2026.04.10(金)
- 注目検索ワード
「フーディーを着た 10 代のハッカー」というステレオタイプは Netflix のドラマには良いかもしれないが、実際にサイバー犯罪で逮捕されて手錠をかけられているのは、宿題よりも住宅ローンに頭を悩ませている世代の方がはるかに多い。
「攻撃者がサプライチェーン攻撃を好み、それを産業化したのは、サプライチェーンへの攻撃がスケールメリットを生み、被害拡大の速度も速く、なおかつ正規の経路を使うためにバレにくいからだ。上流での単一の侵害が、今やその産業全体に波及する可能性すらある。ことがここに至ったからには、防御側はもはや『孤立した自社システムを守れば良い』などという時代遅れの考えは今日限り捨て去って、取引先、従業員の ID、外部サービスとの連携、それらすべてを『信用できないもの』として扱い始める必要がある。すべてが侵入経路なのだから」
手口としては、当該従事者が退任後の 2024 年 10 月以降に、不正取得したシステムID・パスワードを使用して鈴谷公民館多目的ホールの抽選予約に申込み、当選後に予約を取り消して空きとなったところを速やかに自らの団体で予約するという鮮やかかつ泥臭い手法で 2025 年 4 月から 2026 年 1 月利用分まで計 15 件の予約をしていたとのことだ。
ランサムウェア集団が 2025 年に稼いだ金額は約 8 億 2,000 万ドル(約 1,230 億円)で、前年比で約 8 %減少した。身代金を支払った被害者の割合に至っては過去最低の 28 %まで落ち込んだ。
この減少だけを見ればランサムウェア対策の前進のように聞こえるかもしれないが、ひとたび全体像に目を転じると希望の光など微塵も見えない。
2025 年 8 月に公開された Microsoft Web Deploy 4.0 の脆弱性を悪用するエクスプロイトコードが公開されています。
しかし求人情報にはこんなトホホな条件が書かれている。「この予算は確約ではありません。したがって当局はどれだけ仕事があるか、いくら払うかを保証できません」提示された金額から考えると、採用される C++ プログラマーは勤務時間のごく一部だけをこの仕事に充てることになりそうだ。つまり、せいぜい副業程度の扱いということだ。
日本でも「バグバウンティ」という言葉を耳にする機会が増えた。外部のセキュリティ研究者に自社製品の脆弱性を探してもらい報奨金を支払う仕組みだ。一部の先進的な企業では「レッドチーム演習」、すなわち攻撃者を模した専門チームがシステムへの侵入を試みる訓練も実施されるようになった。だが、世界のテック大手はさらにその先を行く。自社内に、自社製品を容赦なく攻撃し欠陥を暴き出す内製攻撃研究チームを抱えているのだ。控えめに言っても凄く面白そうな仕事と言わざるを得ない。
![ポーランド軍施設に中国製車両立入禁止/ドイツ鉄道 DDoS 攻撃で障害 ほか [Scan PREMIUM Monthly Executive Summary 2026年2月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/52196.jpg)
2 月には中国人民解放軍が、南シナ海の南沙諸島で中国が実効支配する永暑礁(ファイアリー・クロス礁)にサイバー空間部隊が駐屯していることを初めて公にしました。この海域には多くの海底ケーブルが通っています。そう考えると、情報封鎖戦は決して遠い話ではなく、日本にとっても現実的に警戒すべき戦術だと言えます。
トランプ大統領は記者会見で以前、次のように鼻高々で自慢していた。「ベネズエラ侵攻の夜、首都カラカスは真っ暗な闇に包まれた。我々の特別な専門技術(編集部註:サイバー攻撃による停電を示唆)で街の電気を消したからだ。暗闇の中でアメリカ軍は敵に致命的な一撃を与えた」と。
口の軽い大統領が自己の虚栄心を満たすために軍事機密をベラベラ喋ってしまったものだから、ペンタゴンも最早観念して「はいはい、うちのハッカーも頑張りました」と最初から白状するようになったのかもしれない。
冷戦後、通信衛星や気象衛星など、民間の人工衛星ビジネスが立ち上がったが、軍事衛星を上回るほどではなかった。しかし、2017 年を境に衛星の打ち上げ個数が跳ね上がる。SpaceX や OneWeb が衛星コンステレーション(多数の小型衛星を低軌道に展開し、連携させることで地球全体をカバーする衛星群)を利用した通信衛星網を構築し始めたころだ。2024 年には年間 2,700 基以上の衛星が打ち上げられている。
2025 年 11 月末に公開された React の脆弱性を悪用するエクスプロイトコードが公開されています。
我々の超高齢化したセキュリティ文字列(パスワード)をここで擁護しておくと、いま挙げた問題はいずれもパスワード固有のものではない。きちんと仕様が定められ実装されたパスワードシステムを、きちんと教育されまっとうな動機を持つちゃんとした人々が使用すれば、誰もがうらやむほどパスワードは安全だ。問題が何なのか、もう読者諸氏はお分かりだろう。そんな理想的な条件が現実世界で揃うわけがないのだ。
