AIが書き換える攻防の地図🛡️ 脆弱性トレンドと次世代セキュリティの胎動（2026年1月8日ニュース）

今日のセキュリティニュースは、AIがサイバーセキュリティの風景を根底から塗り替えつつある現実を浮き彫りにしています。Chrome拡張機能に潜むマルウェアがAIとの会話まで盗み出す一方、ランサムウェア攻撃もAIを悪用して巧妙化しています。こうした脅威の進化に対し、防御側もAIガバナンス体制の構築や、デジタルID、ブロックチェーンといった新しい信頼の基盤技術で対抗しようと必死です。最新の脆弱性ランキングから、大手企業のデータ漏洩、そして未来のセキュリティを形作る新サービスの登場まで、AI時代における攻防の最前線をお届けします。

2025年版「最も危険なソフトウェアの脆弱性Top 25」、認可の欠落が4位に急浮上

アメリカの非営利団体MITREは、最も危険なソフトウェアの脆弱性をまとめた年次リスト「2025 CWE Top 25」を発表しました。2024年に引き続き「CWE-79（クロスサイトスクリプティング）」が1位を維持し、Webアプリケーション関連の脆弱性が依然として大きな脅威であることが示されています。特筆すべきは、5つ順位を上げて4位に急浮上した「CWE-862（認可の欠落）」です。これは、認証済みユーザーであっても、特定の機能やデータへのアクセス権限を都度検証するプロセスが欠けている脆弱性を指し、そのリスクが年々高まっていることを浮き彫りにしました。また、評価手法の変更により、バッファオーバーフロー関連の脆弱性が複数ランクインする結果となっています。 「認可の欠落」が4位に急浮上　「最も危険な脆弱性Top 25」MITREが公開

90万件超ダウンロードのChrome拡張機能、ChatGPTの会話や閲覧履歴を盗んでいたことが判明

合計で90万回以上ダウンロードされた2つのChrome拡張機能が、ユーザーの機密情報を盗み出すマルウェアであったことがセキュリティ企業OX Securityの調査で明らかになりました。問題の拡張機能は「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」と「AI Sidebar with Deepseek, ChatGPT, Claude and more」で、ユーザーとChatGPTやDeepSeekとの会話データ、さらにはブラウザの閲覧履歴まで収集し、30分ごとに攻撃者のサーバーへ送信していました。これらのデータは企業スパイや標的型フィッシング攻撃に悪用される危険性があり、組織に深刻な情報漏洩リスクをもたらします。現在、両拡張機能はChromeウェブストアから削除されています。 90万件超もダウンロードされたChrome拡張機能がChatGPTやDeepSeekとの会話データやブラウザ閲覧履歴を盗んでいることが判明

AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる？

セキュリティ企業Akamaiは、2026年のサイバー脅威に関する予測を発表し、AIの悪用が攻撃の質を根本的に変えると警告しています。特に、自律型AIが脆弱性スキャンから攻撃実行までを自動化することで、従来は数週間かかっていたデータ侵害が数時間以内に短縮されると予測。さらに、AIを用いて人々の感情や心理を操作する「バイブハッキング」という新たな手口が登場し、専門知識がなくても高度な脅迫型攻撃が可能になると指摘しています。これにより、金融、ヘルスケア、半導体などの重要産業やサプライチェーンが主要な標的になると分析しています。 AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる？<br>

TOKYO FM、外部クラウドから「AuDee」投稿データなど流出

エフエム東京（TOKYO FM）は、同社が利用する外部クラウドサービスに保管していたデータの一部が流出したと発表しました。流出したのは、音声プラットフォーム「AuDee」の投稿データや番組関連サービスのユーザー情報で、ラジオネーム、性別、年齢、投稿メッセージなどが含まれています。海外のハッキングフォーラムで「300万件以上の情報を取得した」と主張する投稿があり、調査の結果、自社サーバーへの不正アクセスは確認されなかったものの、クラウド上の分析用データの流出が判明しました。同社は、原因を調査中であるとし、該当サーバーへのデータ保存停止や不要データの削除といった対策を講じたとしています。 TOKYO FM、外部クラウドから「AuDee」投稿データなど流出　「自社サーバは攻撃を受けてない」

製造業・半導体分野のサプライチェーンセキュリティ強化へ、クエストとサイリーグが協業

システムインテグレーターのクエストと、サイバーセキュリティ事業を推進するサイリーグホールディングスは、製造業・半導体分野を中心としたサプライチェーン全体のセキュリティ強化を目的とする協業を開始しました。この協業は、取引先がサイバー攻撃の踏み台にされるリスクが高まる中、企業単位の対策を超えてサプライチェーン全体のサイバーレジリエンスを高めることを目指します。具体的には、監視とインシデント対応を連携させ、取引先のリスクを俯瞰的に把握し、実装・運用まで一貫して支援する実践的なモデルの構築を進める計画です。 製造業・半導体分野のサプライチェーンセキュリティの底上げへ--クエストとサイリーグが協業

AIガバナンスの主管部門、半数超の企業で不在または機能不全

ChillStackが実施した「AIガバナンスに関する実態調査」によると、自社サービスにAIを実装している企業が増える一方で、半数以上の企業（50.5%）でAIガバナンスの主管部門が不在、または機能不全に陥っていることが明らかになりました。主管部門が機能していない企業の約7割で既に何らかの問題が発生しており、「責任の押し付け合いになる」「リスク判断の基準が統一されず現場が混乱する」といった組織的な混乱が課題となっています。エンジニア側は「現場で運用できるガバナンス支援」を求めており、ルール策定だけでなく、日々の開発現場で使える実践的な仕組みへのニーズの高さが浮き彫りになりました。 AIガバナンスの主管部門が不在・機能不全の企業が半数超　「責任の押し付け合い」に懸念

AI支援開発で「伸びるチーム」と「崩れるチーム」を分ける7つの能力をGoogleが分析

Googleは、AI支援ソフトウェア開発の成否を分ける7つの基礎能力を特定した調査レポート「DORA AI Capabilities Model」を公開しました。レポートでは、AIツールは組織の強みだけでなく弱みも増幅させると指摘。成功の鍵は、①明確なAI利用ポリシー、②高品質な内部データ、③コンテキストエンジニアリング、④堅牢なバージョン管理、⑤小さなバッチでの開発規律、⑥ユーザー中心の価値観、そして⑦標準化された開発基盤にあるとしています。AI導入は単なるツール導入ではなく、それを支えるシステムや仕組みへの投資を伴う「組織変革」であると結論付けています。 AI支援開発で「伸びるチーム」「崩れるチーム」を分ける7つの能力、Googleが分析

NTTドコモ・グローバルとアクセンチュア、次世代の分散型ID基盤「UWI」を共同構築

NTTドコモ・グローバルとアクセンチュアは、企業や公的機関が認証情報やトークンを安全に管理・検証できる次世代プラットフォーム「Universal Wallet Infrastructure（UWI）」の共同構築とグローバル展開に向けた協業を開始しました。UWIは分散型技術を基盤とし、サイロ化されたシステムを連携させ、リアルタイムなデータ共有と相互運用性を実現します。これにより、生活者は自らのデータを主体的に管理でき、企業は同意に基づいた高精度なデータへアクセス可能となります。行政サービスの簡素化や企業の人事業務効率化、旅行分野でのシームレスな体験提供など、幅広い活用が期待されています。 NTTドコモ・グローバルとアクセンチュア、認証情報を安全に発行・管理する基盤をグローバル展開

Vannadium、信頼できるAIのためのリアルタイム・オンチェーンデータプラットフォーム「Leap」を発表

AI向けの信頼インフラを構築するVannadiumは、ブロックチェーンレベルのデータインテグリティとリアルタイム性能を組み合わせた初のプラットフォーム「Leap」を発表しました。Leapは、動画や文書、ログなどの高価値データを、完全な来歴（プロブナンス）とアクセス制御を備えた形で直接チェーン上に保存・ストリーミングすることを可能にします。同社のリチャード・ギルクリストCEOは「AIにおける最大のリスクは、不正なモデルではなく、目に見えないデータの障害から生じる」と指摘。Leapは、データの出所や使用方法を証明し、AIの決定の背後にあるソースを検証可能にすることで、説明可能で監査可能なAIの基盤となることを目指します。 Vannadium Unveils Leap: Real-Time, On-Chain Data for Trustworthy AI

ExecLayer、エンタープライズAI向けのポリシー強制実行レイヤーを発表

ExecLayerは、AIが生成した決定やワークフローが、企業のシステムで実際のアクションに変換される方法を制御するためのガバナンス付き実行レイヤーを発表しました。このプラットフォームは、AIや自動化が本番システムを変更する前に、ポリシー検証、権限チェック、および監査制御を強制する「実行境界」を確立します。創設者のジェームズ・ベントン氏は「企業はAIが何を言うかについてはガードレールを設けてきたが、AIが何をできるかについてはほとんど何も規定していない」と指摘。ExecLayerは、運用、セキュリティ、コンプライアンスのリーダーが、ポリシー制御や説明責任を失うことなく自律的なワークフローを導入できるように支援します。 ExecLayer Introduces a Policy-Enforced Execution Layer for Enterprise AI

考察

今日のニュースを俯瞰すると、サイバーセキュリティのパラダイムが「AIによる攻防」へと完全に移行しつつあることが鮮明になります。攻撃側は、AIを悪用した「バイブハッキング」のような心理操作や、マルウェアの巧妙化によって、これまで以上に速く、大規模な攻撃を仕掛けてきています。これはもはや、従来型の防御策だけでは対応しきれない、新たな脅威の時代の幕開けを意味します。個別のインシデント（記事100, 87）や脆弱性（記事99）への対処はもちろん重要ですが、それ以上にサプライチェーン全体（記事54）を巻き込む広範なリスクへの備えが不可欠です。🤖

一方で、防御側もAIを武器に、新たな防衛線を構築しようとしています。しかし、その取り組みは多くの企業で道半ばです。半数以上の企業で「AIガバナンス」の体制が整っていない（記事98）という現実は、技術導入と組織体制の間に深刻なギャップがあることを示しています。Googleが指摘するように（記事97）、AI活用の成否はツールそのものではなく、それを使いこなすための組織能力やプロセスにかかっています。今後は、NTTドコモとアクセンチュアが目指す分散型ID基盤（記事76）や、Vannadiumが提唱するブロックチェーンによるデータ信頼性確保（記事51）のように、「信頼」そのものを技術的に担保するアーキテクチャが重要性を増していくでしょう。AIが自律的に「行動」する時代を見据え、ExecLayerのような実行制御（記事11）の概念も、これからのセキュリティ戦略を考える上で欠かせないピースとなりそうです。企業は「AIをどう使うか」だけでなく、「AIに何をさせ、何をさせないか」というガバナンスの設計に、今こそ本気で向き合う時が来ています。🧐