野村俊輔 | アキレスセキュリティ

📅 2026.06.21 今週のセキュリティ振り返り ━━━━━━━━━━━━━━━━━ 今週のハイライト ・政府がAIによるサイバー攻撃を「安全保障上の脅威」と初めて明記。AIリスクが国家の安全保障課題へ格上げ ・コマツで約14万人分の個人情報が長期間「閲覧可能状態」に。大手製造業の設定不備が再び表面化 ・KPMG調査で日本企業の年間被害額が初めて10億円超を記録。経営インパクトとして無視できない規模に ━━━━━━━━━━━━━━━━━ 【今週の主なニュース】 6/19 KPMG調査 年間被害10億円超企業を初確認（被害高額化が顕著） 6/19 東京都、中小企業のサイバー対策を無償サポート開始（行政の本気度UP） 6/19 ガートナー 生成AI実装期の4大サイバーリスクを警告（経営者向け論点整理） 6/20 政府 AIサイバー攻撃を安全保障上の脅威と初明記（AI規制が次フェーズへ） 6/20 Claude共有リンクを悪用したマルバタイジング報告（生成AIの新たな悪用経路） 6/20 コマツ 約14万人分が閲覧可能状態と公表（大手の設定不備） ※詳細は平日の各投稿参照 【追跡中の動き】 ・コマツ案件: 原因はクラウド型ユーザー管理機構の設定不備。2021年頃から閲覧可能だった可能性、発覚は2026年4月。同一システム登録ユーザー間での閲覧で、インターネット全体への公開ではないと明言。二次被害は未確認 ・日本企業の被害高騰（KPMG）: 今週は新たな動きなし ・AIエージェント規制（日本・EU）: 今週は新たな動きなし。EU AI Act 高リスク本格施行（8/2）まで残り約6週間 ・日本へのサイバー攻撃急増（Check Point）: 今週は新たな動きなし。次回月次レポート待ち 【来週の注目】 ・6月末 各社の四半期決算でサイバー関連開示が増える時期 ・7月初旬 上半期インシデント統計・年次レポート系の発表シーズン入り ・8/2 EU AI Act 高リスクAI本格施行（残り6週間、対象企業は準備の追い込み期） ━━━━━━━━━━━━━━━━━ 【総評】 今週は「AIリスクが国家安全保障に格上げ」と「大手の設定不備が再び」の2大トピックが並んだ。政府が動き、規模感も10億円が現実になった。経営者が「自分事」として向き合うフェーズに入った週。コマツ事案は2021年から放置されていた可能性が示されており、設定の棚卸し・定期監査の重要性を改めて突きつけている。 🔗 続報の出典は最初の返信に #サイバーセキュリティ #セキュリティニュース #今週の振り返り

📢 2026.06.20 セキュリティニュース ━━━━━━━━━━━━━━━━━ 本日のピックアップ ① 小松製作所、約14万人分の個人情報が「閲覧可能状態」に ② 生成AIの共有リンクが攻撃の踏み台に──ClaudeをまねたWeb広告詐欺 ③ 政府、AIによるサイバー攻撃を「安全保障上の脅威」と初明記 ━━━━━━━━━━━━━━━━━ ① 小松製作所、約14万人分の個人情報が「閲覧可能状態」に 【概要】 建設機械大手のコマツで、約13万9千人分の個人情報が外部から閲覧できる状態になっていたことが公表された。実際の悪用は確認されていないが、設定不備が長期間放置されていた可能性がある。 【解説】 これは「ハッカーに突破された」ではなく、自社の設定ミスで情報が見える状態になっていた事案。クラウドやサーバーの権限設定をひとつ間違えるだけで、顧客名簿が事実上「公開」されてしまう。大企業のコマツでもこれだから、中小企業はもっと起きている──ただ気づかれていないだけ。気づいたときには、流出件数より「いつから・誰が見られたか」を立証できない方が痛い。情報が出てしまった後では、顧客への通知・法的対応・取引先の信用回復に何ヶ月もかかる。 【やるべきこと】 ・自社が使うクラウドサービスの「公開範囲」設定を、棚卸しで一度全部確認する ・個人情報を扱うフォルダ・データベースの「アクセスログ」が取れているかチェック ・委託先・子会社のクラウド設定も同じ目線で点検する（自社だけでは終わらない） ━━━━━━━━━━━━━━━━━ ② 生成AIの共有リンクが攻撃の踏み台に──ClaudeをまねたWeb広告詐欺 【概要】 トレンドマイクロが、生成AI「Claude」の対話共有機能を悪用した攻撃手口を公表した。検索広告から正規ドメインのリンクへ誘導され、その先で不正コマンドの実行を促されるという流れ。 【解説】 ポイントは「URLが本物だから疑われない」こと。これまで「怪しいリンクは踏まない」と教えてきた社員教育が通用しなくなる。攻撃者は、ChatGPTやClaudeなど世間が信頼している正規サービスの中に罠を仕込み、そのリンクを広告として配信する。社員が業務で生成AIを当たり前に使う時代、「URLバーが正しいか確認しよう」だけでは守れない段階に入った。今後ほぼ確実に、社内の誰かが似た罠に行き当たる前提で守りを組み直す必要がある。 【やるべきこと】 ・社員が業務で使ってよい生成AIサービスをリスト化し、共有リンクの扱いルールを決める ・「正規サービスからの指示でもコマンド実行・ファイルDLは即時停止」を教育に追加 ・エンドポイント（PC側）でコマンド実行を可視化・制限する仕組みを検討する ━━━━━━━━━━━━━━━━━ ③ 政府、AIによるサイバー攻撃を「安全保障上の脅威」と初明記 【概要】 政府がAI基本計画の改正案で、高性能AIを使ったサイバー攻撃を安全保障上の脅威として位置づけ、防御強化と制度の継続的な見直しを明記した。 【解説】 国がAIによる攻撃を「経済問題」ではなく「安全保障」と呼んだ意味は大きい。これは、企業がAI攻撃で被害を受けたときの報告義務・責任範囲・支援制度が今後一気に動くという合図。同じ日にIPAも「情報セキュリティ10大脅威2026」でAI利用に関するリスクを組織向け脅威の第3位に初選出している。流れは「AIを使うかどうか」から「AIを使う前提で守りを設計する」へ完全に切り替わった。乗り遅れる中小企業ほど、規制対応のコストが後追いで重くのしかかる構造。 【やるべきこと】 ・自社で誰が・どのAIサービスを・どの業務で使っているか、年内に棚卸しする ・AIを使った業務の「ログ・承認・責任者」の3点を運用ルールに落とす ・経営会議のアジェンダに「AIリスク」を固定で1項目入れる ━━━━━━━━━━━━━━━━━ 【総評】 正直、今日の3本は別々に見えて全部つながってる。設定ミスの放置（コマツ）、信頼してた正規サービスの悪用（Claude共有）、国がAIを安保リスクと認めた件──どれも「自社だけで気をつければ大丈夫」の時代の終わりを示してる。中小企業ほど、まずは「うちで何が・誰によって・どこで動いてるか」の棚卸しから入るべきだと思っている。 🔗 出典は最初の返信に #サイバーセキュリティ #セキュリティニュース

📢 2026.06.19 セキュリティニュース ━━━━━━━━━━━━━━━━━ 本日のピックアップ ① 日本企業の年間被害額、ついに「10億円超」が出現 ② 東京都が中小企業のサイバー対策を無償サポート開始 ③ ガートナーが警告「生成AI実装期の4大サイバーリスク」 ━━━━━━━━━━━━━━━━━ ① 日本企業の年間被害額、ついに「10億円超」が出現 【概要】 KPMGジャパンが「サイバーセキュリティサーベイ2026」を発表。サイバー攻撃による年間合計被害額が10億円を超えた企業が初めて確認された。情報漏えいだけでなく、業務停止による事業影響も拡大している。 【解説】 これまで日本企業の被害額は数千万円～数億円規模が中心だったが、ついに二桁億円の大台に乗った。背景は、ランサムウェアによる業務停止が長期化したこと、復旧費用に加えて取引先への補償・株価下落・信用毀損まで含めると被害が雪だるま式に膨らむ構造になったこと。建設・不動産業ではパッチ未適用（修正プログラム未対応）が約3割という対策の遅れも指摘されていて、特定業界が「狙い目」として認知され始めている。中小企業も他人事ではない。元請が止まれば下請の入金も止まる。 【やるべきこと】 ・自社のサイバー保険の補償額が、現在の被害想定に合っているか年内に見直す ・基幹システムのパッチ適用状況を経営会議の定例議題に追加する ・主要取引先がサイバー被害で止まった場合の代替手段（与信・物流）を準備する ━━━━━━━━━━━━━━━━━ ② 東京都が中小企業のサイバー対策を無償サポート開始 【概要】 東京都が、都内中小企業を対象にCSIRT構築（インシデント対応チームの整備）とIT-BCP策定（IT面の事業継続計画）を専門家が無償で支援する事業を開始した。被害発生後ではなく「事前の備え」を重視している。 【解説】 中小企業がセキュリティ対策を進められない最大の理由は「何から手をつければいいか分からない」「予算がない」の2つ。今回の都の施策はこの両方を同時に解決する。CSIRTとは攻撃を受けた時に誰がどう動くかを決めておく社内チーム。IT-BCPは止まったシステムを何時間以内に何で代替するかを設計した計画書。どちらも自社で作るとコンサル費用だけで数百万円かかる代物が、無償で組める。都の施策とはいえ、地方自治体が中小企業向けにここまで踏み込むのは異例。他自治体への波及も視野に入る動き。 【やるべきこと】 ・東京都内の中小企業は東京都産業労働局のサイトから事業詳細・申込要件を確認する ・都外の企業は、自社の所在地の自治体・商工会議所に同種の支援策がないか問い合わせる ・支援を受ける前提で、社内の「インシデント対応窓口」担当者を1人決めておく ━━━━━━━━━━━━━━━━━ ③ ガートナーが警告「生成AI実装期の4大サイバーリスク」 【概要】 米ガートナーが「2026-2027 ThreatScape」を発表し、生成AI実装期における重大サイバー脅威としてAIアプリの侵害・ディープフェイク・ソフトウェアサプライチェーン・プロンプトインジェクションの4つを「クリティカル」に位置付けた。 【解説】 特に注目すべきは「プロンプトインジェクション」が経営課題として認定されたこと。これは攻撃者がAIに紛らわしい指示を仕込んで、機密情報を喋らせたり社内システムを操作させたりする手口。社員が善意で社内文書を生成AIに貼り付けた瞬間に発動するため、従来のファイアウォール（外部からの不正侵入を防ぐ仕組み）では止められない。ディープフェイクも、社長を装った音声で経理に振込指示を出す「AI版社長詐欺」が国内ですでに報告されている。生成AIを正式導入していない企業も、社員が個人でChatGPTに会社情報を流せば同じリスクが発生する。「AIは便利だから使う」のフェーズは終わり、「使い方を制御する」フェーズに入ったということ。 【やるべきこと】 ・生成AIを業務利用する社員向けに「入力禁止情報」のリスト（顧客情報・財務数字等）を明文化する ・経理・財務部門に「音声だけでの振込指示は受け付けない」運用ルールを徹底する ・社内で許可するAIツールを限定し、シャドーAI（社員の個人的な無断利用）を可視化する ━━━━━━━━━━━━━━━━━ 【総評】 正直、今日のラインナップは「日本のセキュリティ環境が一段階上がった」感を強く示してる。被害額がついに10億円台に乗った一方で、東京都が中小企業を無償で支える側に回り始めた。攻める側と守る側の両方が本気になってきた証拠。生成AIのリスクも、もう経営アジェンダだと思っている。「うちには関係ない」って言った瞬間に置いていかれる、そういう局面。 🔗 出典は最初の返信に #サイバーセキュリティ #セキュリティニュース

📢 2026.06.12 セキュリティニュース ━━━━━━━━━━━━━━━━━ 本日のピックアップ ① 日本の大企業、96%で認証情報が漏れていた ② 日本へのサイバー攻撃、増加率が世界最大に ③ 国がAIエージェントの「手綱」ルールを明文化 ━━━━━━━━━━━━━━━━━ ① 日本の大企業、96%で認証情報が漏れていた 【概要】 ジョーシス社の調査で、日経225企業225社のうち217社（96.4%）が 過去3年で認証情報（IDやパスワード）の漏洩を確認されたと公表。 漏洩は計約28万件。業種別では医薬品が最多で、銀行の約23倍だった。 【解説】 「漏洩」と聞くと派手なハッキングを想像するが、ここで言うのは 社員のIDやパスワードが、闇サイト（ダークウェブ）に出回っている状態のこと。 情報を盗むウイルスで抜かれた"正規のログイン情報"は、今やランサムウェアや なりすましの最大の入口になっている。盗まれたID一つで社内全体に入られる。 大企業ですら9割超がこの状態なら、対策にお金をかけにくい中小企業は もっと無防備な可能性が高い。「うちは大丈夫」の根拠が、実はどこにもない。 【やるべきこと】 ・自社の主要アカウントが漏れていないか漏洩チェックサービスで確認する ・重要アカウントは多要素認証（ログイン時にスマホ確認等）を必須にする ・パスワードの使い回しを禁止し、管理ツールの導入を検討する ━━━━━━━━━━━━━━━━━ ② 日本へのサイバー攻撃、増加率が世界最大に 【概要】 Check Point社のレポートによると、2026年5月の日本へのサイバー攻撃の 増加率が調査対象国の中で最大、前年同月比62%増となった。 世界で公表されたランサムウェア攻撃も月698件（前年比48%増）に達している。 【解説】 これまで「日本語の壁があるから狙われにくい」と言われてきたが、 その前提が崩れつつある。生成AIで自然な日本語のニセメールが 簡単に量産できるようになり、攻撃側のコストが激減したのが背景。 日本が"うまみのある標的"として世界から見られ始めている。 中小企業は「小さいから狙われない」と思いがちだが、実際は対策が 手薄な分むしろ狙われやすく、取引先の大企業を攻撃する"踏み台"にもされる。 【やるべきこと】 ・「うちは狙われない」という前提を一度捨てて備えを見直す ・日本語が自然でも油断しない、不審メールの見分け方を全社で共有する ・自社が取引先への侵入口にされない体制か点検する ━━━━━━━━━━━━━━━━━ ③ 国がAIエージェントの「手綱」ルールを明文化 【概要】 経産省・総務省のAI事業者ガイドラインが3月にv1.2へ改訂され、 AIに重要な判断をさせる際は人間が承認する「HITL」が明示された。 EUでもAI規制法が8月2日から高リスク分野で本格施行される。 【解説】 AIエージェントとは、人間に代わって自律的に作業をこなすAIのこと。 便利な反面、外部からの指示に乗っ取られたり、見せてはいけない情報を 勝手に扱ったりするリスクがある。そこで「大事な判断は必ず人間が承認する」 （HITL＝人間を間に挟む仕組み）をルール化する流れが、日本でもEUでも固まってきた。 EUの規制は域外にも適用されるため、EUと取引する日本企業も対象になり得る。 「とりあえず全部AIに任せる」が通用しなくなる、業界の転換点だ。 【やるべきこと】 ・AIに任せる業務で「人間が必ず承認する一線」を決めておく ・AIに繋ぐデータや操作の範囲を、必要最小限に絞る ・EUと取引がある場合は規制の対象になるか早めに確認する ━━━━━━━━━━━━━━━━━ 【総評】 今日の3本、バラバラに見えて一本の線で繋がっている。 ①②は「日本企業は今、過去最高レベルで狙われ、現に認証情報が漏れている」 という現実。③は「AI時代に向けてルールが固まりつつある」という未来。 正直、中小企業がまずやるべきは派手なAI対策より、認証情報の管理や 多要素認証みたいな"基本の徹底"だと思っている。 足元を固めてから、AIの波に備える。順番を間違えないことが大事です。 🔗 出典は最初の返信に #サイバーセキュリティ #セキュリティニュース

前職でBPO系のサービスを行っている中で、『タスクの制覇者』になるという意気込みでタスク整理についてツールと仕組みを考えていた。 今とあるBPOサービスを使っているが、slackで告知と期限ある仕事を連続で投稿される。 本当に見にくいし、忙しいからBPOしているのに、その場で対応できない長文チャットが連続で来ると満足度が下がることをすごく理解した。 サービス提供側としてはちゃんと連絡してますよ。のエビデンスにしたいから当たり前。 BPO系のサービスやるなら、チャットだけではなく、タスク管理ツールと連携することが必須だなと痛感。 我々もセキュリティ系でBPO（BPaaS）的なものをリリースする予定なので、肝に銘じます。

【イベントについてのお知らせ📢】 明日アキレスセキュリティのイベントにお越しになる皆さんへ ▪️日程 5月23日（土）11:00〜 ▪️入室方法 2階入り口付近に看板を設置しています！ 看板近くまでお越しいただければ担当者がお通しいたします！ ※場所が分からない場合はお気軽にDMください ▪️持ち物 •PC💻 •PC充電器 •名刺（任意） 明日はみなさまとお会いできることを運営一同楽しみにしております！✨ 気をつけてお越しくださいませ😊 ⚠️申し込み制になっております ⚠️キャンセルの場合は一言ご連絡いただけると大変助かります🙇 ⚠️当日は広報用として写真撮影もさせていただきます。 掲載する際はお顔は隠しますが、撮影NGの方はお声がけください。