🔐 2026 年 4 月セキュリティ注目ニュース：AI 脅威と物理層の脆弱性が浮上（2026年4月15日ニュース）

今月のセキュリティ業界は、AI 技術の進化に伴う新たな脅威と、従来からのインフラ脆弱性が同時に注目される展開となりました🔍。特に AI エージェントを悪用したフィッシングや、光ファイバー自体をマイクとして利用する盗聴技術など、従来の対策が通用しない手口が報告されています🚨。一方で、金融業界や大手テック企業は、これらの脅威に対抗するための連携やガバナンス強化を急ピッチで進めています🤝。今回は、実務に直結する攻撃手法の分析から、業界全体の動向まで、重要な 10 件の記事を選びました📰。セキュリティ担当者にとっては、防御策の見直しを迫られる内容が盛りだくさんです🛡️。

光ファイバーを"マイク化"する盗聴攻撃 振動センサーとして悪用し会話を盗み聞き 中国の研究者らが発表

中国の香港理工大学などの研究者チームが、通信データではなく光ファイバーケーブル自体を振動センサーとして悪用し、周囲の音を盗聴するサイドチャネル攻撃を発表しました🇨🇳。光ファイバーは外部からの圧力や振動で内部のレーザー光の位相がズレる性質があり、研究チームはこの性質を利用して音声の復元を実証しました🎤。直径 65mm の PET 素材の中空円筒にケーブルを巻きつける構造を開発し、集音感度を大幅に向上させることに成功しています📈。実験では AI と組み合わせることで、2m 離れた人間の会話を約 80％の情報保持率で復元可能だったとのことです🗣️。FTTH 環境において余剰ケーブルボックス内にこの構造を隠すことで、遠隔から室内を監視できる新たな脅威となります🏠。従来のマイク盗聴を防ぐ超音波ジャマーが効かない点も大きな懸念材料です🚫。 光ファイバーを"マイク化"する盗聴攻撃 振動センサーとして悪用し会話を盗み聞き 中国の研究者らが発表

多要素認証をすり抜ける、あなたの「承認」が命取りに。AI 時代のデバイスコード悪用攻撃の巧妙な手口

Microsoft が公開したレポートにより、システムの正規機能である「デバイスコード認証」を悪用した巧妙なフィッシング詐欺の実態が明らかになりました💻。攻撃者は生成 AI を活用してターゲットを絞った偵察から、検知を回避するリンク、完璧なりすましメールを経て、最終的にデバイスコードを利用してアカウントを窃取します🎣。社員が自身のデバイスで「本物」の Microsoft 認証ページにコードを入力して承認すると、攻撃者の PC が社内システムに侵入できる権限を得てしまう仕組みです🔓。今回の攻撃手法は、コードに設定された有効期限の制約をリアルタイム自動取得で克服しており、成功率が飛躍的に高まっています⏱️。多要素認証（MFA）やウイルス対策ソフトウェアが機能しにくい点も、従来のセキュリティ常識を覆す脅威です😱。 多要素認証をすり抜ける、あなたの「承認」が命取りに。AI 時代のデバイスコード悪用攻撃の巧妙な手口

なぜ攻撃者は MSBuild が大好きなのか？ 最新の攻撃手法を解説

韓国のセキュリティベンダー AhnLab が、Microsoft のオープンソースビルドエンジン「MSBuild」を悪用した攻撃手法に関する分析結果を公表しました🇰🇷。正規の開発ツールを使うことでセキュリティ製品の検知を回避する「LOLBins」の一例として、MSBuild の特性が攻撃に利用されている実態が判明しています🛠️。攻撃者はマルウェア本体を配布せず、OS に標準搭載されたツールを悪用することで、ディスク上に明確なマルウェアを残さず任意コードを実行できます💀。プロジェクトファイル内に C#コードを直接埋め込み実行できる点や、正規署名による信頼性の高さが攻撃者に好まれる理由です📝。Windows11 の Microsoft Defender が有効な環境でも検知されない事例が確認されており、多層的な検知体制の強化が急務です🚨。 なぜ攻撃者は MSBuild が大好きなのか？ 最新の攻撃手法を解説

App Store で配信された偽の仮想通貨ウォレットアプリが約 15 億円相当の仮想通貨を盗み出す、Apple は当該アプリを削除

Apple の App Store で配信されていた仮想通貨ウォレットアプリ「Ledger Live」の偽物により、少なくとも 50 人の利用者が計 950 万ドル相当の仮想通貨を盗まれたと報じられています🍎。問題の偽アプリは利用者にシードフレーズやリカバリーフレーズを入力させることで、攻撃者がウォレットを丸ごと乗っ取れるように仕組まれていました🔑。本物の Ledger 開発チームとは無関係な名義で登録され、わずか 2 週間でバージョン 1.0 から 5.0 へ進んだように見せる偽の更新履歴まで用意されていたそうです📱。流出した資産は複数の受け取りアドレスを経由し、最終的には KuCoin 上の 150 を超える入金アドレスに送られました💸。App Store の審査を通過して公開された直後にはすでに被害報告が出ていたのに、なぜ早期対応が行われなかったかが不明です❓。 App Store で配信された偽の仮想通貨ウォレットアプリが約 15 億円相当の仮想通貨を盗み出す、Apple は当該アプリを削除

【実録】自社に届いた CEO 詐欺メールを徹底解析 狙われる企業に共通する 3 つの「隙」

実際に自社に届いた CEO 詐欺メールを徹底解析し、受信トレイ上の表示や自然過ぎる文面、返信先のすり替えなど簡単に見抜けない巧妙な仕掛けを解説します📧。攻撃者はプレスリリースなどの公開情報を「なりすましのネタ」として徹底的にチェックしており、組織図や取引関係を精緻にリサーチした極めて信頼されやすいなりすましへと進化しています🕵️。受信トレイの一覧に表示される送信元には正確な社長の氏名が記載され、スマホではメールアドレス自体が表示されないため、受信者は「社長からの急ぎの連絡だ」という前提で中身を読んでしまいます📱。技術的な仕掛けとして、攻撃者が「返信先」を自身のフリーメールなどに設定しているケースも複数確認されています🔄。高度化する詐欺に対し、システムだけに頼る対策には限界があり、アナログとデジタルのハイブリッド対策が推奨されています🛡️。 【実録】自社に届いた CEO 詐欺メールを徹底解析 狙われる企業に共通する 3 つの「隙」

人間は賢くなり続ける AI を監視しきれるのか？Anthropic が AI で AI を監視する実験を行う

大手 AI 企業は AI が倫理的に問題のある回答を出力しないよう調整を繰り返していますが、AI の性能が向上するにつれて人間が意図したとおりに振る舞っているのかを判断することはますます困難になりつつあります🤖。そこで、こうした調整に AI を利用する方法について Anthropic が実験を行いました🧪。Anthropic は「弱い AI」と「強い AI」を用いた実験を行い、AI アライメント用にカスタマイズした Claude Opus 4.6 が最終的に 0.97 のスコアを出しました📊。ただ、AI がスコアを改善したことは、最先端の AI がすでに AI アライメント科学者になったことを意味するわけではありません🙅。AI アライメントに AI を使うには改ざん不可能な評価手法と人間による検証が不可欠であり、改良を進めれば新しいアイデアの提案や結果の改善といった作業を AI に任せられるかもしれません🔬。 人間は賢くなり続ける AI を監視しきれるのか？Anthropic が AI で AI を監視する実験を行う

ゴールドマン S は、強力な AI モデルによるサイバーリスクに対抗し、アンソロピックと協力している

ゴールドマン・サックス CEO のデイビッド・ソロモン氏は、Anthropic の最新システムの公開が業界全体に警戒感を呼び起こしたことを受け、同行はアンソロピックと緊密に連携してサイバーセキュリティ上の脅威を評価していると述べました🏦。同モデルの能力を「強く意識している」とし、潜在的な脅威に備えるためアンソロピックおよび自社のセキュリティベンダーと協力していると言います🤝。AI モデル「Mythos」の登場をきっかけに、連邦準備制度理事会（FRB）議長や財務長官、米国主要銀行のリーダーたちによる会合が開かれました🇺🇸。ソロモン氏は、米国政府およびモデルの提供企業の協力を得て、サイバーおよびインフラのレジリエンス強化に非常に注力していると説明しています💪。リスクがある一方で、AI がゴールドマンの事業部門に中長期的にもたらす効果について強気な見方も強調されました📈。 ゴールドマン S は、強力な AI モデルによるサイバーリスクに対抗し、アンソロピックと協力している

Cloudflare Partners with Wiz to Secure the Global AI Attack Surface, Eliminating Blind Spots Caused by Shadow AI

Cloudflare は、クラウドおよび AI セキュリティリーダーである Wiz（現在は Google Cloud の一部）とパートナーシップを締結し、組織全体の AI パワーアプリケーションを分析および保護するための統一された方法をセキュリティチームに提供すると発表しました☁️。Cloudflare の AI Security for Apps のパワーを Wiz Security Graph に直接統合することで、組織は AI フットプリントの最も包括的なマップにアクセスし、それを保護するために必要なツールを利用できるようになります🗺️。組織はセキュリティチームが追跡できる速度よりも速く AI 機能を展開しており、新しいチャットボットやコパイロット、AI 駆動の検索エンドポイントはすべて、プロンプトインジェクションや機密データ漏洩、悪用の潜在的な攻撃対象となります⚠️。この統合は、インフラ全体で AI の盲点を自律的に排除するのに役立ち、セキュリティチームが AI の採用を安全に加速させることを可能にします🚀。CISO は、Web プロパティ全体で動作する LLM への可視性を獲得し、ポリシーを強制するためのランタイム制御を得ることができます🔐。 Cloudflare Partners with Wiz to Secure the Global AI Attack Surface, Eliminating Blind Spots Caused by Shadow AI

ガートナー、日本国内におけるセキュリティインシデントの傾向を発表

ガートナージャパンは 4 月 14 日、日本国内におけるセキュリティインシデントの傾向を発表し、直近のセキュリティインシデント傾向を 10 パターンに分類しています📊。2030 年までにサイバーセキュリティインシデントの 60％以上が、サードパーティー／サプライチェーンに起因するものになるとみているとのことです🔗。内部脅威としては、実際にビジネス損失につながるインシデントも発生し、エージェントハイジャックなどの外部脅威では、ラボでの実験検証や関連ベンダーによるブログ発信などの事例も増加しています📈。ランサムウェア攻撃は 2026 年も頻発しており、業務委託先が攻撃を受けたために自社の個人情報が漏えいしたケースも見られました💻。クラウドサービスやウェブメールサービス、レンタルサーバーなどが狙われ、直近で大きな被害はないものの、生活インフラに影響する企業が攻撃を受けた例もあるため、留意する必要があるそうです☁️。 ガートナー、日本国内におけるセキュリティインシデントの傾向を発表

Netgear が連邦通信委員会による外国製ルーター禁止令の初の適用除外例に、理由は不明

アメリカ連邦通信委員会（FCC）は、国家安全保障や国民の安全に容認できないリスクをもたらすとしてアメリカ国外で製造されたルーターを対象機器リストに追加すると 2026 年 3 月に発表しました🇺🇸。しかし、規制開始から半月足らずで、FCC がアメリカの通信機器メーカーである Netgear に対して「アメリカ以外で製造された製品の販売許可」を出した一方、許可の理由を説明しなかったことから、疑問の声が上がっています❓。国防総省は Netgear の免除申請を審査し、Netgear の製品は「アメリカの国家安全保障にリスクをもたらさない」と判断したと命令書で述べています🛡️。FCC の発表では国防総省が Netgear の機器は国家安全保障にリスクをもたらさないという「具体的な判断」を下したと述べていますが、命令書には判断の根拠が詳しく記載されておらず、Netgear も詳細を明かしていません📄。Reddit では、FCC が規制を発表した際に「国家安全保障を名目にした産業保護ではないか」という指摘が挙がっていました💬。 Netgear が連邦通信委員会による外国製ルーター禁止令の初の適用除外例に、理由は不明

考察

今月のセキュリティニュースを俯瞰すると、脅威のベクトルが「ソフトウェアの脆弱性」から「AI エージェントの悪用」および「物理インフラの盲点」へと多角化していることが浮き彫りになります🌐。特に、多要素認証を bypass するデバイスコードフィッシングや、光ファイバーを盗聴マイク化する技術は、従来の防御常識を根底から揺るがすものです🚨。これらは、セキュリティ対策がアプリ層やネットワーク層に偏りがちであったことへの警鐘であり、認証プロセスの再設計や物理層の監視強化が不可欠であることを示唆しています🔍。

また、AI 技術自体が攻撃と防御の両面で加速度的に進化している点も注目されます🤖。Anthropic が AI で AI を監視する実験や、金融大手が AI モデルのリスク評価に乗り出す動きは、AI セキュリティがもはや研究段階ではなく、実務的なリスク管理の核心となったことを意味します🏦。今後は、AI エージェントの行動を監視する「AI ガバナンス」と、物理・デジタルを跨ぐ統合的なセキュリティ戦略が、企業の生存戦略としてより一層重要になるでしょう🛡️。

＼ Get the latest news ／