ITmedia エンタープライズ編集部

多要素認証（MFA）をAIで突破するデバイスコード・フィッシングやChatGPT、Claude、DeepSeekなどの有名AIサービスをおとりにする偽装手口が急増している。AI時代の最先端フィッシング攻撃の実態と防御のポイントを紹介する。

Googleは、Sign in with Googleに認証時刻と認証手法を示すOIDCクレームを追加した。認証の新しさや強度を把握しやすくなり、アプリ運営者は不正利用対策や権限制御の精度向上を図れる。

Microsoftは、Microsoft 365 Copilotの新機能「Copilot Cowork」の一般提供を開始。複雑な業務を自動化するエージェント機能で、プロンプト単価を競合比で約4割安価に抑えた他、強力なコスト統制機能も備える。

IDCは、スマートグラスがXR市場の中心へ移り、2026年1〜3月期は画面非搭載機が急伸したと発表。Metaが首位を維持するが、GoogleやSnap、中国勢の参入で競争が激化し、市場拡大が続く見通しを示した。

Microsoftは、「Build 2026」で、企業AIを試行から本番運用へ移す要点として、自社データ理解、基盤整備、成果創出を示し、「Microsoft IQ」や「Microsoft Agent Platform」「Microsoft Foundry」「Microsoft Discovery」、GPU基盤の活用を各経営層へ訴えた。

Microsoftが2026年6月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲な製品が対象で、悪用確認済みのゼロデイ脆弱性などが修正された。同社は早急な適用を呼びかけている。

PagerDutyは、シャドーAI利用調査で職場のAI利用が社内規定整備を上回り、許可外利用や公開AIへの機密情報入力が広がる実態を示した。利用者の多くが私生活でAIを使い始めていることや、規定運用の不公平感が隠れた利用を招いている。

ESETは、AIが中小企業で広がる半面、設定不備やプロンプト注入、不正スキルによる情報流出の危険が増していると報告した。利用規定未整備の企業も多く、機密情報保護や権限管理の徹底を呼びかけた。

パスワードの「英数記号の混在」や「定期変更」を否定し、認証基準を刷新したNISTの最新要件を解説。新基準に逆行する企業のリアルな課題を基に、人間の行動に即した「仕組みで守る」セキュリティ戦略を提示する。

Anthropicは、Claude Fable 5とClaude Mythos 5を発表した。Fable 5は高性能モデルを一般公開し、サイバー分野などは保護機構で制御する。Mythos 5は限定利用とし、研究や防御用途で活用する。

Microsoftは、AIサービスの知名度を悪用したフィッシングや不正広告、検索結果悪用型攻撃の増加を報告した。ChatGPTやClaude、DeepSeekなどを装い、認証情報や決済情報の窃取、マルウェア配布につなげる手口が確認された。

Microsoftは、エージェント型AIの障害分類を改訂し、供給網侵害や目標乗っ取りなど7分類を追加した。実運用のレッドチーム活動を踏まえ、人間承認回避や記憶汚染への対策強化と設計段階での防御実装を提唱した。

英国の公的医療サービスが職員50万人にM365 Copilotを導入する。3万人規模の先行試験では職員1人当たり年間約5週間の事務削減効果を実証した。さらに各病院が独自にAIエージェントを自作できる環境も整備し、費用抑制と診療時間確保を目指す。

Gartnerは、攻撃者が優位な深刻脅威としてディープフェイク、AIアプリ侵害、プロンプトインジェクション、ソフトウェアサプライチェーン攻撃を挙げ、優先投資、多層防御、監視強化、認証強化、開発段階での対策実装をCISO（最高情報セキュリティ責任者）に求めた。

Snowflakeは自律型AIエージェント普及に伴うリスクへ対応するため、エージェント識別、プロンプトインジェクション防御、データ持出検知、ランサムウェア対策、AI活用運用管理機能を拡充し、企業のAI基盤の統制と保護強化を打ち出した。

Apptopiaは、米国の生成AIチャットbot市場でClaudeのモバイル日次利用者数が2026年初来1100％増となり、ChatGPTとの差を縮小したと公表した。ChatGPTは12％減、Copilotは60％減。Claudeは利用時間でも優位性を示した。

Microsoftは「Build 2026」で、自律型AIエージェントの構築や安全統制を支える開発プラットフォームを拡充を発表した。新型推論モデル「MAI」、高性能なローカル開発端末、量子計算ロードマップなどの最新施策をまとめる。

AIによるコード生成は開発スピードを向上させる一方、持続可能性を損なうリスクをはらむ。AI時代に求められる新たな開発サイクルや仕様駆動開発の手法、そして、AIをコントロールし、確実に成果を出す組織の作り方をひもとく。

ESETの調査で、サイバー攻撃への警戒感や対応力への自信が高まる一方で、AI脅威への理解不足や基本対策の欠如が課題と判明した。被害はフィッシングなどが中心で、教育や保険の導入が対応力を支えている。

Ciscoは、人とAIエージェントが協調してITインフラを運用、監視、防御する統合基盤「Cisco Cloud Control」を発表した。自律的な異常検知、修復に加え、稼働状態のまま防御する機能や、耐量子暗号の導入ロードマップも公開した。

MicrosoftとNVIDIAが最大1ペタフロップスのAI性能を持つ「NVIDIA RTX Spark」搭載の次世代PCを発表した。Windowsの大幅な最適化に加え、ローカルAIエージェント基盤やアプリ、ゲームのエコシステム拡大を狙う。

IDCは、企業用エージェントAI市場をエージェント本体、作成・運用技術、実行基盤の三層構造で整理した。組織の77％が本番利用段階に達しており、市場ではソフトウェア企業とサービス企業の競争が激化している。

Anthropicは、自律型AIエージェントを企業で運用する際のセキュリティ指針を公表した。AIによる攻撃と防御の高速化を踏まえ、ゼロトラストを基盤に、脅威分析、3段階の防御体系、導入手順、運用体制、規制対応の考え方を整理した。

Microsoftは「Microsoft 365 Copilot」の新デザインを発表した。段階的開示の設計や、コンテキストを理解し自律駆動する特化型エージェントの導入によって操作性と性能を大幅に向上。Excelでの利用率が33％増加するなど成果を上げている。

Googleは、AI検索の要約表示とAIモードに「Preferred Sources」機能を導入し、利用者が選んだサイトへのリンクを識別しやすくした。話題の動向を扱う記事や投稿を示すカルーセル、引用頻度の高い記事を示す「Highly Cited」表示も拡充する。

KasperskyはGoogleのAppSheetを悪用したフィッシング詐欺を確認したと公表した。攻撃者は正規のGoogle関連アドレスを使い、求人通知や認証案内を装って個人情報や認証情報を盗み取る手口を展開していると説明した。

AI活用の最前線に立つ羽生善治九段の勝負哲学から、AIの最適解による「均質化」と「思考停止」を突破する意思決定の極意を解説。併せて、IT組織を知る久松剛氏の知見から、IT部門が主導権を取り戻すための統治の現実と組織設計を詳述する。

IDCは、AI関連投資拡大が世界IT市場を押し上げ、アジア太平洋地域では政府主導基盤整備や業務自動化導入が進行中と公表した。企業競争力はAI運用体制や統治、供給企業選定で差が生じるとの見方を示した。

OpenAIは、画像や音声の出所確認を支える新施策を公表した。C2PA準拠の導入やSynthIDの活用、検証機能の試験公開を通じ、AI生成物の識別精度向上と信頼性確保を図る方針を示した。

Anthropicは、AIモデル「Mythos Preview」で重要ソフトの多数の脆弱性を発見したと発表した。オープンソースを含む広範な調査で修正作業の負荷増大が課題となり、防御側の迅速な対応強化を訴えた。

日本ヒューレット・パッカードは、AI推論やミッションクリティカル用途を想定したエッジサーバ製品群を拡充した。新型シャーシ「EL2000」と新型サーバを投入し、「DL145 Gen11」も強化した。

Kasperskyは、アスキーアートでQRコードを描き、画像解析を回避するフィッシングメールの増加を報告した。文字列で構成したコードを悪用し、認証情報入力へ誘導する手口で、同社は検知技術と教育強化の必要性を示した。

Gartnerは、2026年の世界AI支出が前年比47％増の2兆5957億ドルに達するとの予測を公表した。生成AIやAIエージェント用需要拡大を背景に、AI用サーバやIaaS投資が市場をけん引すると分析した。

Dell Technologiesは、オンプレミスで自律型AIを運用できる新機能「Dell Deskside Agentic AI」を発表。クラウド比で支出を最大87％削減し、コストやセキュリティ、データ主権の課題を解消する。

Googleは、検索へAI機能を本格導入すると公表した。AIモードにGemini 3.5 Flashを標準搭載し、検索欄刷新、情報収集用エージェント、予約支援、生成UI、個人用機能拡充を打ち出した。

OpenAIはDell Technologiesと提携し、「Codex」を企業のハイブリッドおよびオンプレミス環境へ展開すると発表した。DellのAIデータプラットフォームなどとの連携により、機密データを社内に保持したまま高度なAIエージェントを大規模に運用できる環境を整え、実務への本格導入を支援する。

Cloudflareは、AnthropicのLLM「Mythos Preview」を50超の自社リポジトリー検査へ投入した結果を公表した。脆弱性連鎖の推論やPoC自動生成で高性能を示した半面、誤検知抑制や運用基盤整備の必要性も示した。

Googleは音声通話で認証情報を盗む集団「BlackFile」の手口を公表した。標的を偽サイトへ誘導後、認証基盤へ侵入してクラウドの機密情報を大量取得、恐喝する流れが確認された。

MicrosoftはExchangeのOWAに影響する重要脆弱性を公表、CISAも悪用を確認した。自動配信される緩和策の確認方法や閉域網向け手順を解説する。また、適用後にカレンダー印刷や画像表示が不全になる既知の不具合の回避策、恒久パッチの配信条件をまとめる。

米国CISAとG7各国・EUは、AIシステム向けSBOMの最小構成要素を定めた指針を公表した。AIモデルや学習データ、インフラなどを7分類で整理し、AI供給網の透明性向上や脆弱性管理、サイバーリスク低減を支援する。

MicrosoftがWindows 11の最新プレビュー版を公開。新機能「Shared audio」による複数人での音声共有が可能になった他、タスクマネジャーのNPU監視強化、システム応答性の改善など、利便性と安定性を高める多岐にわたるアップデート内容をまとめた。

Veeamは、AI時代の新たなデータ管理システムを発表した。AIエージェントの普及に伴う情報ろう洩や暴走リスクに対し、データ保護やAI監視、法令対応を一本化。異常な操作の遮断や、壊された箇所のみを直す「外科的復旧」により、安全なAI活用を支える土台を提供する。

Anthropicは、中小企業用AI支援群「Claude for Small Business」を公表した。会計や営業、人事など各種業務へ連携機能を導入した。

AppleはiOS 26.5とiPadOS 26.5を公開した。カーネル権限取得やメモリ破損、情報漏えい、Safari異常終了など多数の脆弱性に対処しており、WebKitやWi-Fi、Accountsなど広範囲の機能に修正を加えた。ユーザーには早期更新が求められる。

SAPはAI基盤「Business AI Platform」と自律運用群「Autonomous Suite」を発表した。財務や人材、調達分野のAI機能を拡充し、設備保全やERP移行支援も強化。Anthropic、AWS、Google Cloud、Microsoft各社との協業拡大も示した。

Google DeepMindは、AIが画面の対象や利用者の意図を把握する新型ポインター構想を公表した。Geminiを活用し、ChromeやGooglebookで画像、表、文章を指し示すだけで要約や比較、編集を実行する試作機能を披露した。

Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。

Salesforceは新規顧客にSlack無償版を標準提供すると発表した。CRM連携やAI機能を初期状態で利用可能にし、営業と顧客対応の作業集約を図る。Slackbotは記録更新や要約、通知整理などに対応し、生産性向上を狙う。

Googleは、AI悪用によるゼロデイ探索や自律型マルウェア、LLM不正利用基盤、AI関連サプライチェーン侵害が拡大中だと公表した。中国、北朝鮮、ロシア系集団の活動例を示した。

Googleは、AI用途の高速オブジェクト保存群「Cloud Storage Rapid」を発表した。専用バケットとキャッシュ機能でGPUやTPUの待機時間を減らし、学習や推論、分析処理の読み込み性能を改善する