「改ざん」関連の最新 ニュース・レビュー・解説 記事 まとめ

痕跡隠しから内部監視まで悪用の実態：
「ログを取っているから安心」が危ない　攻撃者はクラウドログを“監視ツール”に変える
ログは攻撃の痕跡を追うための重要な証拠という常識が揺らぎつつある。Palo Alto Networksは、AWSとGoogle Cloudのログ管理機能を悪用する複数の攻撃手法を分析した。攻撃者はログを隠すだけでなく、意外な方法で被害環境を監視し続けられるという。（2026/6/19）

慶応大や成城大のサイトから「W杯 無料視聴」ページへ勝手に転送　海保に続き……原因は？
慶応大や成城大などの公式サイトの一部が、サッカーのワールドカップ（W杯）の「映像配信」をうたうページに自動的に接続される状態だったことが分かった。（2026/6/18）

マテリアルズインフォマティクス最前線（9）：
失敗データも資産に！　研究現場を変える無料のノートアプリ
研究開発において論文に残らない失敗データや詳細なプロセスが重要だ。この気付きを生かして、無機材料の研究者でもあるさくらインターネットの研究員が開発したノートアプリケーションのオープンβ版が提供されている。同アプリの開発背景や特徴、今後の展開について迫る。（2026/6/18）

北朝鮮系脅威アクターが関与か：
開発者を狙う大規模フィッシングに注意　約6週間で250通以上の攻撃メール
Proofpointは、北朝鮮系アクター「UNK_DeadDrop」が開発者を標的にした大規模フィッシング活動を展開していると報告した。攻撃者は、約6週間で250通を超える攻撃メールを送信し、100以上の組織が標的になっているという。（2026/6/17）

学術界にも“告発系インフルエンサー”の波？　配信者がNature掲載論文の不正指摘→研究者らは懲戒処分　中国で波乱
元博士課程の学生で動画ブロガー「Student Geng」として活動する耿洪偉（Geng Hongwei）さんの配信をきっかけに、中国の学術界で研究不正スキャンダルが起きている。英科学誌Natureが6月12日に報じた。（2026/6/17）

攻撃難易度は「低」：
OutlookとWordにリモートコード実行脆弱性　深刻度は「緊急」
Microsoftは、OutlookとWordの脆弱性CVE-2026-45456を公開した。Officeの型混同により、未認証の攻撃者がローカルでコード実行可能となる。脆弱性を悪用した攻撃の難易度も低いため、注意してほしい。（2026/6/16）

AIとサイバー攻防のダイナミクス：
「人間がボトルネック」になる日は近い？　AI時代のサイバー攻防を読み解く4シナリオ
AIが脅威なのではない。AIに何を任せ、どこまで判断を委ねるのか――その選択がサイバー攻防の優劣を左右する時代が始まった。攻撃者と防御者は今、どちらが先に「AIを使う段階」から「AIに任せる段階」へ進むのか。その現在地と未来図を読み解く。（2026/6/15）

一次対応で「認証情報刷新」も　6日後に別の認証情報を盗まれる：
UPSIDER、開発者端末の侵害による不正アクセス・サービス一時停止　最終報告書を公表
UPSIDERは2026年4月1日に発生した第三者による不正アクセス事案およびシステムの一時停止について、外部の専門機関によるフォレンジック調査を踏まえた報告書を公表した。（2026/6/12）

AIニュースピックアップ：
中小企業の40％はルール未整備　調査で判明したAIセキュリティの死角
ESETは、AIが中小企業で広がる半面、設定不備やプロンプト注入、不正スキルによる情報流出の危険が増していると報告した。利用規定未整備の企業も多く、機密情報保護や権限管理の徹底を呼びかけた。（2026/6/13）

「早くつないで」に泣かない管理者への道（2）：
「単に通信をつなぐ人」はもう古い　ネットワーク管理者が“安全につなぐ仕組み”を支えるための基礎知識
新しく企業ネットワークの管理や運用の現場に携わることになった方を対象に、日々の業務で不可欠な「視点」「気付き」のポイントを解説する連載。今回も「企業ネットワーク」を軸に、「ISPネットワーク」「ホームネットワーク」と比較しながら、「セキュリティ」の観点におけるネットワーク管理の基礎知識やポイントなどを解説する。（2026/6/12）

脱サブスクの現実味を問う：
脱Googleって本当にできるの？　オンプレ回帰で存在感を増す台湾企業の挑戦
クラウドは便利だが、請求額やデータの置き場所に不満を抱く企業も増えている。Google DriveやMicrosoft 365に頼らず、同等の利便性を自社管理下で実現できるとしたら。台湾発のSynologyが打ち出した新戦略は、オンプレ回帰の流れを象徴する一手として注目を集めそうだ。（2026/6/11）

「パッチアポカリプス」現実に
Microsoftが過去最多200件超の脆弱性修正　パッチ管理の「手作業」はもう限界か？
Microsoftが過去最多となる約200件の脆弱性修正を公開した。サードパーティー製を含め月間600件に迫る「パッチアポカリプス」が到来している。情シスは従来の手法では対処しきれないパッチ管理の限界と、修正品質のリスクに直面している。（2026/6/11）

サイバーレジリエンスで実現する事業継続への道：
PR：ランサムウェアの標的はバックアップデータ、時代遅れのバックアップを進化させる4つのポイント
高度化するランサムウェア攻撃は、事業継続の「最後の砦」であるバックアップデータをも標的にする。迅速な復旧を目指すサイバーレジリエンスの観点から、バックアップの仕組みを見直し、現代の脅威に対抗して進化させるための4つのポイントとは。（2026/6/11）

Apple、欧州での「Siri AI」iPhone向け提供を見送りへ――デジタル市場法（DMA）とセキュリティを巡る対立の背景
Appleは年内リリース予定の次世代ソフトウェアにおいてSiri AIをEU加盟国で当面提供しない方針を発表した。同日開催の世界開発者会議で発表した目玉機能だがデジタル市場法を巡る対立が影響した。この異例の提供見送りは最新AIアシスタントの展開において大きな課題を残した。（2026/6/10）

「テスト環境だから安全」は幻想：
週5300万回使われるテストツールに複数の脆弱性　開発環境乗っ取りのリスク
開発者が日常的に利用するJavaScriptテストフレームワーク「Vitest」に複数の深刻な脆弱性が見つかった。細工されたURLや特定の通信経路を悪用されると、開発環境そのものが攻撃者の足場になる可能性があるという。（2026/6/9）

巧妙化する攻撃に、総合力で立ち向かう：
PR：大規模攻撃が突き付けた現実――ランサムウェア対策、今やるべきこととは
2025年に発生した飲料大手企業へのランサムウェア攻撃は、従来のセキュリティー対策の限界を浮き彫りにした。侵入を防ぎきることが難しい時代において、企業は何を備えるべきなのか。本事案から得られる教訓と、今求められる対策とは何か。（2026/6/8）

M365のデータ保護は誰の責任？　Hornetsecurityが提示する包括的セキュリティ
Hornetsecurityは、Microsoft 365環境向けのバックアップソリューション「365 Total Backup」の国内提供を開始した。M365インフラから完全に独立したデータセンターでの保管や、管理者の負荷を軽減する「セルフサービス復元」などのセキュリティ機能を備えている。（2026/6/5）

機密データを守るローカルAI
複雑なKubernetesクラスタは“手作業”では守れない？　「SLM」が導く解決策
Kubernetesクラスタにおいて、過剰な権限などの設定ミスはデータ漏えいを引き起こす要因になるが、脅威を手作業で洗い出すことにも限界がある。外部にデータを渡さずに、AI技術で素早くリスクを評価する手法とは。（2026/6/5）

「人任せにしない」メールセキュリティを構築
なりすましメールを防ぐ技術　なぜDMARCだけでは不十分なのか
GMOブランドセキュリティは、なりすましメールとメール認証技術に関する調査結果を公表した。2人に1人がなりすましメールを毎月受信している状況の中、DMARCの導入以外に取るべき対策を整理する。（2026/6/5）

東芝や無印良品など、複数の企業で「不審なログイン画面」　各社が注意呼びかけ　「polyfill io」経由か
無印良品や象印マホービン、ボートレースなど業種を超えた企業・団体が、自社サイトでの不審な認証画面の表示を相次いで公表した。共通の起点は、かつてサプライチェーン攻撃の舞台となった外部サービス「polyfill.io」。各社は情報漏えいを否定しつつ、画面に入力した利用者へパスワード変更を促している。（2026/6/4）

CAMPFIRE「従業員がGitHub認証情報を個人開発サーバに誤アップロード」　不正アクセスの原因公表
従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。（2026/6/3）

1台の感染から全社的な被害も
ランサムウェア「The Gentlemen」急拡大　21経路の「同時多発的」内部侵略を試みる
MicrosoftとNCC Groupは2026年5月、新興ランサムウェア集団「The Gentlemen」の活動拡大に関する分析を公表した。同ランサムウェアの特徴と、侵入後の被害拡大を防ぐための5つの対策を紹介する。（2026/6/3）

マネーフォワードの銀行連携、再開率99％超でも「完全復旧」に至らないワケ
マネーフォワードは5月1日、ソフトウェア開発などに使うソースコード管理サービス「GitHub」への不正アクセスを公表し、同日、家計簿アプリ「マネーフォワード ME」やクラウドサービスの銀行口座連携機能を停止した。復旧の最後の一歩が長引く理由は、マネーフォワードが銀行法上の「電子決済等代行業者」として連携機能を提供している点にある。（2026/6/2）

バックアップとネットワークの融合が、事業継続を左右する：
PR：ランサムウェア被害からの早期復旧策は本当に「高い」？　リスクから逆算する投資の妥当性
ランサムウェア被害は深刻化し、入り口防御だけではシステムを守り切れない。打開策は「秒単位の復旧」とネットワーク制御を連動させ、侵入後の被害を最小化する新たな多層防御のアプローチだ。確実な復旧と事業継続を両立させる手法を、専門家と考える。（2026/6/2）

「Claude」も陥る矛盾
AI生成コードの約半分に脆弱性　自動化の暴走を食い止める「DevSecOps」実践術
AIツールによるコード生成が普及する中、生成されたコードのほぼ半数に脆弱性が潜む事実が明らかになった。AI特有の新たな脅威に対し、開発とセキュリティ対策を一体化する「DevSecOps」による防衛策を紹介する。（2026/5/28）

IoTセキュリティ：
アプリケーション実行の直前に正真性を検証する高速セキュリティエンジンを開発
日本ラッドは、車載や産業機器向けに、アプリケーションの実行直前に正真性を検証するセキュリティエンジン「Pre Execute Verification」を開発した。欧州サイバーレジリエンス法などへの対応を支援する。（2026/5/29）

SCS評価制度が迫る中小企業の脆弱性対策：
PR：PDFにおけるセキュリティインシデントリスクと解決策
サイバー攻撃の「踏み台」にされるリスクは、もはやひとごとではない。経産省のSCS評価制度の運用開始が目前に迫る中、PDFを巡るセキュリティリスクとサプライチェーンを守る武器とは何か。（2026/5/28）

Tech TIPS：
【最終案内】2026年6月にWindows 11が起動不能に？　「セキュアブート証明書」の期限切れリスクと対策、起動しなくなった場合の対応策
2026年6月、Windows 11搭載PCの一部で起動不能に陥るリスクが浮上している。原因は、PCの安全性を担保する「セキュアブート」のデジタル証明書が15年の有効期限を迎えるためだ。本Tech TIPSでは、この問題の背景から、イベントビューアーでの警告確認、自身のPCが対応済みかどうかを判別するPowerShellのコマンドレット、手動で証明書を更新する手順、起動不能になった場合の対処方法までを詳しく解説する。（2026/5/27）

短期間で全社的に二要素認証が定着できたワケ：
脱「VPN安全」神話　さくらインターネットが「ゼロトラスト前提」で積み重ねた、マネできる緩和策
2026年3月3日、「ITmedia Security Week 2026 冬」の「ゼロトラスト」セクションで、さくらインターネットでCISO、CIOを務める江草陽太氏が基調講演に登壇した。（2026/5/27）

「AI同士の会話」も攻撃対象に
人間に反逆する場合も？　IBMが教える「AIエージェントの10大セキュリティリスク」
AIエージェントの導入にはリスクもある。IBMは、OWASPの文書を基に「AIエージェントの10大セキュリティリスク」を紹介した。（2026/5/26）

“内部”そのものが攻撃対象になる
AIエージェントを狙う4つの脅威とは？　IBMが説く「ゼロトラスト」5つの対策
生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。（2026/5/25）

加速するデータ共有圏と日本へのインパクト（8）：
日本版データスペースの司令塔、「デジタルエコシステム官民協議会」が描く勝ち筋
欧州を中心に進むデータ共有圏の動向やその日本へのインパクトについて解説してきた本連載だが、第8回は日本のデータスペース推進の強力なナショナルフロントとして始動した「デジタルエコシステム官民協議会」について紹介する。（2026/5/25）

「辞表もってこい」「給料返せ」――300ページ超のエア・ウォーター調査報告書を読む　不適切会計がなぜ相次いだ？
エア・ウォーターの不適切会計に関する調査報告書は、300ページを超える。読み解いていくと、不適切会計に至った経緯と原因が見えてくる。（2026/5/22）

AIエージェント時代に問われる「透明性」
「AIが何をしたか分からない」を脱却せよ　情シスが知っておくべきAI監査ログの構築術
AI活用が急速に進む中、セキュリティやガバナンスへの懸念が足かせとなっている。その解決策として注目されるのが、ユーザーの入力からAIの推論過程までを詳細に記録する「AI監査ログ」だ。法規制への対応や内部不正の防止など、情シス部門が信頼を勝ち取るために必要なログ管理の要件と、今すぐ備えるべき具体的な記録項目を詳説する。（2026/5/22）

開発基盤は攻撃者の格好の獲物に：
「コードを公開されたくなければ支払え」　Grafana Labs侵害で見えた新恐喝モデル
開発基盤そのものが“侵入口”になる――。Grafana Labsで発生したGitHub認証情報漏えいは、コード窃取や恐喝だけでは終わらない危うさを浮き彫りにした。攻撃者はどのように開発フローへ入り込み、なぜ非公開リポジトリーまで到達できたのか。（2026/5/19）

日本将棋連盟、公式サイトを一時公開停止　不正アクセスの可能性も視野に調査
日本将棋連盟は5月17日、運営する公式サイトにおいて通常と異なる表示や挙動が確認されたため、安全確保を最優先とする予防的措置としてサイトの公開を一時停止した。現時点で第三者による不正アクセスや改ざんは断定されていないが、その可能性も含めて調査を進めている。（2026/5/18）

macOS版に異例の更新要求：
OpenAIがサプライチェーン侵害「Mini Shai-Hulud」の被害を公表
OpenAIはTanStack npmを経由したサプライチェーン攻撃「Mini Shai-Hulud」によって社内端末への不正活動を確認したと公表した。同社は署名証明書を更新し、macOS版アプリ利用者に2026年6月12日までの最新版の更新を求めている。（2026/5/18）

ITニュースピックアップ：
Veeam、AI時代に向けたデータ管理システムを発表　AIエージェントの暴走を防ぐ
Veeamは、AI時代の新たなデータ管理システムを発表した。AIエージェントの普及に伴う情報ろう洩や暴走リスクに対し、データ保護やAI監視、法令対応を一本化。異常な操作の遮断や、壊された箇所のみを直す「外科的復旧」により、安全なAI活用を支える土台を提供する。（2026/5/16）

トレンドマイクロが警告
やっぱり危険な「MCPサーバ」　ずさん運用したらこうなる
MCPサーバはAIツールの活用に欠かせない存在だ。しかし利便性を重視するあまり、クラウドサービスの完全な掌握を攻撃者に許す恐れがあるとトレンドマイクロは指摘する。深刻なリスクの実態とは。（2026/5/14）

そのドキュメントの真正性を証明できますか？：
PR：トヨタとウイングアークが語る、製造業のAI時代に必要な「トラスト」という守り
製造業では、研究開発に関わる技術情報や設計図面、品質証明書、取引帳票など、多様なデータが企業間で流通している。近年は生成AIの活用が進む一方で、こうしたデータの「真正性」や「出所」を担保し、データの改ざんや権利侵害からどう守るのかが、新たな経営課題として浮上している。AI時代における製造業のデータガバナンスはどうあるべきか、トヨタ自動車 先進データサイエンス統括部 DS基盤開発室 室長の山室直樹氏とウイングアーク1st 執行役員 Business Data Empowerment SBU Senior Vice President 技術本部 副本部長の崎本高広氏が対談した。（2026/5/13）

「くら寿司 公式アプリ」に脆弱性、起動時の強制アップデートで対応　JVN報告
JVNは11日、スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性が存在すると公表した。（2026/5/12）

マネーフォワード、ユーザー補償は「検討中」　本番DBの侵害は「なし」
銀行口座連携機能の再開時期は明らかにしておらず、「確定次第、速やかに知らせる」と述べるにとどめた。（2026/5/11）

巧妙化する生成AIの「合成データ」　情シスが知るべき悪用とガバナンスの死角
生成AIによる「合成データ」は、プライバシー保護とデータ不足解消の切り札とされる一方、不適切な管理はモデルの精度低下や組織的な詐欺を招く。安易な導入が「データ汚染」や「再特定」という致命的なリスクを引き起こす実態を解明。情シスが今すぐ講じるべき、ガバナンスと検証の鉄則を提示する。（2026/5/11）

ペーパーレス化を推進
北海道伊達市がインフォマートのBtoBプラットフォームを導入　採用の決め手は？
北海道伊達市は、インフォマートのサービスを導入し、事業者との請求・契約業務をデジタル化した。約300社を対象に本格運用を開始し、API連携による業務効率化や郵送費削減、支払いリードタイム短縮を目指す。（2026/5/8）

「チェックリストの丸付け」は“戦略”ではない：
「入り口をふさぐ」だけではもう古い　企業の心臓を死守する「逆算型セキュリティ」の本質
2026年3月4日、「ITmedia Security Week 2026 冬」で、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が「AI時代のクラウド活用とレジリエンスの実現」と題して講演した。（2026/5/7）

元Cloudflareセキュリティ責任者が解説
7万台のサーバを守った男が説く、AIインフラ防衛の「3つの技術」
AIモデルを意図的にだまして誤作動や情報漏えいを引き起こす巧妙なサイバー攻撃が後を絶たない。7万台のサーバを管理してきたインフラセキュリティの専門家が提唱する、AIインフラを防衛する3つの手法とは。（2026/5/1）

セキュリティニュースアラート：
Oracle、481件の脆弱性修正を公開　Java含む複数製品をアップデート
Oracleは、複数製品の脆弱性に対応するため、481件のセキュリティ修正を含む定例アップデートを公開した。既存の欠陥が攻撃に使われる事例が報告され、迅速な適用とサポート対象版の利用を呼びかけている。（2026/4/25）

旭精機工業のサイト改ざん、仮想通貨取引所の偽サイトに……サイバー攻撃受け
IR情報ページなどで、「XXKK Virtual Currency Exchange」を名乗る暗号資産取引所の宣伝ページが表示される状態になっていた。（2026/4/23）

ITニュースピックアップ：
Cisco、MCPサーバやスキルの脅威を可視化するIDE拡張機能を公開
Cisco Systemsは、AIエージェントを活用するIDE向けに、MCPサーバやスキル、生成コードを対象とした多層的な分析と継続監視をするセキュリティスキャナーを発表した。（2026/4/23）

ゴールデンコピーで迅速に復旧：
PR：ランサムウェアから確実に復旧するための「隔離と分析」　実機検証が裏付けるデータレジリエンスの真価
バックアップデータさえ標的となる今、問われるのは「攻撃後の確実な復旧力」だ。バックアップデータの隔離とAI分析でゴールデンコピー（安全なデータ）を確保する「Dell PowerProtect Cyber Recovery」の実効性を、NECによる実機検証の成果とともに紹介する。（2026/4/22）