サイアカ　サイバーセキュリティニュースレター（2026年 4月号）

株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的でニュースレターを発信させていただいております。今回は、2026年4月度のニュースレターとなります。

1. 今後２,3年間、AIによるセキュリティ業界における前例のない激動期へ

４月２７日から開催しているサンフランシスコでのRSAカンファレンスにおいて、Cyber​​Scoopとの独占対談を行ったAIセキュリティ企業Armadinの創設者であるケビン・マンディア氏、元米国サイバー軍のエグゼクティブディレクターであるモーガン・アダムスキー氏、そして研究者であり複数の大手テクノロジー企業の元最高セキュリティ責任者であるアレックス・スタモス氏は、セキュリティ業界は前例のない2～3年の激動期に突入しており、防御側が対応できる速度をはるかに上回る速度で脆弱性を発見するAIシステムによって、数十年にわたるセキュリティ対策が時代遅れになる恐れがあると述べた。

根本的な問題はスピードにあり、AIによって脆弱性の発見はほぼ容易になった一方で、修復には時間と労力がかかるため、キルチェーンのあらゆる段階で攻撃者に有利で、ますます大きな格差が生じている。短期的には、攻撃側がモデルやエージェントを使って攻撃の多くを実行するようになるため、攻撃側に有利な状況が続くことが予想される。

AIモデルの世代交代ごとに、同じ基盤ソフトウェアに数百もの新たな脆弱性が露呈する可能性がある。

自律的にネットワークに侵入できるAIエージェントが開発されてきており、悪意を持って展開されれば壊滅的な被害をもたらす恐れがある。

防御側が構築した攻撃型AIに対する自律型防御システムの構築が必要となってくるが、準備の時間が足らない。防御側はパッチを当てるだけでは問題を解決できないと想定し、代わりに多層防御、特に横方向の移動と持続性に関する防御に注力する必要がある。

• 詳しくは：https://cyberscoop.com/ai-cyberattacks-two-years-insane-vulnerabilities-kevin-mandia-alex-stamos-morgan-adamski-rsac-2026/

• 注目ポイント：アンソロピックの最新AI「Claude Mythos（クロード・ミュトス）」により、この問題がホットトピックとなった。

2. 村田製作所、8.８万件の個人情報等の漏洩の恐れ 

村田製作所は、２月２８日に社内の情報共有を主目的に使用しているシステムの一部に不正アクセスの可能性を認識し、３月に第１報を公表したが、４月２７日の第３報で、従業員並びにその関係者の個人情報等7.3万件、社外関係者の個人情報等1.5万件が不正アクセスにより取得された恐れのあることを公表した。一部の取引先との請求書、契約書、売上等に関するデータなど個人情報以外の社外に関する情報が不正アクセスにより取得された恐れがある。

購買・生産・出荷を支える基幹システムへの被害は認められていない。

• 詳しくは：https://corporate.murata.com/ja-jp/newsroom/news/company/general/2026/0427

• 注目ポイント： 再発防止策として、認証方式や権限管理の徹底と強化、検知能力の高度化や監視範囲拡大などが挙げられている。

3. Vimeo、ハッカーがユーザーデータベースにアクセス 

動画共有プラットフォームのVimeoは、ユーザーデータベースへの不正アクセスにつながるデータ侵害が発生したことを確認した。今回のセキュリティインシデントは、Vimeoをはじめとする複数の大手企業が利用しているサードパーティの分析ベンダーであるAnodotにおける情報漏洩に起因するものである。これは、サービスとしてのソフトウェア（SaaS）エコシステムにおけるサプライチェーン攻撃の脅威の高まりを浮き彫りにするものである。

この情報漏洩は、 ShinyHuntersとして知られる悪名高い脅威アクター集団と関連付けられている。

ShinyHuntersは広範囲にわたるSaaSデータ窃盗キャンペーンを積極的に展開しており、攻撃者は、Anodotとそのクライアント間の信頼できるAPI接続を悪用して、Vimeoの環境にアクセスした可能性が高い。この手法は、サプライチェーンにおける典型的な侵害行為であり、攻撃者がベンダー間のつながりを悪用することで、主要な標的の境界防御を回避することを可能にする。

侵害されたデータベースには、以下の情報が含まれている。

・内部技術運用データ

・動画のタイトルおよび関連するメタデータ。

・顧客およびユーザーのメールアドレス。

Vimeoは、コアインフラは無傷であり、機密性の高いユーザーデータ（実際の動画コンテンツ、有効なユーザーログイン認証情報、または支払カード情報）が漏洩していないことを確認した。

一部のユーザーのメールアドレスが流出したため、顧客は標的型フィッシング攻撃の可能性に引き続き警戒する必要がある。

• 詳しくは：https://cybersecuritynews.com/vimeo-data-breach/
• 注目ポイント：SaaSにおけるサプライチェーン攻撃も増加してきているため、利用企業側のコンティンジェンシープランの整備も必要である。

4. SAP関連のnpmパッケージが、認証情報窃盗型のサプライチェーン攻撃で侵害

サイバーセキュリティ研究者らは、SAP関連のnpmパッケージ（JavaScriptのパッケージ管理ツール）を標的とした、認証情報窃盗マルウェアを用いた新たなサプライチェーン攻撃キャンペーンについて警鐘を鳴らしている。

「ミニ・シャイ・フルード」と呼ばれる新たなサプライチェーン攻撃により、以下のSAP関連のnpmパッケージ4つが侵害された。この攻撃は、依存関係のインストール中に密かに実行される悪意のあるプリインストールスクリプトを挿入し、開発者環境やCI/CDパイプラインを標的として、GitHub、npm、および主要なクラウドプロバイダー全体で認証情報を盗み出すことを目的としている。

・mbt@1.2.48

・@cap-js/db-service@2.10.1

・@cap-js/postgres@2.2.2

・@cap-js/sqlite@2.2.2

当該問題のあるリリースでは、実行時ブートストラップとして機能するプリインストールスクリプトが追加され、Bunバイナリを即座に実行する。 このマルウェアは、ローカル開発者認証情報、GitHubおよびnpmトークン、GitHub Actionsシークレット、AWS、Azure、GCP、Kubernetesのクラウ​​ドシークレットを収集するように設計されている。 盗まれたデータは暗号化され、攻撃者が管理する公開GitHubリポジトリを介して外部に持ち出される。

このマルウェアには拡散ロジックも含まれており、盗まれたnpmトークンを使用して、侵害されたメンテナーのアカウントにある他のパッケージを特定し、悪意のあるコードを挿入して再公開することで、攻撃者の介入なしにnpmエコシステム全体に指数関数的に自動的に拡散することを可能にする。

SAP CAPツールを使用している組織は、直ちにCI/CDパイプラインの依存関係を監査し、影響を受ける環境に存在する機密情報をローテーションし、上記に挙げた特定の侵害されたバージョンをブロックする必要がある。

• 詳しくは：https://thehackernews.com/2026/04/sap-npm-packages-compromised-by-mini.html

　　　　　　　 https://cybersecuritynews.com/sap-npm-packages-compromised/

• 注目ポイント： SAPという基幹システムに対する攻撃のため、該当するnpmパッケージを利用している場合は速やかな対応が必要である。

最後までお読みいただき、有難うございます。

【お問い合わせ窓口】
株式会社 サイバープロテック　ニュース編集係

102-0074 東京都千代田区九段南1―5-6 りそな九段ビル５Ｆ

TEL 03-6262-0595