Black Kiteの2026年金融サービス報告：金融機関と投資会社を対象としたサイバーセキュリティ危機の拡大を警告

Black Kiteの新しい報告書によると、金融部門はサイバーリスクのより危険な段階に入りつつあり、従来のランサムウェア攻撃と急速に拡大するサードパーティの脆弱性が「双子の嵐」と呼ばれるものに収束している。同社の新しく発表された「2026年金融サービス報告：ランサムウェアとベンダー生態系リスクの双子の嵐」では、Black Kiteの研究チームは、金融機関が同時に直接のランサムウェア攻撃の復活とベンダーやサービスプロバイダーを通じた脆弱性の増大に直面していることを発見した。

報告書は、2023年1月から2026年第1四半期までに収集されたランサムウェアインテリジェンスと、Black Kiteが監視している17,000以上のベンダーの分析に基づいており、そのうち140社は金融サービスに重点を置いた顧客ベースを持っている。調査結果は、ランサムウェア攻撃が再び増加している一方で、ベンダーの脆弱性も急速に拡大していることを示唆している。

ランサムウェアが一時的な休止後再び現れる

金融機関は2024年にランサムウェア活動の一時的な減少を経験したが、これは主にLockBitやClopなどの主要なランサムウェアグループを標的にした国際的な法執行機関の作戦によるものであった。ただし、Black Kiteの調査によると、この減少は短期間で終了した。

金融機関を標的にしたランサムウェア事件は、2024年に156件から2025年に202件に増加し、30%の増加を示した。増加は2026年にも続いており、第1四半期だけで65件のランサムウェア事件が記録された。これは、2025年同期比で76%の増加である。

ランサムウェアオペレーターは姿を隠さずに再編成された。金融部門を標的にする脅威グループの数は、2023年に37から2024年に45に増加し、2025年には48に達した。新しいリーダーが登場し、Qilin、Akira、Kill Securityが金融機関を標的にする最も活発なグループとなった。Qilin aloneは、過去1年間に金融部門で59件の事件を引き起こした。

投資会社が主な標的となる

報告書で記載されている変化の一つは、ランサムウェアの被害者のプロファイルの変化である。

2023年には、銀行が最も標的にされた金融サブインダストリーであり、71件の事件が報告された。一方、投資会社は44件の事件を記録した。2025年までに状況は逆転し、投資会社が最も標的にされたセグメントとなり、84件の事件が発生し、金融部門のランサムウェア開示の41.6%を占めた。銀行の事件は36件に減少した。

報告書によると、このシフトの背後にある重要な要因は、2025年9月に韓国の資産運用会社に対して行われたキャンペーンであった。このキャンペーンは32件の開示を生み出し、同年投資管理セグメントで記録されたランサムウェア事件の38%以上を占めた。

攻撃の地理的分布も、特定のキャンペーンがどのように集中するかを示している。アメリカ合衆国は研究期間中ずっと最も標的にされた国であり、韓国は大規模なサプライチェーンの妥協により数十の金融機関に影響を及ぼしたため、重要なホットスポットとなった。

ベンダーのリスクが直接攻撃よりも急速に拡大

ランサムウェアのヘッドラインはしばしば個々の機関に対する攻撃に焦点を当てているが、Black Kiteは、ベンダーのエコシステムが同等の重要性を持つリスク源であると主張している。

報告書は、2025年9月に韓国のマネージドサービスプロバイダーが妥協された事件を強調しており、これにより28の金融機関が影響を受け、2テラバイト以上のデータが盗まれた。研究者は、この事件を、単一のセキュリティ侵害が全セクターにわたる体系的な結果をもたらすことができる例として説明している。

金融機関をサポートするベンダーの脆弱性プロファイルは急速に悪化している。140のベンダーの中で、CVSSスコアが9以上の крит的な脆弱性を持つベンダーの数は、2024年に15から2025年に73に増加し、4.9倍の増加となった。スコアが8以上の高重度脆弱性を持つベンダーの数は、2024年に31から2025年に87に増加した。

研究者はまた、CISAの既知の脆弱性カタログにリストされている脆弱性を少なくとも1つ持つベンダーが54%存在することを発見した。これは、攻撃者がすでに現実の攻撃でこれらの弱点を活用していることを意味する。

パッチ管理の失敗が広く残っている

報告書で指摘されている多くの弱点は、ゼロデイ脆弱性ではなく、組織が解決しようとしている長期的なセキュリティ問題である。

140のベンダーの中で、109の組織（78%）が少なくとも1つの重大なパッチ管理の失敗を示した。メール認証システムの誤構成も一般的であり、47のベンダーがDMARCレコードを誤構成し、37のベンダーがDKIMの実装を誤構成していた。

報告書はさらに、ベンダーのエコシステム全体におけるセキュリティの衛生状態の問題を発見した。金融に焦点を当てたベンダーの約18%が、パブリックソースに漏洩した資格情報を持ち、42%以上のベンダーが資格情報がスチーラーログに表示されることを示した。研究者はまた、ベンダーの重要な部分でフィッシングインフラストラクチャのインジケーター、悪意のあるIP通信、ボットネット感染を特定した。

脆弱性の爆発が始まる

調査結果は、組織が急速に増加する新しく発見されたソフトウェア脆弱性に直面している時期に発表された。

報告書によると、2025年には全球で48,000以上のCommon Vulnerabilities and Exposures（CVE）が公開され、前年比で18%の増加となった。Black Kiteの研究者は、サードパーティのサプライチェーンリスクとして優先される脆弱性を1,240件特定し、2024年比で59%の増加となった。

報告書は、人工知能がこの傾向を加速する可能性があると主張している。人工知能支援の脆弱性発見ツールは、セキュリティの欠陥を特定する速度を高めており、人工知能システム自体が新しい攻撃面を生み出している。したがって、金融機関は、従来のリスク管理プロセスでは対応できないほど大規模で迅速な脆弱性のストリームに直面することになる。

金融のサイバーセキュリティはサプライチェーン問題になる

Black Kiteの「2026年金融サービス報告」の中心的な結論は、金融機関がサイバーセキュリティを単に内部防御の観点から見ることはできなくなったというものである。報告書の分析は、ランサムウェア活動が再び増加しているのと同時に、ベンダーのエコシステムが急速に脆弱性を増大させていることを示している。金融に焦点を当てたベンダーの重大な脆弱性は急増し、エクスプロイトのタイムラインは縮小し続け、単一の妥協されたサプライヤーが同時に数十の機関に影響を及ぼすことができる。

報告書によると、耐性は、組織が内部環境と拡張されたサプライチェーンの両方で、リスクを継続的に特定、優先順位付け、対応できる能力に依存するようになる。ソフトウェア、サービスプロバイダー、外部のインフラストラクチャに基づく業界では、サードパーティのリスク管理はコンプライアンスの問題ではなく、金融部門のセキュリティの基本的な構成要素になっている。Black Kiteの調査によると、金融機関は内部環境と拡張されたサプライチェーンの両方でリスクを管理する必要性に直面している。