2026年、日本で相次いだ大規模サイバー侵害。その多くは高度なハッキングではなかった。攻撃者が使ったのは、企業が放置していた「有効な認証情報」だ。いま問題になっているのは、脆弱性ではなくアクセス管理そのものである。
-
多くの侵入は高度なハッキングではなく、管理されていない認証情報から始まる
侵入の多くは「既存アカウントの悪用」だった
2026年初頭、日本では深刻なサイバーインシデントが相次ぎましたが、その共通パターンが浮かび上がりつつあります。初期侵入の多くは、ゼロデイ脆弱性の悪用や新種のマルウェアではありません。
攻撃者は、企業やクラウド環境に残存する忘れられたパスワード、外部流出したトークン、長期間有効な API キーといった、組織が有効なまま放置していた認証情報を利用してアクセスを獲得していました。
なぜ同じ手口が繰り返されるのか
2025年後半以降の日本で発生したサイバー攻撃では、不正アクセス、脆弱なアクセス制御、漏洩した認証情報に起因する深刻な脆弱性が明らかになり、業務の大規模な中断やデータ侵害の被害を引き起こしています。
最近の傾向として、VPNなどのリモートアクセス経路や、相互接続されたOT(制御・運用技術)システムの悪用が顕著です。
例えば、アサヒグループホールディングスでは、2025年下半期にグループ拠点の機器を経由した不正アクセスを起点にランサムウェア被害が発生しました。その結果、生産・受注・出荷業務が数週間停止したほか、約190万件の個人情報が流出した可能性が報告されました。
ITだけでなくOTにも波及、被害が拡大
この事案では、ITシステムにとどまらず、生産系システムを含むOT領域にまで感染が拡大し、広範な業務混乱を招きました。
また、宇宙航空研究開発機構(JAXA)でも、2023年から2024年にかけてVPNやMicrosoft 365を経由した侵入により機密データへの不正アクセスが発生しています。
いずれも高度な攻撃手法ではなく、既存のアクセス経路が悪用された点が共通しています。
本質的な問題は「アクセス管理の欠陥」
日本で発生している深刻なサイバーインシデントの多くは、高度なハッキングによるものではなく、根本的なアクセス管理の欠陥に起因しています。攻撃者は、ハードコーディングされたアクセスキーや共有サービスアカウントといった、忘れられた、あるいは公開された認証情報を悪用し、技術的防御を回避する正規のアクセス権を得て侵入します。
真の侵害は、本来であれば失効・更新・制限されるべきだったアクセス権が放置されたことから始まります。
クラウドが生んだ「管理不能な認証情報」
このリスクは、テクノロジー環境の進化がガバナンス体制の進化を上回ったことで、さらに深刻化しています。
クラウドは次々と新しいサービスやコンテナ、サーバーレス機能を生み出し、開発者はスピードを重視して、API キーやサービスアカウントに依存します。さらに、自動化パイプラインは利便性のために認証情報を保存します。
しかし、多くの組織では、誰がどの認証情報を所有し、それがどこにあり、どのシステムにアクセスできるのかを完全に把握できていません。
その結果、機密情報は管理しきれないスピードで蓄積していきます。
漏洩した認証情報は「開いたドア」と同じ
漏洩した認証情報は、施錠されていないドアと同じです。
それ自体が「正規のアクセス権」を持つため、攻撃者は特別な侵入手法を使う必要がありません。一度入手すれば、システムに検出されるまで正規ユーザーとしてシステム内を移動し、権限を昇格させ、価値ある情報を盗み出すことが可能です。
この種の侵害は、従来のセキュリティ警告では検知されにくく、業務・財務・評判に重大な影響を及ぼします。
サイバーリスクは「内部にある既知の経路」の問題へ
経営層や取締役会にとって、これはサイバーリスクの捉え方を根本から見直す必要があることを意味します。
サイバーリスクはもはや、未知の攻撃ではなく、すでに存在する「特定可能なアクセス経路」によって生じるものへと変化しています。
重要なことは、漏洩した認証情報が重要システムに到達可能か、そのリスクはどの程度のものか、除去にどれほどのコストが必要かを明確に把握することです。
もはや「境界防御」だけでは防げない
これを実現するには、従来の境界防御を前提とした考え方から脱却する必要があります。
現在の予防策では、アイデンティティ・認証情報・シークレット情報を組織のアタックサーフェス(攻撃対象領域)の一部として扱うことが求められます。どこで認証情報が発行され、どれほどの期間有効で、誰が所有し、どの権限を持つのかを把握しなければなりません。認証情報やアイデンティティに基づく攻撃経路を継続的に把握・監視することは、もはや実装レベルの課題ではなく、ガバナンス上の必須要件となっています。
最小権限の原則は一貫して適用されるべきであり、長期間有効な認証情報は廃止または更新されなければなりません。また、ハードコーディングされたシークレット情報はコードパイプラインから排除し、管理された制御に置き換える必要があります。
一方で、過度に画一的なセキュリティポリシーは逆効果になり得ます。例えば、一律のパスワード有効期限設定は、かえって予測可能な行動や一時的な回避策を生み出し、リスクを低減するどころか高める場合もあります。効果的なアイデンティティガバナンスには、単純なチェックリストではなく、状況に応じた柔軟な判断と運用が必要です。
対策は「運用」ではなく「ビジネスプロセス」で
対策は理想論ではなく、ビジネスプロセスとして扱う必要があります。
どの認証情報が最も高いリスクをもたらすのか、誰が対応する責任を負うのか、解決にどの程度の時間がかかるのか――これらを経営として把握する責任があります。
セキュリティチームは、可視性と明確な責任体制を維持し、組織の事業価値に直結するアクセス経路に優先的に対処しなければなりません。
日本最大規模のサイバー侵害の多くは、本来であれば防ぐことが可能です。
認証情報の管理を徹底し、アクセス権の可視化を継続することで、リスクは大きく低減できます。
そのためには、誰がどのアクセス権を持ち、認証情報がどこで管理され、どの業務目的で利用されているのかを、継続して正確に把握することが不可欠です。経営陣がサイバーインシデントを技術的な問題ではなく、アクセスを中核的なビジネスリスクと位置付けて統治するようになれば、 サイバーリスクはより管理しやすく、低コストで制御可能なものになります。
