ランサム被害52億円からAIエージェントの脅威まで、今日のサイバーセキュリティ最前線🛡️(2026年1月28日ニュース)
icebreaker今日のセキュリティニュースは、現実世界の脅威が企業に与える深刻な影響を浮き彫りにしています。アスクルがランサムウェア攻撃で52億円もの特別損失を計上したニュースは、サイバー攻撃が事業継続に与えるインパクトの大きさを改めて示しました。また、広く使われるMicrosoft Officeでゼロデイ脆弱性が発見されるなど、私たちの身近に潜むリスクも後を絶ちません。一方で、OpenAIのサム・アルトマン氏が語るAIエージェントの危険性や、「ゾンビ認証情報」という新たな課題など、テクノロジーの進化がもたらす未来のセキュリティリスクにも光が当たっています。今日のニュースから、現在と未来の脅威にどう立ち向かうべきか、そのヒントを探っていきましょう。🤖
ランサム被害のアスクル、障害対応費用で特損52億円 業績予想取り下げ、中間配当は無配に
オフィス用品通販大手のアスクルは、2025年10月に発生したランサムウェア攻撃によるシステム障害の影響で、52億1600万円の特別損失を計上すると発表しました。この莫大な費用は、主にサービス復旧までの物流基盤維持費やシステム調査・復旧費用、出荷不能となった商品の評価損によるものです。この影響を受け、同社は2026年5月期の通期連結業績予想を取り下げ、中間配当も無配とすることを決定。経営への深刻な打撃が明らかになりました。また、経営責任を明確にするため、役員報酬を2026年1月から5月まで20%減額するとのことです。📦💥
ランサム被害のアスクル、障害対応費用で特損52億円 業績予想取り下げ、中間配当は無配に
「Microsoft Office」に新たなゼロデイ脆弱性--早急にパッチの適用を
Microsoftは、広く利用されている「Microsoft Office」製品群に存在するゼロデイ脆弱性「CVE-2026-21509」を修正する緊急パッチをリリースしました。この脆弱性は、文書内に外部アプリケーションのコンテンツを埋め込むOLE機能のセキュリティ対策をバイパスするもので、すでに攻撃への悪用が確認されています。攻撃者はこの脆弱性を利用してフィッシング攻撃を仕掛け、悪意のある添付ファイルを開かせることで、システムに感染させることが可能になります。影響を受けるのはOffice 2016以降の複数のバージョンで、Microsoftはユーザーに早急なアップデートを呼びかけています。🛡️💻
「Microsoft Office」に新たなゼロデイ脆弱性--早急にパッチの適用を
「My SoftBank」で他人の氏名や住所見えた MMS送信元入れ替わりも……プロキシサーバソフトの不具合
ソフトバンクは、契約者向けサイト「My SoftBank」で他人の個人情報が表示されるなどの障害が発生していたと発表しました。原因は、2025年9月に導入したプロキシサーバのソフトウェア不具合。これにより、一部の顧客が一時的に他の顧客として扱われ、他人の氏名や住所などの情報が表示されたり、MMSの送信元が入れ替わったりする事象が発生しました。影響が及んだのはのべ8375件にのぼり、2026年1月13日から17日にかけて発生したとのことです。同社はすでに不具合を修正し、再発防止策としてデータ整合性の確認強化や監視体制の見直しを行うとしています。👤💦
「My SoftBank」で他人の氏名や住所見えた MMS送信元入れ替わりも……プロキシサーバソフトの不具合
正規ドメインを装い、内部メールに見せかけるフィッシングが急増 Microsoftが警鐘
Microsoftは、組織の正規ドメインを偽装し、内部からのメールに見せかける巧妙なフィッシング攻撃が2025年5月以降に急増していると警告しました。攻撃者は、複雑なメールルーティングや設定不備を悪用し、「Exchange Online」のなりすまし対策を回避します。この手口は「Tycoon2FA」のようなサービスとしてのフィッシング(PhaaS)と関連しており、多要素認証(MFA)を突破する目的で使われます。偽の請求書送付による金銭詐欺なども確認されており、MicrosoftはMXレコードを適切に設定し、なりすまし対策を強化するよう呼びかけています。🎣📧
正規ドメインを装い、内部メールに見せかけるフィッシングが急増 Microsoftが警鐘
パスワード不要「マジックリンク認証」に潜む危険 “業者側の不備”でアカウント乗っ取りの恐れも
パスワードなしでログインできる便利な「マジックリンク認証」に、深刻なセキュリティリスクがあることが研究で明らかになりました。SMSで送信される認証リンクに含まれるトークンが予測可能な場合、第三者がURLを改変するだけで他人のアカウントにアクセスできてしまう恐れがあるといいます。米ニューメキシコ大学などの研究チームが約3万の電話番号に送信されたSMSを分析したところ、177のサービスでこの脆弱性が確認され、個人情報の流出やアカウント乗っ取りにつながる可能性が指摘されました。事業者の不適切な実装が、便利な認証手段を危険な裏口に変えてしまうケースがあるようです。🔓🔗
パスワード不要「マジックリンク認証」に潜む危険 “業者側の不備”でアカウント乗っ取りの恐れも
増殖する「ゾンビ認証情報」の脅威 これまでのシークレット管理をどう見直すべきか
IaC(Infrastructure as Code)ツールで知られるHashiCorpは、現代のITインフラに潜む「ゾンビ認証情報」の脅威について警鐘を鳴らしています。サービスアカウントやAPIキーといった「非人間アイデンティティー(NHI)」の数が爆発的に増加する中、従来の静的なシークレット管理では、侵害された認証情報が放置され、深刻なセキュリティホールとなり得ます。解決策として、同社は「ワークロードID」への移行を提唱。インフラ自体がIDを証明し、動的に短命な認証情報を発行するこのアプローチは、静的シークレットがもたらすリスクを根本から断つ次世代のセキュリティモデルとして注目されています。👻🔑
増殖する「ゾンビ認証情報」の脅威 これまでのシークレット管理をどう見直すべきか
サム・アルトマン「エンジニアの需要は減らない、ただし“意味”が変わる」
OpenAIのサム・アルトマンCEOが、AIエージェントの普及がもたらすリスクと未来について語りました。同氏は、AIエージェントの便利さに魅了され、当初は「監視なしでPCを触らせない」と決めていたにも関わらず、わずか2時間でその決意が崩れたという自身の体験を告白。この「便利さが判断を歪める」問題は、ユーザー教育だけでは不十分で、システム側の安全対策が不可欠だと警告しています。また、AIがコーディング作業を自動化する未来において、エンジニアの役割はコードを書くことから「アイデアを生み出すこと」や「高い主体性を持つこと」へと変化すると予測しました。🤖💡
サム・アルトマン「エンジニアの需要は減らない、ただし“意味”が変わる」
「政府保証の『誰でももうかる投資』」は嘘 首相官邸、偽サイトに繰り返し注意喚起
首相官邸は、官邸の公式サイトを装ったフィッシングサイトが複数確認されているとして、改めて注意を呼びかけました。これらの偽サイトは、官邸のロゴやデザインを無断で使用し、高市早苗首相らの映像を悪用。「政府が保証した投資」などと謳い、暗号資産への投資を勧誘して氏名や住所、口座情報といった個人情報を入力させようとします。首相官邸は「投資を勧誘したり、口座情報を求めたりすることは絶対にない」と強調し、不審なサイトを見かけた場合はURLを確認し、警察(#9110)などに通報するよう促しています。🚨🇯🇵
「政府保証の『誰でももうかる投資』」は嘘 首相官邸、偽サイトに繰り返し注意喚起
EY新日本、生成AI活用の書類解析システムが本稼働、顧客3805社の監査で利用可能に
EY新日本有限責任監査法人は、生成AIを組み込んだ書類解析システム「Document Intelligence Platform(DIP)」を本稼働させたと発表しました。このシステムは、監査業務における証憑突合プロセスを自動化するもので、証憑内容の読み取りから会計データとの突合、調書作成までを一貫して処理します。特に注目すべきは、独自開発の画像解析AIがデジタル証憑の改竄(かいざん)の兆候を検知し、アラートを発する機能です。これにより、不正の早期発見と監査品質の向上が期待され、同社が監査を担う全3805社で利用可能となります。🔍🤖
EY新日本、生成AI活用の書類解析システムが本稼働、顧客3805社の監査で利用可能に
AIセキュリティスタートアップ、大型資金調達で注目集める
AIを活用した新しいセキュリティソリューションを提供するスタートアップが、続々と大型の資金調達に成功しています。ロンドンを拠点とする「Aisy」は、攻撃者の視点で脆弱性管理を再定義するプラットフォームを開発し、シードラウンドで230万ドルを調達。元HackerOneの研究開発責任者が創業し、膨大な脆弱性の中から本当に危険な攻撃経路を特定します。また、ボストンとテルアビブに拠点を置く「Memcyco」は、AIによるブランド偽装やアカウント乗っ取りをリアルタイムで防ぐプラットフォームで、シリーズAで3700万ドルを調達。AIによる脅威の巧妙化に対し、AIで対抗する動きが加速しています。💰🚀
Top Startup and Tech Funding News – January 27, 2025
考察
今日のニュースを振り返ると、サイバーセキュリティの脅威が「現在進行形の危機」と「未来への備え」という二つの側面で、ますます複雑化していることがわかります。アスクルの巨額損失やソフトバンクの情報漏洩、Microsoft Officeのゼロデイ脆弱性は、ランサムウェアや設定不備、ソフトウェアの脆弱性といった古典的とも言える脅威が、今なお企業の経営基盤を揺るがす強力なリスクであることを示しています。これらのインシデントは、基本的なセキュリティ対策の徹底と、迅速なインシデント対応体制の構築が、規模の大小を問わず全ての組織にとって死活問題であることを改めて突きつけています。🛡️
一方で、AIの進化はセキュリティの世界に新たなパラダイムシフトをもたらしています。OpenAIのサム・アルトマン氏が語るAIエージェントの利便性と表裏一体の危険性や、HashiCorpが提唱する「ワークロードID」という新しい認証の考え方は、これからのセキュリティが「人間」だけでなく、自律的に動作する「非人間(AIやマシン)」をどう管理し、信頼の基点をどこに置くかという、より抽象的で本質的な問いに直面していることを示唆しています。攻撃手法は巧妙化し、防御側もEYのようにAIを活用して不正検知を行うなど、AIを巡る攻防はすでに始まっています。🤖
結局のところ、未来のセキュリティ戦略は、既存の脅威に対する堅牢な防御壁を築き続けると同時に、AIという新しい波をどう乗りこなすかにかかっていると言えるでしょう。フィッシングや認証情報の管理といった普遍的な課題に加え、AIエージェントの監視やAIが生成するデータの真正性担保など、これまでになかった論点が登場しています。企業は技術的な対策の導入だけでなく、AI時代の新たなガバナンス体制や、万が一インシデントが発生した際の「責任の所在」についても、今から議論を深めていく必要があります。未来の脅威は、もうすぐそこまで来ています。🚀
\ Get the latest news /
