Verizon は 5 月 19 日、19 年目となる「2026 Data Breach Investigations Report (DBIR)」を公開しました。集計対象期間は 2024 年 11 月 1 日から 2025 年 10 月 31 日まで。注目点は、脆弱性の悪用が 31% で初期侵入経路の首位となり、長年トップだった認証情報盗用を DBIR 史上初めて上回ったことです。AI が攻撃側の "発見 ⇒ 武器化" を月単位から時間単位へ短縮し、防御側の対応猶予を奪いつつあると報告は警鐘を鳴らしています。
主なポイント
- 初期侵入経路の構成: 脆弱性悪用 31%、認証情報盗用は 2 位に転落。19 年連続首位だった credential abuse の交代は構造変化のシグナル
- "shadow AI" — 社員が会社未承認の生成 AI に業務データを投入する行為 — の発生率は前年の 15% から 45% へほぼ 3 倍。情報流出インシデントの主要原因として浮上
- サードパーティ経由のサプライチェーン侵害は前年比 60% 増 (全体の 48% に到達)。AI ボットトラフィックは月次 21% 増で、API / Web 露出面の急拡大が背景
- モバイル経由のソーシャルエンジニアリング成功率は 40% 増。SMS/メッセージング起点の認証フロー突破が拡大
- ランサムウェアでデータ窃取付き恐喝 (double extortion) が前年比拡大、初期アクセス手段としても "脆弱性悪用 1/3" が最大シェア
出典: Verizon 2026 DBIR — Vulnerability exploitation overtakes credential theft as top breach entry point