Urban VPNによるデータ収集問題

「Urban VPN Proxy」という無料VPN・ブラウザ拡張機能が、ChatGPT・Geminiなどの主要AIチャットデータを秘密裏に収集し、さらにはデータをブローカーに販売していたことが判明しました。これまでも事例があった無料VPNやブラウザ拡張機能に関するセキュリティ問題ですが、ビジネスにおいては改めて「ブラウザ拡張機能の権限管理」の重要性を再認識させています。今後、どのようなサービス・ツールを利用するにも、すぐに異常を検知できるように権限管理や監査体制を万全にする必要があるでしょう。

偽BSODを用いたBooking.comなりすましフィッシング

近年の新たなフィッシング攻撃として、Booking.comを装ったクリックフィックスで被害者に悪意ある PowerShell コマンドを実行させるというものがあります。2026年においても、コマンド実行後にマルウェア「DCRat」をインストールして正規プロセス内へ侵入、認証情報やシステム制御などを窃取という事例が発生しており注意が必要です。

IIJのセキュリティプロフェッショナルが注視していた通り、クリックフィックスは2026年に多発しうるサイバー脅威の一つとなる可能性が濃厚になってきました。クリックフィックスなどの脅威についての具体的な解説は下記コンテンツをご参照ください。

Instagramのパスワードリセット通知問題

Instagramユーザに外部から大量のパスワードリセットメールが送信されましたが、Meta社はアカウント侵害や内部システムへの影響はなかったと説明しています。問題はすでに修正され、メールは無視してよいとされています。

一部のセキュリティ企業はより広範なデータ流出の可能性を指摘しましたが、Meta社はそういった事実を確認していません。しかし、現状では「攻撃者が偽のリセットリンクメールを送信する可能性」があるため、フィッシング防止の観点からメール中のリンクを直接クリックしないことを推奨します。

ChatGPT Healthにおけるプライバシー・規制上の懸念

OpenAI の新サービス「ChatGPT Health」は強化されたプライバシー保護をうたっていますが、技術的な保護の不透明さや規制の空白、医療データ悪用のリスクが指摘されています。HIPAA （アメリカの保険医療データ保護法）の適用外であり、医療記録をサードパーティアプリと連携した際の個人情報の流出も懸念材料です。

AIを活用した攻撃再現ツールALOHA

PNNLの研究チームは、脅威レポートを読み取り攻撃チェーンを自動生成するAI駆動システム「ALOHA」を開発しました。大規模言語モデルを用いて攻撃者行動をシミュレーションし、防御策の検証や改善提案を行います。近年のAIは攻撃者にばかり悪用されてきましたが、この「ALOHA」を契機に防御側も活用する機会が増えることが望まれます。

オーストラリアによるYutong電動バスのセキュリティ調査

オーストラリアの公共輸送機関は、中国製「Yutong 電動バス」が持つリモート接続機能にサイバーセキュリティ上・国家安全保障上のリスクがないか調査すると発表しました。先般の欧州での調査における、遠隔操作や停止が理論上可能という指摘を受けての調査とのことです。意図的なバックドアは確認されていないものの、サプライチェーンと公共インフラの安全性に関する重要な問題を浮き彫りにしています。

日常に忍び寄るサイバー脅威に注意

1月のセキュリティインシデントを俯瞰してみると、サイバー脅威が日常的なデジタルエコシステムに深く入り込んでいる現状が見て取れます。一方で、AIを活用した新たな防御手段も開発され始めており、攻撃者だけでなく防御側の技術革新にも期待したいところです。

IIJでも新たな脅威に対抗できるセキュリティサービス・ソリューションを提供しています。IT・ネットワークに関する独自の高い専門性は、企業の抱える様々な課題を解決してきました。IIJではゼロトラストサービス「Safous」をはじめ、あらゆるサービスの導入事例を紹介しています。ご興味あれば下記ページから参照ください。

サービスの詳細やお見積りなど担当者よりご返事します

フォームでのお問い合わせ

1

ご相談やご質問をお知らせください

2

担当者よりメールまたはお電話でご連絡いたします

今すぐ相談する