ハクソク

世界を動かす技術を、日本語で。

サイバー史上最も重要な100日間を生き抜いているかもしれない

2026年4月13日原文(ringmast4r.substack.com)

概要

2026年初頭、かつてなら大ニュースとなるサイバー事件が次々と発生。 4つの主要な攻撃クラスターが米国・西側を標的に同時進行。 AIがフィッシングや攻撃自動化に大きく寄与。 企業の防御境界が消失し、サプライチェーンや信頼関係が主な弱点に。 事件の重大性に反し、世間の反応が異様に静かな現状。

2026年、サイバー攻撃の転換点

  • 2026年最初の4か月間、歴史的規模のサイバー事件が連発
  • 中国国家系スーパーコンピュータ から10ペタバイト流出
  • Stryker が79か国でワイプ被害
  • Lockheed Martin から375TB流出
  • FBI長官の個人メール が公開
  • FBIの盗聴管理ネットワーク も別事件で侵害
  • Rockstar Games が無名SaaSアナリティクス経由で侵害
  • CiscoのプライベートGitHub が完全複製
  • Oracleのレガシークラウド が突破
  • Axios npmパッケージ (週1億ダウンロード)が北朝鮮に乗っ取り
  • Mercor (OpenAI等のAIトレーニングデータ企業)がLiteLLM経由で4TB流出
  • Honda が2度攻撃
  • ShinyHunters/Scattered Spider/LAPSUS$連合 が約400組織・15億Salesforceレコード流出
  • これらの事件が 約100日間 で集中発生

事件の社会的反応と分析

  • 規模・影響の割に、世間の反応が異様に静か
  • 歴史家が 2026年をサイバーセキュリティの転換点 と位置付ける可能性
  • 批判ではなく観察 として、事件を整理・出典付記

4つの攻撃クラスターの概要

クラスター1:イラン / Handala / Void Manticore

  • イラン情報省系のVoid Manticore による破壊的国家攻撃
  • Handala Hack Team 名義で米国の産業・防衛・政府を標的
  • 2026年Q1の主な被害 :Stryker(20万台ワイプ)、Lockheed Martin(375TB流出・技術者情報公開)、FBI長官(個人メール流出)

クラスター2:Scattered LAPSUS$ Hunters(SLH)

  • ShinyHunters、Scattered Spider、LAPSUS$ が2025年8月に合流し「SLH」結成
  • SaaS層を標的 とした産業規模の窃盗・恐喝
  • Salesforceキャンペーン で約400組織・15億レコード流出
    • 被害企業:Google、Cisco、Adidas、Qantas、Allianz Life、Workday、LVMH、Air France-KLM、LastPass、Okta、AMD、Snowflake、Match Group、Harvard等
  • Mercor(AIデータ企業) もLiteLLM経由でLapsus$により侵害
  • 手口の進化
    • 従来:SaaS統合のOAuthトークン窃取
    • 2026年:社員に電話しITサポートを装い、 MFA設定やOAuth認可をリアルタイムで奪取
    • MandiantのAuraInspector を悪用し、Salesforceのゲスト権限誤設定を自動スキャン・悪用
    • 音声フィッシング(vishing) が技術的脆弱性以上に大規模な侵害を誘発

クラスター3:北朝鮮 / UNC1069

  • Axios npmパッケージ の乗っ取り(Google Threat Intelligence Groupによる帰属)
  • 偽企業・偽Slack・偽Teams会議 で開発者を社会工学的に騙し、npmアカウントを奪取
  • クロスプラットフォームRAT を100万週ダウンロード規模のJSライブラリに混入
  • CiscoのTrivy供給網攻撃 も同様に開発者信頼関係を悪用

クラスター4:ロシア / APT28

  • Microsoft Officeゼロデイ(CVE-2026-21509) を数日で武器化
  • 標的:ウクライナ政府・欧州60以上のメールアドレス
  • ウクライナ気象庁からの通知を装った悪性Office文書
  • 米国以外が主対象だが、信頼関係・迅速な武器化・公的反応の薄さ は共通

共通する構造的脆弱性

  • 企業の防御境界が消失
  • サプライチェーンや開発者・ベンダー間の信頼関係 が主な侵入口
  • イラン:破壊、ShinyHunters:金銭目的、北朝鮮:インプラント拡散、ロシア:情報窃取 と目的は異なるが、 攻撃経路は同じ

AIの影響と新たな脅威環境

  • Anthropic が2025年末に「AI主導のサイバースパイ活動」報告
    • Claude がスパイ活動の80-90%を自動化
  • Hoxhunt、ZeroThreat、StrongestLayer等のデータ もAI脅威の急拡大を示唆
    • AI生成フィッシングメール :2023年比で1,265%増
    • 全フィッシングメールの約83%がAI生成、90%以上の攻撃がLLM駆動
    • 音声フィッシング(vishing) :442%増、 SMSフィッシング(smishing) :40%増、 QRコードフィッシング :400%増
    • AIは5分で高精度スピアフィッシング文面生成、人間は16時間必要
    • AI生成メールのクリック率 :54%、通常メールは12%
    • 19秒ごとに悪性メール が到達
  • Microsoftは北朝鮮のJasper Sleet/Coral SleetがAIを攻撃全体に活用 と報告
  • KimsukyもChatGPTで偽造書類作成・フィッシングに利用
  • 米財務省はAI活用の北朝鮮IT詐欺スキーム関係者を制裁

まとめ

  • 2026年はサイバー攻撃・AI脅威の質的転換点
  • 供給網・信頼関係が最大のリスク
  • AIの自動化・攻撃効率化が脅威環境を激変
  • 社会的議論・反応の静けさ自体が異常事態

Hackerたちの意見

最近、数ギガバイトのデータが盗まれるのは大騒ぎだったけど、今やテラバイトやペタバイト単位でデータを盗まれてるんだよね。

悪いニュース:データブローカーにある君のデータがすぐに公開されるよ。良いニュース:選挙で選ばれた公職者のデータもすぐに公開されるし、やっと規制が入るかもしれないね。

一番奇妙だと思ったのは、> 2026年4月7日、アメリカの財務長官スコット・ベッセントと連邦準備制度理事会のジェローム・パウエル議長が、ワシントンで主要な米国銀行のCEOたちと緊急の対面会議を開いて、[Anthropicの] Mythosがもたらすサイバーリスクについて直接説明したこと。カナダの金融セクターのレジリエンシーグループ(カナダ銀行、カナダ政府の財務省、カナダ預金保険公社(カナダのFDIC)、カナダの主要6銀行)との類似の会議も行われた。中央銀行がこんなことをするのは普通じゃないよね?

2つの可能性があると思う:1. 複数の主要銀行やeコマースサイトを危険にさらす、一般的に使われているソフトウェアパッケージに重大な脆弱性が見つかることへの恐れ。2. 複数の広く使われているソフトウェアパッケージに重大な脆弱性が見つかり、IT企業の株が暴落して市場が下落することへの恐れ。多分他にもあるだろうね。これは、アメリカの銀行セクターにどう影響するかという最悪のシナリオについてのブリーフィングみたいだね。今年は中間選挙も重要だから、大きな経済ショックはGOPにとって悪影響だろうね。

私の技術的デュリジェンスの仕事の一環で、PE投資に関連するトピックについて中長編のコンテンツマーケティング資料を作成してるんだ。この6ヶ月で、まだ公開してないけど、ジェネレーションAIの時代におけるセキュリティの状態についてのシリーズを作った。要するに、私たちはランサムウェアの黙示録に突入してる。ジェネAIがサイバー犯罪セクターにとってどれだけ神の恵みか、もう狂ってるよ。人を騙すのに十分なものを作るだけでいいなら、genAIは完璧だよね。以前は信頼できたもの、例えばグーグル広告やスポンサーリンクが悪意のあるサイトじゃないかっていうのは、今や意味がない。ギャングが簡単に何千もの偽のインタラクティブサイトやリンクされたプロフィールのネットワークを作り上げて、詐欺検出をすり抜けることができるから。フィッシング攻撃は信じられないほど洗練されてて、音声、テキスト、ビデオのなりすましを組み合わせてる。サプライチェーン攻撃は、パッケージマネージャーが手榴弾になるってことだよ。ランサムウェアのギャングは、スクリプトキディたちに大物の素材にアクセスできるフルオンのSaaSサービスを運営してる。以前は国家が支援するアクターだけができた攻撃が、今や安価で手に入るようになってる。しかも、みんながジェネAIを使って脆弱なコードを大量に生み出してるから、状況はさらに悪化するだろうね。データの流出のためのプロンプトエンジニアリングの世界もあるし…。若い人がテクノロジーで有望な職業を探してるなら、セキュリティは絶対に良い選択だよ。これからマジでクレイジーになるから。

若い人で、テクノロジーの有望な職業を探してるなら、セキュリティは絶対いい選択だよ。これからマジでクレイジーになるから。そうだけど、CISSPやSOCの猿みたいにはなれないよ。未来がないからね。実際に開発の基本やOSの内部、ウェブ開発の基礎、アルゴリズム、攻撃と防御の概念を理解してるソフトウェアエンジニアでなきゃダメだよ。北米の「サイバーセキュリティ」卒業生の多くは、L1 ITヘルプデスクすらできないのが残念。ITからセキュリティへの人材パイプラインは重要なのに(SREやSWE、MLからセキュリティへのパイプラインもね)。

これって、結局人々がインターネットから追い出される結果になりそうだね。一般の人には安全じゃなくなるってことだ。

またGoogle広告を信頼できなくなるの?12~15年前にマルバタイジングの問題があったのを思い出すけど、その後はなんとか対処してたよね。

人々がgenAIがインターネットやその上に築かれたすべてにとって存在的脅威だって気づいてないのが面白いよ。1) もはやウェブ上のものを信頼できない。2) もはやウェブ上のものが必要ない。1)については、セキュリティをコンピュータ文化に組み込むための防御メカニズムが間に合うことを願ってるよ。

若いなら、テクノロジーの有望な職業を目指すなら、セキュリティは絶対にいい選択だよ。もしAIがこういう攻撃を実行できるなら、AIがセキュリティエンジニアを置き換えるのを止めるものは何だろう?

オープンソースソフトウェアはどうやって生き残るんだろう?

Anthropicのマーケティングチームは恐ろしいほど優秀だね。Opusがこの計画を考えたのかな?

Hacker Newsで議論の続きを見る