今年のハッキング・タイムラインは狂っている

 (ringmast4r.substack.com)
5 ポイント 投稿者 GN⁺ 15 일 전 | 1件のコメント | WhatsAppで共有
  • 2026年初頭の約100日間、国家および犯罪組織が関与した大規模サイバー攻撃が連続して発生し、コンピュータセキュリティ史における転換点と評価されうるレベルの事態が続いた
  • 攻撃はイラン、SLH、北朝鮮、ロシアの4つのクラスターに分けられ、いずれもサプライチェーンと信頼関係の悪用という共通構造を持つ
  • 主な被害には、Strykerの20万台のシステム削除Lockheed Martinの375TB流出主張FBI長官のメール流出Axios npm感染Oracle・Cisco・Rockstar・Mercor侵害などが含まれる
  • AI技術が攻撃の自動化に活用され、AI生成フィッシングが1,265%増加ボイスフィッシングが442%増加AIディープフェイク金融詐欺など新たな脅威の様相が現れた
  • 政府と産業界は非公開で対応中だが、公共的議論の沈黙と情報の非対称性が際立っており、この100日間はサイバー史上最も重大な時期と評価されている

2026年初頭100日間の大規模サイバー事件の概要

  • 2026年最初の4か月間、中国、イラン、北朝鮮、ロシアなどの国家および犯罪組織が関与した大規模サイバー攻撃が連続して発生
    • 中国国営スーパーコンピュータからの10ペタバイト流出、Strykerの79か国にわたる全面停止、Lockheed Martinの375TB流出主張、FBI長官の個人メール流出、FBI盗聴網への侵入、Rockstar Games・Cisco・Oracle・Mercorなど多数の企業が被害
  • 約100日間続いたこれらの事件は、コンピュータセキュリティ史における転換点として記録される可能性が高い
  • しかし一般的な議論はほとんどなく、政府と産業界の非公開対応と公共的議論の沈黙との乖離が際立っている

4つの主要攻撃クラスター

  • 2026年の攻撃はイラン、SLH、北朝鮮、ロシアの4つのクラスターに分けられ、いずれもサプライチェーン・信頼関係の悪用という共通構造を持つ

  • クラスター1: イラン / Handala / Void Manticore

    • 破壊的な国家主導作戦であり、Palo Alto Networks Unit 42はVoid Manticoreをイラン情報保安省(MOIS)と関連するアクターと特定
    • Handala Hack Team名義で米国の産業・防衛・政府機関への攻撃を実行し、**2026年2月のミナブ学校爆撃(175人死亡)**への報復を主張
    • 被害: Stryker(20万台の機器削除)Lockheed Martin(375TB流出主張、技術者28人の個人情報公開)FBI長官の個人メール流出

  • クラスター2: Scattered LAPSUS$ Hunters (SLH)

    • 金銭目的のSaaS大規模窃取・脅迫組織で、2025年8月にShinyHunters・Scattered Spider・LAPSUS$の結合で形成
    • Salesforceキャンペーンでは300〜400組織、15億件のSalesforceレコードを窃取し、被害企業にはGoogle、Cisco、LVMH、Okta、AMD、Snowflakeなど
    • 攻撃手法はOAuthトークン窃取から電話ベースのMFA操作へと進化し、ボイスフィッシングが2026年に最も多くの企業侵害を引き起こした要因と指摘される

  • クラスター3: 北朝鮮 / UNC1069

    • オープンソースのサプライチェーン侵害を中心とする金銭目的攻撃で、Axios npmパッケージ乗っ取り事件が代表例
    • 攻撃者は偽会社・Slack・Teams環境を作ってメンテナの信頼を得た後、npmアカウントを乗っ取り、週1億ダウンロード規模のライブラリにRATを挿入
    • CiscoのTrivyサプライチェーン攻撃も同様の信頼ベース侵害パターン

  • クラスター4: ロシア / APT28

    • ウクライナおよびEUを標的にしたゼロデイ攻撃で、Microsoft Officeの脆弱性(CVE-2026-21509)を悪用
    • 60以上の欧州メールアカウントとウクライナ政府機関を攻撃し、信頼関係の悪用と高速な兵器化が特徴
    • 4つのクラスターはいずれも、西側企業の防御境界がサプライチェーン信頼に置き換わった現実を利用
    • イランは破壊、SLHは金銭窃取、北朝鮮は開発者感染、ロシアは情報収集を目的とする

主要事件ごとの詳細

  • Stryker: 世界的な医療機器企業を標的にしたリアルタイムワイパー攻撃

    • 2026年3月11日、Stryker Corporationが世界的に停止
    • 攻撃者はWindowsドメイン管理者アカウントを奪取し、Microsoft Entra・Intuneでグローバル管理者を作成した後、リモート初期化コマンドを実行し、20万台のシステムを削除
    • 病院の手術延期など患者治療の遅延が発生し、Handalaが犯行を主張
    • FBIはHandalaのドメイン4件を差し押さえ、1,000万ドルの懸賞金を公表し、Handalaはトランプ・ネタニヤフに5,000万ドルの逆懸賞金で応じた

  • Lockheed Martin: 375TB流出主張と技術者28人の個人情報公開

    • 「APT Iran」名義で**375TBのデータ窃取とダークウェブ販売(4億→5.98億ドル)**を主張し、F-35関連設計図を含むとしたが、証拠は未検証
    • HandalaはF-35、F-22、THAADプログラムの技術者28人の個人情報を公開して脅迫し、国家主導のドキシング事例と評価される

  • FBI長官の個人メール流出事件

    • 2026年3月27日、HandalaがFBI長官 Kash Patel の個人Gmailから300通超のメール・写真・履歴書を公開
    • パスワード再利用に基づくクレデンシャルスタッフィング攻撃で、技術的な複雑性は低い
    • FBIのドメイン差し押さえから8日後に起きた報復的公開であり、「FBI長官のメールを読める」という象徴的示威

  • FBI盗聴網侵入事件

    • 2026年2月17日に異常兆候を検知し、3月23日に**法的な『重大事件(major incident)』**に分類
    • 攻撃者は商用ISPインフラを利用してFBIのセキュリティ統制を回避し、内部の盗聴・監視ネットワークにアクセス
    • サプライチェーンの信頼関係悪用型侵入であり、Patel個人メール事件よりはるかに深刻な事件と評価される

グローバル企業およびインフラ侵害事例

  • Axios npmアカウント乗っ取り事件

    • 2026年3月31日、Axiosライブラリのnpmアカウントが乗っ取られ、悪性バージョン1.14.1・0.30.4が公開
    • 約2〜3時間の間、1億回ダウンロード規模のパッケージが感染し、すべてのCIパイプラインにRATを設置
    • Google Threat Intelligence Groupは北朝鮮のUNC1069による犯行と公表
    • 偽会社設立・Slack・Teams共同作業環境の操作などソーシャルエンジニアリングベースの侵入で、XZ Utilsバックドア以降で最も精巧なnpm攻撃と評価

  • Cisco: Trivyサプライチェーン侵害とSalesforceデータ恐喝

    • 2026年3月、Trivyサプライチェーン攻撃でCisco内部の開発環境が侵害され、300のGitHubリポジトリを複製
    • ShinyHuntersはSalesforceデータ300万件の窃取を主張し、金銭を要求
    • Ciscoは一部事実を認め、サプライチェーンとSaaSの両方でセキュリティ成熟企業も脆弱であることが明らかになった

  • Mercor: AI産業の中核データパイプラインにおける単一脆弱点

    • OpenAI, Anthropic, Metaなど主要AI研究所の訓練データパイプラインを担うスタートアップ

      • 2026年3月、LiteLLMライブラリ感染によって認証情報が窃取され、AI訓練データ・ラベリングプロトコルが流出
      • Lapsus$が後続侵害を主張し、4TBのデータを公開、内部Slackダンプ・APIキー・AI契約者との会話動画を含む
      • MetaがMercorとの契約を打ち切り、AI産業における少数スタートアップ・オープンソース依存の問題が浮き彫りに

  • Oracle Cloud: 600万件データ流出と「レガシークラウド」問題

    • 2026年3月21日、ハッカー「rose87168」がOracle Cloudの600万件データ販売を主張

    • CVE-2021-35587**脆弱性によりOracle Access Managerが侵害され、**14万テナントに影響

      • Oracleは当初否認した後、レガシー環境へのアクセスを認め最大80の病院データ露出が報道された
      • **廃止されていない旧式インフラ(Shadow Legacy)**の危険性が浮き彫りに

  • Rockstar Games: SaaS統合を通じた侵入

    • 2026年4月初旬、ShinyHuntersがRockstar Games侵害を主張し、RockstarはAnodot SaaS侵害と確認
    • 攻撃者はAnodot認証トークンを窃取した後、Snowflakeインスタンスにアクセスし、SaaS-データウェアハウス信頼チェーンの脆弱性を露呈

  • 欧州航空システム停止

    • 2026年4月6日、Heathrow・Charles-de-Gaulle・Frankfurt・Copenhagenなどの空港でチェックイン・手荷物システムが同時停止
    • 1日で1,600便以上が欠航・遅延し、Collins Aerospace MUSEプラットフォームが原因
    • EASAは2024〜2025年の航空サイバー攻撃が600%増加し、月1,000件規模と報告

  • 中国NSCCハッキング

    • ハッカーFlamingChina中国・天津の国家スーパーコンピューティングセンター(NSCC)から10ペタバイトのデータ窃取を主張
    • 航空・防衛産業のシミュレーションファイル国防科学技術大学資料を含み、CNNなど西側メディアが報道
    • VPNドメイン侵害後6か月間にわたる秘密裏の流出で、中国政府は公式見解を出していない

  • Volt TyphoonとSalt Typhoon

    • Volt Typhoonは2021年から米国の重要インフラに侵入し、Salt Typhoonは2024〜2025年に米国通信事業者・盗聴システムを侵害
    • 2026年の事件は、これら長期侵入基盤の上で発生した表面的現象として分析される

  • Honda: 累積した複数侵害

    • e-commerceプラットフォームのAPI脆弱性パスワードリセット手順の脆弱性PLAYランサムウェア侵害など複数の事件
    • 個別被害は軽微だが、大企業のセキュリティ成熟度と攻撃面の不均衡を示す事例

AI関連の異常兆候と政府対応

  • AIベース攻撃の急増

    • 2025〜2026年のAI関連データでは、攻撃自動化と脅威急増が同時に観測された
    • AI生成フィッシングメールが1,265%増加し、フィッシング全体の82.6%がAI生成
    • 休暇シーズン中にAI生成比率が4%→56%へ急騰し、ボイスフィッシング442%増QRフィッシング400%増
    • AIは5分でスピアフィッシングメールを作成可能で、クリック率54%と人間作成(12%)の4倍以上

  • 北朝鮮のAI活用

    • MicrosoftはJasper Sleet、Coral Sleetの2つの北朝鮮アクターが偵察から侵入後活動までAIを活用していると明記
    • Kimsuky組織はChatGPTで韓国軍・政府身分証の偽造
    • 米財務省はAI生成履歴書・面接回答で偽装就職する北朝鮮IT人材ネットワークを制裁

  • AIディープフェイク金融詐欺

    • AI生成のCFOおよび同僚の映像で構成されたTeamsビデオ会議で、2,500万ドル送金を誘導する事件が発生

  • AIモデルの攻撃能力

    • AnthropicのMythosモデルはGPT-4oより速く(6.2時間 vs 10.4時間)侵入シミュレーションを実行し、73%のアプリケーション脆弱性を検出
    • AnthropicはMythosを非公開のまま維持し、Microsoft・Googleなど40社にのみ限定提供
    • OpenAIも同様のモデルを「Trusted Access for Cyber」プログラムとして限定配布予定

  • 米国政府の緊急対応

    • 2026年4月7日、米財務長官Scott BessentとFRB議長Jerome Powellが大手5銀行のCEOをワシントンに招集
    • 理由: AnthropicがMythosはすべての主要OS・ブラウザで数千件のゼロデイ脆弱性を発見したと報告したため
    • 政府はこれを金融安定性レベルの脅威と見なし、最高レベルの非公開ブリーフィングを実施

2026年第1四半期全体の事件要約

  • 1〜4月の間に公表された主要事件だけで40件以上、実際には数百件規模
    • SLH Salesforceキャンペーンだけでも約300〜400組織15億件のデータ流出と推定
    • 2026年3月の1か月だけでランサムウェア672件、Qilin・Akira・DragonForceが40%を占有
  • 2025年比でランサムウェア攻撃は49%増加し、医療分野が22%を占めた

なぜこれほど静かなのか?

  • 大規模事件にもかかわらず、主要メディアと公共的議論の反応は乏しい
    • 国家関与の名指しに伴う政治的負担セキュリティ業界の商業的利害サイバー疲れAI産業との居心地の悪い共存などが原因として挙げられる

  • 政府最高層では情報が共有されているが、公共的議論では沈黙が維持されている

    • 2026年初頭の100日間はサイバー史上最も重大な時期の一つと評価されており、 公共的議論の沈黙そのものが歴史的に注目すべき現象として記録される可能性がある

関連記事

1件のコメント

 
GN⁺ 15 일 전
Hacker Newsの意見

  • 技術デューデリジェンス業務の一環として、PE投資の観点からセキュリティとgen-AI時代を扱うコンテンツを執筆中
    この6か月間に調査した結果、私たちは事実上ランサムウェア・アポカリプスに突入しつつあると気づいた
    gen-AIはサイバー犯罪者にとって完璧な道具になった。数千の偽サイトやプロフィールを自動生成して広告やリンクの信頼システムを無力化し、音声・テキスト・映像を組み合わせたフィッシング攻撃が日常化している
    サプライチェーン攻撃はパッケージマネージャを爆弾に変え、ランサムウェア集団はいまやSaaS形態で攻撃ツールを販売している
    国家級攻撃レベルの技術が今でははした金で取引されている。しかもgen-AIによって脆弱なコードが爆発的に増えている
    若い技術者ならセキュリティ分野に進路を定めるのが賢明だろう。これから本当に狂った世界が来るはずだ

    • 人々はgenAIがインターネットそのものに対する実存的脅威だということをあまり分かっていないようだ
      いまやWeb上の情報を信頼することもできず、そもそもWebが必要ですらない時代になった
      防御メカニズムが間に合って機能し、セキュリティがコンピューティング文化全体に浸透することを願う
    • それでも私は依然としてソフトウェアエンジニアリングを勧める
      ほとんどの企業ではセキュリティはいまだにコスト項目にすぎず、事故が起きた時だけ関心を向ける
      一方でセキュリティSaaSは収益を上げているので、その方面は有望だ
    • もしAIがこうした攻撃を実行できるなら、セキュリティエンジニアがAIに置き換えられない理由もない
    • 結局、一般人はインターネットから締め出される結果になる気がする。危険すぎるようになるだろう
    • 単に資格だけを持つCISSPやSOCオペレーターでは未来はない
      開発の基礎、OSの内部構造、Web技術、アルゴリズム、攻撃・防御の概念をすべて理解する本物のエンジニアになるべきだ
      北米の多くの「サイバーセキュリティ専攻者」がL1ヘルプデスクのレベルにも達していない現実は嘆かわしい

  • 奇妙なのは、2026年4月7日に米財務長官とFRB議長が主要銀行のCEOを緊急招集し、AnthropicのMythos関連サイバーリスクについて直接ブリーフィングしたことだ
    カナダでも同様の会議があった。複数の中央銀行が同時にこうした会議を開くのは非常に異例だ

    • おそらく可能性は2つある
      1. 主要ソフトウェアパッケージで大規模な脆弱性が見つかり、金融圏が危険にさらされている場合
      2. 複数のパッケージで同時多発的に脆弱性が見つかり、市場ショックが懸念される場合
        選挙を控えた時期なので、経済不安は政治的にも大きなリスクだ
    • 伝統金融では金を盗まれても取り戻せるシステムなのに、どうやってオフランプできるのか気になる
      暗号資産のように取り消せない構造ではないのに
    • 政府がAnthropic製品を使えない点は、せめてもの救いだ

  • ほとんどの事件はすでにHacker Newsで取り上げられていた
    企業はセキュリティレベルを階層的に管理すべきだ。すべてを守ることはできず、重要資産にはコストと不便を受け入れなければならない
    航空宇宙業界では、プロジェクトをSECRET等級にするとコストが2倍に跳ね上がった。TOP SECRETはそれ以上だった
    銀行やカード会社はこうした現実を理解しているが、ほとんどの企業はそうではない

    • こうした議論はHNにずっと上がっていたが、肝心のセキュリティの深刻さを認めず、皮肉る態度が問題だ
      「もう全部読んだよ、何が新しいんだ」というような反応が多い
    • 最も効果的なセキュリティ方法は、インターネット接続されたPCと重要データ処理用PCを完全に分離することだ
      ただし2台以上のコンピュータを使う必要があるため不便だ
      現実的な代替案は、RDPのようなプロトコルで接続された一時VMだけにインターネットアクセスを許す方式だ

  • 私はセキュリティ責任者として働き、リスク管理の専門家として複数の会社を渡り歩いて良いキャリアを築いてきた
    だが今やゲームは完全に変わった。1年以内に引退し、AIと無関係な職業(看護師、配管工など)へ転向する予定だ
    AIが支配する前にAI-proofな経済的独立を確保すべきだと感じている
    多くのセキュリティ専門家が同じことを考えている
    企業が内部文書にPIIを吸い込むAI導入を統制しなければ、1990年代型の0-day大混乱が再来するだろう
    セキュリティチームは過重労働とバーンアウトで崩壊し、AI導入によって自らの仕事をなくすことになる
    次の景気後退が来れば、この現実が露わになるだろう

    • こうした考えには共感するが、世界はたいてい**「何も起こらない」**方向に流れてきた
      経済的な備えは良いが、過度な悲観には注意すべきだ
    • 看護師や秘書もAIの影響を避けにくい
      肉体労働はきつく報酬も低い。むしろセキュリティ専門家の必要性は高まるかもしれない
    • 現在、世界全体で480万件のセキュリティ人材不足がある
      需要は1,020万人だが、供給はその半分程度だ
      業界成長率も0.1%に鈍化し、シニア人材が業界を去ることで攻撃成功率が急増している
      短期間で改善する可能性はほとんどない
    • ソフトウェアエンジニアなら、今こそAI防衛に乗り出す道徳的義務があると思う
      悪意あるAIから自分自身と社会を守るべきだ
    • 一方はセキュリティ参入FOMO、もう一方はFUDムードだ
      現実はその中間のどこかにある気がする

  • 昔は数GBのデータ流出でも大事件だったのに、いまではテラバイト・ペタバイト単位で抜かれている

    • 悪い知らせ: データブローカーが持つすべての個人情報がまもなく公開されるだろう
      良い知らせ: 政治家のデータも一緒に公開され、規制議論が引き起こされるかもしれない

  • Mythosが主要OSやブラウザの数千件のゼロデイを発見したのなら、情報機関がすでに確保している可能性が高い
    もはやバックドアすら不要なほどだ
    ただし、ソフトウェアベンダーがその脆弱性リストを受け取っているのかは疑問だ

  • この文章はLLM特有の文体のせいで読みづらい
    「公共的議論の沈黙が破られていない」といった表現が繰り返され、誇張されているように感じる

  • Anthropicのマーケティングチームは本当に恐ろしいほど有能だ。もしかしてOpusがこの戦略を立てたのだろうかと気になる

    • 恐怖マーケティングはセキュリティ業界の伝統だ
      技術的主張は誇張ではないかもしれないが、特定企業だけが独占的に信頼されるというのはありえない
    • Mythosの能力が本物なら、すぐに大手テック企業がその事実を確認するはずだ
      はったりならすぐ露見するだろう
    • AIとセキュリティの結びつきは、もはやひとつのジャンルとして定着したようだ

  • 実際には状況はそこまで狂ってはいない。単なる最近性バイアス
    スパムの質が上がり、音声クローンや大規模攻撃の自動化のような改善はあるが、ほとんどの攻撃はいまだにn-day脆弱性を利用している

  • 2025年8月、悪名高いハッキンググループShinyHunters、Scattered Spider、LAPSUS$が合併し、「Scattered LAPSUS$ Hunters(SLH)」というサイバー犯罪連合体を作ったという話が興味深い
    まるでスタートアップのM&Aのように垂直統合SaaSを構築しているわけだ
    もしかすると内部の人員整理が「物理的な方法」で行われたのではないかとも気になる

    • こうしたグループは事実上企業や政府機関のように運営されている
      内部での経験は普通のテック企業で働くのと大差ない