IT 情報セキュリティ最新情報（直近1週間）

2026年3月初旬のサイバーセキュリティ動向をまとめました。ランサムウェア被害、AIを悪用した新手の攻撃、IPAの10大脅威2026のポイントなど盛りだくさんです。今週も盛りだくさんだった世界と国内のセキュリティニュースを、かみ砕いておさらいしましょう。

今週の国内インシデント：ランサムウェアと情報漏えいが続出

2026年2月下旬〜3月上旬にかけて、国内でもサイバーインシデントが相次ぎました。ランサムウェア感染による業務停止、クラウドサービスへの不正アクセス、医療機関や行政機関での個人情報流出など、被害の種類も規模も幅広いのが特徴です。

攻撃者は「侵入する」のではなく「ログインする」手口にシフトしてきています。盗んだ認証情報や正規の管理ツールを悪用することで、セキュリティソフトの検知を回避しながら潜伏するケースが増加中です。パスワードの使い回し禁止と多要素認証（MFA）の導入が改めて急務です。

今週最も注目を集めたのが、AIを活用した攻撃手法の拡大です。「Vibe Hacking」と呼ばれる新たな潮流では、攻撃者がAIアシスタントをジェイルブレイク（脱獄）させ、ネットワーク偵察・エクスプロイトコード生成・フィッシングメール作成を自動化する事例が複数報告されました。

PhaaS（フィッシング・アズ・ア・サービス）：カナダ全土でPhaaSを用いた大規模フィッシングキャンペーンが観測。専門知識がなくても高精度なフィッシングサイトを量産できるため、被害が急拡大しています。
LexisNexisのデータ漏えい：データ分析大手LexisNexisがReactアプリの脆弱性（React2Shell / CVE-2025-55182）を突かれ、390万件超のデータが流出。攻撃者はAWSインフラにも侵入しており、クラウド環境のセキュリティ設定の見直しが改めて問われています。
公共インフラへの攻撃：メキシコ政府システムから2100万件超の個人情報が流出、ポーランドの再生可能エネルギー施設が攻撃を受けるなど、国家・インフラを標的にした攻撃も活発化しています。

AIを使えば、従来は高度な技術者にしかできなかった攻撃が「誰でもできる」時代になりつつあります。防御側もAIを活用した異常検知や自動対応の仕組みを整備することが急がれます。

独立行政法人情報処理推進機構（IPA）が「情報セキュリティ10大脅威 2026」を公表しました。今回の最大のトピックは、「AIの利用をめぐるサイバーリスク」が新規に選出されたことです。組織・個人の両カテゴリでランクインし、AIが攻撃にも防御にも使われる時代を象徴する形となりました。

「AIを使えばサイバー攻撃が民主化される」——これは脅威であると同時に、防御側が同じ武器を手にできるチャンスでもあります。

サプライチェーン攻撃も依然として上位です。自社だけを守れば安心という時代は終わり、取引先・委託先を含めたセキュリティ体制の評価と継続的な改善が不可欠になっています。

毎週のニュースを追うだけでなく、自分の環境を点検することが大切です。以下のチェックリストを参考にしてください。

多要素認証（MFA）の有効化：メール・クラウドサービス・VPNすべてに適用する。
パスワードマネージャーの導入：サービスごとにランダムな長いパスワードを使い分ける。
ソフトウェア・ファームウェアの最新化：特にルーター・NASなどエッジデバイスはサポート終了（EOS）になっていないか確認。米CISAも公的機関にEOSデバイスの即時退役を要請しています。
フィッシングリンクの見分け方を周知：AIが生成した自然な日本語のフィッシングメールは従来のチェック基準では見抜けないため、URLの確認・正規サイトへの直接アクセスを徹底する。
バックアップの定期テスト：ランサムウェア被害時に復旧できるかどうか、実際にリストアテストを実施する。

セキュリティは「一度やれば終わり」ではなく、継続的なアップデートが必要です。週次でニュースをチェックする習慣をつけるだけでも、脅威の変化に素早く気づける力が身につきます。来週もまた最新情報をお届けしますので、お楽しみに！