日本も巻き込む巨大なサプライチェーン上の中核企業に対する攻撃

もっとも世界的に話題になったトピックとして、InstructureとFoxconnといった各業界で巨大なサプライチェーン上の中核をなす企業のインシデントがあります。

Instructure/Canvas侵害

InstructureがShinyHunters（ランサムウェアグループ）による侵害を受けた。攻撃を受けた同社が提供するCanvasは、日本など世界各国の教育機関で利用されている教育現場を支えるSaaS基盤の一つ。未成年含む学生ユーザの氏名・学生ID・私的メッセージなど、合計3.65TBのデータに及ぶ膨大な情報が窃取されたとされる。

Foxconnランサムウェア攻撃

世界的な製造部品メーカーであるFoxconnが、Nitrogen（ランサムウェアグループ）のサイバー攻撃を受けた。攻撃によってPCB図面・製造プロセスデータをはじめ、Appleなど関連企業に関する機密資料が窃取されたと指摘されている。

サプライチェーン依存を前提としたIT資産管理が重要

上記の世界的なサプライチェーンには、日本の企業・組織も組み込まれています。例えばCanvasは日本の大学や国際プログラムでも利用されており、日本人留学生・国際プログラム参加者の個人情報も窃取された可能性もあるでしょう。また、Foxconnはソニーグループ株式会社やシャープ株式会社といった企業ともビジネス上の関係があり、流出データに日本関連の情報も含まれている恐れがあります。

日本においても、自社の機密情報の管理を外部に依存するサプライチェーンリスクを鑑みる必要性があります。あらかじめIT資産の棚卸し・調査（セキュリティアセスメント）を実施し、「どのプラットフォームや外部基盤に、自社のどのIT資産を、どのように管理・保管しているのか」を明確にしておき、必要に応じて管理方法を見直し、インシデント時の監査・追跡体制を構築しておくことが重要です。

進化するAI技術に対応する規制・フレームワーク整備の議論

昨今、ビジネスにおいても重宝されているAI技術ですが、業務効率化といったメリットの裏にあるセキュリティリスクの高まりにも注意が必要です。

AgenticAIの脅威

AgenticAIとは「人間の監視や制御に依存せず、自立的に行動・意思決定を行うAIモデル」を指し、ビジネスの作業効率化につながる新技術。一方で、プロンプトインジェクションやデータポイズニングなどが自動化されることで、従来のセキュリティツールで検知できず、安全上新たな脅威になってしまう可能性がある。Agentic AIにおいても行動を適切に監視・制御し、安全に運用するためのセキュリティフレームワーク整備の必要性が議論されている。

韓国のディープフェイク規制

韓国では生成AIを用いたディープフェイク（政治的操作・詐欺・性的搾取を伴うもの）に対して、新たな規制や罰則を設ける議論が進められている。ディープフェイクの作成者本人への罰則に留まらず、プラットフォームの運営元に対して検知・削除の義務を加えることなども検討中だ。

日本企業でも最新動向の把握は必須事項

AI技術はビジネスシーンにおいても活用の機会が急増しており、社会全体に大きな変化を与えるほど存在感を増しています。しかし、上記の事例にあるように、生成AIはディープフェイクに利用され、Agentic AIも新たなセキュリティリスクにつながる可能性があります。AIの発展によって生じるリスクに備え、規制強化やコンプライアンスリスクへの意識向上に向けて動く必要があります。

もちろん、日本においてもAgentic AIのビジネス導入や、ディープフェイクの増加などは認識されています。国の規制や業界共通のガイドライン制定などの最新動向に注視しつつ、そのガイドラインを遵守できるように社内ルールを徹底し、責任範囲を整理しておきましょう。

慣習化された運用システム・フローへの攻撃

OTインフラや慣習化された業務システムなどはレガシー化する傾向にあり、依然としてサイバー攻撃の標的になっています。2026年5月においても印象的なインシデントが発生しました。

台湾高速鉄道のSDRスプーフィング

台湾の学生が低価格のSDR（ソフトウェア無線）機器を使い、台湾高速鉄道（THSRC）の緊急信号を偽装して高速鉄道3本を停止させた。現在のプロトコルだと偽造信号を検知しづらい構造だった可能性があるなど、古いシステムを使い続けていることの危険性が顕在化した事例である。

サイバー攻撃による貨物盗難

米国とカナダでは、2025年の貨物盗難被害額が60%増加し7.25億ドルに達した。手段はフィッシングやなりすましで認証情報を盗み、物流プラットフォーム・RMMツール・GPSデータを操作して貨物を迂回させ、現実世界で盗み出すというもの。サイバーセキュリティ侵害と実世界の窃盗を組み合わせた新しい手口であり、組織犯罪グループに広く利用されている。

信頼前提を見直し、継続的な制御・監視体制を構築

「慣習的に使い続けてきたシステムやフローが、攻撃者にとって格好の的である」ということを示した事例であり、日本で使用している類似の無線プロトコル・古いOTインフラシステム・管理プラットフォームなども同様の攻撃対象になりえます。

サイバー攻撃による被害を防止・軽減するには、従来の信頼された通信を前提とせず、接続元・作業内容・権限範囲を継続的に監視する考え方が重要になります。例えば、部品メーカーや海外拠点からのリモートメンテナンスの通信経路を整備し、システム内での作業を契約内容に基づいて制御するといった施策は非常に有効です。

IIJでは国内外のIT・セキュリティの情報を発信しています

5月のインシデントを振り返ると、サードパーティ依存・レガシーOTシステムなどが依然として大きなリスク要因であることがわかります。また、AI技術の発展によりサイバー攻撃が手軽になりつつある昨今、さらなる被害拡大が予想されます。今回のような海外のインシデントも教訓として、外部基盤に保管された情報を含むIT資産の調査・管理からスタートし、発見できた脆弱性ごとに適切なセキュリティ対策を講じることが重要です。

IIJでは本文中にも触れたセキュリティ対策のためのサービスを多数展開中です。各種サービスの詳細はこちらのサービスページ一覧へ、問い合わせ・無料資料請求は下記のボタンからアクセスください。

サービスの詳細やお見積りなど担当者よりご返事します

フォームでのお問い合わせ

1

ご相談やご質問をお知らせください

2

担当者よりメールまたはお電話でご連絡いたします

今すぐ相談する ホワイトペーパー無料ダウンロードはこちら