「ソーシャルエンジニアリング」関連の最新 ニュース・レビュー・解説 記事 まとめ

ディープフェイクがヘルプデスクを襲う
たった5分でMFA突破？　「生々しい詐欺音声」が明かす従来型セキュリティの限界
厳格なマニュアルを持つはずのヘルプデスクが、いとも簡単に侵入を許してしまう。公開された「実際の詐欺音声」は、従来型セキュリティの限界を伝えている。担当者を欺く手口の全貌と、企業が取るべき対策とは。（2026/4/27）

ITニュースピックアップ：
Google、AIレッドチーム戦略を紹介　攻撃者視点で守る新手法
GoogleはAIシステムの安全性を高めるため、攻撃者の視点からセキュリティの弱点を検証する専門チームの取り組みを公表した。AI特有の確率的な振る舞いや、ソーシャルエンジニアリングに近い攻撃特性に対応し、従来の防御を補完する。（2026/4/22）

偽のアップデートでAppleの防御を回避
「Macは安全」は幻想か――偽の「Zoom更新」で広がる北朝鮮系攻撃
Microsoft Threat Intelligenceは、北朝鮮系グループによるmacOS向け攻撃を公表した。偽のソフト更新を使いユーザー自身に実行させる手法で、認証情報や暗号資産を窃取する。今すぐ講じるべき防御策を紹介する。（2026/4/22）

効果が出ない理由が判明：
危機感9割、実践4割　AI時代に露呈したセキュリティ教育のギャップ
AI時代の到来でセキュリティ意識は確実に高まったが、その裏で“準備できている企業”は想像以上に少ないことが分かった。投資は進む一方、現場の行動は変わらないというズレはなぜ生まれるのか。（2026/4/21）

半径300メートルのIT：
「それは俺じゃない」社長の一言が効く？　セキュリティのプロが語った、巧妙化する詐欺を止めるヒント
リアルイベントに参加して見えた「Qilin」「デセプション」などの動向やセキュリティの専門家が指摘する「経営層の理解」という課題を深掘りします。なぜ「社長の一言」がセキュリティに効くのでしょうか。（2026/4/21）

英国の小売大手が被害
電話1本で数百億円の損害　17歳の犯人が突いた「人間の脆弱性」
2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。（2026/4/21）

「50％の確率で悪意ある指示に従う」：
ChatGPTを「AIへのプロンプトインジェクションは防げない」前提で守る方法　OpenAIが解説
OpenAIは、AIに対する「プロンプトインジェクション」攻撃をソーシャルエンジニアリングと同様の考え方で捉え直すことが重要だと解説している。（2026/4/20）

この頃、セキュリティ界隈で：
「Axios」にとどまらないオープンソース攻撃　信頼を悪用するだましの手口
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。（2026/4/21）

開発者、利用者双方に迫るセキュリティリスク：
いつも使う「ブラウザ拡張機能」や「OSS」が牙をむく　明日からできる対策は？
Webブラウザの拡張機能や、開発者が利用するOSSがマルウェア化し、数百万人規模の被害につながる事例が相次いでいます。こうしたサイバー攻撃の実態と手口、そして企業や個人が採るべき対策を考えます。（2026/4/19）

ソフトウェア開発者をだましてマルウェアをインストール、実行させる：
その企業は本物？　VS Codeを悪用する「偽の採用面接」に注意　Microsoftが説く対策
ソフトウェア開発者を狙い、採用プロセスを装って悪意あるコードを実行させるソーシャルエンジニアリング攻撃が進化を続けている。Microsoftは公式ブログでサイバー攻撃の手口と対策について解説した。（2026/4/17）

87％の企業が導入意向
パスワードはなぜ死んだか　情シスが今すぐ始めるパスキー移行の現実解
巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87％が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。（2026/4/17）

コンサル視点で見るサイバー空間の脅威最前線：
ゼロトラストの最終ピース？　セキュアブラウザの有効性を徹底まとめ
業務のハブであるWebブラウザが今最も危険な“攻撃面”へと変わっています。さまざまなセキュリティリスクが企業を襲う中、新潮流として注目されているのが「セキュアブラウザ」です。その実力と限界に迫ります。（2026/4/17）

半径300メートルのIT：
「Windows+R」は絶対に押さないで！　新入社員に贈るセキュリティの新常識5選
学生時代と同じ感覚でPCやSNSを利用していると、気付かないうちに会社を大きなリスクにさらしてしまうかもしれません。特に最近は、不慣れな利用者につけ込んだ、巧妙なサイバー攻撃が急増しています。自分自身と会社を守るために身に付けておくべきセキュリティ対策を紹介します。（2026/4/14）

「使っていないから一安心」は誤解　ソフトウェア開発者は「価値の高い標的」に：
「ソフトウェア産業は『未曾有の危機』に突入」　GMO Flatt Security米内氏に聞く“axios侵害”の教訓
2026年3月31日、毎週約1億ダウンロードされていた主要HTTPクライアントライブラリ「axios」の主要開発者アカウントが乗っ取られ、同ライブラリの依存関係にマルウェアが仕込まれた悪意のあるバージョンが公開された。影響範囲は大きく、侵害の全体像と対応の指針を示したGMO Flatt Securityのブログ記事が注目を集めた。本稿は同社で記事を執筆した米内貴志氏にインタビュー。記事では書かれなかった執筆者としての思い、相次ぐ「ソフトウェアサプライチェーン攻撃」の教訓を聞いた。（2026/4/14）

コンサル視点で見るサイバー空間の脅威最前線：
「ClickFix」と「FileFix」で実際に使われた攻撃シナリオ7選
コピー＆ペーストするだけ――その何気ない操作が、企業の機密情報を丸ごと奪う“入口”になりつつあります。正規ユーザーを装う攻撃が主流となる中、今最も厄介な「人間」を狙う新手口について攻撃シナリオまで含めて詳細に解説します。（2026/4/15）

この頃、セキュリティ界隈で：
ダウンロード数1億超、人気ライブラリ「Axios」を襲ったサプライチェーン攻撃　発端は巧妙なアカウント乗っ取り
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードを仕込んで流通させるサプライチェーン攻撃が発生した。MicrosoftやGoogleは、北朝鮮の集団が関与する極めて巧妙な攻撃だったと推測しており、影響の拡大が懸念されている。（2026/4/10）

AIが加速させる内部脅威をどう防ぐか
AIエージェントが「最強の内部犯」に？　情シスが抑えるべき新たなセキュリティリスク
内部不正対策は、もはや「人間」の監視だけでは不十分だ。自律的に判断し行動する「エージェンティックAI」が組織に　　浸透する中、AIそのものが制御不能な内部脅威へと変貌しつつある。本稿は、AIが引き起こす新たなリスクの実態と、ID管理を軸とした具体的な防御策を解説する。（2026/4/10）

Gartner Insights Pickup（442）：
生成AIの普及でセキュリティリスクが深刻化　社内のセキュリティ意識向上が必須に
生成AIの普及による機密情報漏えいのリスクの拡大とともに攻撃も高度化しており、従来の対策では追い付かない状況だ。企業は、従業員の行動変容を促すセキュリティ文化の強化が急務である。（2026/4/10）

BYODやVPNの落とし穴
便利な「リモートアクセス」が最大の弱点に？　企業を脅威から守る10の鉄則
テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。（2026/4/3）

「急襲」と「潜伏」に二極化
サイバー攻撃の“今これが大事”と取るべき対策は？　「22秒で攻撃準備」という現実
Google Cloud傘下のMandiantは2026年3月24日、年次レポート「M-Trends 2026」を発表した。2025年の調査に基づき、攻撃の高速化と長期潜伏の二極化、AI悪用の進展など、サイバー脅威の最新動向を明らかにした。（2026/4/1）

AIに、自身のコードを“外注”するマルウェアが今後の主流か：
最新AI、Googleが暴く9つの悪用事例　「攻撃者もAIリソースが欲しい」
Googleの脅威インテリジェンス部門は、AIを悪用した脅威の最新動向をまとめた四半期レポートを公開した。（2026/3/26）

どう守ればいい？
AIエージェントをランサムウェアに豹変させるプロンプトとは？
Gartnerは、AIエージェントが単一のプロンプトでランサムウェアのような挙動を引き起こすリスクを指摘した。企業が見直すべきポイントは何か。（2026/3/26）

フィッシングは「事業停止への起点」に：
攻撃経路「オンプレからクラウドへ」はもう古い　インフォスティーラーが変えたセキュリティの新常識
2025年11月27日に開催された「ITmedia Security Week 2025 秋」で、多摩大学大学院 特任教授の西尾素己氏が「インフォスティーラーが変えたクラウド環境のアタックサーフェス」と題して講演した。（2026/3/26）

セキュリティニュースアラート：
Active Directory到達まで約3.4時間　サイバー攻撃の調査で分かった厳しい実態
Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67％で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。（2026/3/14）

セキュリティニュースアラート：
偽のTeamsサポートで新型バックドアを設置　巧妙な手口に要注意
BlueVoyantはTeamsのIT担当者を偽装し、Windowsの遠隔支援機能「Quick Assist」（クイックアシスト）を悪用した新型「A0Backdoor」を確認した。攻撃はメール爆撃から始まり、MSI署名やDNSトンネリングを駆使して検知を回避するという。（2026/3/12）

「個人向けのセキュリティ対策」を従業員にも：
「なぜ正規アカウントが奪われたのかまでは分からない」の原因　〜フィッシング？　ClickFix？〜
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。（2026/3/9）

Gartner Insights Pickup（437）：
M＆Aで問われるサイバーセキュリティ　取引価値に直結
M＆Aにおける取引価値を守る上で、サイバーセキュリティがますます重要な要素となってきている。取引前後の混乱を避けるため、CISOは早期にデューデリジェンスへ関与し、取締役会と連携して迅速にリスクを特定・管理する体制構築が不可欠だ。（2026/3/6）

OpenAIがセキュリティリスクを指摘、対策を解説：
なぜChatGPTは「URLベースのデータ漏えい攻撃対策」を導入したのか
OpenAIは、ChatGPTおよびAIエージェントがWebページを自動取得したりアクセスしたりする際に発生し得る、URLベースのデータ漏えい攻撃を防ぐ対策について公式ブログで解説した。（2026/3/3）

2026年版IT担当者“必須”の3資格
「無知な新任」が招くコンプラ事故を防げ　法改正とAIが変えるIT部門の常識
IT部門への配属はもはやPCに詳しい人の集まりではない。生成AIの台頭や下請法の改正によって無知が組織のリスクに直結する。2026年にIT担当者が取得すべき武器とは。（2026/3/2）

侵入から最短27秒で横展開
検知まで11日、壊滅まで27秒　情シスを絶望させる「潜伏と強襲」にどう備える
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。（2026/3/2）

Google、2025年は不正なAndroidアプリ175万件を事前阻止　Play外アプリの保護も拡大
Googleは、2025年のAndroid安全対策実績を発表した。AI導入により175万件超の不正アプリ公開を阻止。外部入手アプリを悪用した詐欺への対策を185市場へ拡大し、2億6600万回のリスクあるインストールをブロックした。通話中に防御を無効化させる手口への対策も導入し、自由なアプリ利用と安全性の両立を強化している。（2026/2/21）

Googleが警告する「攻撃ライフサイクル」の激変
10万件超のプロンプトで「AIの知能」が盗まれる　モデル抽出攻撃の衝撃
Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。（2026/2/20）

セキュリティニュースアラート：
「身近な上司」を再現する専用ディープフェイク動画を作成　KnowBe4が新トレーニング
KnowBe4は自社幹部の動画や音声などの素材でディープフェイク動画を作成し、高度ななりすまし攻撃を体験できる日本語版トレーニングを発表した。巧妙なAI詐欺の手口を実践的に学ぶことで、判断能力の強化が期待できる。（2026/2/19）

発信元を見える化
“着信前に”ブロック　Android向け迷惑電話対策アプリをNordVPNが提供開始
警察庁によると、電話をきっかけとする「オレオレ詐欺」は2025年11月だけで1284件発生した。こうした状況を受けNordVPNは、Android向け新機能「迷惑電話対策」を日本で提供開始した。（2026/2/18）

Fortinetが特定した攻撃キャンペーン：
Windowsを狙う多段階攻撃の全貌――Microsoft Defender無効化からランサムウェア展開まで
FortiGuard LabsはWindowsユーザーを標的とした多段階マルウェア攻撃キャンペーンの詳細を公開した。ソーシャルエンジニアリング、Microsoft Defenderの回避、リモートアクセス型トロイの木馬の配備、ランサムウェアによる暗号化を組み合わせた高度な攻撃手法が明らかになった。（2026/2/17）

「24時間以内にバックアップを」は偽物：
パスワードマネージャーのマスターパスワードが狙われている　LastPassがフィッシング詐欺に注意喚起
LastPassは、同社ユーザーを標的としたアクティブなフィッシングキャンペーンについて注意喚起した。同社のメンテナンスに伴う「Vault」のバックアップを24時間以内に促す偽メールが確認されているという。（2026/2/17）

今週の「＠IT」よく読まれた記事“10選”：
まつもとゆきひろ氏が危惧する「ジュニア不要論」のその先、「異常に強いエンジニア」が示す生存戦略とは
＠ITで公開された記事の中から、特に注目を集めた10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。（2026/2/14）

ITmedia Security Week 2025 秋 イベントレポート：
ホワイトハッカーが明かす「ランサムウェア対策が破られる理由」と本当に効く防御
ランサムウェア攻撃対策を講じているにもかかわらず、なぜ侵入を許してしまうのか。その答えは攻撃者の視点にある。ホワイトハッカーの知見を基に、対策の盲点と実効性を高めるための防御の考え方を解説する。（2026/2/13）

インシデント対応のプロすら抱き込む「RaaS」の闇
アサヒGHDを攻撃した凶悪集団「Qilin」、企業の“中の人”を積極採用中
ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。（2026/2/4）

ESET解説：
AIが脆弱性を探し、ランサムウェア構築を支援　5つのAI悪用手口と対策リスト
ESETは、生成AIがサイバー攻撃に与える影響に関する分析を公開した。AIにより今後2年間でサイバー脅威の頻度と強度が増すと警告。ランサムウェア構築支援やプロンプトインジェクションなど、AIが悪用される5つの主要な手口を解説している。（2026/2/3）

ユーザー心理を巧みに突く新手口：
Windows「死のブルースクリーン」で誘導、正規ツールで検知を回避するClickFix攻撃
Securonixの脅威調査チームは、ステルス性の高い攻撃キャンペーン「PHALT#BLYX」を解析した。偽のブルースクリーンを表示して悪意あるコードを実行させるソーシャルエンジニアリング手法を用いる手口が判明した。（2026/1/27）

CISOが語る2026年セキュリティトレンド
情シスを襲う「MCPサーバ」リスク　AI連携に潜む“権限昇格”のわなとは
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。（2026/1/26）

内部協力者を募る手口の実態レポート：
サイバー犯罪者は企業の従業員をいくらで「闇堕ち」させるのか？　組織を守る方法は
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。（2026/1/23）

ESETが解説、利用時のリスクと対策：
ChatGPTに「入力してはいけない情報」5選――NGリストとその理由
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。（2026/1/21）

「RaaS」広がりでハードル低く
ランサムウェアが仕掛ける“三重脅迫”とAI悪用の罠　2026年の攻撃トレンド
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。（2026/1/14）

Microsoftが明かす「2025年の脅威」と防御策
「バックアップで復旧」は古い　子会社が狙われるランサムウェアの“残酷な手口”
Microsoftは2025年版の「デジタル防衛レポート」について同社のイベントで紹介した。AIによって巧妙化する攻撃手法をはじめとした、企業が直面するサイバー脅威とその対策を紹介した。（2026/1/13）

セキュリティニュースアラート：
2026年最大の懸念はAIで高度化した“あの脅威”　ISACAが最新の意識調査を公表
ISACAは最新の調査レポート「2026年度版 テック動向と優先課題パルス調査」を公開した。調査結果ではAIに関連したサイバー脅威が2026年における主要な懸念事項として浮上した。その中でも特に注意すべきものは何か。（2026/1/9）

Gartner Insights Pickup（429）：
AI絡みのサイバーセキュリティ脅威に企業はどう対処すべきか
生成AIの普及で情報漏えいをはじめとしたセキュリティリスクが高まっている。一方、サイバー攻撃はAIによって巧妙化している。企業にとって、組織的な対策が急務となっている。（2026/1/9）

攻撃者が選んだ“最も効率のいい標的”とは？　2026年の脅威トレンドを見る
「AIエージェントの悪用が現実化する」「サイバー攻撃者は最も効率のいい標的として○○を狙う」。グーグル・クラウド・ジャパンが公開したサイバーセキュリティ動向予測から2026年に本格化する脅威の全貌を読み解こう。（2026/1/8）

従業員の心理を突き、防衛を習慣化させる手法
「セキュリティ研修」という名の脆弱性　SATを楽しくして防御力を高めるには
年1回の形式的なセキュリティ研修では、巧妙化する攻撃から企業を守れない。「義務だから受ける」だけの従業員を、いかにして「自ら守る盾」に変えられるのか。（2026/1/8）