FortiBleedで8.6万台が流出、EDR無効化ランサムも常態化―2026年上半期の国内サイバー被害が判明

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「ファイアウォールは最新版にしてるし、EDRも入れてるから大丈夫なはずだが……」
「ランサムウェアはデータを暗号化するものだと思っていたのに、最近は違うらしい」

チップス

ボス、うちの会社もFortiGate使ってましゅ。FortiBleedって聞いて怖くなってきたんでしゅけど……。

ボス

今すぐ確認すべき案件だな。2026年上半期は日本国内でも深刻な事案が相次いだ。「EDRを入れたから安心」という前提が、根本から崩れ始めているぞ。

2026年上半期、日本の企業・組織を直撃したサイバー事件が立て続けに明らかになった。
FortiGateを狙ったFortiBleedで世界8.6万台の認証情報が流出し、ランサムウェアはEDRを無効化して侵入する手口が標準化した。
さらに開発者ツールを経由するサプライチェーン攻撃も急増し、防御の常識が根底から変わりつつある。

  • FortiBleedでFortiGate 8.6万台超の認証情報が流出、日本企業も被害圏内
  • ランサムウェアがEDR無効化を標準搭載、暗号化より「情報窃取」に軸足が移動
  • axios・VSCode拡張・npmなど開発者ツール経由のサプライチェーン攻撃が急増

この記事では、2026年上半期に国内で発生した主要な3つの脅威を詳しく解説する。
自社環境の脅威評価と対策の見直しに役立てていただきたい。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

2026年上半期の日本国内を揺るがした3大サイバー脅威

今年前半の国内サイバー被害は、3つの攻撃ベクターに集約できる。

FortiBleed:8.6万台のFortiGate認証情報が194カ国で流出

最大規模のインシデントが「FortiBleed」だ。
Fortinet製FortiGateを狙った攻撃で、インターネット公開機器の約半数にあたる8万6,644台分の認証情報(ユーザー名・パスワード)が収集・検証済みの状態で流出した。
対象は194カ国に及び、日本企業も被害圏内に入っている。

根本原因はパッチ適用の遅延だ。
過去に公開されたFortiCloud SSOの認証バイパス脆弱性(CVE-2026-24858ほか)に対するパッチが未適用のまま放置されていた機器が大量に残っており、そこから認証情報が窃取された。
CISAは2026年6月18日に緊急アラートを発令し、セッション終了・認証情報リセット・MFA有効化・管理アクセス制限を即時求めた。

チップス

「パッチ適用済み」の機器でも危ないって聞いたんでしゅけど、それはどういうことでしゅか?

ボス

過去に脆弱だった期間中に盗まれた認証情報が、パッチ後も使い回されるリスクがある。パッチを当てただけで終わりにしてはいけないということだ。認証情報のリセットが必須だぞ。

EDR無効化・情報窃取型ランサムウェアとサプライチェーン攻撃の実態

FortiBleedにとどまらず、攻撃の「進化」がより深刻な問題を生んでいる。

ランサムウェアが「EDR無効化」を標準搭載した

2026年上半期のランサムウェア攻撃で顕著なのが、手口の根本的な変化だ。
ポイントは以下の通りだ。

  • EDR無効化がデフォルト:RaaS(サービス型ランサムウェア)グループがEDRを回避・無効化する専門サービスを提供しており、侵入後に防御ツールを無力化してから動く
  • 暗号化より情報窃取が主流:身代金は「データ復旧料」から「公開しない料金」に変化。データを暗号化せず、窃取だけで恐喝するケースが増加している
  • 医療・教育機関が標的:日本医科大学武蔵小杉病院や複数の大学が被害を受け、患者情報や学生データが窃取された

開発者ツールを経由するサプライチェーン攻撃も急増

サーバー本体ではなく、開発者が日常的に使うツールを汚染する攻撃も相次いだ。
HTTPライブラリ「axios」、Visual Studio Code拡張機能、TanStackなどのnpmパッケージが改ざんされ、GitHubリポジトリ経由で開発者のPCに認証情報窃取コードが仕込まれた事例が確認されている。

これらへの対策として有効なのは以下の通りだ。

  • パッチ後も認証情報を必ずリセット:FortiBleedの教訓として、脆弱だった期間の認証情報は全件更新する
  • MFAの全面適用:FortiGateのような重要機器への管理アクセスは多要素認証を必須にする
  • 侵害前提の監視体制を整備:EDRで防げなかった場合の検知・封じ込め手順をあらかじめ用意しておく
  • 依存ライブラリの完全性検証:npmパッケージや拡張機能のハッシュ検証やSBOM管理を導入する
チップス

EDRを入れてれば安心じゃないんでしゅか……じゃあ何を信じればいいんでしゅ!

ボス

EDRは必要だが、完璧ではない。「侵害されても気づける体制」と「侵害後の初動手順」の整備が、今の現場では最優先だ。

まとめ:「侵害前提」へのシフトが急務

FortiBleedによる8.6万台の認証情報流出、EDR無効化を標準装備したランサムウェア、開発者ツールを狙うサプライチェーン攻撃―2026年上半期は、従来の「防御で止める」モデルの限界を示した半年だった。
今後は侵害を前提にした監視・検知・封じ込めの体制構築が避けられない。
パッチ適用と認証情報リセット、MFA全面適用を最低限として、あとは「入られたときに何ができるか」を今すぐ考えるべき時期に来ている。

チップス

まず手元のFortiGateのパッチ状況とMFA設定を確認しましゅ!あとEDR無効化対策の手順書も作らないとでしゅ!

ボス

ふふふ。いい心がけだ。確認してから行動する、その順番は正しいぞ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次