今週のセキュリティニュース - 2026年1月16日

ZDNET Japanが1月7日に公開した記事によると、日本国内でブロックされたマルウェアの総数はアジア地域で突出して多いとのことです。

AI技術の悪用により、個人を標的としたサイバー脅威が新たな局面に突入していると指摘しています。具体的な脅威として、AIに入力した情報の漏洩や、AIが作成する巧妙な詐欺サイトや偽広告などが挙げられています。また、AIの誤回答を悪用し、架空のURLへ誘導するなどの新たな手口も確認されているといいます。

同記事ではAIへの安心感がリスクになり得るとし、AIが生成する情報の真偽確認を徹底することや多層的な防衛策を講じるなど、常に疑う「ゼロトラスト」の姿勢が重要だと強調しています。

2026年1月上旬、公立大学法人は不正アクセスによる個人情報流出の可能性を発表しました。流出対象はイベント申込者や入試合格者など400件以上の個人情報およびメール送受信履歴が含まれるとのことです。

本件の原因は2025年末、所属教員が個人利用していたクラウドサービスのアカウント情報が受信したフィッシングメールにより窃取されたことだとしています。更に、当アカウントを踏み台としてフィッシングメールも送信され、受信者からの連絡により事態が発覚したと公表されています。

当該法人は本事案に関する情報収集に努めるとともに、情報管理の徹底を図るなど、再発防止に努めるとしています。

米セキュリティ大手のTrellixやSilent Pushの調査によると、「ブラウザ内ブラウザ（BitB）」と呼ばれる巧妙なフィッシング手法が増加しています。これはブラウザ内にHTMLなどで本物そっくりの偽ポップアップを描画し、偽のアドレスバーに正規URLを表示してログイン画面になりすますものです。

視覚的な判別は困難で、偽CAPTCHAを用いた誘導も確認されています。最近は攻撃用キットの流通により、特別な知識がなくても偽ウィンドウを作成できる状況です。

対策には二要素認証やパスキーが有効です。不審なポップアップはブラウザの外へ移動できるか試してください。偽物は画面内の「描画」に過ぎないため、ブラウザの枠外へは動かせません。パスワードマネージャーが反応しない画面には、情報を入力しないよう注意が必要です。

オーストラリアのビクトリア州教育省は、データベースへの不正アクセスにより、現役生徒および卒業生の氏名や学校名、メールアドレス、暗号化されたパスワードが第三者に閲覧されたと発表しました。

生年月日や住所、電話番号などの機微な情報は露出していないとしていますが、同州の公立学校システムには約65万人の生徒が在籍しており、大規模な影響が懸念されています。

当局は、アクセスされたデータが公開された証拠は見つかっていないとしていますが、予防措置として全生徒のパスワードをリセットし、アカウントを凍結しました。流出したパスワードは暗号化されていましたが、安全性の確保を優先し、新しいログイン資格情報が発行されるまで生徒によるアクセスを遮断しています。