今週のセキュリティニュース - 2026年2月13日

情報処理推進機構（IPA）は2026年1月下旬、2025年に発生した社会的に影響の大きい事案に基づき決定した「情報セキュリティ10大脅威 2026」を発表しました。

組織向けの脅威では、1位「ランサム攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」は不動です。3位には「AIの利用をめぐるサイバーリスク」が初選出されています。

専門家は、ランサムウェアがデータを暗号化し公開を迫る「二重脅迫」へ変化している点や、委託先を狙う攻撃の多発を指摘しています。AIリスクについては、生成AIの業務利用に伴う意図しない情報漏えいや、AIを悪用した攻撃手法の高度化が懸念されています。

トレンドマイクロは経営層を騙り不正送金を促す「ビジネスメール詐欺（BEC）」の新手口として、企業の経営陣を偽装する手口「CEO詐欺」を解説しました。この手口は2025年12月頃から急増しているとしています。

従来のビジネスメール詐欺との差異としてメールでのやり取りは最低限にして別のツールでやりとりするように誘導することが挙げられており、セキュリティソフトによる検出回避を狙っていると考えられています。

同社は、従来から有効なビジネスメール詐欺の対策を徹底できているかどうかを今一度確認するとともに、最新の手口を周知・把握することが重要だとしています。

韓国政府は、大手ECサイト「Coupang（クーパン）」で発生した大規模な個人情報漏えいについて、高度なサイバー攻撃ではなく認証システムに対する管理の不備によるものだったとする初期調査結果を公表しました。

調査では、認証プロセスの欠陥を把握していた元従業員が、内部の署名キーを用いて不正なログイントークンを生成し、4月から11月にかけて顧客アカウントへ不正アクセスしていたとされています。

この漏えいにより、約3,370万人分の氏名や電話番号が流出しました。当局は、漏えいの報告が法定期限を超えていた点や、データ削除による調査妨害の可能性を指摘しており、警察などによる捜査が続いています。

欧州委員会（EC）は、職員のモバイル端末を管理するインフラへのサイバー攻撃を確認したと発表しました。この攻撃により、一部職員の氏名や電話番号などの個人情報が閲覧された可能性があるとして、現在調査が進められています。

侵入経路は公表されていませんが、本件はIvanti Endpoint Manager Mobile（EPMM）を標的とした欧州機関への類似攻撃と関連しているとみられています。オランダやフィンランドの政府機関でも、同製品の脆弱性を悪用した侵害が報告されています。

Ivanti社は1月29日、認証なしで任意のコード実行が可能となる2件の重大な脆弱性を公表しました。セキュリティ監視団体によれば、既に世界中で50台以上のEPMMサーバーが侵害された可能性があると報告しています。