今週のセキュリティニュース - 2026年06月12日

米Sysdigは2026年2月、LLM（大規模言語モデル）を悪用したAWS環境への超高速自動化攻撃を公表した。初期侵入から最高権限の奪取までわずか8分で完了した事例である。

公開状態のAmazon S3バケットから認証情報を窃取して侵入後、Lambda関数のコードを書き換えて管理者権限を不正に作成。計19個のアイデンティティを横断して検知を逃れつつ、EC2の広帯域GPUインスタンスなどを起動してリソースを不正利用した。コード内に不自然な言語のコメントや、実在しないアカウントへの参照（ハルシネーション）が見られたことから、LLMによる自動生成攻撃であると強く示唆されている。

同社は、こうした高速な自動化攻撃への対策として「最小権限の原則」の徹底とリアルタイム検出の重要性を警告している。

愛知県の大学病院は2026年6月上旬、看護師がサポート詐欺の被害に遭い、患者の個人情報1,365件が漏洩した可能性があると発表しました。当該看護師は院内規定に反し、患者情報を個人のPCに保存していました。

5月下旬、看護師が個人PCでウェブサイト閲覧中に偽の警告が表示され、指示通りにURLへアクセスしたことで遠隔操作の被害に遭いました。その後、身に覚えのないクレジット請求が届いたため専門業者に調査を依頼し、詐欺と情報漏洩の可能性が判明して病院へ報告に至りました。

被害は当該PCのみで、病院本体のシステムへの影響や情報の不正利用は確認されていません。漏洩の恐れがあるのは、2004年〜2025年に同院で透析治療などを受けた一部の患者情報です。本事案は、利便性のためにルールを逸脱してデータを持ち出す「シャドーIT」が、重大なセキュリティリスクを招く典型例です。全職員への規定遵守の徹底が不可欠です。

PagerDutyが発表した「2026年版 AI-First Operations実態調査レポート」により、日本企業におけるシステム障害の影響と、AI活用の課題が明らかになりました。調査によると、システム障害などのインシデント発生時に1時間当たり「50万ドル（約8,000万円）以上」の損失を経験した日本企業は43%に上り、米国（31%）を大きく上回る実態が浮き彫りとなりました。

日本企業のAI導入率は55%にとどまり、米国の68%を下回っています。一方でAI活用への期待値は非常に高く、「人材獲得・定着（55%）」「競争力強化（46%）」「生産性改善（46%）」の全項目でグローバル平均を超えています。

同社は、インシデントの打撃が深刻化する中、AIを活用してインシデント管理を迅速化し、サービス復旧を早める「レジリエンス（回復力）の強化」が日本の経営陣にとっても急務であると指摘しています。

IBMが、世界2,000人の技術担当役員を対象にしたグローバル調査によると、調査対象となった技術部門のリーダーの3分の2が、完全に把握しきれていないAIシステムに対する責任を求められています。

さらに70%が、IT部門の把握を超える速度で各部門が技術導入を進めていると回答しました。過去1年で各組織は平均54件のAIインシデントを経験し、重大事象の37%がデータ漏洩やセキュリティ侵害に直結しており、既存のガバナンスが追いついていません。

安全な運用には、初期段階からシステムへ直接的な制御を組み込むことが不可欠です。実際に制御を組み込んだ組織は、インシデントを25%抑えつつ規模拡大に成功していることが報告されています。単に導入を急ぐのではなく、組織の統制とガバナンスを再構築することが安全なAI活用の鍵となります。

フランス政府の暗号化メッセージングアプリ「Tchap」で不正アクセスが確認されました。フランスデジタル担当省（DINUM）によると、侵害された正規アカウントがシステム侵入に悪用されました。攻撃者は、ソーシャルエンジニアリングを用いてこのアカウントを取得したと主張しています。

この侵害により広範なデータ流出の恐れがあります。攻撃者の主張によれば、ハードコードされたLDAP認証情報のほか、1万2,000件以上のファイル、約7万3,000件のアカウント情報、約51万8,000件のメッセージなどが不正に取得されたとされています。

事態を検知したDINUMは、不正アクセスの送信元アカウントを直ちに遮断しました。また、データ保護機関（CNIL）へ本インシデントを報告するとともに、イベントログの解析などを含む詳細な調査を開始し、影響範囲の特定を進めています。