AIがもたらす光と闇：Salesforce大規模漏洩から生成AIの著作権問題まで、最新セキュリティ動向を総まとめ！（2025年10月6日ニュース）

電話一本で企業の重要データがごっそり盗まれたり、政府のクラウドストレージが火事で完全に消え去ったり…😱 まるで映画のような話ですが、これらは最近実際に起こったセキュリティインシデントです。今や私たちの生活や仕事はデジタル技術と切っても切り離せませんが、その裏側では巧妙化するサイバー攻撃や予期せぬトラブルが常に狙っています。特に、急速に進化する生成AIは、ディープフェイクのような新たな脅威を生み出す一方で、私たちの防御策を進化させる可能性も秘めています。今回は、今絶対に知っておくべき最新のセキュリティ関連ニュースをピックアップし、その深刻な現実と未来への備えを考えます。

「人の弱さ」を突く攻撃、Salesforce利用企業から10億件の情報が流出か 🚨

ハッカー集団が、顧客管理プラットフォームのSalesforceを利用する多数の企業から、合計約10億件もの顧客記録を盗み出したと主張しています。この攻撃の恐ろしい点は、Salesforceのシステム自体の脆弱性を突いたのではなく、電話でITサポート担当者になりすまし、従業員をだましてアクセス権を得る「ボイスフィッシング（Vishing）」という古典的なソーシャルエンジニアリング手法が使われたことです。CrowdStrikeの報告によれば、この種の攻撃は上半期と比較して442%も増加しており、まさに急増中です。Allianz LifeやTransUnionといった大手企業も被害を認めており、氏名やメールアドレスだけでなく、社会保障番号などの機密情報も含まれている可能性があります。技術的な対策だけでなく、従業員一人ひとりのセキュリティ意識と、厳格な本人確認プロセスの重要性が改めて浮き彫りになりました。

Salesforce利用企業から10億件規模の顧客情報が流出か--ハッカー集団が犯行を主張

巧妙な詐欺電話「UNC6040」の手口と対策とは 📞

上記のSalesforceを狙った攻撃を実行したとされる脅威アクター「UNC6040」。Googleの脅威インテリジェンスグループ（GTIG）は、彼らの手口と対策を詳しく解説しています。彼らは企業のITサポートやベンダーになりすまし、言葉巧みに従業員を誘導して認証情報を聞き出したり、不正なアクセスを許可させたりします。対策として、GTIGはビデオ通話による本人確認や、リスクの高い操作（多要素認証のリセットなど）に対する追加認証、そしてSaaSアプリケーションへのアクセスを信頼できるネットワークに限定することなどを強く推奨しています。安易に電話口の相手を信用せず、一度電話を切って公式の番号にかけ直すといった基本的な行動が、大規模な情報漏洩を防ぐ鍵となります。

ITサポートをかたって従業員をだまし、Salesforceインスタンスのデータを盗み出す「UNC6040」　Googleが予防策を解説

バックアップなし！韓国政府データセンター火災でクラウドストレージが全焼 🔥

サイバー攻撃だけが脅威ではありません。韓国の国家情報資源管理院（NIRS）で発生した火災により、政府のクラウドストレージ「G-Drive」が完全に焼失。驚くべきことに、このシステムにはバックアップが存在せず、保存されていた858TBもの業務ファイルの一部が完全に失われました。このデータセンターは、韓国政府の省庁を横断する重要なICTインフラを担っており、公務員は業務文書をここに保存することが義務付けられていました。物理的な災害対策と、データの可用性を確保するためのバックアップ戦略がいかに重要かを物語る、衝撃的な事件です。デジタルデータは物理的な脅威と無縁ではないことを、私たちは肝に銘じる必要があります。

韓国の電子行政サービスや政府系クラウドの基盤である国家情報資源管理院で火災が発生しクラウドストレージ「G-Drive」が全焼、バックアップがなく完全に消失してしまうデータも

サプライチェーンを狙え！Discord、外部委託先から個人情報が流出 💬

人気のコミュニケーションツール「Discord」で、カスタマーサポート業務を委託していた業者が不正アクセスを受け、一部ユーザーの個人情報が流出しました。流出した可能性があるのは、氏名、メールアドレス、クレジットカード情報の一部、さらには年齢確認のために提出された運転免許証やパスポートの画像まで含まれます。Discord本体のシステムは侵害されていないものの、このようにサプライチェーンの一部を狙う攻撃は増加傾向にあります。自社のセキュリティを固めるだけでなく、取引先や委託先のセキュリティ体制まで含めて管理する「サプライチェーンセキュリティ」の重要性が増しています。

Discord、外部業者への不正アクセスで情報流出　運転免許証やパスポートも

オープンソースも標的に！Red HatのGitLabリポジトリに不正アクセス 💻

Linuxディストリビューションで知られるRed HatのプライベートGitLabリポジトリが、サイバー犯罪グループ「Crimson Collective」による不正アクセスを受けました。攻撃者は約570GBのデータを盗み出し、その中には顧客のネットワーク構成や認証トークンといった機密情報を含む「顧客エンゲージメントレポート（CER）」が含まれていると主張しています。オープンソースソフトウェアの開発基盤が狙われたことで、ソフトウェアサプライチェーン全体への影響が懸念されます。企業は、自社が利用するソフトウェアがどのように開発・管理されているかについても、注意を払う必要があります。

レッドハットの「GitLab」リポジトリーに不正アクセス--セキュリティ調査を継続中

生成AIの暴走？「Sora 2」によるキャラクター動画問題にCEOが言及 🤖

OpenAIの最新動画生成AI「Sora 2」は、その驚異的な性能で注目を集める一方、ポケモンやマリオといった著作権で保護されたキャラクターの動画が大量に生成されるという問題を引き起こしています。この事態を受け、サム・アルトマンCEOは、権利者がキャラクターの使用方法を制御できる機能や、使用を許可した権利者への収益分配プログラムを計画していることを発表しました。特に日本のコンテンツが多く利用されていることに言及しており、生成AIの進化がもたらす著作権や倫理的な課題に、プラットフォーマーとしてどう向き合っていくのか、その姿勢が問われています。

動画生成AI「Sora 2」でキャラクター動画が作られまくっている状況の改善をサム・アルトマンCEOが約束、特に日本のコンテンツに言及し権利者への収益分配を示唆

ディープフェイク対策の切り札？Googleが画像生成AIに「見えない透かし」を導入 🛡️

生成AIによるリアルな画像の生成が簡単になるにつれ、ディープフェイクの悪用が深刻な問題となっています。この問題に対し、Googleは最新の画像生成AI「Gemini 2.5 Flash Image（通称: nano banana）」で生成・編集された全ての画像に、目には見えない電子透かし「Synth ID」を埋め込むことを発表しました。この透かしは、専用のモデルによってAI生成物として識別可能でありながら、人間の目では判別できない仕組みです。技術の進化とともに、その技術がもたらすリスクをどう抑制するか、テクノロジー企業による自主的な対策が加速しています。

グーグル、画像生成AI「Gemini 2.5 Flash Image」（nano banana）を一般提供

あなたの会話、AIの学習データに？Anthropic「Claude」がポリシー変更 ✍️

ChatGPTのライバルとして知られるAIチャットボット「Claude」を提供するAnthropic社が、ユーザーとの会話をAIモデルの訓練データとして使用する方針へと転換しました。これまで同社は訓練に利用しない姿勢を貫いてきましたが、今後はユーザーが「オプトアウト（拒否）」しない限り、チャット内容がAIの改善に利用されることになります。この変更に伴い、データ保持期間も従来の30日から最大5年へと大幅に延長されます。利便性向上の裏側で、我々のデータがどのように扱われるのか、プライバシーポリシーの確認と適切な設定がますます重要になっています。

Anthropic、ユーザーのチャット内容をAI訓練に活用へ。オプトアウトの手順を解説

セキュリティの穴は「ブラウザ」にあり！今すぐできる防御策とは？ 🔒

クラウドサービスの普及により、私たちの仕事の多くはWebブラウザ上で行われるようになりました。しかし、それは同時にブラウザがデータ漏洩やマルウェア感染の主要な入口になっていることを意味します。Googleが提供する「Chrome Enterprise Core」を使えば、追加コストなしで組織内のChromeブラウザを一元管理し、セキュリティリスクを可視化できます。例えば、不審なファイルのダウンロードや機密データの転送といったイベントを検知し、ポリシーを強化するといった対策が可能になります。まずは自組織のブラウザ利用状況を把握し、潜在的なリスクに先手を打つことが、堅牢なセキュリティの第一歩です。

[PR]高度化するサイバー脅威に「リスクの可視化」と「セキュア ブラウザ」で備える

「何も信頼しない」が合言葉！マルチクラウド時代の守護神「ゼロトラスト」 🌐

企業システムが複数のクラウドサービスにまたがるマルチクラウド環境が当たり前になる中、従来の「境界型防御」は限界を迎えています。そこで注目されるのが「ゼロトラスト」という考え方です。これは「社内ネットワークだから安全」とは考えず、すべてのアクセスを検証するというアプローチ。IIJが提供する「IIJゼロトラストアクセスソリューション for Developers」は、VDI（仮想デスクトップ）やID管理、閉域ネットワークを組み合わせることで、開発者が安全かつ効率的にマルチクラウド環境で作業できる環境を構築します。これにより、ID管理の複雑化や不正アクセスといった課題を解決し、DXを安全に推進することができます。

IIJ、マルチクラウド対応のシステム開発環境向けサービスを提供--VDIや閉域ネットワークを包括

考察

今回取り上げた記事からは、現代のサイバーセキュリティが直面するいくつかの重要なトレンドが見えてきます。

第一に、攻撃の主戦場が「技術」から「人」へとシフトしている点です。Salesforceを狙った一連の攻撃は、高度なハッキング技術ではなく、従業員の心理的な隙を突くソーシャルエンジニアリングがいかに有効であるかを証明しました。これは、どんなに強固なシステムを構築しても、従業員一人ひとりのセキュリティ意識が低ければ、そこが突破口になるという厳しい現実を突きつけています。

第二に、サプライチェーン全体のリスク管理が不可欠になっていることです。DiscordやRed Hatの事例のように、自社だけでなく、業務委託先や利用するOSS（オープンソースソフトウェア）のセキュリティまで考慮しなければ、思わぬところから攻撃を受ける可能性があります。

第三に、生成AIがもたらす「光と闇」です。Sora 2のようなツールは創造性を刺激する一方で、著作権侵害やディープフェイクといった深刻な問題を引き起こします。これに対し、Googleの「Synth ID」のような対策技術も登場しており、AIは脅威であると同時に、防御の鍵にもなり得る両義的な存在となっています。

そして最後に、韓国のデータセンター火災は、デジタルの脅威ばかりに目を奪われがちな私たちに、物理的なセキュリティと、万が一に備えたバックアップという基本中の基本の重要性を改めて教えてくれました。

これらの動向は、セキュリティ対策がもはや情報システム部門だけの課題ではなく、経営層から現場の従業員まで、組織全体で取り組むべき経営課題であることを示しています。ゼロトラストの原則に基づき、常に「疑う」姿勢を持ちながら、技術と人間の両面から対策を講じていくことが、これからの時代を生き抜くために不可欠です。

#サイバーセキュリティ
#情報漏洩
#生成AI
#ソーシャルエンジニアリング
#ゼロトラスト