最新記事一覧
「サイバー保険」は、企業がサイバー攻撃を受けた際の“最後のとりで”になり得る。しかし保険に加入してさえいれば全損害を補填できるわけではない。4つの漏えい事例から学ぶ、組織を追い詰める致命的な要素とは。
()
Mandiantは年次レポート「M-Trends 2026」を発表した。2025年に実施した50万時間以上のインシデント調査では、サイバー犯罪の分業化と連携の進展により、初期アクセスから攻撃実行グループへの引き継ぎ時間が2022年の8時間超から2025年には22秒に短縮されたことが明らかになった。
()
Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。
()
厳格なマニュアルを持つはずのヘルプデスクが、いとも簡単に侵入を許してしまう。公開された「実際の詐欺音声」は、従来型セキュリティの限界を伝えている。担当者を欺く手口の全貌と、企業が取るべき対策とは。
()
GoogleはAIシステムの安全性を高めるため、攻撃者の視点からセキュリティの弱点を検証する専門チームの取り組みを公表した。AI特有の確率的な振る舞いや、ソーシャルエンジニアリングに近い攻撃特性に対応し、従来の防御を補完する。
()
Microsoft Threat Intelligenceは、北朝鮮系グループによるmacOS向け攻撃を公表した。偽のソフト更新を使いユーザー自身に実行させる手法で、認証情報や暗号資産を窃取する。今すぐ講じるべき防御策を紹介する。
()
AI時代の到来でセキュリティ意識は確実に高まったが、その裏で“準備できている企業”は想像以上に少ないことが分かった。投資は進む一方、現場の行動は変わらないというズレはなぜ生まれるのか。
()
リアルイベントに参加して見えた「Qilin」「デセプション」などの動向やセキュリティの専門家が指摘する「経営層の理解」という課題を深掘りします。なぜ「社長の一言」がセキュリティに効くのでしょうか。
()
2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。
()
OpenAIは、AIに対する「プロンプトインジェクション」攻撃をソーシャルエンジニアリングと同様の考え方で捉え直すことが重要だと解説している。
()
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。
()
Webブラウザの拡張機能や、開発者が利用するOSSがマルウェア化し、数百万人規模の被害につながる事例が相次いでいます。こうしたサイバー攻撃の実態と手口、そして企業や個人が採るべき対策を考えます。
()
ソフトウェア開発者を狙い、採用プロセスを装って悪意あるコードを実行させるソーシャルエンジニアリング攻撃が進化を続けている。Microsoftは公式ブログでサイバー攻撃の手口と対策について解説した。
()
巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87%が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。
()
業務のハブであるWebブラウザが今最も危険な“攻撃面”へと変わっています。さまざまなセキュリティリスクが企業を襲う中、新潮流として注目されているのが「セキュアブラウザ」です。その実力と限界に迫ります。
()
学生時代と同じ感覚でPCやSNSを利用していると、気付かないうちに会社を大きなリスクにさらしてしまうかもしれません。特に最近は、不慣れな利用者につけ込んだ、巧妙なサイバー攻撃が急増しています。自分自身と会社を守るために身に付けておくべきセキュリティ対策を紹介します。
()
2026年3月31日、毎週約1億ダウンロードされていた主要HTTPクライアントライブラリ「axios」の主要開発者アカウントが乗っ取られ、同ライブラリの依存関係にマルウェアが仕込まれた悪意のあるバージョンが公開された。影響範囲は大きく、侵害の全体像と対応の指針を示したGMO Flatt Securityのブログ記事が注目を集めた。本稿は同社で記事を執筆した米内貴志氏にインタビュー。記事では書かれなかった執筆者としての思い、相次ぐ「ソフトウェアサプライチェーン攻撃」の教訓を聞いた。
()
コピー&ペーストするだけ――その何気ない操作が、企業の機密情報を丸ごと奪う“入口”になりつつあります。正規ユーザーを装う攻撃が主流となる中、今最も厄介な「人間」を狙う新手口について攻撃シナリオまで含めて詳細に解説します。
()
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードを仕込んで流通させるサプライチェーン攻撃が発生した。MicrosoftやGoogleは、北朝鮮の集団が関与する極めて巧妙な攻撃だったと推測しており、影響の拡大が懸念されている。
()
内部不正対策は、もはや「人間」の監視だけでは不十分だ。自律的に判断し行動する「エージェンティックAI」が組織に 浸透する中、AIそのものが制御不能な内部脅威へと変貌しつつある。本稿は、AIが引き起こす新たなリスクの実態と、ID管理を軸とした具体的な防御策を解説する。
()
生成AIの普及による機密情報漏えいのリスクの拡大とともに攻撃も高度化しており、従来の対策では追い付かない状況だ。企業は、従業員の行動変容を促すセキュリティ文化の強化が急務である。
()
テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。
()
Google Cloud傘下のMandiantは2026年3月24日、年次レポート「M-Trends 2026」を発表した。2025年の調査に基づき、攻撃の高速化と長期潜伏の二極化、AI悪用の進展など、サイバー脅威の最新動向を明らかにした。
()
Googleの脅威インテリジェンス部門は、AIを悪用した脅威の最新動向をまとめた四半期レポートを公開した。
()
Gartnerは、AIエージェントが単一のプロンプトでランサムウェアのような挙動を引き起こすリスクを指摘した。企業が見直すべきポイントは何か。
()
2025年11月27日に開催された「ITmedia Security Week 2025 秋」で、多摩大学大学院 特任教授の西尾素己氏が「インフォスティーラーが変えたクラウド環境のアタックサーフェス」と題して講演した。
()
Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67%で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。
()
BlueVoyantはTeamsのIT担当者を偽装し、Windowsの遠隔支援機能「Quick Assist」(クイックアシスト)を悪用した新型「A0Backdoor」を確認した。攻撃はメール爆撃から始まり、MSI署名やDNSトンネリングを駆使して検知を回避するという。
()
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。
()
M&Aにおける取引価値を守る上で、サイバーセキュリティがますます重要な要素となってきている。取引前後の混乱を避けるため、CISOは早期にデューデリジェンスへ関与し、取締役会と連携して迅速にリスクを特定・管理する体制構築が不可欠だ。
()
OpenAIは、ChatGPTおよびAIエージェントがWebページを自動取得したりアクセスしたりする際に発生し得る、URLベースのデータ漏えい攻撃を防ぐ対策について公式ブログで解説した。
()
IT部門への配属はもはやPCに詳しい人の集まりではない。生成AIの台頭や下請法の改正によって無知が組織のリスクに直結する。2026年にIT担当者が取得すべき武器とは。
()
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。
()
Googleは、2025年のAndroid安全対策実績を発表した。AI導入により175万件超の不正アプリ公開を阻止。外部入手アプリを悪用した詐欺への対策を185市場へ拡大し、2億6600万回のリスクあるインストールをブロックした。通話中に防御を無効化させる手口への対策も導入し、自由なアプリ利用と安全性の両立を強化している。
()
Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。
()
KnowBe4は自社幹部の動画や音声などの素材でディープフェイク動画を作成し、高度ななりすまし攻撃を体験できる日本語版トレーニングを発表した。巧妙なAI詐欺の手口を実践的に学ぶことで、判断能力の強化が期待できる。
()
警察庁によると、電話をきっかけとする「オレオレ詐欺」は2025年11月だけで1284件発生した。こうした状況を受けNordVPNは、Android向け新機能「迷惑電話対策」を日本で提供開始した。
()
FortiGuard LabsはWindowsユーザーを標的とした多段階マルウェア攻撃キャンペーンの詳細を公開した。ソーシャルエンジニアリング、Microsoft Defenderの回避、リモートアクセス型トロイの木馬の配備、ランサムウェアによる暗号化を組み合わせた高度な攻撃手法が明らかになった。
()
LastPassは、同社ユーザーを標的としたアクティブなフィッシングキャンペーンについて注意喚起した。同社のメンテナンスに伴う「Vault」のバックアップを24時間以内に促す偽メールが確認されているという。
()
@ITで公開された記事の中から、特に注目を集めた10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。
()
ランサムウェア攻撃対策を講じているにもかかわらず、なぜ侵入を許してしまうのか。その答えは攻撃者の視点にある。ホワイトハッカーの知見を基に、対策の盲点と実効性を高めるための防御の考え方を解説する。
()
ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。
()
ESETは、生成AIがサイバー攻撃に与える影響に関する分析を公開した。AIにより今後2年間でサイバー脅威の頻度と強度が増すと警告。ランサムウェア構築支援やプロンプトインジェクションなど、AIが悪用される5つの主要な手口を解説している。
()
Securonixの脅威調査チームは、ステルス性の高い攻撃キャンペーン「PHALT#BLYX」を解析した。偽のブルースクリーンを表示して悪意あるコードを実行させるソーシャルエンジニアリング手法を用いる手口が判明した。
()
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。
()
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。
()
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。
()
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。
()
Microsoftは2025年版の「デジタル防衛レポート」について同社のイベントで紹介した。AIによって巧妙化する攻撃手法をはじめとした、企業が直面するサイバー脅威とその対策を紹介した。
()
ISACAは最新の調査レポート「2026年度版 テック動向と優先課題パルス調査」を公開した。調査結果ではAIに関連したサイバー脅威が2026年における主要な懸念事項として浮上した。その中でも特に注意すべきものは何か。
()