コラム｜Column

【サクッと読めるマンスリーレポート】世界のサイバーセキュリティトレンド（2026年3月号）

イメージ図

index

国家や公的機関を標的にしたインシデント
一般社会を巻き込む大規模な脅威トレンド
組織内部の弱点を突いたセキュリティインシデント
IIJでは目まぐるしく変わるサイバー攻撃の情報を発信中

2026/3/2

IIJ編集部がお届けする「サイバーセキュリティトレンドレポート」にようこそ。

2026年2月の主なトピックは以下の3つです。

2026年2月の主なトピック

患者の個人情報や診察記録など多数の機密情報を抱えている
地域インフラの一端を担っており、医療業務を長期間停止できない
業務停止後にすぐ復旧する必要があり、身代金の要求に応じやすい

本レポートでは、主要インシデントと脅威トレンドを整理し、攻撃の変化と備えるべきポイントを解説します。

国家や公的機関を標的にしたインシデント

近年のサイバー攻撃の規模が大きくなっていることは知られていますが、その最たる例が公的機関やインフラ事業を狙った「国家標的型サイバー攻撃」といえます。直近では以下2つの事例が発生しています。

メキシコ政府のデータ漏えいインシデント: 攻撃者がメキシコにある複数の政府機関から個人情報を窃取したと主張。2,100万件以上に上るとされる今回のデータ窃取は、公的機関のサイバーセキュリティ課題を象徴している。
ポーランド再生可能エネルギー施設への破壊的攻撃: ポーランドの風力・太陽光発電施設にサイバー攻撃が仕掛けられた。電力供給は維持されたものの、国家を支える重要インフラ網に接続する通信システムを狙った初の大規模攻撃として注目されている。

日本企業の海外現地法人への影響も想定される

上記2例の国家レベルのインシデントは、日本企業にとって対岸の火事とは言い切れません。メキシコはオフショア開発の人気国であり、ポーランド含む欧州には海外現地法人が多く置かれており、業務停止や通信障害といった影響が発生する可能性があります。

例えば、海外現地法人の業務が標的になった通信網に依存している場合などは、通常の業務ができなくなる可能性があります。日本本社とのコミュニケーションにも問題が生じるリスクがあるため、日ごろから担当者と非常時の対応について共通認識を持っておくことが大切です。

一般社会を巻き込む大規模な脅威トレンド

一般社会を巻き込むサイバー攻撃は、以前から多種多様な手法が用いられてきました。その中でも昨今脅威とされているトレンドは以下のようなものです。

カナダ全土を狙った大規模フィッシング攻撃: カナダポストや歳入庁（CRA）などを装ったPhaaS（フィッシング・アズ・ア・サービス）活用の大規模フィッシング攻撃が発生。PhaaSは「専門的な技術がなくても、金銭を支払えばフィッシング攻撃を実行できる」仕組みで、IT業界では新たな脅威として警戒されている。
Meta Business Suiteを狙う悪意あるChrome拡張機能: Meta Business Suiteのスクレイピングツールを装ったChrome拡張機能「CL Suite」が発見された。少数ながらユーザのTOTPコード・分析データなどが密かに攻撃者サーバーへ送信されていた。
アメリカでATMジャックポッティングが増加: 米連邦捜査局（FBI）は国内で700件以上のATMジャックポッティング攻撃を確認、被害額が2,000万ドルを超えたと発表した。老朽化したATMシステムやPloutusなどのマルウェアを悪用した攻撃であり、レガシー金融インフラの脆弱性の深刻さを示している。

日本国内でも一般社会を巻き込んだセキュリティインシデントが発生

上記のような一般社会を巻き込んだインシデントは、昨今の日本でも発生して大きな話題となりました。大手飲料メーカーや有名EC事業者で発生したインシデントがその最たる例であり、IT・セキュリティ業界以外の一般消費者にもサイバー脅威の恐ろしさを知らしめました。

サイバー攻撃がある種の「商材」になり攻撃の敷居が下がっています。一方で、一般消費者に身近なシステムやサービスの脆弱性は依然放置されているまま。攻撃者はそのギャップを突いてきます。「メール内のURLは直接開かない」「アプリのログイン時には多要素認証を用いる」といった、個人でもできることからセキュリティ対策を講じていきましょう。

組織内部の弱点を突いたセキュリティインシデント

企業をターゲットにしたサイバー攻撃は依然として増加傾向ですが、その中には従業員個人のミス・油断を起因としたセキュリティインシデントもあります。

SoundCloud従業員アカウントの侵害: SoundCloudの従業員がフィッシング攻撃に遭い、内部システムおよび一部の従業員関連情報への不正アクセスが発生した。ユーザアカウントへの直接的な影響はないものの、資格情報を狙う攻撃に対する防御の難しさを示す事例といえる。
AIスタートアップ企業が数分で権限侵害: AIスタートアップ企業にて誤設定されたS3バケットからAWSアクセスキーが漏洩し、攻撃者がわずか8分で管理者権限を窃取した。IAMロール・ソースコード・ログ情報などが閲覧され、新たなIAMユーザ作成による永続的な情報窃取も試行されていた。

ガバナンス強化・ポリシー遵守など組織面からの改善が必須

上記2つのインシデントは技術的な課題だけでなく、組織的にセキュリティ課題が顕在化した事例といえます。組織全体でセキュリティ水準を底上げするには、経営視点からのガバナンス強化や現場環境に則したポリシー設定が大切です。

さらに、上記の例のように不正アクセスを許してしまった場合には、作業制御・レコーディング機能といった、不正認証・侵入後のセキュリティ対策が効果を発揮します。組織的・技術的両面からインシデントを防止していくことが重要です。

IIJでは目まぐるしく変わるサイバー攻撃の情報を発信中

ここまでまとめたように、サイバー攻撃の技術は高度化するだけでなく、PhaaSなどが登場して攻撃のハードルが一段と低くなっています。刻々と変化する状況を受けて、IIJ編集部では最新の国内外IT・セキュリティ情報の発信により一層力を入れています。

ウェブ上のコンテンツに加えて、海外の最新トピックスをまとめた資料「グローバルセキュリティレポート」なども無料配布中です。ご自身の興味関心にあわせてお気軽に資料をダウンロードください。セキュリティやIIJのサービスに関するお問い合わせも随時受け付けておりますので、下記ボタンよりご相談いただけますと幸いです。