セキュリティ最前線:AI 脅威とサプライチェーン攻撃が激化 🔐🚨(2026年4月10日ニュース)
icebreaker今週のセキュリティニュースは、AI 技術の進化に伴う新たな脅威と、従来のインフラを狙った攻撃の深刻さが浮き彫りとなりました。🌐 北朝鮮による人気ライブラリへのサプライチェーン攻撃や、AI モデルが数千件の脆弱性を発見する能力の公開など、防御側の対策が追いつかない状況が報告されています。🛡️ 一方で、各国政府や企業は AI 利用時の責任範囲や深層偽造への規制強化に動き始め、法整備と技術革新のいたちごっこが加速しています。⚖️ 以下の記事では、特に注目すべき 10 件のセキュリティ関連ニュースを重要度順にまとめました。👇
週 7000 万 DL のライブラリが「トロイの木馬」に 開発者なのに気付けない 4 つの理由
Microsoft は、JavaScript の人気 HTTP クライアントライブラリ「axios」を標的としたソフトウェアサプライチェーン攻撃の分析結果を公開しました。🎯 攻撃の実行者は北朝鮮の国家支援型脅威アクター「Sapphire Sleet」であり、悪意ある依存関係を通じてリモートアクセス型トロイの木馬をダウンロードさせる手口でした。💻 開発者のエンドポイントや CI/CD システムにおいて、コマンド実行時にバックグラウンドで不正な処理が行われるため、アプリケーションの通常動作は変わらないのが特徴です。🕵️♂️ Microsoft は重要な npm パッケージの自動更新機能を無効にすることや、Trusted Publishing の導入など多層的な防御を強く推奨しています。🔒 週 7000 万 DL のライブラリが「トロイの木馬」に 開発者なのに気付けない 4 つの理由
セキュリティ脆弱性を見つける新 AI、高性能すぎて公開見送り--「悪用を懸念」と Anthropic
米 Anthropic は、新たな AI モデル「Claude Mythos Preview」がサイバーセキュリティ上のリスクや脆弱性を見つけ出す能力が極めて高く、一般公開はできないと明らかにしました。🤖 主要な OS や Web ブラウザ全体にわたって、数千件規模の深刻な脆弱性を発見したとして、大手テクノロジー企業やインフラ事業者にこのモデルを提供し、修正に役立てる方針です。🏢 これを受け、Anthropic は Apple や Microsoft などが参加する新たなコンソーシアム「Project Glasswing」を立ち上げ、AI を使った攻撃に備えた防御強化を進めています。🛡️ セキュリティ脆弱性を見つける新 AI、高性能すぎて公開見送り--「悪用を懸念」と Anthropic
米財務長官と FRB 議長が銀行幹部に警告 Anthropic の最新 AI 巡り、サイバーセキュリティに懸念
ベセント米財務長官とパウエル FRB 議長が、米 Anthropic の最新人工知能モデルがもたらすサイバーセキュリティ上のリスクについて銀行幹部に警告しました。🏦 同モデルは既存の脆弱性を露呈する恐れがあるとして、各行が潜在的なリスクを認識し、自社のシステムを守るための対策を講じていることを確認することが会合の目的でした。📉 米 JPMorgan や Citigroup などの CEO が出席し、金融業界全体で AI 由来の脅威に対する警戒感を高めています。💳 米財務長官と FRB 議長が銀行幹部に警告 Anthropic の最新 AI 巡り、サイバーセキュリティに懸念
Adobe Reader のゼロデイ脆弱性が数ヶ月間悪用されていた
Adobe の PDF 閲覧ソフト「Adobe Reader」に実際に悪用されているゼロデイ脆弱性が発見され、セキュリティ研究者が報告しました。📄 悪意のある PDF ファイルを開くと情報を盗まれたり PC を乗っ取られたりする可能性があり、少なくとも約 4 カ月間は脆弱性が悪用されていた可能性があります。🗓️ 攻撃は PDF が起動するとすぐに実行される高度に難読化された JavaScript に依存しており、最新の環境でも防御が困難なため注意が必要です。⚠️ Adobe Reader のゼロデイ脆弱性が数ヶ月間悪用されていた
RSA 暗号の“失敗”を成功と誤認 OpenSSL で未初期化メモリが漏えいする恐れ
OpenSSL プロジェクトは、同ライブラリに関する複数の脆弱性を修正したと発表し、その中で「CVE-2026-31790」は中程度の深刻度とされました。🔓 特定条件下で未初期化メモリの内容が外部に送信される可能性があり、RSA 暗号化処理のエラー時に不適切な戻り値チェックが実行されることが原因です。📉 影響を受けるのは OpenSSL 3.0 系以降の複数バージョンであり、プロジェクトは修正済みバージョンへのアップデートを強く推奨しています。🔄 RSA 暗号の“失敗”を成功と誤認 OpenSSL で未初期化メモリが漏えいする恐れ
経産省 AI 利用時の民事責任の手引き公表、2 類型で責任の方向性を整理
経済産業省は、AI を用いたサービスやシステムによって第三者に損害が生じた場合の民事責任について、現行法に基づく解釈適用の考え方を体系的に整理した手引きを公表しました。📚 AI の利用形態を「補助/支援型 AI」と「依拠/代替型 AI」の 2 類型に整理し、それぞれの責任判断の方向性を示しています。⚖️ この手引きは AI 開発者・提供者・利用者が自社の責任範囲を予見し、リスク管理や契約設計に役立てるための実務的な指針として利用を想定しています。📝 経産省 AI 利用時の民事責任の手引き公表、2 類型で責任の方向性を整理
米ディープフェイク禁止法で初の有罪判決、性的画像 700 枚生成の 37 歳男
米連邦政府の新たな AI ディープフェイク規制法「Take It Down Act」に基づき、初の有罪判決が下されました。⚖️ オハイオ州の被告は 24 の AI プラットフォームを利用し、実在およびアニメの人物の画像を 700 枚以上作成しており、その中には近隣に住む少年の顔を使用したものも含まれていました。👤 この判決は、同意のない性的画像の作成および共有を犯罪と定める同法の実効性を示す決定的な勝利となりました。🏛️ 米ディープフェイク禁止法で初の有罪判決、性的画像 700 枚生成の 37 歳男
生成 AI アプリのセキュリティ事故が 5%増加と予想--「MCP 対策が肝心」とガートナー
Gartner は、2028 年までに企業向け生成 AI アプリの 25%において、少なくとも年間 5 件の軽微なセキュリティインシデントが発生するとの予想を発表しました。📈 エージェント型 AI システムが新たなサイバー攻撃の標的になったり、セキュリティ対策方法が未熟であったりすることが要因です。🎯 同社はソフトウェアエンジニアリングのリーダーに向けて、厳格なセキュリティのレビュープロセスの確立や低リスクのユースケースの優先などをアドバイスしています。💡 生成 AI アプリのセキュリティ事故が 5%増加と予想--「MCP 対策が肝心」とガートナー
海底ケーブルは破壊工作の脅威にさらされており、ケーブルを保護するため新技術や新たなルートの開拓が必要な事態に突入
世界中をつないでいる海底ケーブルは現代社会の生命線ですが、意図的な破壊工作を防止するのが困難な状況にあります。🌊 北大西洋条約機構 (NATO) は艦船やドローンを用いたパトロールを行っており、アジアでは台湾が海底警備隊のパトロールを強化しています。🚁 一部の企業は分散型音響計測と呼ばれる新たな技術を採用し、海底ケーブルの損傷や付近の船舶存在を検知する対策を進めています。📡 海底ケーブルは破壊工作の脅威にさらされており、ケーブルを保護するため新技術や新たなルートの開拓が必要な事態に突入
[アップデート] Amazon S3 の SSE-C(顧客提供キーによるサーバーサイド暗号化)がデフォルトで無効化されました。
Amazon S3 で、SSE-C(顧客提供キーによるサーバーサイド暗号化)がデフォルトで無効化されました。🔒 2026 年 4 月 6 日以降に作成される新規の汎用バケットでは SSE-C がデフォルトで無効化されるようになり、既存バケットの扱いも AWS アカウントによって異なります。📂 引き続き SSE-C を使いたい場合は、バケット作成後に API やコンソールで明示的に有効化する必要があります。⚙️ [[アップデート] Amazon S3 の SSE-C(顧客提供キーによるサーバーサイド暗号化)がデフォルトで無効化されました。](https://dev.classmethod.jp/articles/s3-default-bucket-security-setting-sse-c-block/)
考察
今週のニュース全体を通じて、セキュリティ脅威の質が「技術的脆弱性」から「AI 由来の自律的脅威」へとシフトしていることが明確です。🔄 サプライチェーン攻撃やゼロデイ脆弱性といった従来型のリスク依然存在する一方で、AI モデル自体が攻撃ツールとなり得るという事実は、防御のあり方を根本から見直す必要を迫っています。🤖 企業は単なるパッチ適用だけでなく、AI の行動監視や出力検証といった新しいセキュリティ層を構築することが急務でしょう。🏗️
また、規制と法整備の動きが技術の進化に追随しようとする姿勢が各国で見られます。🌍 民事責任の手引きや深層偽造禁止法など、利用者が安心して技術を活用できる環境作りが進んでいますが、国際的な足並みの揃えが今後の課題となりそうです。🤝 物理インフラである海底ケーブルの保護対策も、デジタルとフィジカルの境界が曖昧になる中で、国家安全保障の観点からさらに重要性を増すでしょう。🌐 🔐
\ Get the latest news /
