皆さんこんにちは、霜月です♪(´ε` )
今月も個人的に印象に残ったセキュリティニュースを備忘のためにまとめました。ご興味ある方は是非どうぞ〜!
政府・公的機関
日英戦略的サイバー・パートナーシップ
1月31日のスターマー首相との会談にて、サイバー安全保障の日英の協力を戦略的に進めて行くとして、共同声明を発出。以下3つの柱を強化するとのこと。
https://www.mofa.go.jp/mofaj/files/100971595.pdf
個人情報保護委員会が「不正アクセス発生時のフォレンジック調査の有効活用に向けた着眼点」を公開
実効性のあるフォレンジック調査を行うために、以下3つをまとめています。
①平時から備えておくと効果的な事項
②不正アクセス被害を受けた場合に注意すべき事項
③フォレンジック調査の活用に関する事項
IPAが「情報セキュリティ10大脅威2026」を公開
今年も出ました。1位はランサム、2位はサプライチェーン、3位は今年初選出の「AIの利用をめぐるサイバーリスク」。
JNSAが「セキュリティ知識分野人材スキルマップ2025版」を公開
現行公開板のSecBok2021からの変更点は、全体的な粒度の見直し、役割の見直し、他フレームワークや職業分類との連携、とのこと。
CISAが耐量子暗号標準を利用する技術むけ製品カテゴリーを公開
サポートする製品が広く入手可能な製品カテゴリーのリストを公開とのこと。(けど、まだプロダクトタイプしか載ってない。一旦は箱だけの模様)
脆弱性
Cisco Secure Email Gateway
CVE-2025-20393、CVSSスコア10.0、スパムの検疫機能が有効(デフォルトは無効)になっていると、リモートからRoot権限で任意のコード実行が可能となる脆弱性。ゼロデイ。国内だとTOKAIコミュニケーションズ社が被害にあった模様。
脅威・攻撃者
Payroll Pirates
攻撃者が従業員になりすまし、ヘルプデスクに電話して認証回避し、給与振込を別口座に転送するそうな。フィッシングメール経由で認証情報を盗むパターンがも。
CEO詐欺
CEOを装ってLINEグループ作成を促す詐欺メールだとか。2025年12月から流行っているそう。
調査報告書・blog
LACが「情報リテラシー啓発のための羅針盤」を公開
第3.0版。「生成AIの不適切利用」「特殊詐欺」「通信販売サイトにおけるトラブル」を追加。
ガートナーが「2026年に押さえておくべき日本におけるセキュリティの重要論点」を公開
ガバナンス、AI、内部脅威、など最近の大事なテーマの詰め合わせ。
デジタルアーツが過去3年分の国内セキュリティインシデントの集計結果を公開
2025年のインシデント総数は1782件で過去最多、不正アクセスが多く占める。
VulnCheckが"State of Exploitation 2026"を公開
Vulncheckが独自にまとめているやつ。
TRM Labsが"2026 Crypto Crime Report"を公開
World Economic Forumが"Global Cybersecurity Outlook 2026"を公開
その他
Microsoft社がBitLockerの回復キーをFBIに提供
話題となりました。毎年20件ほど、FBIからMSへの回復キー提供要請があるとのこと。
HackerOneが"Good Faith AI Research Safe Harbor"を公開
バグ・バウンティ・プラットフォームとして有名なHackerOneが、AIシステムの脆弱性を探す研究者を法的に保護するためのフレームワークを公開。
1月はこんな感じでしょうか?2025年のまとめ系が色々出ました。
プライベートでは、最近は小泉防衛大臣のpodcastにハマっています!自衛隊がクマ退治に協力した理由や、安全保障の話、もしもゴジラが襲来したらどうする?、自衛隊は普段どんな訓練している?などなど面白いです!覚醒シンジロ-!
2月はサイバーセキュリティ月間なので、セキュリティ関係のイベントがたくさんありますね。私も気になるものに参加しようと思います!ということで、皆さん2月も頑張って行きましょー!!...._(:3 」∠)_(寒い)
