今週のセキュリティニュース - 2026年04月03日

自動車やオートバイなどの排気系部品の開発を行うメーカーは、2026年3月下旬、外部からの不正アクセスにより、同社が保管する個人情報が漏えいした可能性があることを公表しました。

本件は2025年9月、海外拠点の社員がフィッシングメールを開封したことで、メールアカウントへの不正ログインが発生。事案発覚後、ただちに該当PCの利用停止およびアカウント削除を実施しました。フォレンジック調査は2025年12月に終了し、現時点でダークウェブ等への情報流出は確認されておりませんが、漏えいのおそれのある個人情報として、社員や取引先関係者の氏名・メールアドレスが含まれているとのことです。

当該メーカーは、対象となる関係者への個別連絡を行うとともに、再発防止に向けて多要素認証の導入や、全社員を対象とした情報セキュリティ研修の実施を行うとしています。

経済産業省と独立行政法人情報処理推進機構（IPA）は、ASM（Attack Surface Management）ツールを活用し、インターネット上に公開されているIT資産の脆弱性調査を実施。中小企業のリスク把握と対策促進を目的に、その実態報告書および事例集を公開しました。

調査対象となった複数業界の中小企業126社すべてにおいて、何らかの脆弱性が検知される結果となりました。この診断結果に基づき、中小企業が直面しやすい弱点や具体的な対策をまとめた「実例で学ぶサイバーセキュリティリスク事例集（計30事例）」を作成。本事例集は、社内教育での被害実態の共有や、経営層への予算確保に向けた説明材料、さらには自社で「今すぐできる対策」の確認などに活用することが可能です。

ランサムウェア等のサイバー攻撃が激化する中、サプライチェーン全体のセキュリティ水準を底上げするためにも、本事例を参考にした迅速な対策実施が急務となっています。

欧州委員会（EC）は、公式サイトのクラウド基盤が攻撃を受け、データが流出したと発表しました。3月24日に発覚した本件では、迅速な対応で内部システムへの侵入やサービス停止は免れたものの、一部データの流出が示唆されています。

一方で、ハッカー集団はメールサーバーや機密文書、契約書など計350GBものデータを奪ったと主張しています。委員会は監視と分析を継続し対策を講じていますが、詳細は不明です。

同機関への攻撃は今年2度目であり、レジリエンスへの懸念が残ります。当局内からは、現在の防御体制は不十分であるとの警告も出ており、今後の課題となっています。

英国に本社を置くVodafone社の調査によると、現地企業の10社に1社が深刻な攻撃を受けた場合、事業存続が困難になると回答しました。英小売大手や自動車メーカーへの攻撃が経済に巨額損失を招いたことで経営層の警戒心は高まっていますが、多くの組織で備え不足が露呈しています。

要因はパスワードの使い回しや教育不足、AIによる脅威です。同社担当者は、パスワードの適切な管理など基本的な対策を迅速に実施することの重要性を指摘しています。

これを受け英国政府と通信業界は、新たな詐欺対策憲章に署名しました。来年には新戦略の開始も予定されており、サイバー犯罪に対し官民が連携して対抗する動きが本格化しています。