソーシャル・エンジニアリング攻撃の1つはフィッシングです。これには、詐欺的なEメール、テキスト・メッセージ、電話、またはWebサイトの使用が含まれます。IBMの2025年データ侵害のコストに関する調査では、フィッシングはデータ侵害の最も一般的なベクトルとしてランク付けされ、侵害の16%を占め、攻撃1件あたりのコストは平均480万ドルに上りました。フィッシング攻撃には、攻撃者がEメールアドレスやその他の通信方法を偽装して、信頼できる情報源になりすますスプーフィングを伴うことがよくあります。
ハッカーはサードパーティー・ベンダーに侵入してパートナーにアクセスしようとします。そして、サプライチェーンはサイバー攻撃の典型的なターゲットとなります。現代のサプライチェーン・エコシステムは、デジタル・システムや通信テクノロジーによってますます脆弱性が高まっており、広大な攻撃対象領域を生み出しています。
サプライチェーンのサイバー攻撃は、生産の停止、輸送と物流の混乱、クリティカルなインフラストラクチャーへの損害、知的財産の窃盗などを引き起こす可能性があります。IBM2025年データ侵害のコストに関する調査では、サプライチェーン攻撃が、データ侵害の経路として2番目に多く、平均でも2番目に高いコストがかかっており、1攻撃あたり491万米ドルに上りました。
特にソフトウェアサプライチェーンに対する攻撃は、自社のコンピューターシステムをオープンソースソフトウェアに依存する企業が増えるにつれ、ますます懸念が高まっています。ある調査によると、オープンソースのパッケージ・リポジトリーによるソフトウェア・サプライチェーンの脅威は、3年間で1,300%増加しました。2
サービス拒否 (DoS) 攻撃は、アプリケーションやサービスを遅らせたり停止させたりするサイバー攻撃です。ほとんどの場合、DoSインシデントは、攻撃者がネットワーク・サーバーにトラフィックをフラッディングさせ、最終的にはサーバーを過負荷にして、正当なリクエストの処理を停止させる形で発生します。IBMの2025年データ侵害のコストに関する調査によると、サービス拒否攻撃はデータ侵害の12%以上を占めています。
強力なDoS攻撃の一種に分散型サービス妨害攻撃(DDoS)があります。DDoS攻撃では、攻撃トラフィックが複数のソースから一度に発生するため、認識や防御が困難になる可能性があります。DDoS 攻撃は、ハッカーが犯罪活動のために乗っ取った接続されたデバイスのグループであるボットネットを通じて実行されることがよくあります。
漏洩した認証情報攻撃は、ハッカーがユーザー名やパスワードなどの正規ユーザーのログイン認証情報を介してシステムに不正アクセスすることで発生します。IBM® X-Force脅威インテリジェンス・インデックス によると、サイバー攻撃 の30%は有効なアカウントの盗難と悪用に関連しています。
ハッカーには、漏洩した認証情報攻撃を仕掛けるためのさまざまな選択肢があります。例えば、彼らは以前のデータ侵害で明らかになった盗んだユーザーの認証情報を使用したり、フィッシングをデプロイして被害者に認証情報を共有するよう説得したりすることができます。また、ブルートフォースアタック(総当たり攻撃)を利用することもできます。ブルートフォースアタックは、計算能力と自動化を活用して、試行錯誤しながらパスワードを推測するもので、一般的に弱いパスワードの方が特定しやすくなります。
内部脅威は、従業員、請負業者、ビジネス・パートナーなどの正規ユーザーが、故意または偶発的に正当なアクセスを悪用したり、サイバー犯罪者にアカウントを乗っ取られたりすることによって引き起こされるサイバーセキュリティの脅威です。
内部脅威にはさまざまな種類があり、悪意のあるインサイダー(不満を抱いた従業員、復讐の意志を持っている従業員)、不注意なインサイダー(無知や不注意によって不注意なセキュリティー脅威を作り出している従業員)、侵害されたインサイダー(認証情報が盗まれた従業員)などがあります。
IBMの2025年データ侵害のコストに関する調査によると、悪意のあるインサイダー攻撃は、すべての攻撃ベクトルの中で最もコストのかかるデータ侵害の原因として際立っており、1インシデントあたり492万米ドルでした。
脆弱性のエクスプロイテーションは、内部または外部の脅威アクターが組織のデジタル環境のセキュリティーの弱点を悪用するときに発生します。 X-Force Threat Intelligence Indexによると、公開アプリの脆弱性のエクスプロイテーションは、サイバー攻撃のトップベクターの1つです。
脆弱性の例としては、以下のようなものがあります。
共通脆弱性識別子(CVE)リストなどのセキュリティー脆弱性カタログが存在するにもかかわらず、多くの脆弱性は未知のままであり、対処されていません。このようなセキュリティー上の弱点は、ソフトウェア・プロバイダーやデバイス・ベンダーが、悪意のある攻撃者に悪用される前にその欠陥を修正するための時間がゼロ日であるため、ゼロデイ脆弱性と呼ばれます。こうして行われる攻撃はゼロデイ攻撃として知られています。
マルウェア(悪意のあるソフトウェア)は、ソーシャル・エンジニアリングやサプライチェーンの侵害など、他の攻撃ベクトルのコンポーネントであることが多いですが、独自のベクトル・カテゴリーと見なすこともできます。IBM® X-Force脅威インテリジェンス・インデックスによると、2024年には、ランサムウェアがマルウェア事例の最大の割合 (28%) を占めました。
その他のマルウェアの例としては、リモートアクセスマルウェア(ハッカーにリモートアクセスを提供する)、トロイの木馬(有用なプログラムを装った悪意のあるプログラム)、スパイウェア(機密情報を収集してハッカーに送信するプログラム)などがあります。
貴重な情報を盗むことを目的としたインフォスティーラー・マルウェアの脅威がこの分野で増大しています。 X-Force脅威インテリジェンス・インデックスによると、フィッシングEメールを介して毎週配信されるインフォスティーラーの数は84%増加しています。
ハッカーが自由に使えるデジタル・ツールは豊富にありますが、サイバーセキュリティーにおいては、物理的な侵入が依然として大きな懸念事項となっています。例えば、攻撃者はバッジを偽造したり、ベンダーになりすましたり、権限のある人物を追跡して企業の安全なエリアに侵入したりする(テールゲーティングと呼ばれる手法)ことができます。そこから、ノートPCやその他のデバイスを盗んだり、マルウェアをダウンロードしたり、マルウェアが入ったUSBドライブをオフィスに置いたりすることができます(そのため、好奇心旺盛な従業員がドライブに差し込み、誤ってマルウェアをアップロードしてしまうのです)。
IBMの2025年データ侵害のコストに関する調査によると、物理的な盗難やセキュリティの問題は、1件あたり平均400万米ドル以上のコストを組織に与えています。
サイバー攻撃には、2つ以上の攻撃ベクトルが含まれることがよくあります。例えば、攻撃者はフィッシングを利用してユーザーを騙し、ランサムウェアをコンピューターにダウンロードさせる可能性があります。そして攻撃者は、被害者が身代金を支払わない場合、DDoS攻撃を仕掛けると脅すかもしれません。あるいは、ベンダーのシステムの脆弱性をエクスプロイトして顧客のシステムにアクセスし(サプライチェーン侵害攻撃)、悪意のあるコードを注入して、ハッカーがデータを盗み出すために使用できる認証情報をスキャンする可能性があります。
ベクトルを構成する別の方法が、ベクトルをパッシブとアクティブの2つのグループに分割することです。
サイバー犯罪者は、パッシブ攻撃ベクトルを利用して、システムを改ざんすることなく情報にアクセスします。パッシブ攻撃ベクトルの例としては、暗号化されていないWi-Fiネットワークが挙げられます。このネットワークはハッカーによる盗聴に対して脆弱です。
対照的に、ハッカーはアクティブ攻撃ベクトルを使用して、システムを制御したり、システムを混乱させたり、影響を与えたりします。アクティブ攻撃ベクトルには、サービス拒否攻撃やランサムウェア攻撃などがあります。
場合によっては、アクティブ攻撃ベクトルとパッシブ攻撃ベクトルを構成するものの境界線が明確ではないことがあります。例えば、フィッシングは、ターゲットのシステムを変更することなくターゲットから情報を調達するためのみに使用される場合、パッシブ攻撃ベクトルとみなされる場合があります。ただし、被害者を騙してランサムウェアをシステムにダウンロードさせるフィッシングは、アクティブ攻撃ベクトルと見なすことができます。
サイバーセキュリティーの専門家は自由に使えるさまざまなツールや戦略を持っていますが、潜在的な攻撃ベクトルに対処するためには、攻撃対象領域管理(ASM)が特に重要です。サイバーセキュリティー分野とは異なり、ASMはハッカーの視点から実施され、サイバー犯罪者にとって魅力的な機会がシステムに存在しないことを評価します。
ASMは、次の4つのコア・プロセスで構成されています。
資産の検出では、攻撃者の入口となり得る、インターネットに接続されたハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンして特定します。
資産が特定されると、分類され、脆弱性について分析され、攻撃可能性によって優先順位が付けられます。
パッチ適用、デバッグ、より強力なデータ暗号化、多要素認証 (MFA) の実装などの修復対策が優先順位に従って適用されます。
インベントリー化されたネットワーク資産とネットワーク自体は継続的に監視され、新たな脆弱性や攻撃ベクトルがリアルタイムで検出・評価されます。
1「ベクトルとは何か」ロンドン王立協会のフィロソフィカル・トランザクションズシリーズB、生物科学。2017年3月13日
2 「ソフトウェアサプライチェーンセキュリティの現状」2024。ReversingLabs。2024年