AIセキュリティ新時代！サプライチェーン攻撃から不正送金対策まで、今週の注目ニュース🛡️（2025年12月24日ニュース）

今週のサイバーセキュリティニュースは、AIがもたらす「光と影」を象徴する動きが目立ちました。auじぶん銀行がAIを活用した不正送金対策を導入するなど、防御技術が進化する一方で、OpenAIのAIブラウザでは「プロンプトインジェクション」という新たな脆弱性への対策が模索されています。また、人気のテキストエディタ「EmEditor」のインストーラーが改ざんされるという、ソフトウェアサプライチェーンを狙った深刻なインシデントが発生し、改めて基本的な対策の重要性が浮き彫りになりました。国家安全保障を理由としたドローン規制や、セキュリティ業界の大型買収など、ビジネス環境を大きく左右する動きも見逃せません。これらのニュースから、セキュリティ対策がますます複雑かつ高度になっている現状が読み取れます。それでは、今週の重要ニュースを詳しく見ていきましょう！

「EmEditor」公式サイトのダウンロード導線が改ざんされた可能性、インストーラーが別のものにすり替わっている危険性あり

人気テキストエディタ「EmEditor」の公式サイトで、インストーラーのダウンロードボタンが第三者によって改ざんされた可能性があることが発覚しました。影響が疑われるのは2025年12月20日から23日の期間で、この間にダウンロードされたインストーラーはマルウェアを含む非正規ファイルの恐れがあります。正規ファイルは「Emurasoft, Inc.」のデジタル署名が付与されていますが、改ざんされたファイルは「WALSHAM INVESTMENTS LIMITED」という別組織の署名が付いているとのことです。ファイルサイズやSHA-256ハッシュ値も異なるため、該当期間にダウンロードしたユーザーは、直ちに署名とハッシュ値を確認し、疑わしい場合はファイルを削除してPCのマルウェアスキャンを実施するよう強く推奨されています。ソフトウェアサプライチェーン攻撃の身近な脅威を示す、非常に重要なインシデントです。💻🚨

「EmEditor」公式サイトのダウンロード導線が改変された可能性、インストーラーが別のものにすり替わっている危険性あり

富士通とNVIDIA、調達業務工数を半減させるセキュアなマルチAIエージェント技術を発表

富士通とNVIDIAが協業し、フィジカルAIやAIエージェントを連携させるプラットフォーム「Fujitsu Kozuchi Physical AI 1.0」を発表しました。この技術は、特に機密情報を取り扱う複雑な業務フローを安全に自動化することを目指しています。第一弾として、調達業務に特化したAIエージェントを公開しました。富士通の特化型LLM「Takane」やNVIDIAのソフトウェアスタック「NIM」を統合し、見積依頼の規約チェックなどを自動化します。実証実験では、発注確認業務の工数を約50％削減する成果を上げており、AIを活用したセキュアな業務改革の先進事例として注目されます。🤖✨

富士通とNVIDIA、調達業務工数を半減させるセキュアなマルチAIエージェント技術を発表

auじぶん銀行、ネットバンキングにおける不正送金対策を強化、不正をAIでリアルタイム検知

auじぶん銀行は、インターネットバンキングにおける不正送金対策を強化するため、ラックが提供するAI不正取引検知サービス「AIゼロフラウド」を導入しました。このサービスは、AIが過去の膨大な取引データを学習し、金融犯罪対策センターが収集する最新の犯罪手口を取り込むことで、検知モデルを継続的に更新します。これにより、従来のルールベース型では見逃しがちだった未知の不正パターンや、通常とは異なる微細な予兆をリアルタイムで検知します。不正リスクが高いと判断された取引は一時的に保留され、追加の本人認証を求めることで、資金の不正流出を未然に防ぎます。金融機関における具体的なAI活用事例として、実用性が非常に高い取り組みです。🏦🔐

auじぶん銀行、ネットバンキングにおける不正送金対策を強化、不正をAIでリアルタイム検知

米国、「海外製ドローン」を事実上禁輸 国家安全保障が理由 中国などに限定せず

米連邦通信委員会（FCC）は、国家安全保障上のリスクがあるとして、海外で製造されたドローンとその関連部品を規制対象とする「カバード・リスト」に追加しました。この措置により、世界最大手のDJIを含む海外製ドローンは事実上、米国市場から締め出されることになります。規制対象は機体だけでなく、データ伝送装置やフライトコントローラー、カメラ、バッテリーなど広範囲に及びます。FCCは、この措置が米国の安全を守り、空域の主権を回復するためだと説明しています。すでに消費者が購入済みのドローンは対象外ですが、今後のドローン市場に大きな影響を与える規制変更と言えるでしょう。✈️🚫

米国、「海外製ドローン」を事実上禁輸 国家安全保障が理由 中国などに限定せず

ServiceNow、Armisを77.5億ドルで買収、サイバーセキュリティ事業を拡大

エンタープライズソフトウェア大手のServiceNowは、サイバーセキュリティスタートアップのArmisを77.5億ドル（約1.2兆円）で買収すると発表しました。これはServiceNow史上最大の買収であり、同社のセキュリティポートフォリオを大幅に強化する動きです。Armisは、PCやサーバーだけでなく、IoTセンサーや医療機器など、ネットワークに接続されたあらゆるデバイスを監視・保護する技術に強みを持ちます。AIによる攻撃が高度化する中、ServiceNowはこの買収を通じて、デバイスレベルでの包括的なセキュリティソリューションを提供し、急成長するセキュリティ市場での競争力を高める狙いです。🤝💼

ServiceNow acquires Armis for $7.75 billion in its largest deal yet to expand cybersecurity push

OpenAIが挑む「ChatGPT Atlas」の安全対策--加速する開発競争と解決困難なセキュリティ課題

OpenAIは、開発中のエージェント型ウェブブラウザー「ChatGPT Atlas」におけるセキュリティ対策の取り組みを公開しました。特に問題となっているのが、悪意ある第三者がAIエージェントに不正な命令を紛れ込ませる「プロンプトインジェクション」攻撃です。OpenAIは、AIを使って人間のハッカーの行動を模倣させ、脆弱性を自動でテストする「AIレッドチーミング」という新しいアプローチで対策を進めています。しかし同社は、この種の攻撃を完全に防ぐことは困難であり、攻撃者の一歩先を行く努力を続けるしかないという見解も示しており、AIエージェントがもたらす利便性と表裏一体のセキュリティ課題の深刻さを浮き彫りにしています。🛡️🤖

OpenAIが挑む「ChatGPT Atlas」の安全対策--加速する開発競争と解決困難なセキュリティ課題

2025年で最も信頼性が低いAWSリージョンはus-east-1

システム管理サービスStatusGatorの分析によると、2025年に最も信頼性が低かったAWSリージョンは、バージニア北部の「us-east-1」であったことが明らかになりました。このリージョンでは、障害件数が10件、累計停止時間は33時間49分に達し、影響を受けたコンポーネント数も126と突出しています。us-east-1はAWSで最も古く、提供サービスも多いため、その複雑性が障害の一因と考えられてきました。しかし、今回の分析では「最も多くのユーザーに利用されており、負荷が高いから」という仮説が最も有力だと結論付けています。クラウドインフラの可用性はあらゆるビジネスの基盤であり、リージョン選定における重要な示唆を与えてくれます。☁️📉

2025年で最も信頼性が低いAWSリージョンはus-east-1

「エプスタイン・ファイル」の黒塗りを簡単に暴けることがわかり拡散中

米司法省が公開した「エプスタイン・ファイル」と呼ばれる捜査資料の一部で、黒塗りされた部分がコピー＆ペーストするだけで簡単に読み取れることが判明し、大きな話題となっています。これは、テキストの上に黒い四角形を重ねただけで、元のテキストデータが削除されていないという、ずさんな墨塗り処理が原因です。この問題はSNSで瞬く間に拡散され、多くの人々が隠された情報を次々と明らかにしました。この一件は、機密情報を扱うPDF文書において、単なる見た目の黒塗りがいかに危険であるかを示す教訓的な事例となりました。個人情報や機密情報を扱う際は、正しい墨塗り（リダクション）ツールの使用が不可欠です。📄🕵️‍♂️

「エプスタイン・ファイル」の黒塗りを簡単に暴けることがわかり拡散中

2025年、最多のランサムウェア侵入経路は？

サイバーセキュリティ企業Hornetsecurityが発表した2025年版サイバーセキュリティレポートによると、ランサムウェア攻撃の最も主要な侵入経路は「フィッシング」で、全体の約45%を占めたことが明らかになりました。次いで「窃取された認証情報」と「エンドポイント侵害」がそれぞれ約25%で続いています。また、CISO（最高情報セキュリティ責任者）の61%が「AIがランサムウェアリスクを直接的に高めた」と認識しており、AIを悪用したフィッシングメールの巧妙化などが新たな脅威となっています。この調査結果は、従業員へのセキュリティ教育やフィッシング対策の重要性を改めて示しています。🎣🔐

2025年、最多のランサムウェア侵入経路は？ - @IT

1PasswordとCursorが連携、AI開発向け安全なシークレット管理を実現

パスワード管理サービスの1Passwordは、AI搭載IDE（統合開発環境）の「Cursor」との統合を発表しました。この連携により、開発者はCursorのAIエージェントがAPIキーやデータベース認証情報などの「シークレット」を必要とする際に、1Passwordから安全かつ動的に提供できるようになります。従来、開発者はこれらの機密情報をコード内にハードコーディングしたり、設定ファイルに直接記述したりすることが多く、セキュリティ上の大きなリスクとなっていました。今回の統合は、シークレットを手動で管理する必要性をなくし、AIを活用した開発ワークフロー全体のセキュリティを大幅に向上させる画期的な取り組みです。👨‍💻🔑

1PasswordとCursorが連携、AI開発向け安全なシークレット管理を実現

考察

今週のニュースからは、AIがサイバーセキュリティの攻防両面で「ゲームチェンジャー」となりつつある現実が鮮明に浮かび上がります。auじぶん銀行のAIによる不正送金検知や、富士通とNVIDIAによるセキュアなAIエージェント開発は、AIが防御を高度化させる「光」の側面です。これらは、複雑化する脅威に対し、人間だけでは追いつけないリアルタイム性と精度をもたらす可能性を秘めています。一方で、OpenAIが直面するプロンプトインジェクション問題は、AI自身が新たな攻撃対象（アタックサーフェス）となる「影」の側面を象徴しています。AIの能力が向上するほど、その悪用リスクも増大するというジレンマは、今後ますます深刻になるでしょう。🛡️🤖

また、EmEditorのインストーラー改ざんや米国のドローン禁輸措置は、「サプライチェーンリスク」がソフトウェアからハードウェア、さらには国家間の規制にまで及ぶ広範な概念であることを示しています。自社で直接コントロールできない外部への依存関係は、今やビジネスにおける最大の脆弱性の一つです。AWSの特定リージョンでの障害多発も、クラウドという巨大なサプライチェーンに依存するリスクを改めて認識させます。ServiceNowによる大型買収は、こうした複雑なリスクに対処するため、企業がより包括的で統合されたセキュリティソリューションを求めていることの表れと言えるでしょう。🌍🔗

これらの動向は、セキュリティがもはやIT部門だけの課題ではなく、経営戦略そのものであることを示唆しています。AIの利活用とガバナンス、グローバルなサプライチェーン全体の信頼性確保、そして変化し続ける規制への対応。これらすべてを統合的に捉え、迅速かつ柔軟に対応できる組織だけが、これからのデジタル社会で生き残っていけるのかもしれません。企業は、技術的な対策だけでなく、組織文化や人材育成も含めた、より包括的なセキュリティ体制の構築を急ぐ必要があります。📈🧑‍💻