サイバー攻撃関連
今週のセキュリティニュース - 2026年05月29日
セキュリティニュース一覧に戻る
ポストはじめに
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
業界
医療
金融
攻撃分類
ランサムウェア
AI悪用
フィッシング
目次
専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント
今週のハイライト
- 正規アカウント悪用により国内出版社で64万人分の情報漏洩懸念
- MFAを完全に迂回してOAuthトークンを奪う新たな脅威
- AIによる脆弱性攻撃の高速化に対し、日米で自動防衛の動き
最新AIの登場に伴い、サイバー攻撃は「人間の速度では対処できない」領域へ移行しつつあります。米CSA等の調査では、AIの悪用により脆弱性の発見から攻撃までが数時間に短縮された実態が報告されました。国内でも金融庁・日銀が金融機関へ緊急要請を出すなど警戒が強まっていますが、攻撃の自動化が進む環境下では、人間主導によるパッチ適用や事後対応のタイムサイクルそのものが通用しなくなっています。
AIが悪用されることで脅威の速度が高まる一方、実際のインシデントの多くは依然として「認証の突破」から始まっています。国内の医療系出版社における64万人分の情報漏洩懸念事案では、正規アカウントの悪用が起点となりました。さらにFBIが警告する「Kali365」のように、多要素認証(MFA)を完全に迂回してOAuthトークンを奪取する手口も台頭しており、従来の認証の壁は容易に無力化されるのが現状です。
人間の判断や従来のMFAが限界を迎える中、今後はアクセス制御の自動化が不可欠です。CloudGate UNOは、アクセス制限機能により、不審な認証フローや未許可デバイスからの接続をその場で即座に遮断します。高速化する攻撃や巧妙なトークン窃取に対し、アクセスごとに「安全な環境か」をシステム側で厳格に検証する仕組みを整えることが、これからの企業に求められる防衛の最適解です。
認証セキュリティの強化をご検討中でしたら、ぜひ弊社までご相談ください。クラウドサービスへの多要素認証(MFA)導入やパスワードレス認証に関するオンライン無料相談を受け付けております。
国内の主なインシデント
医療系出版企業のランサム被害で64万人分情報漏洩の恐れ
医療・看護分野の出版社で2026年5月13日、同年3月に発生したランサムウェアによる不正アクセス事案の調査結果と再発防止策を発表しました。
調査によると、第三者が正規のアカウント情報を悪用して社内ネットワークに侵入したことが起点となり、サーバー内のファイルが暗号化される被害が発生しました 。悪用された認証情報の漏洩経路は特定に至っておりません。現時点で個人情報の外部流出を示す確定的証拠はありませんが、流出の可能性を完全否定できないため、同社は「漏洩のおそれがある」として 対応を進めています。
漏洩の恐れがある個人情報は、重複の可能性を含め概算で合計64万1000人分に上ります。対象にはサービス登録者や顧客情報、医療機関・教育機関の関係者、取引先、従業員などが含まれるが、二次被害は確認されていない 。同社はID認証強化などの応急処置を実施済みで、2026年9月末までに多層防御体制の構築や認証基盤のさらなる強化などを進めるとしています。
金融庁・日銀、金融機関へサイバー攻撃対策「9項目」を要請
金融庁と日本銀行は2026年5月、高度なAIを悪用したサイバー攻撃の急激な高まりを受け、金融機関に対して短期的に取り組むべき「9項目の緊急要請」を発表しました。
背景には米アンソロピック社の「Claude Mythos」など、ソフトウェアの脆弱性を短期間で発見・悪用できる最新のAIの登場があります。攻撃のスピードと規模が桁違いに跳ね上がる中、守る側にも迅速な対応が求められています。
要請の主な内容は、AI脅威を経営トップ主導の全社的な課題として位置づけ、その上で、ネットバンキングなどの重要システムを最優先とした修正プログラム(パッチ)の迅速な適用体制を整え、人員の増強やベンダーとの夜間・休日を含む保守契約を再確認するよう求めています。さらに、多要素認証(MFA)の導入やネットワーク隔離などの多層防御を強化するとともに、万が一のシステム停止時の判断基準を明確化しておくことも盛り込まれました。なお、今回の要請はあくまで「応急措置」とされており、中長期的には政府の国家プロジェクト(Project YATA-Shield)に沿って、AIを活用した自動防衛体制の構築などを目指す方針です。
国外の主なインシデント
フィッシングキット「Kali365」がMicrosoft 365のOAuthトークンを奪取
FBIは、Microsoft 365のOAuthトークンを奪取する新たなフィッシングツール「Kali365」について警告を発しました。このツールは、ユーザーの認証情報を直接盗むことなく多要素認証(MFA)を迂回し、標的の環境への永続的なアクセスを可能にします。
攻撃者は偽メールで被害者を正規の認証ページに誘導し、デバイスコードを入力させます。結果として攻撃者の端末が認可され、Outlook等へパスワードなしで侵入されます。
対策として、FBIはデバイス認証コードの制限やブロックを推奨しています。また、条件付きアクセス機能のポリシーを設定してデバイスコードフローを制御することや、認証転送ポリシーをブロックする措置も有効とされています。
AI脆弱性の嵐に備えるMythos対応セキュリティの構築
米Cloud Security Alliance(CSA)等の共同調査資料によると、最先端AI「Mythos」の登場で、脆弱性発見から悪用までの時間が数時間に短縮されたことが判明しました。かつてない規模で自動化攻撃が展開されています。
人間の速度による防御ではもはや対抗できず、防御側もAIエージェントを導入し、機械の速度で対処する「Mythos対応」の体制へ移行する必要性が示されています。
同時に、環境の堅牢化も不可欠です。ゼロトラストや多要素認証(MFA)の義務化といった基本対策が、AI時代の脅威を防ぐ鍵となることが強調されています。
