ITmedia エンタープライズ編集部

Sakana AIは日本仕様に調整した学習モデル「Namazu」を開発し、新サービス「Sakana Chat」を公開した。独自の事後学習技術により、海外モデル特有のバイアスや回答拒否を解消し、日本独自の文脈に即した中立的で正確な応答を実現した。

NVIDIAがOpenClaw向け基盤「NemoClaw」を発表した。ジェンスン・フアン氏が「パーソナルAIのOS」と断言する仕組みは企業で受け入れられるのか。

The Shadowserver Foundationは51万台以上の旧式Microsoft IIS稼働を確認し、その内22万台が延長支援も終了した無防備な状態だと明かした。これらは内部侵入の足掛かりとなる恐れがあり、迅速な移行や資産管理が急務となっている。

npmを標的とした攻撃「CanisterWorm」の新たな改ざんパッケージが見つかった。正規アカウントを侵害してワーム化し、トークン窃取やバックドアを設置する。JFrogは認証情報の更新や特定サービスの削除などの対処手順を示した。

Jenkins CIはコアおよびプラグインの脆弱性を公表した。アーカイブ展開時の任意ファイル書き込みやCLIの検証不備、APIキーの平文保存などが含まれる。RCEの恐れもあり、最新版への速やかな更新と認証設定の再確認が求められる。

Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。

GNU Inetutilsのtelnetdに、未認証の遠隔攻撃者によって任意のコード実行が可能となる脆弱性が発見された。TELNETは通信内容が平文で送信される旧来のプロトコルで、現代のセキュリティ要件には適さないが、産業分野や政府系システムでは依然として使用されているため注意が必要だ。

Ubuntuの標準環境に権限昇格の脆弱性「CVE-2026-3888」が見つかった。通常権限の利用者がシステム内部の仕組みを悪用し、最終的にroot権限に到達する可能性がある。

北朝鮮関連の題材を使った新たな標的型攻撃が登場した。受信者の関心に合わせた内容の電子メールで端末を感染させた後、メッセンジャー機能を悪用して不正ファイルを拡散するという。

NVIDIAはフィジカルAI実用化を促進させる新技術群とデータ基盤を発表し、産業や医療分野での開発・検証効率化を図る。

楽天は、国内有数の日本語特化型AIモデル「Rakuten AI 3.0」の提供を開始した。本モデルは約7000億パラメーターのMoEアーキテクチャを採用し、日本語性能で高い評価を得ている。無償公開を通じて国内のAI開発加速と技術支援を目指す。

ガートナーは2026年以降のセキュリティの展望として、AI普及によってリスク管理が激変すると発表した。2028年にはインシデント対応の半分がAI関連となり、規制対応の遅れやデータ負債、ID管理が複雑化するという。

Illumioの調査によると、企業のセキュリティ対策において「検知」と「封じ込め」の間には大きなギャップがあるという。多くが侵入の把握に自信を示した一方で、阻止に苦労していることが明らかとなった。

Uberは、Zooxと提携し米国でロボタクシーを導入すると発表した。日本でも日産やWayveと連携し東京での試験運行も計画している。

中国のセキュリティ企業ThreatBookは、AIアプリを悪用する攻撃集団の活動を報告した。偽装したWebサイトや技術記事、拡張機能で利用者に不正操作を促し、端末に侵入して情報を窃取するという。

Anthropicは、高度なAIが社会に与える影響を研究する「Anthropic Institute」を設立した。急速な技術進化に伴う雇用や法制度の課題を分析し、開発者の知見を公開・共有することで、AI時代の適切な統治と社会のレジリエンス向上を目指す。

MicrosoftはWDSの自動展開機能における脆弱性対策を発表した。応答ファイルの傍受を防ぐため、2026年4月から同機能は既定で無効化される。管理者は段階的な仕様変更への早期対応や代替手法への移行が求められる。

事務業務向けに1300台の仮想デスクトップをVDIで運用するゆうちょ銀行。そのバックアップ先として採用したのが、バッファロー製NASだ。選択の理由とは。

SentinelOneは、FortiGateの脆弱性や設定ファイルの可逆暗号を悪用し、Active Directory環境を侵害する攻撃者の最新手口を公表した。サービスアカウントを盗み、RMMツールや不正端末登録で権限を拡大するという。

ガートナーはセキュリティ対策が不十分なAIエージェントが攻撃者に悪用され、社内データ侵害の経路となる恐れがあると指摘した。同社によると、数年以内に企業の情報漏えい問題としてこれが顕在化するという。

内閣官房はAIロボットを軸とするフィジカルAI分野の官民投資ロードマップ素案を示した。2040年に世界シェア3割超と20兆円市場獲得を目指す。

IPAはサプライチェーンの企業間データ連携に関する共通要件を整理したガイドラインを公開した。業務要件や設計方針を示し、分野別ガイドライン策定を効率化すると同時に、炭素排出管理や製品履歴管理など社会課題への対応を促進する。

DeNAは自律型AI「Devin」を全社導入し、従業員約2000人が利用する基盤を構築した。開発部門だけでなく営業部門などでも業務効率化を達成したという。

FastlyはAIによるbot通信の実態を分析したレポートを発表した。通信の約8割をクローラーが占め、Metaが過半を生成していると判明した。高頻度アクセスによるサーバ負荷や、bot識別の難しさが課題となっている。

Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67％で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。

Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。

Microsoftは、.NETにサービス停止を引き起こす脆弱性CVE-2026-26127の修正を公開した。境界外メモリ読み取りに起因し、認証不要の遠隔攻撃でアプリ停止の恐れがある。.NET 9.0と10.0などに更新版が提供された。

AIとエージェント運用を統合したMicrosoft 365の新プラン「Microsoft 365 E7」が発表された。Copilotや管理基盤を統合し、業務全般でのAI利用とIT部門による統制を両立する。

ZIPファイルは長年、マルウェア拡散の主要な運び屋として悪用されてきた。だが今回、さらに厄介な手口が浮上した。ヘッダ情報をわずかに改変するだけで、セキュリティ製品の解析が途中で止まり、内部の不正コードが“見えないまま”になる可能性があるという。

「Microsoft 365 Copilot」の新機能「Copilot Cowork」が発表された。AIが各アプリを横断して業務を遂行する。機能の詳細とユースケースについて解説する。

BlueVoyantはTeamsのIT担当者を偽装し、Windowsの遠隔支援機能「Quick Assist」（クイックアシスト）を悪用した新型「A0Backdoor」を確認した。攻撃はメール爆撃から始まり、MSI署名やDNSトンネリングを駆使して検知を回避するという。

「システムのクラウドサービス化率95％」。その数字の裏でオリックス銀行が直面した「クラウドファースト」の壁とは何か。変化を続けるためにクラウドサービス活用の指針を見直した同行の取り組みを追う。

デジタル庁は、政府職員約18万人を対象とした生成AI基盤「源内」の大規模実証を2026年5月から開始する。試用する国産LLM7件の公募結果も公表した。

タレスDISジャパンはデータセキュリティの現状を分析した「タレス2026年データ脅威レポート」を発表した。調査によると、企業の73％が「AIをデータセキュリティ上の最大リスク」と回答したという。ではこれにどう対策すればいいか。

AnthropicはAIの労働市場への影響を分析し、理論的能力と実利用を組み合わせた新指標を提示した。AIと失業率への明確な影響は確認されていないが、若年層の採用減少の兆候が示された。その原因は一体何か。

OpenAIはアプリケーションの脆弱性を検出するAIエージェント「Codex Security」を公開した。プロジェクトを解析して脅威モデルを生成し、重大度の高い問題を抽出し修正案を提示する。高精度な分析でOSS開発を支援するという。

Windows Remote Desktop Servicesのゼロデイ脆弱性を悪用するコードがダークウェブ市場で高額流通されていることが分かった。同脆弱性はSYSTEM権限奪取が可能で広範なOSに影響するという。

OpenAIはExcelでAIが表計算モデルの作成、更新、分析を支援する「ChatGPT for Excel」のベータ版を発表した。「GPT-5.4」を基盤にしたその性能と、具体的な用途とは。

CiscoはSecure FMCのWebインタフェースに認証回避の脆弱性があると発表した。未認証の攻撃者がroot権限を取得できる。CVSS v3.1のスコアは10.0、深刻度「緊急」（Critical）だ。回避策はないため修正版への速やかな更新が求められる。

AIの発展に伴い、セキュリティリーダーの業務には転換点が訪れている。精神的なプレッシャーを感じやすい彼らの業務は改善されるのか、それともさらなる負担増大が発生するのか。

さくらインターネットはAIの基礎から実践まで学べる「さくらのAI検定」を創設した。生成AI普及を背景に国内企業で専門人材不足が続く状況を踏まえ、AIサービス選択や安全な活用力を持つ人材育成を狙う。

NECと東京大学、NTTは、6G/IOWN基盤でAIエージェント向け技術を統合したと発表した。大容量データの通信と計算を効率化し、リアルタイムAR支援の実証で遅延抑制と精度維持を確認した。

建設会社の奥村組土木興業は、トレンドマイクロのEPP／EDR／CREMを採用した。全国の現場に分散する端末の可視化と24時間監視体制を構築し、データに基づく脆弱性対策によって予防型セキュリティを実現したという。

イラン情勢の緊迫化に伴い、国外ハクティビストが活発化し、サイバー攻撃が急増している。攻撃者たちは高度な攻撃よりはシンプルな攻撃によって被害企業の付け入る隙を刻一刻と狙っている。われわれはどう対策すればいいか。

Cloudflareはグローバル脅威レポートを発表した。サイバー攻撃手法の進化や攻撃者によるAI活用の実態を詳細に分析している。攻撃トレンドの変化に伴い、従来の防御手法が限界を迎えていることを指摘し、戦略の転換を推奨している。

Check PointはClaude Codeに見つかった脆弱性の詳細な分析を報告した。悪意ある設定ファイルによって遠隔コード実行やAPIキー流出の恐れがある。同社は不審なプロジェクトを開くだけで攻撃が始まる恐れがあると警告している。

Anthropicは国内監視と完全自律兵器を例外とする立場を維持し、米国防総省との交渉が決裂した。一方、OpenAIは合意に至ったと言うが、それはなぜか。

ガートナーはランサムウェア攻撃への対策として国内企業が取るべき4つのアクションを示した。国内大手企業でランサムウェア被害が相次ぐ中、事業継続を確保することは喫緊の課題だ。経営層の関心が高い今が議論推進の好機だという。

Anthropicは2026年3月2日、Claudeの主要なプラットフォームで世界規模の障害が発生したと発表。APIや開発用ツール、最新モデルのOpus 4.6などに広範囲に波及した。生成AIの可用性とインフラ冗長化の重要性があらためて問われている。

Bleeping Computerは、ディープフェイクと入力改ざん攻撃が本人確認を突破し、不正口座開設やアカウント乗っ取りを招いていると報じた。映像判定だけでは不十分で、端末や行動分析を含む全体検証が不可欠であると伝えた。