東京セキュリティブリーフィング 週次コラム 2026年03月01日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年3月1日日曜日の配信です。

今週も世界各地でセキュリティ関連のニュースが相次ぎました。特に注目すべきは、人工知能が攻撃側で活用されるケースがますます増加していること、そして国家的背景を持つ脅威グループが多様な手口で企業や組織に狙いを定めている状況です。さらに、基本的なセキュリティ設定の不備が大規模な侵害につながる事例も目立ちます。本日のコラムでは、こうしたトレンドを詳しく分析してまいります。

今週のセキュリティトレンド分析

AI駆動型攻撃が急速に進化—年89%増加で企業の対応が追いつかず

今週最も注目すべきニュースは、AI駆動型攻撃の急速な増加です。CrowdStrike Global Threat Reportによると、2025年のAI駆動型攻撃は前年比89%の増加を記録しました。これは単なるパーセンテージではなく、攻撃の質と量の両面での悪化を意味しています。

特に懸念されるのは、平均的なブレークアウト時間です。組織内に侵入した攻撃者がネットワーク内を移動し、貴重なデータや機密情報へのアクセスを得るまでの時間は、わずか29分という驚くべき速さになりました。これは前年比で65%の高速化です。最速の場合、わずか27秒でネットワーク内を移動し、初期アクセスからわずか4分でデータの流出を開始する事例も報告されています。

攻撃者たちがAIを活用することで何が実現されているのか。彼らはLLMやその他の生成AIツールを使用して、フィッシングメールの自動生成、マルウェアコードの開発支援、攻撃スクリプトの自動生成を行っています。これにより、高度な技術能力を持つグループだけでなく、技術水準が限定的な攻撃者集団でも大規模なキャンペーンを展開することが可能になりました。一度攻撃プレイボックが確立されると、その再利用と拡張は自動化されやすくなるのです。

弱パスワード設定が600台以上のファイアウォール侵害に—ロシア語話者のAI活用キャンペーン

次に紹介するのは、ロシア語を話す脅威アクターグループによるFortiGateファイアウォール大規模侵害キャンペーンです。2026年1月11日から2月18日の約5週間の間に、55カ国以上で600台を超えるFortiGateファイアウォールが侵害されました。

この攻撃の特徴は「脆弱性悪用ではなく、弱いセキュリティ設定の悪用」であるという点です。攻撃者たちは高度な技術的エクスプロイトを使用せず、代わりに基本的なセキュリティ設定を狙いました。具体的には、ファイアウォール管理インターフェースがインターネットに露出している場合、デフォルトまたは弱いパスワードでブルートフォース攻撃を実行するという、きわめてシンプルな手法です。

しかし、驚くべき点はここからです。攻撃者たちは「商用生成AIツール」を使用して、偵察スクリプト、認証情報ブルートフォース用スクリプト、横展開用スクリプトをすべて自動生成していました。つまり、個々の攻撃者の技術能力は比較的限定的であっても、AI支援により大規模キャンペーンが可能になったわけです。AWSセキュリティ研究チームは、この攻撃グループが強化されたセキュリティ環境に直面するとすぐに粘り強い対応を放棄し、より弱いターゲットに移行する学習パターンを観察しています。つまり、攻撃効率を最大化するため、すぐに別のターゲットを探す動作パターンが見られたということです。

LLMが生成するパスワードは危険—エントロピー分析で深刻な脆弱性が判明

パスワードセキュリティの領域で、重大な問題が報告されています。Claude、ChatGPT、Geminiといった大規模言語モデルが生成したパスワードは、複雑に見えるものの、実際のエントロピーは極めて低いということが分析で判明しました。

記事によると、期待される安全なパスワードのエントロピーは98〜120ビット程度が目安です。しかし、LLMが生成したパスワードの実際のエントロピーは、わずか20〜27ビット程度に過ぎません。これは、見かけよりもはるかに予測しやすく、ハッカーがブルートフォース攻撃で数時間以内に破られる可能性があるということを意味しています。

根本的な問題は、LLMが「予測可能で反復可能なテキスト生成」に最適化されているという設計上の特性にあります。安全なパスワード生成には、真のランダム性が必須ですが、LLMはそのような出力を生成するようには訓練されていません。さらに問題を複雑にしているのは、GitHubなどのオープンソースプラットフォームには、LLMが生成したパスワードの例が広く公開されており、攻撃者の辞書攻撃に利用される恐れがあるということです。専門家たちは、開発者がエージェント型AIを使用する場合、パスワード生成には必ず専用の暗号学的に安全な乱数生成器（CSPRNG）を強制すべきだと警告しています。パスキーやパスワードマネージャーの利用がより安全な選択肢として推奨されています。

北朝鮮が西側企業のリモート職を乗っ取り—盗まれた身元と多層プロキシによる巧妙な詐欺

セキュリティ脅威の深刻さを示すもう一つの事例は、北朝鮮関連の工作員が西側企業のリモート職に侵入する詐欺キャンペーンです。盗まれた個人情報を使用して、北朝鮮の工作員が正当な従業員になりすまし、機密コードベースや企業インフラへのアクセスを確立しています。

攻撃者たちは居住用IPアドレスと複数段階のプロキシを組み合わせることで、地理的フェンシング技術を巧妙に回避しています。これにより、標準的なIAM（Identity and Access Management）システムやEDR（Endpoint Detection and Response）ツールを突破することに成功しているのです。制裁回避リスク、知的財産の盗出、ネットワーク侵害が主要な懸念事項となっています。複数の記事で言及されているこのキャンペーンは、地政学的な脅威がサイバーセキュリティの領域でいかに現実化しているかを示す典型的な事例です。

ランサムウェア脅威の多様化—業界を問わない大規模侵害が相次ぐ

ランサムウェア攻撃も多様化・増加しています。報告されている事例を見ると、金融機関から医療、製造業に至るまで、業界横断的に被害が広がっています。

ShinyHuntersはWynn Resortsを侵害し、80万件を超える従業員レコード（氏名、メール、電話番号、給与、生年月日等）を盗出しています。Qilinランサムウェアグループはニューヨークの公営交通労働組合Local 100を侵害し、41,000人の労働者と26,000人の退職者の個人識別情報をダークウェブにリークしたと主張しています。

さらに、日本の半導体検査装置サプライヤーであるAdvantestも2月15日にランサムウェア攻撃を検出しシステムを隔離しており、調査が継続中です。また、ミシシッピ州最大の病院グループも2月19日のランサムウェア攻撃により、電子カルテを含むシステムをオフラインにしています。

ランサムウェア攻撃者たちは、従来のただ単にデータを暗号化する戦術から、「二重脅迫」戦略にシフトしています。つまり、データを暗号化した上で、盗み出した個人情報やビジネス情報をダークウェブで公開するか、組織に身代金を支払わせるという脅迫戦術です。身代金が支払われない場合でも、盗出したデータが露出するという二重の脅威があります。

地政学的脅威と国家背景グループの動向

ロシア、中国、北朝鮮といった国家背景を有する脅威グループの活動も活発化しています。APT28（Fancy Bear）はロシア系グループとして、「Operation MacroMaze」という精密なスピアフィッシングキャンペーンを実行しています。マクロ付きのWordドキュメントを使用しながら、基本的なツール（バッチファイル、VBSランチャー、HTML）を組み合わせることで、高度なステルス性を実現しています。

北朝鮮のLazarusグループは、Medusaランサムウェアを米国ヘルスケア機関に対して展開しており、複数セクターへの広がりが報告されています。ウクライナは、ロシアのサイバー攻撃がシステム停止ではなく、施設マッピング、修理班追跡、復旧速度評価といった情報収集に焦点を移行させ、その後のミサイル攻撃と相乗効果を生み出していることを報告しました。つまり、サイバー攻撃と物理的攻撃の統合戦略が採用されているわけです。

今後予想されるリスクと対策

AI駆動型攻撃への対抗策—従来のセキュリティモデルでは対応不十分

平均29分というブレークアウト時間の短さは、従来の「インシデント検知→分析→対応」というモデルの限界を示しています。検知から対応開始までにすでに侵害が深刻化している可能性があります。

記事に基づくと、セキュリティ担当者が採るべき対策は、検知・対応の自動化とスピードアップです。AI駆動型攻撃に対抗するには、同じくAI駆動型の検知・対応メカニズムが必須です。また、認証情報盗出や初期アクセスの段階で脅威を検知・阻止することが重要です。多要素認証（MFA）の実装はもはや必須であり、単なる推奨ではなく、最小限の防御ラインとして位置づけるべきです。

ファイアウォール・ネットワーク機器の設定強化

Fortigate侵害キャンペーンが示すように、高度な脆弱性利用ではなく、基本的なセキュリティ設定の不備が大規模侵害につながっています。

記事の指摘に基づけば、組織が取るべき対策は以下の通りです。第一に、ファイアウォール管理インターフェースをインターネットに直接露出させてはいけません。必要な場合はVPN経由の限定的なアクセスに限定します。第二に、管理アカウントのパスワード設定を厳格にします。デフォルトパスワードやシンプルなパスワードの使用は絶対に避けるべきです。第三に、定期的なセキュリティ設定の監査を実施し、ミスコンフィギュレーションを早期に発見します。

パスワード管理戦略の転換

LLMが生成したパスワードの危険性が明らかになった今、組織のパスワード管理戦略の見直しが急務です。

記事の分析に基づけば、以下の対策が推奨されます。第一に、LLMに任意のパスワード生成を委ねるべきではありません。第二に、信頼性の高いパスワードマネージャーの導入を積極的に推進すべきです。これらのツールは暗号学的に安全な乱数生成を実装しています。第三に、技術的に可能な環境では、パスキー等の新しい認証方式への移行を検討すべきです。パスキーは従来のパスワード認証よりもはるかに安全です。

AI開発環境におけるセキュリティ強化

記事では、AIが攻撃スクリプト生成に使用されていることが明記されています。同時に、AI開発環境やAI駆動型開発ツール自体がセキュリティリスクになる可能性も指摘されています。

対策として、記事に基づけば、組織は以下の点に注意する必要があります。第一に、AI開発ツール（例えばCopilotやその他のAIアシスタント）を使用する場合、セキュリティ機密情報がプロンプトに含まれていないか厳重に管理する必要があります。第二に、AI生成コードに対する人間によるセキュリティレビューは必須です。第三に、AIツールの使用ポリシーを組織内で明確に定めるべきです。

ランサムウェア対策—特にデータ保護と復旧計画の重要性

記事で報告されている多くのランサムウェア事例から、以下の対策が重要であることが分かります。

第一に、定期的なバックアップの実施と、バックアップシステムの隔離が重要です。記事では、複数の病院がシステムをオフラインにして復旧作業を進めているケースが報告されており、適切なバックアップ戦略があれば復旧が容易になります。第二に、身代金支払い前のリスク評価の実施が言及されています。記事では、ミシシッピ大学メディカルセンターがシステム復旧前のリスク評価を実施予定と述べられています。第三に、従業員への継続的なセキュリティ意識トレーニング、特にフィッシング対策が重要です。多くのランサムウェア感染は初期段階でフィッシングメール経由の初期アクセスから始まります。

ジオフェンシング・アイデンティティ検証の強化

北朝鮮IT労働者詐欺の報告から、単なるジオフェンシングやIPアドレス確認では不十分であることが明らかになっています。

対策として、記事に基づけば、組織は多層的なアイデンティティ検証を実施する必要があります。リモート従業員のオンボーディング時に、物理的身元確認、複数の情報源による背景調査、継続的な行動分析監視などが重要です。また、機密コードベースへのアクセス権限は、必要最小限の原則に基づいて付与し、定期的に監査する必要があります。

セキュリティ担当者へのアドバイス

経営層への報告ポイント—スピード、自動化、基本設定

今週のニュース動向から、セキュリティ担当者が経営層に説明すべき重要なポイントは以下の通りです。

第一に「検知から対応までの時間の短縮」が競争上の優位性になるという点です。平均29分というブレークアウト時間の短さは、従来のセキュリティ対応フレームワークでは対応不可能であることを示しています。自動化とAI駆動型検知・対応への投資が必須であることを説明すべきです。

第二に「基本的なセキュリティ設定の徹底」がコスト対効果に優れているという点です。Fortigate侵害キャンペーンから分かるように、高度な脆弱性利用ではなく、基本的なセキュリティ設定不備が大規模侵害につながっています。つまり、基本設定を徹底することで、かなりの攻撃を防ぐことが可能なのです。

第三に「AI関連リスク」への注視と対策強化です。AI駆動型攻撃が89%増加している状況下では、攻撃者側はすでにAIを活用していることを前提に防御を構築する必要があります。同時に、社内のAI利用ガイドラインの策定と運用も急務です。

業界別・組織規模別の対応フォーカス

記事から、業界によってリスク優先度が異なることが明らかになっています。

医療機関や金融機関、重要インフラ関連企業は、ランサムウェア攻撃の優先ターゲットであることが確認されています。これらの組織は、より強固なバックアップ戦略、インシデント対応計画の整備が重要です。

製造業・サプライチェーン企業は、知的財産盗出リスクが高いため、データ分類・管理、アクセス制御の強化が特に重要です。

リモートワークを活用する技術企業は、北朝鮮IT労働者詐欺のような身元偽装リスクに対する対策強化が重要です。

継続的な監視と情報収集

セキュリティ担当者は、記事で報告されているトレンドを継続的に監視する必要があります。特に、自組織の環境で使用しているソフトウェア・機器が攻撃対象になっていないか、脆弱性が報告されていないかの確認が重要です。記事では、複数の重大脆弱性が報告されており、それらを放置することは重大なリスクになります。

クロージング

本日の週次コラムでは、AI駆動型攻撃の急速な進化、ロシア語話者グループによるFortigate大規模侵害、LLM生成パスワードの危険性、北朝鮮IT労働者詐欺、ランサムウェア脅威の多様化などの重要なトレンドを分析してきました。

これらのニュースから分かることは、セキュリティの脅威環境が急速に変化しているという点です。AI駆動型攻撃により、従来のセキュリティモデルの限界が明らかになり、基本的なセキュリティ設定の重要性があらためて確認されました。同時に、国家背景を有する脅威グループの活動も増加・多様化しており、組織全体での継続的なセキュリティ強化が必須です。

セキュリティ担当者、経営層、そして全従業員が連携して、検知・対応の高速化、基本設定の徹底、継続的なスキルアップに取り組むことが、2026年のセキュリティ脅威に対抗するための鍵になるでしょう。

東京セキュリティブリーフィングでした。また次回お会いしましょう。