「ファイアウォールは最新版にしてるし、EDRも入れてるから大丈夫なはずだが……」
「ランサムウェアはデータを暗号化するものだと思っていたのに、最近は違うらしい」
ボス、うちの会社もFortiGate使ってましゅ。FortiBleedって聞いて怖くなってきたんでしゅけど……。
今すぐ確認すべき案件だな。2026年上半期は日本国内でも深刻な事案が相次いだ。「EDRを入れたから安心」という前提が、根本から崩れ始めているぞ。
2026年上半期、日本の企業・組織を直撃したサイバー事件が立て続けに明らかになった。
FortiGateを狙ったFortiBleedで世界8.6万台の認証情報が流出し、ランサムウェアはEDRを無効化して侵入する手口が標準化した。
さらに開発者ツールを経由するサプライチェーン攻撃も急増し、防御の常識が根底から変わりつつある。
- FortiBleedでFortiGate 8.6万台超の認証情報が流出、日本企業も被害圏内
- ランサムウェアがEDR無効化を標準搭載、暗号化より「情報窃取」に軸足が移動
- axios・VSCode拡張・npmなど開発者ツール経由のサプライチェーン攻撃が急増
この記事では、2026年上半期に国内で発生した主要な3つの脅威を詳しく解説する。
自社環境の脅威評価と対策の見直しに役立てていただきたい。
目次
2026年上半期の日本国内を揺るがした3大サイバー脅威
今年前半の国内サイバー被害は、3つの攻撃ベクターに集約できる。
FortiBleed:8.6万台のFortiGate認証情報が194カ国で流出
最大規模のインシデントが「FortiBleed」だ。
Fortinet製FortiGateを狙った攻撃で、インターネット公開機器の約半数にあたる8万6,644台分の認証情報(ユーザー名・パスワード)が収集・検証済みの状態で流出した。
対象は194カ国に及び、日本企業も被害圏内に入っている。
根本原因はパッチ適用の遅延だ。
過去に公開されたFortiCloud SSOの認証バイパス脆弱性(CVE-2026-24858ほか)に対するパッチが未適用のまま放置されていた機器が大量に残っており、そこから認証情報が窃取された。
CISAは2026年6月18日に緊急アラートを発令し、セッション終了・認証情報リセット・MFA有効化・管理アクセス制限を即時求めた。
「パッチ適用済み」の機器でも危ないって聞いたんでしゅけど、それはどういうことでしゅか?
過去に脆弱だった期間中に盗まれた認証情報が、パッチ後も使い回されるリスクがある。パッチを当てただけで終わりにしてはいけないということだ。認証情報のリセットが必須だぞ。
EDR無効化・情報窃取型ランサムウェアとサプライチェーン攻撃の実態
FortiBleedにとどまらず、攻撃の「進化」がより深刻な問題を生んでいる。
ランサムウェアが「EDR無効化」を標準搭載した
2026年上半期のランサムウェア攻撃で顕著なのが、手口の根本的な変化だ。
ポイントは以下の通りだ。
- EDR無効化がデフォルト:RaaS(サービス型ランサムウェア)グループがEDRを回避・無効化する専門サービスを提供しており、侵入後に防御ツールを無力化してから動く
- 暗号化より情報窃取が主流:身代金は「データ復旧料」から「公開しない料金」に変化。データを暗号化せず、窃取だけで恐喝するケースが増加している
- 医療・教育機関が標的:日本医科大学武蔵小杉病院や複数の大学が被害を受け、患者情報や学生データが窃取された
開発者ツールを経由するサプライチェーン攻撃も急増
サーバー本体ではなく、開発者が日常的に使うツールを汚染する攻撃も相次いだ。
HTTPライブラリ「axios」、Visual Studio Code拡張機能、TanStackなどのnpmパッケージが改ざんされ、GitHubリポジトリ経由で開発者のPCに認証情報窃取コードが仕込まれた事例が確認されている。
これらへの対策として有効なのは以下の通りだ。
- パッチ後も認証情報を必ずリセット:FortiBleedの教訓として、脆弱だった期間の認証情報は全件更新する
- MFAの全面適用:FortiGateのような重要機器への管理アクセスは多要素認証を必須にする
- 侵害前提の監視体制を整備:EDRで防げなかった場合の検知・封じ込め手順をあらかじめ用意しておく
- 依存ライブラリの完全性検証:npmパッケージや拡張機能のハッシュ検証やSBOM管理を導入する
EDRを入れてれば安心じゃないんでしゅか……じゃあ何を信じればいいんでしゅ!
EDRは必要だが、完璧ではない。「侵害されても気づける体制」と「侵害後の初動手順」の整備が、今の現場では最優先だ。
まとめ:「侵害前提」へのシフトが急務
FortiBleedによる8.6万台の認証情報流出、EDR無効化を標準装備したランサムウェア、開発者ツールを狙うサプライチェーン攻撃―2026年上半期は、従来の「防御で止める」モデルの限界を示した半年だった。
今後は侵害を前提にした監視・検知・封じ込めの体制構築が避けられない。
パッチ適用と認証情報リセット、MFA全面適用を最低限として、あとは「入られたときに何ができるか」を今すぐ考えるべき時期に来ている。
まず手元のFortiGateのパッチ状況とMFA設定を確認しましゅ!あとEDR無効化対策の手順書も作らないとでしゅ!
ふふふ。いい心がけだ。確認してから行動する、その順番は正しいぞ。