2026.04.09(木)
- 注目検索ワード
Amazon は、製品のローンチ前後にペネトレーションテストを行う際に AI ツールを使用することで、40 % の効率向上を実現している。同社のセキュリティ責任者 CJ Moses 氏が明らかにした。「AI の導入により、ペンテストの効率が実際に 40 %以上向上しました」と Moses 氏は述べ、この効率向上はペンテストに関連する人件費と運営費の観点から測定されたものだと指摘した。
「フーディーを着た 10 代のハッカー」というステレオタイプは Netflix のドラマには良いかもしれないが、実際にサイバー犯罪で逮捕されて手錠をかけられているのは、宿題よりも住宅ローンに頭を悩ませている世代の方がはるかに多い。
「攻撃者がサプライチェーン攻撃を好み、それを産業化したのは、サプライチェーンへの攻撃がスケールメリットを生み、被害拡大の速度も速く、なおかつ正規の経路を使うためにバレにくいからだ。上流での単一の侵害が、今やその産業全体に波及する可能性すらある。ことがここに至ったからには、防御側はもはや『孤立した自社システムを守れば良い』などという時代遅れの考えは今日限り捨て去って、取引先、従業員の ID、外部サービスとの連携、それらすべてを『信用できないもの』として扱い始める必要がある。すべてが侵入経路なのだから」
ランサムウェア集団が 2025 年に稼いだ金額は約 8 億 2,000 万ドル(約 1,230 億円)で、前年比で約 8 %減少した。身代金を支払った被害者の割合に至っては過去最低の 28 %まで落ち込んだ。
この減少だけを見ればランサムウェア対策の前進のように聞こえるかもしれないが、ひとたび全体像に目を転じると希望の光など微塵も見えない。
しかし求人情報にはこんなトホホな条件が書かれている。「この予算は確約ではありません。したがって当局はどれだけ仕事があるか、いくら払うかを保証できません」提示された金額から考えると、採用される C++ プログラマーは勤務時間のごく一部だけをこの仕事に充てることになりそうだ。つまり、せいぜい副業程度の扱いということだ。
トランプ大統領は記者会見で以前、次のように鼻高々で自慢していた。「ベネズエラ侵攻の夜、首都カラカスは真っ暗な闇に包まれた。我々の特別な専門技術(編集部註:サイバー攻撃による停電を示唆)で街の電気を消したからだ。暗闇の中でアメリカ軍は敵に致命的な一撃を与えた」と。
口の軽い大統領が自己の虚栄心を満たすために軍事機密をベラベラ喋ってしまったものだから、ペンタゴンも最早観念して「はいはい、うちのハッカーも頑張りました」と最初から白状するようになったのかもしれない。
我々の超高齢化したセキュリティ文字列(パスワード)をここで擁護しておくと、いま挙げた問題はいずれもパスワード固有のものではない。きちんと仕様が定められ実装されたパスワードシステムを、きちんと教育されまっとうな動機を持つちゃんとした人々が使用すれば、誰もがうらやむほどパスワードは安全だ。問題が何なのか、もう読者諸氏はお分かりだろう。そんな理想的な条件が現実世界で揃うわけがないのだ。
サイバーセキュリティカンファレンス「DEF CON」は、いわゆる“エプスタイン・ファイル”に名が挙がっている 3 名について、将来の全てのイベントへの参加を禁じる追放者リストに追加した。なお、この 3 名は誰一人として刑事責任を問われているわけではない。DEF CON は「追放者リストには多くの個人が含まれるが、その多くは公表されない」としており、2017 年以降、昨年まで公式 Web サイトで公表された追放者はこれまで 6 名のみだった。繰り返しになるが、3 名全員、犯罪への関与は指摘されていない。
ある職員と AI との会話記録として提出された内容を見ると、職員からの質問は、無実を主張するものではなく、法的な抜け穴を探すことに血道を上げていた。ある会話で鉄道員はこう尋ねたとされる。「被害者が賠償を求めていない場合、誰が財務的損害を立証するのか?」「財務的損失が証明できない場合、予約システムで座席をブロックする行為はそもそも損害に当たるのか?」と ChatGPT に問いかけていた。
これらのやり取りからは、捜査が迫る中で、汚職の嫌疑をかけられた職員たちの焦燥が行間からにじみ出ている。
国防省によれば、このデジタル装備一式により、部隊は「周囲の状況と情報に関する正確な情報を受け取ることができ、誰が敵で誰が味方かをより明確に判別できるようになる」という。この装備は、国防省のプロジェクト ASGARD(北欧神話の神々の国アスガルドから命名された英国陸軍の AI 統合戦闘支援システムプロジェクト)の一環として、すでにエストニアで実戦条件下で試験運用されている。
ランサムウェア交渉を専門とする Coveware 社が Nitrogen のランサムウェアプログラムを詳細に分析したところ、プログラミングミスのせいで、この犯罪グループが提供する復号ツールでは暗号化された被害者のファイルをまったく復旧できないことが判明した。
「我々は AI エージェントをチームメンバーの延長線上、つまり拡張された従業員基盤として認識し、その対応を考える必要がある」と、ダボスのパネルで発言した Cloudflare 共同創業者兼社長のミシェル・ザトリン氏は述べた。「組織は従業員に対してゼロトラストを採用している。同じことがエージェントに対しても起こるだろう」
法律上はロシアでもサイバー犯罪は違法となっている。しかし、大きな商業的成功をおさめているサイバー犯罪グループや、サイバー犯罪者の多くがロシア国内に居住しているのも事実だ。一般的なルールは「ロシア人を標的にしない限り、地元警察は手を出さない」というものだ。
フランスのデータ保護規制当局である CNIL は、情報漏えいに起因する GDPR 違反を理由に、電気通信事業者 2 社に対して総額 4,200 万ユーロ(約 73 億円)の制裁金を科したと発表した。規制当局は、両社が 3 つの点で GDPR に違反したと述べた。すなわち「個人データを適切に保護しなかったこと」「影響を受けた人々に漏えいについて適切に通知しなかったこと」そして「データ保持に関する法律を遵守しなかったこと」である。
英国情報コミッショナー事務所( ICO )は、2022年に発生した、2 段階にわたって行われたデータ侵害事件により最大 160 万人の英国ユーザー情報が漏洩したとして、LastPass に対し 120 万ポンド(約 2 億 4,000 万円)の罰金支払いを命じた。
北朝鮮による年間の暗号資産窃取が加速しており、金正恩政権が支援するサイバー犯罪者らが 2025 年に 20 億ドル(約 3,140 億円)強相当のトークンを奪取した。これはブロックチェーン企業 Chainalysis 社の調査によるもので、同社の専門家によると、この数字は前年比 51 %増を示しており、世界全体で盗まれた暗号資産総額 34 億ドルのうち大きな割合(編集部註: 59 %)を占めている。
アクセンチュアの広報担当者は次のように述べた。「以前の公開文書で開示した通り、当社は内部レビューの後、この件を政府の注意喚起のため自発的に報告しました」
「当社は政府の調査に全面的に協力しており、今後も協力を続けます。連邦政府を含むすべてのクライアントへのサービス提供において、最高水準の倫理基準を遵守することに専念しています」
英国保険協会(ABI)によれば、2024 年に被害を受けた組織に支払われたサイバー保険の保険金は 1 億 9,700 万ポンド(約 386 億円)で、2023 年の 5,900 万ポンド(約 116 億円)から増加した。
同文書によると、2024 年時点で VMware は売上シェアの 96 %以上を占めサーバ仮想化市場を支配しており、同社が提供するような包括的機能を完全に代替できる競合他社製品は市場に存在しない。しかし Gartner は、Broadcom の施策により VMware 顧客のソフトウェアコストが 3 倍から 4 倍値上げされたことで「多くの」顧客がこの仮想化業界の先駆者への信頼を失って、現在使っているインフラや今後必要になるインフラのために、VMware 以外の選択肢を探し始めていると見ている。
デジタル権利およびサイバーセキュリティ教育の専門家であるミシェル・L 氏は、このニュースは「驚くべきことではない」とし、TryHackMe のイベント参加を承諾した男性たちが、女性の参加者がいないことについて同社に疑問を呈さなかったことを批判した。「今回の件は、残念ながらテック業界では女性の実績や貢献を無視し、女性を業界から締め出すような状況が常態化していることを示しています」と彼女は述べた。
Protonは、Data Breach Observatory をほぼリアルタイムで更新し、ダークウェブ上で発見した攻撃について、もし同サービスがなかったら明るみに出なかった侵害を公表することを目指している。この新サービスは、透明性を高めるべき時に口を閉ざしている組織を非難するためだけに立ち上げられたわけではない。Proton は Observatory が、データ侵害に最も脆弱である中小企業が危険性をより認識し、それによって間接的にセキュリティ強化につながると考えている。
