おはようございます、かーでぃです。
本記事は、様々なネットニュースサイトからセキュリティ記事を集めて提供している”セキュリティ関連ニュースRSS”から、気になったニュースをピックアップして紹介しています。
情シスさんやサイバーセキュリティを担当されている方、逆に私のようにセキュリティ商材を取り扱う営業の皆様などに活用頂けると幸いです。
「セキュリティのアレ」の3人が事例から導く、サプライチェーン攻撃対策の楔
現代のビジネス環境において、私たちはソフトウェアや各種クラウドサービスの利用、あるいは支店、業務委託先など、あらゆるつながりの中で活動している。今や「サプライチェーンの外は存在しない」と言っても過言ではない。こうしたつながりは私たちに計り知れない利便性をもたらす一方で、システムへの依存度が高まるにつれて、そこに潜むリスクとインシデント発生時のインパクトはこれまでにないほど増大している。もはや「自分のところからは漏れていないから大丈夫だ」と対岸の火事として済ませることはできず、どの企業もいつ被害者(あるいは加害者)になってもおかしくない状況に置かれていると言えよう。
サプライチェーン攻撃って聞くと、つい「取引先がやられたら、次はウチかも…」ぐらいで考えがちですが、本記事を読むと、もう少し広く見ないといけないなと。
クラウドサービス、開発ツール、セキュリティ製品まで、便利に使っているものがそのままリスクの入口になる。しかも、自分たちに直接の落ち度がなくても、つながりの先から影響を受けることがある。
結局大事なのは、「うちは大丈夫」ではなく「どことつながっていて、何に依存しているのか」を棚卸しすること。サプライチェーン対策は特別な製品を入れて終わりではなく、日々の基礎対策と当事者意識の積み重ねなんだなと改めて感じました。
Microsoft、AI活用拡大で「Patch Tuesday」の大規模化が続くと予告
Microsoft Security Response Center(MSRC)は2026年5月12日(米国時間)、Patch Tuesdayの規模が今後も大きくなると予告した。2026年5月のホットパッチ提供月リリースとしては大きい部類であり、こうした傾向は当面続くとしている。
AIの活用が進むと、攻撃が高度化するだけでなく、「脆弱性を見つける側」もどんどん速くなる。
MicrosoftのPatch Tuesdayが大規模化していくという話は、情シス目線ではなかなか重たいです。毎月のパッチ確認だけでも大変なのに、量が増えるとなると、もはや気合いと根性だけでは追いつきません。
だからこそ、件数に振り回されるのではなく、悪用状況や影響範囲を見て優先順位を付けることが大事。加えて、攻撃対象を減らす、IDを守る、検知と対応を整える。結局、基本対策をどれだけ普段から回せるかが勝負なんだなと学びました。
「危険なAI」の証拠はあったのか? Anthropic「Fable 5」規制に広がる疑問の声
コンピュータ情報サイトの「CyberScoop」は2026年6月15日(現地時間、以下同)、米トランプ政権がAnthropicの新AIモデル「Claude Fable 5」(以下、Fable 5)の国外利用に輸出規制を課した判断を巡り、複数のサイバーセキュリティ専門家やAI専門家から強い異論が出ていると報じた。
専門家らは、直近の脱獄報告がFable 5固有の危険なハッキング能力を示したとはいえず、規制は防御目的の利用まで妨げかねないと主張している。また、規制の根拠や判断基準が十分に示されていないとの批判も広がっている。
実際に触ってるわけではないので、どの程度の性能なのかわかりませんが、AIがもつ知識は人のそれを遥かに凌駕しています。
ターミネータのスカイネットのように自我を持つ、なんてことは現実問題としてないでしょうが、人知を超える力……といえば漫画の読みすぎかもしれませんが、Mythosのインパクトは確かに大きかったですからね!
人が扱うことのできる限度は、個人的には定めるべきだと考えているので、本件に関しては規制ありきの考え方に賛同しています。
7割超の企業はシャドーAIを管理できていない ガートナーがガバナンスの現実解を提唱
IT部門が使用を許可していないAIツール、いわゆる「シャドーAI」への対応が課題になっている。承認外のツールに機密情報が入力されれば、情報が統制の及ばない場所へ流出する恐れがあるためだ。
(中略)
同社によると、国内企業の75%が、IT部門の承認を経ない生成AIツールの利用を何らかの形で認めている。一方で、73%の企業はシャドーAIを有効に管理できていない。利用を容認している半面、統制が追い付いていない状況だ。
シャドーAIの話は、「禁止すれば解決」ではないところが難しいところ。
現場からすれば、便利なAIを使いたいのは自然なことです。むしろ、使うなと言われても、こっそり使われるだけかもしれません。
大事なのは、全部を押さえ込むことではなく、何が使われているかを見えるようにして、リスクに応じてルールを分けること。IT部門だけで抱え込まず、事業部門や法務、人事とも役割分担する。AI活用はスピードだけでなく、責任ある使い方までセットで考える必要があるんじゃないかと。
AIに「パッチを当てろ」と命じる時代へ Taniumが描く“自律型IT”の正体
タニウムは2026年6月12日、主催イベント「Converge Tokyo 2026」をANAインターコンチネンタルホテル東京で開催した。基調講演ではセキュリティ運用を強化する新たな自律型OSとして「Tanium Atlas」を発表した。
(中略)
攻撃側は生成AIを悪用し、数時間で脆弱(ぜいじゃく)性を発見したり、攻撃プログラムを開発したりしている。一方で、防御側は単一の脆弱性の対処に3日以上かかっているケースもあり、攻撃側と防御側の格差は開くばかりだ。
こうした状況を踏まえるとAIを活用した防御体制への転換は急務となっている。これを支援するため、タニウムは新たなビジョンとして「自律的なIT」(Autonomous IT)を掲げている。
「AIにパッチを当てろ」と指示するだけで、自動的にパッチが当たる。
ちょっと未来感がありますね。とはいえ、情シス目線で見ると、これは夢物語というより、かなり現実的な課題への回答だと感じました。
攻撃側がAIで脆弱性発見や攻撃準備を高速化するなら、防御側も人力だけでは追いつきません。端末の状態を見える化し、リスクの高いものから優先して対応する。ここをAIで支援できるのは大きいです。
ただし、全部お任せではなく、危険な操作には人の承認を挟む設計も大事。自動化はサボるためではなく、限られた人手を本当に危ないところへ集中させるための武器の1つという感覚。
Claudeをかたる攻撃がアジア太平洋地域で多発 偽広告から不正コード実行へ
Trend Microの調査チームであるTrendAI Researchは2026年6月17日(現地時間)、Google広告を悪用したClickFix型マルバタイジング攻撃の分析結果を公表した。攻撃者はAI関連開発ツールの利用者を標的とし、当初はGitLab Pages上に設置した偽ダウンロードページへ誘導していた。その後、AnthropicのAIサービス「Claude」の共有チャット機能を悪用する手法へ移行した。調査では7週間にわたり106件の悪性ホスト名と6つの波にわたる攻撃を確認した。
AIサービスの名前をかたる攻撃は、これからますます増えるでしょうねぇ。
今回の攻撃は、Google広告から偽ページへ誘導し、さらにClaudeの共有チャット機能まで悪用するというもの。正規サービスっぽく見える場所を経由されると、利用者側もつい信じてしまいます。しかも「このコマンドを実行してください」と言われると、開発者ほど手が動いてしまうのが怖いところです。
学びとしては、広告経由ではなく公式サイトから入ること、意味の分からないコマンドは実行しないこと。そして企業側は、AI利用のルールだけでなく、偽AIサービスへの誘導も前提にした教育が必要だと感じました。
--
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSについては、👇の記事をご参照ください。
[PR]「セキュリティ対策、できてますか?」に答える本/SCS評価制度で始める、取引先に説明できる備え
なかなかセキュリティ投資ができずに、むずむずしてる情シスの皆さん。今年度末からSCS評価制度が始まります。
これをやらされ感で進めるのと、利用してやろう!という気持ちで進めるのとでは、結果がかなり異なると考えています。
無論、利用してやろう!!と考えた方が良い結果につながります。
ということを書いてますので、キニナル方は是非🙌