Digital.ai(デジタルエーアイ)の報告によると、2026年には監視対象の顧客向けアプリケーションの87%が攻撃の標的となり、2022年の55%から大幅に増加した。この増加は、ソフトウェアの悪用に必要な時間、コスト、専門知識を劇的に不要にしたエージェント型AIの進歩によるものだと分析されている。
「2026年版アプリケーションセキュリティー脅威レポート」では、5年間で55%→57%→65%→82.7%→87%という明確な推移が示されており、2022年後半以降の主要なAIモデルのリリースと密接に連動していることから、アプリケーションセキュリティーの状況に構造的な変化が生じていることが示唆されている。レポートでは、AIを活用したコード検査、エクスプロイト生成、マルウェア適応によって、かつては専門チームと数週間の労力を要したタスクを、LLMサブスクリプションを利用することで、わずか半日で完了できるようになったと説明されている。
2025年第4四半期に数十億のアプリケーションインスタンスから収集されたリアルタイム脅威テレメトリーによると、アプリが公開マーケットプレースに公開されてから最初の攻撃を受けるまでの時間が数時間にまで短縮されていることが明らかになった。監視対象のエンタープライズアプリケーションの一つは、アプリストアに公開されてから2時間以内に攻撃を受けた。これは、より広範なデータセットで確認されたパターンと一致している。
モバイルアプリは、企業のファイアウォールの外側、セキュリティーチームが管理していないデバイスやネットワーク上で動作するため、主要なエンタープライズ攻撃対象領域として特定された。レポートでは、モバイルアプリケーションのリバースエンジニアリングによってバックエンドAPI、認証ロジック、サーバーインフラストラクチャーが露呈し、侵害されたクライアントアプリが顧客データ、トランザクション、基幹業務システムへのゲートウェイとなる可能性があることを強調している。
レポートによると、iOSとAndroidの攻撃率が初めて収束した。2026年には、iOSアプリの攻撃率は86%、Androidアプリは89%となり、これまで21ポイントあった差が縮まった。報告書は、iOSのインストルメンテーション攻撃が1年間で10パーセントポイントも急増したことを指摘し、これは両プラットフォームにおけるあらゆる攻撃タイプの中で過去最大の年間増加率であると述べた。また、iOSセキュリティーへの投資を低く抑えるという長年の予算上の前提は、もはやデータと乖離していると指摘した。
セクター別の調査結果では、規制対象業界全体でリスクが高まっていることが明らかになった。金融サービスと自動車業界はともに2026年に91%の攻撃率を記録し、これは報告書が発表した業種別の中で過去最高の数値である。医療機器アプリケーションは、対象セクターの中で最大の年間増加率を記録し、78%から86%に上昇した。報告書は、この分野における侵害が、通常のデータ漏洩にとどまらず、患者への被害につながる可能性があると警告している。
調査方法の詳細では、報告書の知見は、金融サービス、ヘルスケア、自動車、通信、その他の規制対象業界にわたる数十億人のユーザーを対象とした、独自のアプリケーション強化テレメトリデータに基づいていると説明されている。今回の調査結果の根拠となったデータセットは、企業が管理していないデバイスやネットワーク上で本番環境で観測されたクライアントサイドおよびランタイム攻撃から収集されたもので、公開情報、ベンダー調査、脅威インテリジェンスフィードからは再現できないとされている。
Digital.aiのCEOであるDerek Holt氏は、この問題をアプリケーションセキュリティーチームにとってのジレンマとして捉えている。開発を加速させるAIツールは同時に攻撃者をも助長しており、アプリケーションが公開ストアにリリースされた瞬間から防御策を講じるべきか、それとも遅延検出に頼り続けるべきかという決断を迫られているのだ。Holt氏は、監視対象アプリの87%が攻撃を受けている現状では、アプリケーションセキュリティーへの投資において受動的なアプローチはもはや通用しないと述べている。
出典:Digital.ai
この製品の詳細については、Digital.ai製品ページをご覧ください。
