MandiantのM-Trends 2026レポートが、セキュリティ業界に衝撃を与えています。2026年に公開されたCVE(共通脆弱性識別子)のうち28.3%が、パッチ公開から24時間以内に実際の攻撃に悪用されていることが明らかになりました。脆弱性開示から悪用までの時間が「ほぼゼロ」となる「負の悪用期間」が常態化しつつあり、AIを活用した攻撃ツールの普及がその主要因として指摘されています。
Mandiantによると、従来の「パッチを当てるまでに数日から数週間の猶予がある」という前提が崩壊しつつあります。AIツールの普及により、攻撃者は脆弱性情報が公開されると同時に自動的に悪用コードを生成・展開できるようになりました。特にゼロデイ脆弱性の悪用においては、開示前後を問わず攻撃が行われる「負の悪用期間」が確認されており、防御側が対応する時間的余裕が消滅しています。AIを活用した攻撃ツールの「民主化」により、高度な技術を持たない攻撃者でも洗練された攻撃を実行できる環境が整いつつあります。
セキュリティ専門家からは「パッチ管理の従来モデルが崩壊した」という声がX上で相次ぎ、継続的な脆弱性モニタリングとAIによる防御の必要性を訴える投稿が拡散しました。Hacker Newsでは「28.3%が24時間以内に悪用される」という数字への衝撃から、ゼロトラスト(Zero Trust)アーキテクチャとAI防御ツールについての実践的な議論スレッドが人気を集めています。Redditのセキュリティ系コミュニティでも「SOCチームの対応能力の限界」についての真剣な意見交換が活発に行われました。
企業のセキュリティチームには今後、リアルタイムの脅威インテリジェンスとAIを使った自動防御の組み合わせが不可欠となります。パッチ適用を人手で管理するだけでは追いつかない速度で攻撃が進化しており、AIで攻撃する側とAIで守る側の競争は、2026年にいよいよ本格化しています。