海外メディアTechCrunchは、2026年前半のサイバーセキュリティ事件がデータ漏洩にとどまらず、攻撃対象が企業データベースから政府システム、学校プラットフォーム、医療テック企業、エネルギーおよび水道施設へと拡大し、影響も情報窃取から業務停止および現実世界への破壊へと変化したとまとめている。
DOGEのデータに関する論争はまだ収まっていない
記事によると、マスクが主導する米国政府効率部(DOGE)が米国社会保障庁に参入後、関連データ処理は依然として議論の的となっている。連邦裁判所での訴訟は進行中である。最も注目された通報の一つでは、リアルタイムの社会保障データベースのコピーが保護されていないサードパーティサーバーにアップロードされ、多数の米国住民の社会保障番号および個人情報が関与した可能性があるとされている。
エネルギーおよび水道施設が頻繁に攻撃されている
欧州では最近、複数のサイバー攻撃が民間のエネルギーおよび水道システムを標的としている。報道によると、ポーランドの電力網、スウェーデンの熱電施設、ノルウェーのダムが攻撃を受け、その一部はロシアまたはロシア関連勢力によるものとされている。ポーランドの今年早々に攻撃された水処理施設も再び標的となった。
中東情勢がエスカレートした後、米国は、イランのハッカーが米国の重要なインフラ、特に民間機関が運営しネットワーク防衛が弱い水道システムを標的とする可能性があると警告した。こうした施設が侵入された場合、影響はオンラインにとどまらない。
ランサムウェアから直接の破壊へ
記事によると、イランのハッカーは今年3月、米国の医療テクノロジー企業Strykerを攻撃し、数万台の従業員デバイスをリモートで削除して、同社の事業運営を数日間にわたり混乱させた。米国政府は、関連するハッカー組織をイラン情報機関に帰属させている。この事件はその後、同社の第1四半期の業績にも影響を及ぼした。
もう一つの頻繁な攻撃はShinyHuntersによるものです。この組織は主にボイスフィッシングを通じて企業内部システムの権限を不正に取得します。教育テクノロジー企業Instructureの学習プラットフォームCanvasがこれにより攻撃を受け、3,000万人以上の学生および教職員のデータが盗まれました。当初、会社が身代金を支払わなかったため、攻撃者は再び侵入し、米国の期末試験期間中に学校のログインページを改ざんして試験のスケジュールを混乱させました。報道によると、会社は最終的に身代金を支払ったとのことです。
オープンソースサプライチェーンがOpenAIに影響を及ぼす
TechCrunchは、2026年にもう1つの明確なトレンドとして、オープンソースソフトウェアサプライチェーンへの継続的な圧力が挙げられている。Aqua SecurityのTrivy、Bitwarden、Checkmarxなどのツールやプロジェクトにはいずれもバックドアが仕込まれたことがある。攻撃者はこれを用いてパスワード、認証情報、アクセストークンを盗み取り、さらに横方向に拡散する。
このような攻撃は、関連ソフトウェアに依存する下流企業にも波及した。記事では、OpenAIとVercelも影響を受けたと指摘している。オープンソースコンポーネントがクラウドサービスやAI開発プロセスでより広く利用されるようになるにつれ、単一の脆弱点がもたらす波及リスクは拡大している。
企業以外にも、米連邦捜査局の監視システムが今年4月に攻撃を受け、重大なサイバーイベントの通報プロシージャが発動された。報道は外部情報として、この事件により監視対象の電話番号などの機密情報が漏洩した可能性があると伝え、攻撃者は中国のスパイ活動と関連していると指摘されている。
追加情報:記事では、Hasbroが攻撃を受けた後、数週間にわたり業務が停止し、財務開示が延期されたことにも言及されている。過去数か月間、複数のホテル、送金アプリ、刑務所電話サービス提供者、および英国ビザサービス機関で、200万件以上のパスポートまたは運転免許証のスキャンデータが漏洩した。