🤖 AIと国家の思惑が交錯する最前線！2025年秋、見逃せないサイバーセキュリティ動向トップ10 🚀（2025年9月28日ニュース）

OpenAIが国家予算級のAIインフラ投資に踏み切り、Appleが次世代Siriのテストで個人情報検索機能を開発するなど、AIの進化が止まりません。その裏では、TikTokを巡る米中の綱引きや、空港を麻痺させるドローンなど、サイバーセキュリティの脅威もかつてない規模で複雑化しています。今週は、私たちのデジタルライフと国家の安全を揺るがす、最新のセキュリティニュースを厳選してお届けします！🔒✨

最新の脅威をキャッチアップ！今週のセキュリティ事件簿

今週も世界中で様々なセキュリティインシデントが発生しました。まず、VBScriptの乱数生成機能に深刻な脆弱性が発見され、生成されたセキュアトークンがわずか数回の試行で破られる可能性が指摘されています。これは、安易な時刻ベースのシード値が原因で、予測可能な結果を生んでしまう古典的ながらも危険な問題です。

また、ファイル転送ソリューション「GoAnywhere MFT」では、認証なしでリモートからコードを実行できてしまうCVSSスコア10.0の致命的な脆弱性が報告され、すでに攻撃も確認されています。さらに、約200万台のCisco製ネットワーク機器で、SNMP（Simple Network Management Protocol）の処理に関する脆弱性が発覚。root権限でのコード実行につながる可能性があり、デフォルトのコミュニティ文字列「public」を使っている場合は特に危険です。

そして、信頼の置けるプラットフォームであるはずのGitHubが悪用され、マルウェア配布の温床となっています。SEOを悪用して正規のソフトウェアを装い、ユーザーを悪意のあるリポジトリに誘導する手口や、偽のスポンサーシップを騙るフィッシング詐欺も確認されており、プラットフォームの信頼性を逆手に取った巧妙な攻撃には注意が必要です。これらの事件は、基本的なセキュリティ対策の重要性と、新たな攻撃ベクトルの出現を改めて私たちに突きつけています。

This Week in Security: Randomness is Hard, SNMP Shouldn’t Be Public, and GitHub Malware Delivery

AIの軍拡競争が加速！OpenAIの国家予算級インフラ投資

AI開発の最前線では、まさに桁違いの「軍拡競争」が始まっています。OpenAIは、将来の高度なAIモデル開発に必要な計算資源を確保するため、国家予算レベルの巨額投資を次々と発表しました。🤯

特に注目されるのが、NVIDIAとの戦略的パートナーシップです。OpenAIは次世代AI基盤のために、最大1000億ドル（約15兆円）規模のNVIDIA製システムを導入する計画です。さらに、Oracleやソフトバンクグループと共同で進めるデータセンタープロジェクト「Stargate」も、米国5拠点を追加し、投資総額は4000億ドル（約60兆円）を超える見込み。これはテクノロジー業界史上最大級の契約とされ、AIインフラの重要性を物語っています。

これらの動きは、高性能なAIモデルの開発と運用には、膨大なデータセンターと最新鋭のGPUが不可欠であることを示しています。AIの覇権を握るためのインフラ投資競争は、今後さらに激化していくことでしょう。

【週刊AI】OpenAI、国家予算級のAIインフラ投資を始動。MicrosoftはCopilotにClaudeモデルを統合 | #35 2025年9月22日〜9月28日
OracleとOpenAIが締結した総額45兆円のクラウド契約、なぜ国家予算並みの設備投資が実現し、それが正当化されるのか【生成AI事件簿】一段とギアが上がったAI軍拡競争、今回の巨額契約が市場に発した強烈なメッセージとは - 地球の明日

Appleの秘密兵器？ 新Siriテストアプリ「Veritas」とプライバシーの未来

Appleが、大規模言語モデル（LLM）で強化された次世代Siriをテストするために、ChatGPTのような社内専用アプリ「Veritas」を開発していたことが明らかになりました。このアプリは、従業員が刷新されたSiriの機能を試すために使われているとのこと。

特に注目すべきは、テストされている機能の中に、ユーザーの音楽ライブラリからメールに至るまで、iPhone内の個人情報をAIで検索する機能が含まれている点です。この機能が実現すれば、Siriはよりパーソナルで有能なアシスタントになりますが、同時にプライバシーに関する懸念も高まります。Appleは伝統的にプライバシー保護を重視してきましたが、高度なAI機能と個人データの保護という、相反する要求の狭間でどのようなバランスを取るのか、その舵取りが今後の大きな焦点となりそうです。🤔

Appleは改良版Siriのテストのため「Veritas」を開発したとの報道、ChatGPTのような単独アプリ

TikTokは誰のもの？米中対立の最前線とデータ安全保障

長らく米中対立の火種となってきたTikTokの米国事業について、ついに大きな動きがありました。トランプ大統領が、Oracle、Silver Lake、そしてアブダビ拠点のMGXなどがTikTokの米国事業を支配する形での売却案を承認する大統領令に署名したと報じられています。

この取引は、米国のユーザーデータが中国政府に渡るという国家安全保障上の懸念から始まったものです。しかし、売却後もTikTokのアルゴリズムやコンテンツモデレーションの管理体制がどうなるのか、ByteDanceの影響力が完全に排除されるのかなど、多くの疑問が残っています。この一件は、グローバルプラットフォームが地政学的な駆け引きの道具となり、データ主権やサイバー空間における国境の問題がいかに複雑であるかを浮き彫りにしました。まさに、現代のデジタル冷戦を象徴する出来事と言えるでしょう。

The TikTok deal raises more questions than answers

クラウドセキュリティの新常識！AWS Security Hubの進化に乗り遅れるな

クラウドセキュリティの要であるAWS Security Hubが2025年6月にリニューアルされ、従来の機能は「AWS Security Hub CSPM」、そして統合的な新機能として「AWS Security Hub (Advanced)」が登場しました。これらは独立したサービスとして機能し、AWS Organizations環境での一元管理方法も異なります。

• AWS Security Hub (Advanced): 新たな「Security Hubポリシー」を使って、組織全体で有効化の強制や禁止を一元管理します。
• AWS Security Hub CSPM: 従来通り「中央設定」を用い、「Security Hub CSPM設定ポリシー」で管理するのが基本です。

さらに、日々コントロール（チェック項目）も追加されており、最近では「CloudFrontディストリビューションはLambda関数URLオリジンにOAC（オリジンアクセスコントロール）を使用すべき」といった項目や、「RDS DBインスタンスをパブリックサブネットにデプロイすべきではない」という基本的ながら重要なチェックが追加されました。クラウド環境を安全に運用するためには、こうした最新のベストプラクティスに常にキャッチアップしていくことが不可欠です。🛠️

新しいAWS Security Hub（Advanced）と従来のAWS Security Hub（CSPM）をAWS Organizationsと絡めて整理してみた
[アップデート]Security Hub のセキュリティ標準に新たに2個のチェック項目が追加されました(2025/9/3)

メタの巨大データセンター、地元は歓迎？それとも…

Meta（旧Facebook）がルイジアナ州に建設を進める巨大データセンターが、地元で大きな議論を呼んでいます。このプロジェクトは100億ドル規模の投資と数百人規模の雇用を創出すると期待される一方で、その裏では拙速な承認プロセスや住民への負担が懸念されています。

特に問題視されているのは、データセンターに電力を供給するためのガス発電所の建設費です。この費用が最終的に一般の電気料金利用者に転嫁されるリスクがあり、さらに、州がMetaに与えた税制優遇措置には、地元住民のフルタイム雇用を明確に保証する義務が明記されていませんでした。ビッグテックの巨大インフラは、経済効果と引き換えに、環境負荷や地域社会への不透明な影響という新たな課題を生み出しています。ただのハコモノ誘致では済まされない、根深い問題がそこにはあります。

メタの巨大データセンター誘致──ルイジアナ州の税優遇と住民の懸念

開発者必見！GASとGemini API連携のセキュリティ落とし穴

Google Apps Script (GAS) の関数を、Gemini APIのFunction Calling機能を使って外部から呼び出す手法が注目されています。これにより、チャットAIとの対話を通じてスプレッドシートやカレンダーを操作するなど、高度な自動化が可能になります。

しかし、この便利な機能にはセキュリティ上の注意が必要です。GASで作成したウェブアプリを「全員にアクセスを許可」でデプロイする場合、適切な認証メカニズムを自前で実装しないと、悪意のある第三者からAPIを自由に実行されてしまう脆弱性につながりかねません。記事では、リクエストに秘密のキーを含めることでアクセスを制御する方法が紹介されています。開発者は、APIキーや自作サーバーのアクセス制御の重要性を再認識する必要があります。🔑

Google Apps Scriptの関数をGemini APIから呼び出す手法

空からの新たな脅威！空港を狙う謎のドローン

デンマークの複数の空港でドローンが目撃され、滑走路が一時閉鎖される事態が発生しました。これは単なる趣味のドローンによる迷惑行為にとどまらず、地政学的な緊張を背景にロシアの関与も疑われるなど、新たな安全保障上の脅威として注目されています。

過去にイギリスの空港でも同様の事件がありましたが、その際は証拠不十分で「集団ヒステリー」の可能性も指摘されました。しかし今回は、一部で信頼できる証拠があると報じられています。ドローンは物理的なインフラを麻痺させる能力を持ち、サイバー攻撃と組み合わせることで、より深刻な事態を引き起こす可能性があります。空の安全を守るため、ドローン検知・対抗技術の重要性がますます高まっています。✈️

Drones At Danish Airports, A Plea For Responsible Official Response

そのブラウザ、監視されてない？プライバシー重視の「Helium」登場

私たちは日々、気づかぬうちにウェブサイトや広告主に追跡されています。そんな現状に一石を投じるのが、プライバシー保護を重視して開発されたChromiumベースのブラウザ「Helium」です。

Heliumは、強力な広告ブロック拡張機能「uBlock Origin」を標準搭載。YouTubeの動画広告やウェブサイト上のバナー広告をデフォルトでブロックしてくれます。さらに、トラッキングや不要な情報収集機能を排除し、Googleアカウントへのログインも要求しないため、より匿名性の高いブラウジングが可能です。軽量設計で動作が速いのも嬉しいポイント。プライバシーを重視するユーザーにとって、ChromeやEdgeに代わる有力な選択肢となるかもしれません。🛡️

広告ブロッカー標準搭載のChromiumベースブラウザ「Helium」を使ってみた

巨大テックをどう裁く？Google独禁法裁判が示す未来

米司法省がGoogleを相手取って起こした広告技術（アドテク）に関する独占禁止法訴訟が、大きな局面を迎えています。裁判所はすでにGoogleが市場で独占的な力を持つと認定しており、焦点は「どのような是正措置を命じるか」に移っています。

司法省は、Googleの広告事業の一部を強制的に売却・分割させるという厳しい措置を求めています。一方、Googleは特定の商習慣を禁止するなどの行動修正命令で十分だと主張。この裁判の判決は、単にGoogleのビジネスに影響を与えるだけでなく、巨大テック企業（ビッグテック）の市場支配力に司法がどう切り込むかという前例となり、今後のデジタル市場の競争のあり方を大きく左右する可能性があります。⚖️

Can Google be trusted without a break up?

考察

今週のニュースを振り返ると、サイバーセキュリティの最前線がAI技術の進化と地政学的な対立という2つの大きな潮流によって、かつてなくダイナミックに動いていることがわかります。

OpenAIやAppleが開発する高度なAIは、私たちの生活を豊かにする可能性を秘めている一方で、その根幹を支えるのは膨大なデータセンターと、私たちの個人データです。Veritasの事例が示すように、利便性とプライバシーのトレードオフは、今後さらに深刻な社会課題となるでしょう。企業は技術開発だけでなく、倫理的な配慮と透明性の高いデータガバナンスを確立する責任を負っています。

同時に、TikTokやドローンの問題は、サイバー空間の脅威がもはやデジタル世界に留まらず、国家間のパワーゲームや物理的な安全保障と不可分であることを示しています。クラウドインフラ（AWS Security Hub）やAPI（GAS）の適切な設定といった技術的な防御策はもちろんのこと、私たち一人ひとりがプライバシーを守るための自衛策（Heliumのようなブラウザの選択など）を講じる意識も、これまで以上に重要になっています。

AI時代におけるセキュリティは、単なる技術者の課題ではありません。それは、社会全体で向き合い、ルールを形成していくべき、新しい時代のリテラシーと言えるでしょう。

#サイバーセキュリティ #AI #情報セキュリティ #プライバシー #国家安全保障