ハクソク

世界を動かす技術を、日本語で。

サイバー史上最も重要な100日間を生き抜いているかもしれない

27日前原文(ringmast4r.substack.com)

概要

2026年初頭、かつてなら大ニュースとなるサイバー事件が次々と発生。 4つの主要な攻撃クラスターが米国・西側を標的に同時進行。 AIがフィッシングや攻撃自動化に大きく寄与。 企業の防御境界が消失し、サプライチェーンや信頼関係が主な弱点に。 事件の重大性に反し、世間の反応が異様に静かな現状。

2026年、サイバー攻撃の転換点

  • 2026年最初の4か月間、歴史的規模のサイバー事件が連発
  • 中国国家系スーパーコンピュータ から10ペタバイト流出
  • Stryker が79か国でワイプ被害
  • Lockheed Martin から375TB流出
  • FBI長官の個人メール が公開
  • FBIの盗聴管理ネットワーク も別事件で侵害
  • Rockstar Games が無名SaaSアナリティクス経由で侵害
  • CiscoのプライベートGitHub が完全複製
  • Oracleのレガシークラウド が突破
  • Axios npmパッケージ (週1億ダウンロード)が北朝鮮に乗っ取り
  • Mercor (OpenAI等のAIトレーニングデータ企業)がLiteLLM経由で4TB流出
  • Honda が2度攻撃
  • ShinyHunters/Scattered Spider/LAPSUS$連合 が約400組織・15億Salesforceレコード流出
  • これらの事件が 約100日間 で集中発生

事件の社会的反応と分析

  • 規模・影響の割に、世間の反応が異様に静か
  • 歴史家が 2026年をサイバーセキュリティの転換点 と位置付ける可能性
  • 批判ではなく観察 として、事件を整理・出典付記

4つの攻撃クラスターの概要

クラスター1:イラン / Handala / Void Manticore

  • イラン情報省系のVoid Manticore による破壊的国家攻撃
  • Handala Hack Team 名義で米国の産業・防衛・政府を標的
  • 2026年Q1の主な被害 :Stryker(20万台ワイプ)、Lockheed Martin(375TB流出・技術者情報公開)、FBI長官(個人メール流出)

クラスター2:Scattered LAPSUS$ Hunters(SLH)

  • ShinyHunters、Scattered Spider、LAPSUS$ が2025年8月に合流し「SLH」結成
  • SaaS層を標的 とした産業規模の窃盗・恐喝
  • Salesforceキャンペーン で約400組織・15億レコード流出
    • 被害企業:Google、Cisco、Adidas、Qantas、Allianz Life、Workday、LVMH、Air France-KLM、LastPass、Okta、AMD、Snowflake、Match Group、Harvard等
  • Mercor(AIデータ企業) もLiteLLM経由でLapsus$により侵害
  • 手口の進化
    • 従来:SaaS統合のOAuthトークン窃取
    • 2026年:社員に電話しITサポートを装い、 MFA設定やOAuth認可をリアルタイムで奪取
    • MandiantのAuraInspector を悪用し、Salesforceのゲスト権限誤設定を自動スキャン・悪用
    • 音声フィッシング(vishing) が技術的脆弱性以上に大規模な侵害を誘発

クラスター3:北朝鮮 / UNC1069

  • Axios npmパッケージ の乗っ取り(Google Threat Intelligence Groupによる帰属)
  • 偽企業・偽Slack・偽Teams会議 で開発者を社会工学的に騙し、npmアカウントを奪取
  • クロスプラットフォームRAT を100万週ダウンロード規模のJSライブラリに混入
  • CiscoのTrivy供給網攻撃 も同様に開発者信頼関係を悪用

クラスター4:ロシア / APT28

  • Microsoft Officeゼロデイ(CVE-2026-21509) を数日で武器化
  • 標的:ウクライナ政府・欧州60以上のメールアドレス
  • ウクライナ気象庁からの通知を装った悪性Office文書
  • 米国以外が主対象だが、信頼関係・迅速な武器化・公的反応の薄さ は共通

共通する構造的脆弱性

  • 企業の防御境界が消失
  • サプライチェーンや開発者・ベンダー間の信頼関係 が主な侵入口
  • イラン:破壊、ShinyHunters:金銭目的、北朝鮮:インプラント拡散、ロシア:情報窃取 と目的は異なるが、 攻撃経路は同じ

AIの影響と新たな脅威環境

  • Anthropic が2025年末に「AI主導のサイバースパイ活動」報告
    • Claude がスパイ活動の80-90%を自動化
  • Hoxhunt、ZeroThreat、StrongestLayer等のデータ もAI脅威の急拡大を示唆
    • AI生成フィッシングメール :2023年比で1,265%増
    • 全フィッシングメールの約83%がAI生成、90%以上の攻撃がLLM駆動
    • 音声フィッシング(vishing) :442%増、 SMSフィッシング(smishing) :40%増、 QRコードフィッシング :400%増
    • AIは5分で高精度スピアフィッシング文面生成、人間は16時間必要
    • AI生成メールのクリック率 :54%、通常メールは12%
    • 19秒ごとに悪性メール が到達
  • Microsoftは北朝鮮のJasper Sleet/Coral SleetがAIを攻撃全体に活用 と報告
  • KimsukyもChatGPTで偽造書類作成・フィッシングに利用
  • 米財務省はAI活用の北朝鮮IT詐欺スキーム関係者を制裁

まとめ

  • 2026年はサイバー攻撃・AI脅威の質的転換点
  • 供給網・信頼関係が最大のリスク
  • AIの自動化・攻撃効率化が脅威環境を激変
  • 社会的議論・反応の静けさ自体が異常事態

Hackerたちの意見

最近、数ギガバイトのデータが盗まれるのは大騒ぎだったけど、今やテラバイトやペタバイト単位でデータを盗まれてるんだよね。

悪いニュース:データブローカーにある君のデータがすぐに公開されるよ。良いニュース:選挙で選ばれた公職者のデータもすぐに公開されるし、やっと規制が入るかもしれないね。

一番奇妙だと思ったのは、> 2026年4月7日、アメリカの財務長官スコット・ベッセントと連邦準備制度理事会のジェローム・パウエル議長が、ワシントンで主要な米国銀行のCEOたちと緊急の対面会議を開いて、[Anthropicの] Mythosがもたらすサイバーリスクについて直接説明したこと。カナダの金融セクターのレジリエンシーグループ(カナダ銀行、カナダ政府の財務省、カナダ預金保険公社(カナダのFDIC)、カナダの主要6銀行)との類似の会議も行われた。中央銀行がこんなことをするのは普通じゃないよね?

2つの可能性があると思う:1. 複数の主要銀行やeコマースサイトを危険にさらす、一般的に使われているソフトウェアパッケージに重大な脆弱性が見つかることへの恐れ。2. 複数の広く使われているソフトウェアパッケージに重大な脆弱性が見つかり、IT企業の株が暴落して市場が下落することへの恐れ。多分他にもあるだろうね。これは、アメリカの銀行セクターにどう影響するかという最悪のシナリオについてのブリーフィングみたいだね。今年は中間選挙も重要だから、大きな経済ショックはGOPにとって悪影響だろうね。

私の技術的デュリジェンスの仕事の一環で、PE投資に関連するトピックについて中長編のコンテンツマーケティング資料を作成してるんだ。この6ヶ月で、まだ公開してないけど、ジェネレーションAIの時代におけるセキュリティの状態についてのシリーズを作った。要するに、私たちはランサムウェアの黙示録に突入してる。ジェネAIがサイバー犯罪セクターにとってどれだけ神の恵みか、もう狂ってるよ。人を騙すのに十分なものを作るだけでいいなら、genAIは完璧だよね。以前は信頼できたもの、例えばグーグル広告やスポンサーリンクが悪意のあるサイトじゃないかっていうのは、今や意味がない。ギャングが簡単に何千もの偽のインタラクティブサイトやリンクされたプロフィールのネットワークを作り上げて、詐欺検出をすり抜けることができるから。フィッシング攻撃は信じられないほど洗練されてて、音声、テキスト、ビデオのなりすましを組み合わせてる。サプライチェーン攻撃は、パッケージマネージャーが手榴弾になるってことだよ。ランサムウェアのギャングは、スクリプトキディたちに大物の素材にアクセスできるフルオンのSaaSサービスを運営してる。以前は国家が支援するアクターだけができた攻撃が、今や安価で手に入るようになってる。しかも、みんながジェネAIを使って脆弱なコードを大量に生み出してるから、状況はさらに悪化するだろうね。データの流出のためのプロンプトエンジニアリングの世界もあるし…。若い人がテクノロジーで有望な職業を探してるなら、セキュリティは絶対に良い選択だよ。これからマジでクレイジーになるから。

若い人で、テクノロジーの有望な職業を探してるなら、セキュリティは絶対いい選択だよ。これからマジでクレイジーになるから。そうだけど、CISSPやSOCの猿みたいにはなれないよ。未来がないからね。実際に開発の基本やOSの内部、ウェブ開発の基礎、アルゴリズム、攻撃と防御の概念を理解してるソフトウェアエンジニアでなきゃダメだよ。北米の「サイバーセキュリティ」卒業生の多くは、L1 ITヘルプデスクすらできないのが残念。ITからセキュリティへの人材パイプラインは重要なのに(SREやSWE、MLからセキュリティへのパイプラインもね)。

これって、結局人々がインターネットから追い出される結果になりそうだね。一般の人には安全じゃなくなるってことだ。

またGoogle広告を信頼できなくなるの?12~15年前にマルバタイジングの問題があったのを思い出すけど、その後はなんとか対処してたよね。

人々がgenAIがインターネットやその上に築かれたすべてにとって存在的脅威だって気づいてないのが面白いよ。1) もはやウェブ上のものを信頼できない。2) もはやウェブ上のものが必要ない。1)については、セキュリティをコンピュータ文化に組み込むための防御メカニズムが間に合うことを願ってるよ。

若いなら、テクノロジーの有望な職業を目指すなら、セキュリティは絶対にいい選択だよ。もしAIがこういう攻撃を実行できるなら、AIがセキュリティエンジニアを置き換えるのを止めるものは何だろう?

オープンソースソフトウェアはどうやって生き残るんだろう?

Anthropicのマーケティングチームは恐ろしいほど優秀だね。Opusがこの計画を考えたのかな?

このAIとセキュリティのジャンル、ほんとに注目されてるね。

恐怖を育てて利用することは、まさにSecurity™の礎だね。能力についての主張が馬鹿げているとは思わない。一般的な能力が独占的で、特定の企業の信頼できるパートナーにだけ独占されるという考えは馬鹿げてる。

大手テック企業はみんなミソスにアクセスできるようになってる。もしAnthropicが脆弱性を見つける能力について煙を巻いてるなら、すぐに漏れるだろうね。

この船はもう出港したけど、現代の「サイバー」って言葉、攻撃的または防御的なソフトウェア技術を指すことが多い(おそらくサイバーセキュリティの略)ってのがイライラする。これって「クリプト」よりもひどいよ。こういう言葉を使う人は、他の条件が同じなら、だいたいクソみたいなことを言ってる可能性が高いと思う。

「オーダー・オブ・マグニチュード」って言葉も、よくバカみたいに使われてる気がする。「10倍」って言うよりも技術的に聞こえようとしてるだけだよね。おそらく「指数関数的」って言葉が、実際には指数関数的じゃない時に使われるのと似てる。

もう完全に定着しちゃってるよね。クリプトと同じで、文句を言う人の方がその対象について多くを語ってる気がする。私も好きじゃないけど!「サイバー」はダサいし、「クリプト」は「暗号」を意味するべきだと思う。でも、私が使い方の王様ってわけじゃないし、両方の言葉には新しい意味ができてるよね。

サイバーやりたい?

昔ながらのハッカーとして…君の気持ち、よくわかるよ。言葉の意味って、常に変わるからね。「コーダー」って言葉が、後のスクリプトキディやコードモンキーみたいに、あまりスキルや知識のないソフトウェア開発者を指す言葉だったのを鮮明に覚えてる。今ではみんな自分のことをそう呼ぶけどね。

私はセキュリティの責任者で、素晴らしいキャリアを築いてきた。エンジニアリングからマネジメントに進んで、リスクプランバーとしていろんな会社で高度な仕事をしてきた。素晴らしいチームを作り、難しいインシデントレスポンスを解決し、脆弱性研究の深いところまで掘り下げてきた。途中でかなり良い報酬も得たし、APT問題にも関わった。要するに、私は魅力的な履歴書を持ってるし、ゲームは変わったんだ。どうでもいいことだけど、私は約12ヶ月後に引退するつもり。十分に貯金もできたし、目立たない素晴らしい街で中流階級の生活を確保したから、攻撃的なコンサルティングやAIフリーの非テクノロジー職に切り替えるつもり。PAや看護師、大工とかね。まだ十分に年を取ってないし、FIREの責任も終わってないけど、AIに強いFIを確保する必要があるってことは分かる。セキュリティの他の人たちもこれを感じてると思う。テクノロジーは、報酬と楽観主義のために自分を投げ出すセキュリティのプロを見つけるだろう。他にも私のように最後のチャンスを掴もうとしてる人がいる。住宅ローンや私立学校の授業料で金縛りになってる人もいるだろうし、残る人もいるだろうね。セキュリティエンジニアリングのAI対応版もすぐに出てくるだろう。でも、民間セクターがAI統合に目覚めなければ、内部文書の展開で本来保存されるべきでないPIIが吸い上げられたり、外部向けのカスタマーサポートポータルがソーシャルエンジニアリングされて、マーケティングの雇用者がATOされるようなことが起こると、これは90年代のBBQみたいになる。重要なシステムに0dayがカンファレンスのハッピーアワーで落とされるようなね。そして、セキュリティチームは燃え尽きて、貯金が増えて、辞めていく。リスクの受容、二重の言葉、遅延、エンジニアリングやプロダクトリードのための半端なリスク思考、手を抜くこと、今回だけは公開エンドポイントを開けること、これらは今構築されている攻撃的な文脈で自分を吊るすのに十分なロープになる。SWEやエンジニアリングのリーダーシップが、自分を失業させるAI推進によってこの位置に追い込まれたのは本当に面白い。08年のようなリセッションが来れば、木の葉が落ちるのも時間の問題だよ。幸いなことに、今のところは一つ(あ、二つあるかも)、幸いなことに、今は二、三の(あ、実際には10個くらい)システム的な市場の脅威しかない。

AIフリーの非テクノロジー職に切り替えるつもり - PAや看護師、大工とかね。個人アシスタントや看護師がAIフリーになるかは分からないけど、大工や溶接工、レンガ職人、害虫駆除業者は確かにそうだね。ただ、肉体労働のデメリットを過小評価しない方がいいよ。低賃金で体に負担がかかるから。何の壁の文字?むしろ、これからもっと必要とされると思うよ。

ソフトウェアエンジニアリングについて何か知ってる人は、これから来るものに対抗するために立ち上がる道義的義務があると思い始めてる。今は世界が私たちを必要としている、これはどちらに転ぶか分からない重要な時期だよ。私たちはAIを使って、自分たちや自分を守れない人たちを悪意のあるAIやそのユーザーから守る必要がある。

このコメント欄には真逆の雰囲気があるね。一人はFOMOを叫んでて、みんなセキュリティの仕事に就くべきだと言ってるし、あなたはFUDを言ってる。これがどこか中間に落ち着くことを願ってるけど、正直、今のところ誰にも分からないよね。

これは大きな問題で、最近よく耳にする話だよ。ちょっと調べてみたけど、2025~2026年には世界で約480万のサイバーセキュリティの職が埋まってない状態になるみたい。世界の労働力は約550万人だけど、需要を満たすには約1020万人が必要なんだ。業界の成長も年々約0.1%に鈍化していて、現在の労働力ではその不足を埋められない状況だよ。さらに、君のようなベテランが業界から離れていくのも問題だし、不安を感じるよね。前例のない成功した攻撃が増えているのも納得だよ。犯罪者やハッカーは、ターゲットにしている企業よりもずっと速く動いているから、リソースが全然足りないんだ。他の人たちも指摘しているけど、近い将来、これが悪化する以外にどうなるかはわからないね。

この意見には完全に同意するし、似たようなことを考えてたけど、自分の脳の一部がこういう考えをすることに慣れていて、過去にひどく間違ったことが多いのを知ってる。確かに、リスクを分散させて、経済的に安定するのは大事だけど、「何も起こらない」っていうのが大体正しいことも考慮すべきだね。世界は、安定を保つために必要な方向に物事を進める方法があるから。

ここ数年で面白い「コンピュータの不具合」がニュースに出てくるって言ってたんだ。すでに、誰かがAIを使って航空券を1ドルで売ってもらった事件があったし、今後ももっと奇妙なバグが出てくると思う。中にはかなりヤバいのもあるかも。

OPの中のいくつかよりも小さな火花で世界大戦が始まったように感じる。今の世界はまた緊張してるし、すごく緊張してる。

ほとんどのイベントはHacker Newsに載ってたよ。これ、秘密じゃないから。企業はセキュリティのレベルを真剣に考えないといけないね。保護が必要なものは限られていて、そのためには相応の不便さやコストを受け入れなきゃならない。航空宇宙の仕事をしていた頃、SECRETでプロジェクトを進めるとコストが倍になるっていうルールがあった。TOP SECRETだとさらにコストが跳ね上がる。コストの理由で、意外と多くの資料は全く分類されてなかったりするんだ。銀行やクレジットカード処理業者はこれを理解してるけど、他の多くのビジネスはそうじゃないね。

HNに載ってるけど、それが著者の言いたいことなんだよね。このHNの記事でも、トップコメントは「ハー、AIは私の庭から出て行け」みたいな不満の連続だし。要するに、著者が助けを求めてる人たちが、目の前の問題を認めたくないから自己満足に浸ってるってこと。まるで「でも、私は言及されたすべての事件を読んだのに、クッキーはどこ?」みたいな感じ。

すべての攻撃がソーシャルエンジニアリング攻撃で、さらに基盤モデルのハッキングが加わったら、すごく面白い状況になるよね。アイデンティティ自体が、面白い機会や脅威になる。6ヶ月前にBadgeの友達とこのテーマでオピニオン記事を書いたよ。[1]: https://idtechwire.com/opinion-in-an-ai-world-every-attack-i...

数日前、これに関連して考えてたんだけど、AIやLLMの究極の進化・発展が進んだら「コンピューティング」の世界はどうなるんだろう?10年後、Claude Mythos(それ以上のもの)が「リアルタイム」で動いてるとしたら、Taalasが今ollamaを動かしてる速度で。なんか「サイバースペース」(呼び方はどうでもいいけど)がもう重要じゃなくなる気がする。「コンピューティング」も重要じゃなくなるだろうね。例えば、大規模なマルチプレイヤーのレミングスみたいなゲームを作りたいと思ったら、指を鳴らすだけでできちゃう。Xソフトウェアを「クラッキング」したい?それも簡単。Yウェブサイトの脆弱性を見つけたい?楽勝。パワーポイントのクローンを作りたい?それもすぐにできる(どうせプレゼンテーションは「Mythos5、X、Y、Zについて素敵で意味のあるトランジションでプレゼンを作って」って言うだけで済むから)。音楽や動画、画像も同じ。すべてが自動的に作成できるようになったら、どうなるんだろう?(例えば「オリジナルのジョン・ウィックみたいな映画を、キングスマンのウィットとスタイルで作って、若いショーン・コネリーを主役に」みたいな)。結局、サイバースペースは今の「レール」とは全く違う、混沌としたものになると思う。HNでブーイングされるリスクを冒すけど、行けば行くほど「トラストレスコンピューティング」や「Nの証明」(オンラインで何かをするために、現実の有限な努力を費やさなきゃならない)みたいなものがもっと重要になってくる気がする。なんか、Hashcashはスパムや自動化攻撃に対処するために考案されたから、未来のサイバースペースを「構造化」するためにそのバージョンが使われると思う。私の仮説は、デジタルなものが解決されたら、現実世界に戻ることになるってこと。ゲームに「トレーナー」を追加したら、突然お金や資源が全部手に入って、つまらなくなるみたいな感じ。デジタルなものが解決されたら、現実世界に戻る時が来る。すごくワクワクする時代だね。

そうだね、AIは脆弱性を見つけたりソフトウェアをハッキングするのが上手くなってきてるけど、防御の面でも同じくらい上手くなると思うよ。結局、どんどんエスカレートするけど、ほとんどは均衡を保つ感じになるんじゃないかな。