2026年はサイバーセキュリティの転換点になりつつあります。Mandiantの年次脅威インテリジェンスレポート「M-Trends 2026」によると、AIを活用したサイバー攻撃は前年比89%増を記録し、脆弱性(CVE)の28.3%が公開からわずか24時間以内に悪用されているという衝撃的な実態が明らかになりました。
特に注目すべきは、「ネガティブタイム」と呼ばれる現象の常態化です。脆弱性の平均悪用開始時刻がパッチ提供前にまで遡る事態が発生しており、攻撃者はゼロデイを公表と同時——あるいは公表前から——武器化しています。Mandiantの計測によると、平均エクスプロイト到達時間は2018年の「公開後63日」から、2024年にはマイナス1日、2025年にはマイナス7日へと急激に前倒しされています。スピードの面では、侵入後の初期アクセス引き渡し(ハンドオフ)時間もかつての数時間から22秒にまで短縮されており、攻撃チームが分散・高速化していることを示しています。
AI生成フィッシングの精度向上も深刻です。AIが作成したフィッシングメールは人間のレッドチームを超える成功率を示しており、公開リポジトリへの悪意あるパッケージ投入は75%増加、クラウド侵害は35%増と報告されています。Hacker Newsでは「AI生成コードの45%がセキュリティ欠陥を含むという別のデータと重ね合わせると、攻撃側と防御側の非対称性がさらに拡大する」との懸念が広がっています。X(旧Twitter)では「防御側も同レベルのAIを即刻導入しなければ、セキュリティ予算の組み替えが急務だ」という声が多く上がっており、Redditのセキュリティコミュニティでは「28.3%が24時間以内に悪用されるなら、従来のパッチ管理サイクル自体を根本から見直す必要がある」との議論が白熱しています。
パッチ管理からリスクベースの継続的監視へ——AIがサイバー攻撃のコストと速度を劇的に下げた今、防御戦略のパラダイムシフトが急務となっています。企業のセキュリティ担当者にとって、「パッチを当てれば安全」という前提はすでに過去のものとなりつつあります。