2026年上半期のサイバー攻撃の異常な潮流:歴史的転換点となる100日間の脅威
2026年に入ってから約100日間にわたり、サイバーセキュリティ史上最も重大な一連のインシデントが連続して発生しており、その規模と多様性は極めて深刻です。これらの事象は、単なる個別のハッキング事件ではなく、現代の西側企業が抱える「防御可能な境界線(ペリメーター)」の崩壊という構造的な弱点を突いた、複数の高度な脅威アクターによる同時多発的な攻撃の波です。
主要な攻撃の潮流は、以下の4つのクラスターに分類されます。
1. **イラン系国家主体(Void Manticore/Handala)**: イランの情報・安全保障省と関連するとされるVoid Manticoreが、米国産業、防衛、政府機関を標的として破壊的な作戦を展開しています。具体的には、ストライカー(Stryker)の20万台のデバイスが消去されたほか、ロッキード・マーティンが375TBのデータ流出を主張し、FBIディレクターの個人メールボックスが公開されました。
2. **金銭目的の犯罪集団(Scattered LAPSUS$ Hunters/SLH)**: 2025年8月にShinyHunters、Scattered Spider、LAPSUS$の3大犯罪グループが統合した「SLH」が、最も大規模な脅威となっています。このグループは、SaaSレイヤーを標的とし、社会工学(ソーシャルエンジニアリング)とフィッシングを組み合わせた高度な手法を用いています。2026年第1四半期だけで、Google、Cisco、LVMHグループ、そしてパンデラ・ブレッドなど、世界的なブランドの企業が標的となり、合計で約15億件のSalesforceレコードが窃取されました。特に、OpenAI、Anthropic、Metaのデータパイプラインに組み込まれる100億ドル規模のAIデータベンダー「Mercor」が、オープンソースライブラリの脆弱性を突かれて侵害されたことは、AI産業における極めて重大な事件です。
3. **北朝鮮系(UNC1069)**: 北朝鮮と関連する資金目的の行為者UNC1069は、オープンソースのサプライチェーンを悪用しました。具体的には、週に1億回ダウンロードされるnpmパッケージ「Axios」を乗っ取り、クロスプラットフォームのRAT(リモートアクセスツール)を仕込みました。これは、開発者の信頼関係を悪用した典型的な手法です。
4. **ロシア系(APT28)**: ロシア支援のAPT28は、ウクライナやEUを標的とし、マイクロソフトの脆弱性(CVE-2026-21509)がパッチ公開された直後の信頼関係の隙を突いて、標的のメールボックスに悪意のある文書を送り込みました。
これらの事象は、現代の企業が「境界線」を持たず、ベンダーや開発者間の「信頼関係の連鎖」のみで成り立っているという構造的な弱点を共通して悪用しています。このサイバー攻撃の波は、単なる技術的な問題ではなく、グローバルなサプライチェーンと信頼構造の危機を示唆しています。
背景
本記事は、2026年に入ってから発生した複数の大規模なサイバー攻撃事件を俯瞰し、その深刻な傾向を指摘しています。特に、現代のITインフラが「防御可能な境界線」を持たず、ベンダーや開発者間の「信頼関係」に依存しているという構造的な弱点が、攻撃者たちによって同時に悪用されている点が重要な背景知識です。
重要用語解説
- SaaSレイヤー: Software as a Service(サービスとしてのソフトウェア)の層を指します。企業がオンプレミスではなく、クラウド経由で利用するサービス群の基盤であり、今回の攻撃の主要な標的となっています。
- オープンソースサプライチェーン: ソフトウェア開発において広く利用される公開コード(オープンソース)の供給網のこと。このサプライチェーンのどこかに悪意のあるコードが混入することが、今回の攻撃の主要な経路となっています。
- 社会工学(ソーシャルエンジニアリング): 技術的な脆弱性を突くのではなく、人間の心理的な隙や信頼関係を利用して情報を盗み出す手法。今回の攻撃では、ITサポートを装った電話など、人間関係を悪用しています。
今後の影響
このニュースは、企業に対し、従来の境界防御型のセキュリティ対策(ファイアウォールなど)の限界を突きつけています。今後は、サプライチェーン全体のリスク管理、従業員への教育強化、そして「ゼロトラスト」に基づいたアクセス管理の徹底が必須となり、セキュリティ投資のパラダイムシフトを促すでしょう。国際的な法規制の強化も予想されます。