🛡️ 本日のサイバーセキュリティ・脆弱性ニュース トップ10（2026年3月9日ニュース）

本日のサイバーセキュリティに関する最新ニュースをお届けします！🔍 今日は、AIを活用した画期的な脆弱性発見ツールの登場や、最新のフィッシング手口、ランサムウェア対策の実践的なノウハウなど、見逃せない情報が目白押しです。特に、OpenAIやAnthropicが発表したセキュリティAIエージェントの動向は、今後のソフトウェア開発と防御のあり方を大きく変える可能性を秘めています。それでは、業界への影響度が高い重要ニュースを順に見ていきましょう！🚀

OpenAIが脆弱性の発見・検証・修正を自動化するAIエージェント「Codex Security」を発表

OpenAIは、コードのセキュリティレビューを自動化するAIエージェント「Codex Security」の研究プレビュー版を発表しました。このツールは、システムの構造を理解して脅威モデルを自動作成し、脆弱性を優先度付きで検出した上でサンドボックス環境での実証を行います。さらに、システム全体の文脈を考慮した回帰バグを最小限に抑える修正案まで提示することが可能です。ベータテストでは外部リポジトリの120万件以上をスキャンし、792件の重大な脆弱性を正確に特定しました。ChatGPT Enterpriseなどのユーザー向けに提供され、2026年4月には無料で利用可能になる予定です。 OpenAIが脆弱性の発見・検証・修正を自動化するAIエージェント「Codex Security」を発表

AnthropicとMozillaが連携、Claude Opus 4.6がFirefoxで100件超のバグをわずか2週間で発見しそのうち14件は高深刻度

AnthropicとMozillaは、AIを用いた脆弱性検出において画期的な成果を報告しました。AIモデル「Claude Opus 4.6」がFirefoxの約6000件のC++ファイルをスキャンした結果、わずか2週間で112件のバグ報告を提出しました。そのうち22件が実際の脆弱性として確認され、14件は高深刻度と判定されました。報告にはバグの再現テストや修正用パッチが含まれており、Mozillaのプラットフォームエンジニアによる迅速な修正作業に大きく貢献しました。この成果は、AIが大規模コードベースの安全性を飛躍的な速度で強化できることを実証しています。 AnthropicとMozillaが連携、Claude Opus 4.6がFirefoxで100件超のバグをわずか2週間で発見しそのうち14件は高深刻度

「なぜ正規アカウントが奪われたのかまでは分からない」の原因 ～フィッシング？ ClickFix？～

サイバーセキュリティのリサーチャー陣が、近年多発する認証認可の悪用事例について詳細な分析を行いました。2025年の国内インシデントでは、不正ログインの被害は報告されても「なぜアカウントが奪われたか」という根本原因が特定されていないケースが多数を占めています。攻撃の入り口として、正規サイトの通信を中継して多要素認証ごと突破する「AitM」や、ユーザー自身に悪意あるスクリプトを実行させる「ClickFix」などの高度な手口が急増しています。企業はパスワードマネージャーの導入やFIDOなどのフィッシング耐性のある認証手段への移行に加え、ログによる原因特定の仕組みを構築することが急務となっています。 「なぜ正規アカウントが奪われたのかまでは分からない」の原因 ～フィッシング？ ClickFix？～

ランサム対策で見落としがちな「もう一つの脆弱性」 被害を抑えるための注目点とは

近年のランサムウェア攻撃において、システム上の技術的脆弱性だけでなく、従業員や経営層に起因する「人的脆弱性」の対策が重要視されています。GMOあおぞらネット銀行の金子邦彦氏は、フィッシングメールに引っかかる「従業員的脆弱性」と、セキュリティ投資やインシデント体制の整備を怠る「経営的脆弱性」の2つを指摘しています。効果的な対策としては、実践的なメール対応訓練を習慣化するまで繰り返し実施することが推奨されます。また、経営層に対しては、業務停止に伴う損失を具体的な数値で示し、サードパーティー経由のサプライチェーン攻撃に対する監査やSLAの徹底を促すことが不可欠です。 ランサム対策で見落としがちな「もう一つの脆弱性」 被害を抑えるための注目点とは

ニュートン・コンサルティング、ランサムウェア対策に特化したBCPの構築を支援、IT全面停止シナリオを想定

ニュートン・コンサルティングは、ランサムウェアの被害を最小限に抑えるための新サービス「ランサムウェア特化型BCP構築・改善サービス」の提供を開始しました。近年の攻撃はデータの暗号化だけでなく情報暴露を伴う多重脅迫へと進化しており、バックアップを含むITインフラの全面停止を余儀なくされるケースが増加しています。本サービスでは、「身代金支払いの是非」など有事の経営判断基準を事前に言語化し、ITが使えない期間の現場の代替運用を具体化します。最悪のシナリオを想定したレジリエンス設計により、企業はシステム復旧を待たずに事業を継続できる実効性の高い体制を構築できます。 ニュートン・コンサルティング、ランサムウェア対策に特化したBCPの構築を支援、IT全面停止シナリオを想定

キヤノンMJ、2万ユーザー規模のネットワークにSASEを導入、段階移行で業務影響を最小化

キヤノンマーケティングジャパン（キヤノンMJ）は、グループ約2万ユーザーを対象とした大規模なネットワーク基盤にSASE（Secure Access Service Edge）を導入しました。クラウドシフトやリモートワークによる通信量の増大と、暗号化通信に潜むセキュリティリスクを解決するため、イスラエルのCato Networksが提供するプラットフォームを採用しています。既存のネットワークを維持したまま専用機器「Cato Socket」を用いて段階的に移行することで、業務への影響を最小限に抑えることに成功しました。これにより、突発的なトラフィック増加への柔軟な対応と、HTTPS通信の復号によるゼロトラストを前提としたセキュリティの強化を実現しています。 キヤノンMJ、2万ユーザー規模のネットワークにSASEを導入、段階移行で業務影響を最小化

[アップデート] AWS WAF に追加された「AIトラフィック分析」機能を使ってみた

AWS WAFに、AIボットやエージェントからのアクセスを可視化する新機能「AIトラフィック分析」が追加されました。この機能を利用すると、過去2週間のリクエストからどのAIクローラーがアプリケーションにアクセスしているかを分析し、不正なスクレイピングなどの活動を特定できます。ダッシュボードでは、ボットのカテゴリ別トラフィック量や、リクエストが集中しているパス（URL）をサンキー図などで直感的に確認することが可能です。また、未検証のボットに対して画面上から直接WebACLルールを更新し、アクセスをブロックする設定も簡単に行えるため、AI時代におけるサイト保護に大きく役立ちます。 [[アップデート] AWS WAF に追加された「AIトラフィック分析」機能を使ってみた](https://dev.classmethod.jp/articles/aws-waf-ai-activity-dashboard/)

DJIが7000台の「Romo」ロボット掃除機を誤ってハッキングした男性に3万ドルを支払う予定

ドローン大手のDJIは、同社のロボット掃除機「Romo」の脆弱性を偶然発見したセキュリティ愛好家に対して3万ドル（約480万円）の報奨金を支払うことを決定しました。この男性は、AIツールのClaudeを用いて作成したカスタムアプリとPS5のコントローラーを使用し、セキュリティPINなしで数千台のRomoの映像データに不正アクセスできてしまう問題を発見しました。DJIはすでにこの脆弱性を修正しており、ユーザーデータの不正利用は確認されていないと発表しています。また、今後1カ月以内にシステム全体のアップグレードを実施し、第三者機関によるセキュリティ監査を強化する方針を示しています。 DJIが7000台の「Romo」ロボット掃除機を誤ってハッキングした男性に3万ドルを支払う予定

スパイウェアの脅威からiPhoneやAndroidを守る方法

著名人やジャーナリストを標的とした「ペガサス」や「Predator」などの高度なスパイウェアの脅威が一般にも拡大しつつあります。これらのマルウェアは、ユーザーが何も操作しなくても感染するゼロクリック攻撃を多用し、メッセージやカメラ、位置情報などのデータを密かに窃取します。AppleはiPhone向けに、機能の一部を制限してセキュリティを極限まで高める「ロックダウンモード」や、メモリ破損を防ぐ新技術を提供しています。一方、GoogleもAndroid向けに「高度な保護機能」を強化しており、ユーザーはOSを常に最新の状態に保ち、不審なリンクやアプリのインストールを避けることが最も重要だと専門家は警鐘を鳴らしています。 スパイウェアの脅威からiPhoneやAndroidを守る方法

自分のPCのChrome拡張は安全か？ 話題沸騰のAI「Claude Cowork」で権限と挙動をチェックしてみた

AIエージェント「Claude Cowork」を活用して、自身のPCにインストールされたChrome拡張機能の安全性を自動で監査する画期的な手法が紹介されました。ユーザーはローカルの拡張機能フォルダをZIP化してアップロードするだけで、AIがJavaScriptやmanifest.jsonのコードを解析し、外部通信の有無や過剰な権限をチェックしてくれます。わずか10分程度で全拡張機能のリスク評価レポートが生成され、不審な通信については対話形式でさらに深掘りして確認することが可能です。この事例は、AIが単なるコード生成ツールに留まらず、専門知識を必要としない個人のセキュリティ監査ツールとして強力に機能することを示しています。 自分のPCのChrome拡張は安全か？ 話題沸騰のAI「Claude Cowork」で権限と挙動をチェックしてみた

考察

本日のニュース全体から読み取れる最も大きな潮流は、AIがサイバーセキュリティの「攻めと守り」の両面で実用的なフェーズに突入したことです🤖。OpenAIの「Codex Security」やAnthropicとMozillaの連携事例が示すように、高度なAIモデルは人間が見逃す複雑な脆弱性を超高速で発見し、修正パッチまで提供するレベルに到達しています。さらに、Claude Coworkを使ったChrome拡張機能の個人向け監査事例は、AIが専門家だけでなく一般ユーザーのセキュリティ向上にも直接貢献できることを証明しています。

その一方で、攻撃手法の高度化と巧妙化も深刻な課題として浮かび上がっています🚨。AitMやClickFixといった最新のフィッシング攻撃は、従来の多要素認証すら突破する危険性を孕んでいます。また、AWS WAFにAIトラフィック分析機能が追加された背景には、AIボットによる不正なデータ収集活動の急増があります。これに対して企業側は、キヤノンMJのSASE導入事例のようなゼロトラストを前提としたインフラの刷新や、ニュートン・コンサルティングが提唱する「システム全面停止」を想定したBCP策定など、根本的な防御体制の再構築が迫られています。

総じて、今後のサイバーセキュリティは「AIをいかに味方につけるか」が勝負の分かれ目となります💡。ランサムウェア対策における従業員教育などの人的対策を徹底しつつ、最新のAIツールを活用してシステムの死角をなくしていくアプローチが不可欠です。また、IoTデバイスの脆弱性も見逃せないため、企業のみならず個人レベルでも日々のセキュリティ意識をアップデートし続けることが、これまで以上に求められる時代と言えるでしょう。