2026.05.01(金)
- 注目検索ワード
CISA は今年、数百万ドルの資金と職員の約 3 分の 1( 1,000 人近く)を失った。その中には、ランサムウェア攻撃を事前に警告するプログラムを 1 人で運営していたデイビッド・スターン氏も含まれる。同氏は 2022 年後半から 2025 年後半までの間に 4,300 以上の組織に事前警告を送信し、約 90 億ドルの経済的損失を防いだ。CISA に 10 年以上勤務した同氏は、政権の人員削減方針により昨年末に事実上追い出され、12 月に辞職した。
2026 年 1 月に、n8n に存在する複数の脆弱性を悪用するエクスプロイトコードが公開されています。
3 月に最も件数換算の被害規模が大きかったのは、株式会社穴吹ハウジングサービスによる「穴吹ハウジングサービスへのランサムウェア攻撃、約 496,000 名分の個人情報が漏えいした可能性を否定できず」の約 496,000 名だった。あともう少しで政令指定都市(人口 50 万人以上)に手が届く膨大な数字で、筆者はこんな人口の多い自治体に住んだことは一度もない。
トップ 3 の「稼ぎ頭」はすべて FBI が「サイバー活用型詐欺」と分類するカテゴリーに属する。これはインターネットやその他の「新しい」技術を使って「古典的」詐欺を実行するものだ。サイバー活用型詐欺は 2025 年の苦情件数の 45 %を占めたが、金銭的損失では 85 %を占めている。つまり、サイバー犯罪とは相も変わらず「インターネットを使って古典的な詐欺の射程を伸ばす」ことがメインであり、いわゆる不正アクセス等の「ハッキング」は報告されたサイバー犯罪事件においては少数派なのだ。
彼の発表は「いかに AI にマルウェアを書かせるか」それも「なるべく安く簡単に」という点にフォーカスした開発手法を提案するものだった。「なるべく安く簡単に」というのはもちろん法人の予算規模であるはずはなく、あくまで個人のポケットマネーでホストできる規模の AI リソースで、いかにマルウェアコーディングを自動化するかにある。
2025 年 12 月に公開された MongoDB の脆弱性の悪用を試みるエクスプロイトコードが公開されています。
![サイバー攻撃は「通信・認証・AI 」基盤へ / AI エージェントトラップ ほか [Scan PREMIUM Monthly Executive Summary 2026年3月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/52568.png)
3 月の動向をまとめますと、国家アクターは「止めるべきもの」をよく理解している、ということを再認識させられた月と言えそうです。通信を握れば社会を揺さぶれます。認証を破れば組織を乗っ取れます。AI の判断をだませば、人間の意思決定を曲げられます。
Amazon は、製品のローンチ前後にペネトレーションテストを行う際に AI ツールを使用することで、40 % の効率向上を実現している。同社のセキュリティ責任者 CJ Moses 氏が明らかにした。「AI の導入により、ペンテストの効率が実際に 40 %以上向上しました」と Moses 氏は述べ、この効率向上はペンテストに関連する人件費と運営費の観点から測定されたものだと指摘した。
2025 年 12 月に公開された Gogs の脆弱性を悪用するエクスプロイトコードが公開されています。
