週次コラム: ランサムウェア集団による組織的詐欺と法的責任の確立 | 2026年7月19日
今週のセキュリティトレンドを分析・解説します。2026年7月19日配信。
トークスクリプト
東京セキュリティブリーフィング 週次コラム 2026年07月19日(日曜日)
オープニング
こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年07月19日、日曜日のコラム配信です。
今週のセキュリティ界隈は、複数のベクトルにおける高度な攻撃キャンペーン、エージェント型脅威の急速な進化、そして法執行機関による重大事件の判決など、セキュリティの歴史的転換点ともいえる事象が相次ぎました。注目度の高いニュースが集中しており、セキュリティ担当者にとっては極めて重要な一週間となっています。
本日のコラムでは、今週観察されたセキュリティトレンドについて、複数の情報源が同じ話題を取り上げているという点に焦点を当てて、その背景にある脅威の本質に迫ってみたいと思います。
今週のセキュリティトレンド分析
ランサムウェア集団による組織的詐欺と法的責任の確立
今週最も大きな注目を集めたのは、Scattered Spiderによるロンドン交通局への攻撃事件における判決です。ThalhaJubair氏(20歳)とOwen Flowers氏(18歳)が懲役5年6カ月の実刑判決を受けました。
このニュースが重要な理由は、単なる攻撃の摘発にとどまりません。Jubair氏はScattered Spiderの4人の主要メンバーの一人と特定され、120件以上のサイバー攻撃と47団体への恐喝に関与していたとされています。8,950万ドル相当の暗号資産が同氏が管理するアドレスに送られていたという事実は、サイバー犯罪が単なる技術的な問題ではなく、組織的かつ大規模な金融詐欺であることを示唆しています。
攻撃の規模も注視すべき点です。ロンドン交通局への攻撃では、148のシステムがオフラインに置かれ、全従業員27,000人のパスワード再設定が強制されました。経済的被害は約3,000万ポンドと報告されています。完全停止していた場合の英国経済損失は560億ポンドに達していた可能性があるという試算は、インフラ攻撃の社会的インパクトの大きさを示しています。
複数のセキュリティ企業がこの事件を報道している背景には、サイバー犯罪に対する国際的な法執行体制が確立されつつあるという認識があります。これは単なる個別事件ではなく、セキュリティ業界全体における重要なマイルストーンなのです。
Microsoft 365への多元的攻撃キャンペーンの加速
今週の記事群で特に目立つのは、Microsoft 365のユーザーを狙った複数の攻撃ベクトルの同時進行です。複数の記事がこのテーマを取り上げており、セキュリティ業界における注目度の高さを物語っています。
まず、OAuthクライアントID偽装による攻撃キャンペーンが報告されています。攻撃者が架空のクライアントIDを使用してMicrosoft Entraに問い合わせることで、有効なアカウント・パスワード組み合わせを特定する手法です。Proofpointの報告では、複数のキャンペーンで最大200万人超のユーザー情報が標的にされており、1月キャンペーンでは70万件以上の詐称IDが使用されました。さらに12月キャンペーン(2月波)では370万件の詐称ID使用が確認されています。この手法の特徴は、Microsoft Entraサインインログではアプリケーション名が空欄になることで、従来の検知を回避できるという点です。
加えて、ACR Stealerと呼ばれるマルウェアが4月下旬から6月中旬にかけて企業顧客を狙う攻撃が急増したとMicrosoftが報告しています。このマルウェアはClickFix誘導、WebDAVサーバー、MSHTA利用で配信されており、ブラウザパスワード、Cookie、認証トークン、Office365文書、OneDrive/SharePointデータなどを広範に窃取しています。
さらに、SharePointの複数の脆弱性が同時に悪用されているという報告も相次いでいます。CVE-2026-32201、CVE-2026-45659、CVE-2026-56164が既知悪用脆弱性(KEV)カタログに追加されており、実際の攻撃で悪用が確認されています。Shadowserverの追跡によれば、インターネット公開の約1万台のSharePointサーバーのうち、800台以上が少なくとも2件の脆弱性に対して未パッチ状態にあるとされています。
これらの攻撃が複数の記事で報道されている理由は明確です。攻撃者がMicrosoft 365エコシステムに対して複数のベクトルから同時にアプローチしており、認証情報窃取から権限昇格、データ盗難に至るまで、一連の攻撃チェーンを構築しているからです。
ランサムウェア活動の月間統計と The Gentlemen の急速な台頭
今週の記事群からは、ランサムウェア活動の急速な進化と競争激化が見て取れます。
統計データとしては、2026年1月から6月の間に187の政府機関がランサムウェア攻撃を受けたことが報告されており、平均で1日1件のペースで発生しています。米国が全体の31%を占め、身代金要求額の平均は10万ドルです。興味深いことに、うち89件(約半数)のみが被害を公開認定しており、報道されない事件が多く存在することが示唆されています。
最多攻撃者の顔ぶれも変動しています。The Gentlemen(10%)、Qilin(9%)、LockBit(7%)という順序ですが、The Gentlemenに関しては特別な注視が必要です。複数の記事から、The Gentlemenが3カ月間で300件の攻撃を行い、Qilinの289件を上回ったということが報告されています。この急速な成長の背景には、積極的なアフィリエイト勧誘と、使いやすくパッケージ化された侵入キットの提供があると分析されています。
具体的な事例としては、コカ・コーラの乳製品子会社Fairlifeがランサムウェア攻撃を受け、米国での生産業務を一時停止したことが報告されています。2,900万ドルの損失が見積もられています。
新型ランサムウェアの出現も報告されています。Spiralsという新種のRust製ランサムウェアが初期侵入から24時間以内にネットワーク全体への暗号化を達成するという事例が確認されています。攻撃者はMicrosoft Defenderを無効化し、バックアップ関連サービスを停止させるという、防御機構への直接的な対抗手段を採用しています。
ゼロデイ脆弱性の実悪用加速と公開後の迅速な悪用
複数の記事がゼロデイ脆弱性の実悪用について報告しており、脆弱性が公開されてから悪用されるまでの時間が極めて短縮されていることが明らかになっています。
SonicWall SMA 1000シリーズの脆弱性が実環境で悪用されている報告があります。CVE-2026-15409(CVSS 10.0のSSRF)とCVE-2026-15410(CVSS 7.2のコード実行)が組み合わせて悪用され、未認証攻撃者がWebSocketトンネルで内部サービスへアクセス後、パストラバーサルによりroot権限でコマンド実行が可能になっています。
Fortinet FortiSandboxの脆弱性CVE-2026-39808およびCVE-2026-25089も実悪用が確認されており、CISAが連邦政府機関に7月19日までのパッチ適用を義務付けています。
Microsoftも7月のPatch Tuesdayで歴史的な規模の脆弱性修正を実施しており、622件のCVE修正が公表されました。深刻度「緊急」が58件、一般公開済みゼロデイが3件(CVE-2026-56155、CVE-2026-56164、CVE-2026-50661)含まれています。このうちCVE-2026-56155(AD FS権限昇格)とCVE-2026-56164(SharePoint権限昇格)は既に実悪用が確認されています。
OpenSSLの「HollowByte」という新しいDoS脆弱性についても報告がなされており、わずか11バイトのペイロードでサーバーメモリを枯渇させることが可能とされています。
AIエージェント型脅威の進化と権限ロンダリングの危険性
今週の複数の記事がAIエージェント型脅威の急速な進化について指摘しており、この領域はセキュリティ業界における最大の新興脅威となりつつあります。
ロシアの脅威アクター「bandcampro」がGoogle Gemini CLIをハッキング用エージェントに転用し、わずか6分でC2サーバーの移行を完了させたという事例が報告されています。AIはハッカーの指示にほぼ従い、複数の設定変更やセキュリティ対策の迂回を自動化していたとされています。
中国系の脅威アクターがClaude CodeおよびDeepSeek-v4-proを実際の侵入活動に組み込み、アフガニスタン、タイ、台湾の政府システムを標的にしていたことも報告されています。Claude Codeはコマンド実行とセッション維持を、DeepSeek-v4-proは攻撃ロジック構築を担当していたとされています。
複数の記事が「権限ロンダリング」という概念について言及しており、これは信頼できない入力をAIが認可された行動に変換することで、検知を回避しつつ不正な命令を実行させる攻撃手法です。エンタープライズセキュリティが従来対応してこなかった新たな脅威ベクトルとして認識されています。
ClickLockとClickFixの継続的進化
複数の記事がmacOS向けの新型マルウェア「ClickLock Stealer」について詳細に報告しており、ソーシャルエンジニアリング手法の極度な洗練を示しています。
このマルウェアはユーザーにターミナルへコマンドを貼り付けさせるClickFix手口を通じて配布され、パスワード入力を強要する仕組みが特徴です。システムが使用不能になるまで主要アプリを210ミリ秒ごとに強制終了させるという、極めて執拗な手法が採用されています。2026年5月から33カ国で100人以上が被害に遭っており、大半は欧州に集中しているとされています。
同様にClickFixを使用したマルウェア配布キャンペーンがTELEPUZ、OkoBot、MacSync Stealerなど複数報告されており、この手法の汎用性と有効性が確認されています。
今後予想されるリスクと対策
Microsoft 365環境での多層的防御の強化
Microsoft 365を標的とした攻撃が複数のベクトルで同時進行しているため、単一の防御策では対応が不十分です。組織は以下の施策を並行して実施する必要があります。
まず、Microsoft Entra IDレベルでの異常検知の強化が必須です。記事で報告されているOAuthクライアントID偽装攻撃は、サインインログの「アプリケーション名」が空欄になるという特徴的なシグネチャを示しています。このシグネチャに対する具体的な監視ルール構築が重要です。
次に、SharePoint環境における脆弱性管理が焦緊の課題です。記事では、インターネット公開の約1万台のSharePointサーバーのうち、少なくとも800台が複数の既知脆弱性に対して未パッチ状態にあることが報告されています。パッチスケジュールの大幅な短縮と、段階的展開による検証の迅速化が必要になります。
ACR Stealerのような認証情報窃取マルウェア対策としては、エンドポイント検知・対応(EDR)ツールの高度な設定が必要です。記事で報告されているWebDAVサーバーやMSHTA利用による配信パターンに対する具体的な検知ルールの構築が急務です。
ランサムウェア対策における予防と即応体制の二元化
ランサムウェア活動が月間187件(政府機関のみ)という規模に達しており、The Gentlemenなど新興グループの成長速度が加速している現状では、従来の対応では追いつきません。
予防段階では、初期侵入ベクトルの大幅な限定が必要です。複数の攻撃キャンペーン分析から、認証情報窃取、弱いVPN認証、未パッチシステムの悪用が共通パターンとして確認されています。これらのベクトルに対する集中的な対策を講じるべきです。
即応体制としては、バックアップの完全な物理的隔離、ネットワークセグメンテーション、定期的な机上訓練の実施が記事で言及されている対策です。Spiralsの事例から、攻撃者がバックアップサービスを明示的に停止させるという行動パターンが確認されており、これに対する具体的な検知・防御メカニズムが必要です。
ゼロデイ脆弱性への時間軸短縮対応
脆弱性が公開されてから悪用されるまでの時間が極度に短縮されています。複数の記事が「公開から数日で悪用」というパターンを報告しており、従来の週単位のパッチ管理スケジュールでは対応が不可能になりつつあります。
CISAが連邦政府機関に「3~7日以内」のパッチ適用を義務付けている事実は、セキュリティ業界全体における新たなベースラインの形成を示唆しています。仮想パッチ、マイクロセグメンテーション、リアルタイム監視を組み合わせた「パッチ適用までのつなぎ戦略」が必須要件となっています。
記事で報告されているSonicWall、Fortinetの事例から、ゼロデイ脆弱性でも特定のシグネチャ(SSRFペイロードの特徴、コマンドインジェクション試行パターン)を用いた検知が実現可能なことが示唆されています。
AIエージェント型脅威への原理的対抗
複数の記事がAIエージェントを悪用した攻撃について報告しており、この脅威カテゴリー全体に対する新たな防御哲学が必要です。
記事で「権限ロンダリング」として言及されている概念は、エージェント型AIが生成した指示が無検証で実行される危険性を指しています。従来のシグネチャ型検知や機械学習型異常検知では対応が困難です。
具体的な対抗手段としては、記事で報告されている「コンテキスト・ボミング」という防御手法が参考になります。モデルの安全ガードレール発動を促す埋め込みテキストでAIエージェント攻撃を阻止する研究が進んでいます。
また、記事で報告されている「NadMeshボットネット」の事例から、AI・MCPインフラを標的とした20以上のRCE攻撃経路が存在することが判明しています。これらの攻撃ベクトルに対する継続的な可視性確保と監視が必要です。
セキュリティ担当者へのアドバイス
経営陣への報告ポイント
今週のトレンドから、経営層に対してすべきコミュニケーション項目は明確です。
まず、Scattered Spiderの判決事例を通じて、サイバー犯罪に対する法的責任が国際的に確立されつつあるという点を強調すべきです。これはセキュリティ投資がコンプライアンス要件から事業継続性の根幹へシフトしていることを意味します。
次に、ロンドン交通局の事例における「完全停止していた場合の英国経済損失560億ポンド」という試算は、インフラ脅威が単なるIT問題ではなく国家レベルの経済脅威であることを示しています。この観点から、セキュリティ予算の経営判断基準が従来のコスト最小化から事業継続価値の最大化へシフトすべき段階にあることを提示すべきです。
ランサムウェアについては、月間187件(政府機関のみの統計)という活動規模と、The Gentlemenなど新興グループの急速な成長が、業界全体における重大な脅威進化を示していることを説明すべきです。
セキュリティチーム内部での優先順位付け
複数の高度な脅威が同時進行している状況では、限定されたリソースをどこに集中すべきかの判断が極めて重要です。
Microsoft 365環境を使用している組織については、OAuthクライアントID偽装、ACR Stealer、SharePoint脆弱性の3つが優先順位の上位を占めるべきです。これらの脅威は複数のセキュリティ企業が同時に報告しており、攻撃キャンペーンの規模が確認されています。
エンドポイントセキュリティについては、ClickLockのようなmacOS向け脅威が新興段階にあることを認識し、既存のWindows中心の対応体制の拡張を検討すべきです。
ゼロデイ脆弱性への対応については、従来の週単位のパッチスケジュールが機能しなくなっていることを受け入れ、3~7日単位での対応体制の再構築が必要です。具体的には、影響度評価、段階的適用、検知ルール先行実装のプロセスを並行実施する仕組みが必須になります。
監視指標の再定義
記事から読み取れる新たな脅威環境では、従来の監視指標が陳腐化しています。
Microsoft環境におけるサインインログの「アプリケーション名が空欄」というシグネチャ、SonicWallやFortinetにおけるSSRFペイロードのパターン、Spiralsが採用するバックアップサービス停止操作など、各脅威カテゴリーごとに具体的なシグネチャが報告されています。
これらの報告を即座にSIEM、EDR、クラウド検知プラットフォームに組み込むことで、業界全体における平均的な検知能力の底上げが実現可能です。
クロージング
今週のセキュリティ動向を振り返ると、いくつかの重要な転換点が同時進行していることが明らかになります。
第一に、Scattered Spiderの判決に象徴されるように、サイバー犯罪に対する法的責任が国際的に確立されつつあります。これは単なる法的変化ではなく、セキュリティの社会的位置づけが変わっていることを示しています。
第二に、Microsoft 365への複数ベクトル攻撃、ランサムウェア活動の急速な拡大、ゼロデイ悪用の時間軸短縮という三つの脅威進化が、企業セキュリティの根本的な再構築を要求しています。
第三に、AIエージェント型脅威の登場により、従来のシグネチャ型防御では対応が不可能な攻撃領域が形成されつつあります。
セキュリティ担当者の皆様にとって今週のメッセージは明確です。対応可能な脅威から対応困難な脅威への転換が進んでおり、予防・検知・対応の各段階における能力の総合的強化が急務です。
来週も引き続き、セキュリティ動向にご注目ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。