セキュリティ最新動向・脅威と対策レポート 🔍🛡️(2026年5月28日ニュース)

本日のセキュリティ業界は、AI技術の急速な進化とそれを悪用する高度な攻撃が交錯する転換期を迎えています。AIモデルの安全制御を回避する手法や、AI自体が自律的に発見する膨大な脆弱性が増加し、防御側の対応速度が問われる状況です。一方で、OT環境やWindows基盤、ゼロトラストアーキテクチャにおける具体的な対策実装の動きも活発化しています。組織は単なるツール導入にとどまらず、ガバナンスや運用プロセスの抜本的な見直しを迫られています。技術の進化に柔軟に対応しつつ、堅牢な防御基盤を構築する取り組みが各所で加速しています。 📉🌐

MetaやGoogleのAI安全対策がGitHub公開ツールで解除できるとの報告

GitHub上で公開されているツールを用いて、MetaGoogleが提供するオープンウェイトAIモデルの安全制御を数分で解除できる手法が確認されました。この手法は「abliteration」と呼ばれ、モデルが危険な依頼を拒否する際の内部表現を探し、その働きを弱めることで検閲を突破します。プロプライエタリモデルとは異なり、自由に改変可能なオープンモデルは派生版の拡散リスクが高く、Hereticツールは作成から3500以上のモデルで利用され、累計1300万回ダウンロードされました。AI企業は公開前の評価を厳格化していますが、配布後の改変を完全に防ぐ技術的課題が浮き彫りになっています。 🔓🤖

MetaやGoogleのAI安全対策がGitHub公開ツールで解除できるとの報告 - GIGAZINE

AIチャットボットには、危険な依頼や違法行為につながる質問に答えないための「安全制御」が組み込まれています。たとえばマルウェア作成、生物兵器、児童性的虐待コンテ…

Claude Mythosが1万件超の脆弱性を発見 開発者コミュニティーに緊張

AnthropicはAIモデル「Claude Mythos」を活用したサイバー防衛計画で、基幹ソフトウェアから深刻度「高」または「重大」な脆弱性を1万件超発見しました。検証能力が飛躍的に向上した一方で、対応リソースが不足し、OSSメンテナーへの報告が殺到して修正作業が追いつかない事態が発生しています。例えば暗号ライブラリ「wolfSSL」の脆弱性(CVE-2026-5194)など、偽の証明書生成を可能にする重大な欠陥も含まれており、修正公開までの90日ルールの遵守が重要視されています。AI時代の脆弱性対応は発見速度から修正配布の遅延管理へ重心が移っており、組織的な対応体制の構築が急務です。 🐛📉

Claude Mythosが1万件超の脆弱性を発見 その裏で開発者コミュニティーに走る緊張:脆弱性発見は10倍速に - @IT

AnthropicはClaude Mythosを使ったサイバー防衛計画「Project Glasswing」の初期成果を公表した。報告によると、Claude Mythosは1万件超の深刻度「高」または「重大」な脆…

ランサムウェア被害は前年比389%増 爆増・爆速化の背景とは?

フォーティネットの最新レポートにより、2025年のランサムウェア被害件数が前年比389%増7831件に達したことが明らかになりました。この急増の背景には、WormGPTFraudGPTといったAI支援ツールの普及と、標的を絞った効率的な認証情報窃取攻撃の高度化があります。重大な脆弱性の悪用開始までの時間が従来の4.76日から24〜48時間へ大幅に短縮し、クラウド環境ではインフラの脆弱性ではなく認証情報の漏えいが主要な侵入経路となっています。攻撃の産業化と自動化が進む中、AIを活用した高速なセキュリティ運用と多要素認証の徹底が不可欠です。 🚨⚔️

ランサムウェア被害は前年比389%増 爆増・爆速化の背景とは?:サイバー犯罪が新たな局面に - @IT

フォーティネットの最新レポートは、サイバー犯罪が新たな局面に入った実態を示している。2025年のランサムウェア被害件数が前年比から389%増の7831件に達したという。こ…

FBI警告:「Kali365」フィッシングサービスがMicrosoft 365アカウントを狙う

FBIは、Microsoft 365のデバイスコード認証フローを悪用するフィッシングサービス「Kali365」の出現を警告しました。攻撃者はパスワードやMFAコードを窃取するのではなく、正規のマイクロソフト検証ページへ誘導し、ユーザーが入力したデバイスコードでOAuthトークンを横取りします。この手法により、MFAを完全にバイパスしてOutlookTeamsへ永続的なアクセス権を取得可能となり、Telegramで自動化キットが流通しています。対策として、Conditional Accessポリシーによるデバイスコードフローの制限や、認証セッションのデバイス間転送ブロックが強く推奨されています。 🎣🛑

FBI Warns: ‘Kali365’ Phishing Service Targets Microsoft 365 Accounts

The FBI warned that Kali365 can hijack Microsoft 365 accounts by abusing device code authentication and capturing OAuth tokens.

Zero Networks、産業企業間でOTマイクロセグメンテーション導入が急増

Zero Networksは、製造業やエネルギー分野における運用技術(OT)環境でのマイクロセグメンテーション導入が急拡大していると発表しました。従来は複雑で運用停止リスクが高いと敬遠されていたOTセグメンテーションですが、Jaguar Land Roverの生産停止事例などを背景に、NIS2指令対応とランサムウェア拡散防止の観点からニーズが急増しています。同社のソリューションは、IT/OTの統合環境において最小権限の原則を適用し、生産ラインを停止させることなく脅威の封じ込めを実現します。OTセキュリティは可視化から実際の封じ込め制御へ移行し、事業継続性に直結する投資となっています。 🏭🔗

2026年6月にWindows 11が起動不能に? セキュアブート証明書期限切れリスク

2026年6月を境に、一部のWindows 11搭載PCでセキュアブート(Secure Boot)のデジタル証明書の有効期限が切れ、OSが起動不能となる深刻なリスクが浮上しています。期限切れの証明書のみを持つPCは、新しい証明書で署名された起動ファイルを未承認と誤認し、セキュリティ保護のため起動をブロックする可能性があります。対策としては、Windows Update(KB5083769など)による自動更新や、レジストリ操作による手動更新が有効ですが、BitLocker回復キーの入力を求められるケースがあるため事前のバックアップが必須です。UEFIファームウェアの更新と併せ、段階的な証明書移行プロセスの徹底が求められます。 🖥️⚠️

【最終案内】2026年6月にWindows 11が起動不能に? 「セキュアブート証明書」の期限切れリスクと対策、起動しなくなった場合の対応策:Tech TIPS - @IT

2026年6月、Windows 11搭載PCの一部で起動不能に陥るリスクが浮上している。原因は、PCの安全性を担保する「セキュアブート」のデジタル証明書が15年の有効期限を迎えるた…

脱「VPN安全」神話 さくらインターネットが積み重ねたゼロトラスト緩和策

さくらインターネットのCISOは、テレワーク普及に伴い「VPNは安全」という境界防御神話が崩壊したことを指摘し、ゼロトラスト前提のアーキテクチャへ移行した取り組みを公開しました。同社はVPNを単なる通信経路と位置づけ直し、SSOFIDO/TOTPによる多要素認証の全社導入、クライアント証明書による端末認証、EDRSOCによる常時監視を統合しました。組織面では情報システム統括室を新設し、セキュリティエンジニアのキャリアパスを明確化することで専任体制を14人から30人へ倍増させています。セキュリティを制約ではなく利便性向上の基盤と捉える文化変革が、持続可能な防御体制を構築した核心です。 🌐🔒

脱「VPN安全」神話 さくらインターネットが「ゼロトラスト前提」で積み重ねた、マネできる緩和策:短期間で全社的に二要素認証が定着できたワケ - @IT

2026年3月3日、「ITmedia Security Week 2026 冬」の「ゼロトラスト」セクションで、さくらインターネットでCISO、CIOを務める江草陽太氏が基調講演に登壇した。

スマホの“だましの入口”が変わった JSSECが脅威トップ10を公開

日本スマートフォンセキュリティ協会(JSSEC)は、生成AIの普及と決済様式の変化を反映した「スマートフォン利用シーンに潜む脅威 Top10 2026」を公開しました。第1位はAIによるフェイク動画・音声の悪用で、ロマンス詐欺や本人確認突破など複数の脅威が同時に高度化しています。第2位のリアルタイムフィッシングでは認証コードをその場で奪取し、第3位のクイッシング(QRコード詐欺)は日常の導線に紛れ込み被害が拡大しています。利用者への行動啓発に加え、サービス側ではなりすまし広告対策や不正送金検知の強化、QR悪用を前提とした安全設計が急務となっています。 📱🔍

スマホの“だましの入口”が変わった JSSECが利用に潜む脅威トップ10を公開 - キーマンズネット

日本スマートフォンセキュリティ協会(JSSEC)は、「スマートフォン利用シーンに潜む脅威 Top10 2026」を公開した。技術や生活様式の変化に伴い、だましの手口も巧妙化し…

週に3億回超ダウンロードの「Starlette」脆弱性で数百万のAIエージェントが危険に

Python製Webフレームワーク「Starlette」に発見された深刻な脆弱性(CVE-2026-48710、別名BadHost)により、FastAPIvLLMなどを利用する数百万のAIエージェントとMCPサーバーが標的となるリスクが警告されています。この脆弱性はHTTPのHostヘッダーに1文字挿入するだけでパスベースの認証を回避可能であり、適切にファイアウォールで保護されていないシステムのほとんどに影響を与えます。悪用されると、臨床試験データベース、内部コードベース、SSH接続権限など機密性の高いデータが窃取される恐れがあります。影響を受けるサーバーの早期スキャンとバージョン1.0.1への即時更新が強く推奨されています。 🌐🐛

週に3億回超ダウンロードされているオープンソースパッケージ「Starlette」の脆弱性により数百万のAIエージェントが危険にさらされる - GIGAZINE

世界中の数百万ものAIエージェントやツールが利用しているオープンソースフレームワーク「Starlette」には重大な脆弱(ぜいじゃく)性が存在すると、セキュリティ研究者のマ…

誰が変えたの? 操作者が不明な「ゴーストID」を防ぐアカウント管理術

多くの企業で常態化している共有アカウントや管理者権限の使い回しが、インシデント発生時の原因究明を不可能にする「ゴーストID」問題を引き起こしています。ログには共通IDのみが記録され、内部不正や外部乗っ取り時に「誰がいつ何を行ったか」を追跡できず、説明責任を果たせなくなるリスクが顕在化しています。対策の第一歩はIDの個別発行とライフサイクル管理の徹底であり、退職者や異動者のアカウント放置を防ぐ定期的な棚卸しが不可欠です。また、一律の定期パスワード変更は逆効果となるため、多要素認証(MFA)の導入と最小権限の原則に基づくロール管理への移行が現実的な解決策です。 🔑👥

誰が変えたの……? 操作した人が分からない「ゴーストID」を防ぐアカウント管理術:愛提興産の佐藤さんと学ぶ! 明日からできる中小企業のセキュリティ再建計画 - キーマンズネット

中小企業で孤軍奮闘する総務部の佐藤さん。ある日、システム設定が勝手に変更される事件が発生し、誰が操作したか追跡できない共有アカウントの恐怖に直面する。

考察

現在のセキュリティ業界は、AI技術が「攻め」と「守り」の両面で境界線を劇的に引き下げている過渡期にあります。AIが自律的に脆弱性を発見する能力は防御側のテスト効率を飛躍的に高めますが、修正対応のリソース不足やAI駆動型攻撃の自動化が新たなボトルネックを生んでいます。組織は単なるツールの導入ではなく、発見から修正、検証までのサイクルを回すためのガバナンスとリソース配分の最適化が求められています。技術的負債の解消と開発プロセスへのセキュリティ組み込みが、持続可能なイノベーションの基盤となります。 🤖⚖️

また、従来の境界防御モデルは完全に陳腐化し、ゼロトラストやアイデンティティ中心のアーキテクチャが標準となりつつあります。VPNや共有アカウントに依存する旧来の運用は、OT環境やクラウド基盤における深刻なインシデントの原因となり、事業継続性を脅かす要因となっています。今後はAIエージェントの台頭を見据え、権限の最小化、認証の多層化、そして人間の判断をバイパスさせないガードレールの設計が、セキュリティ戦略の核となるでしょう。信頼を前提とするネットワーク設計から、常に検証する姿勢への転換が不可欠です。 🛡️🔗

結びとして、セキュリティ対策はIT部門だけの課題ではなく、経営層が主導するリスクマネジメントへと進化しています。規制対応やサプライチェーン要件の厳格化に伴い、アカウント管理の適正化やゼロトラストの実装は「コスト」ではなく「信頼と継続性の投資」として認識される必要があります。技術の進化に振り回されるのではなく、自社の業務フローやデータの流れを可視化した上で、堅牢かつ柔軟な防御体制を構築することが、AI時代を生き抜く企業の必須条件となるでしょう。 📈🔍

\ Get the latest news /