【1月の脅威まとめ】日本週間脅威レポート
- PIPELINE - Horizon Unit Zero
- 2月18日
- 読了時間: 9分
著者: ユニットゼロ脅威研究チーム
🔍 日本のダークウェブ動向
2026年1月7日から1月27日までの期間、ダークウェブの監視により、日本の組織を標的としたデータ流出や違法販売の投稿が急増していることが確認されました。主な取引の場となっていたのは、BreachForums、LeakBase、DarkNetArmy などのフォーラムです。
やり取りされていた内容の中心は以下の通りです。
個人情報の販売
企業・政府関連文書の公開
漏洩データの再販売(いわゆる“データの二次流通”)
これらの活動の一部は、ランサムウェアグループ Clop に関連するとみられています。
1月7日〜19日までは目立った動きは確認されませんでしたが、1月後半に入り急激に活動が活発化しました。
確認された主な投稿・売買
1月20日日本の独身者向けマッチング関連データ約39,000件が販売対象として掲載。
1月21日日本政府の希土類金属採掘に関する機密文書とされる資料が投稿。PPTX形式の単体ファイルが共有された。
1月22日中国ユーザーデータ200万件の流出が別案件として言及。地域データ市場を通じ、日本関連データとの間接的な結び付きが示唆。
1月24日Clopが SATO-GLOBAL.COM に関するデータを公開。同時期、別フォーラムでは円安対応に関する日本政府の議論が話題に。
1月25日住友化学 関連データが流出したとする投稿。
1月26日マツダ、キヤノン に関するデータ流出が掲載。さらに、日本の店舗経営者約83万件の個人情報(電話・メール等)を含むデータベースも公開された。
この期間の特徴(専門的観点からの整理)
今回の動きは、単なる金銭目的の犯罪だけではなく、次の2つの性格を強く持っています。
観点 | 内容 |
産業情報の収集 | 希少資源・製造関連など、経済安全保障に関わるテーマが含まれる |
データの商品化 | 個人情報や企業情報が「転売可能な商品」として扱われている |
一方で、日本向け専用ツールの開発や、新規攻撃者の大規模募集といった兆候は、この期間には確認されていません。
🔒 日本企業に対するランサムウェア被害
同じ期間、日本組織を標的としたランサムウェア被害は明確に増加しました。特に、委託先や関連会社などを経由する「サプライチェーン侵入」が多く確認されています。
被害は以下の業種に広がっています。
製造業
メディア
IT・情報サービス
エネルギー関連
主な確認事例(2026年1月7日〜27日)
1月10日 日産自動車 が攻撃対象とされ、顧客情報や業務データを含む約900GBの流出が主張された。
1月14日 朝日新聞社 に対する攻撃が報告され、約180万件のメール情報や内部データが流出したとされる。
1月21日 エネルギー関連企業が攻撃を受け、環境関連データが漏洩した可能性(調査継続中)。
1月21日 サントリーホールディングス が下請け事業者経由で被害。約914人分の個人情報流出の可能性。
1月22日 IT関連企業が攻撃を受け、SQL/Oracleデータベースを含む約500GBが流出。
1月24日〜25日 教育・医療関連組織、バイオ分野企業でも情報公開事例が続く。
1月25日〜26日 製造・技術分野の複数企業で、業務システムの脆弱性(Oracle E-Business Suiteの欠陥悪用)に関連する情報流出が指摘された。
📊 日本におけるデータ侵害(ランサムウェア以外)
ランサムウェア攻撃とは別に、個人情報や顧客データそのものを狙った単独の侵害事案も複数確認されました。
これらは業種を問わず発生しており、影響を受けた記録件数は合計200万件以上にのぼります。
主な事例
1月4日 日産系販売会社において、業務委託先のシステム侵害をきっかけに約21,000件の顧客情報(氏名・住所・メールアドレス)が流出。現時点で不正利用は確認されていません。
1月6日 楽天ぐるなび が攻撃を受け、約63万9千件のデータ(メールアドレス・電話番号・住所・予約情報)が流出。
1月7日 スマレジ が攻撃を受け、約10万件の顧客情報(氏名・電話番号)が流出。
この期間の評価
1月に発生したこれらの事案により、企業の間では「サイバー事故は主要な事業リスク」と回答した企業が 61%とされ、情報漏洩が単なるIT問題ではなく、経営リスクとして認識されている状況が明確になりました。
また、ダークウェブ上では政府関連データの流出が、日本を含む20カ国以上に波及していたことも確認されています。
⚔️ 日本を標的とした国家系攻撃(APT活動)
国家の関与が疑われる攻撃活動も継続して観測されています。
特に北朝鮮系・中国系とされるグループは、金銭目的ではなく情報収集(サイバー諜報)に重点を置いています。
主な動き
1月22日 北朝鮮系グループ(KONNI/Kimsuky系)が、日本を含む複数国へフィッシング攻撃を拡大。AIで作成された不正プログラムを用い、技術・ブロックチェーン分野の認証情報を窃取。
2026年1月時点で継続確認 中国関連とされるグループが、Windowsの管理機能(グループポリシー)を悪用し、日本および東南アジアの政府系ネットワーク内で横方向に侵入を拡大。
長期的活動 MirrorFace と呼ばれるグループは2019年以降、日本組織に対する継続的な情報収集活動を実施。
攻撃手法の特徴(TTP)
今回の活動で共通して見られる手法は次の通りです。
フィッシングメールによる侵入
AIを使ったマルウェア生成
委託先・関連企業を経由した侵害(サプライチェーン攻撃)
これらは、地域の政治的緊張や国際情勢と連動して活発化する傾向があります。
🛡️ 日本に影響する0-day/N-day脆弱性の動向
2026年1月は、脆弱性の公開・修正・実証が集中し、
悪用可能な状態が一時的に広がった時期でもありました。
主な技術イベント・脆弱性対応
1月21日〜23日(東京) Pwn2Own Automotive において76件のゼロデイ攻撃が実演。
・ テスラ の車載システムも対象
・ 発見された脆弱性は37件
・ 賞金総額は100万ドル超
1月13日 Microsoft が月例更新で113件の脆弱性を修正(Windowsのゼロデイを含む)。
1月20日 Oracle が158件の脆弱性を修正。WebLogicなど基幹システムに関わる重大欠陥を含む。
1月23日 Fortinet 製品の認証連携機能に関する脆弱性で、パッチ未適用環境を狙った攻撃が活発化。
📊 日本におけるデータ侵害
ランサムウェア以外にも、個人や企業のデータを標的とした単独の侵害が発生し、様々な業種で200万件以上の記録に影響が出ています。主なインシデント:
1 月 4 日: 日産福岡販売 (製造) が、請負業者 Red Hat の侵害により 21,000 件の顧客データ (名前、住所、電子メール) を公開しました。不正行為はまだ報告されていません。
1月6日:ぐるなび(楽天ぐるなび、ICT)がdaghetiawによって主張され、639,000件の記録が漏洩(メール、電話、住所、予約)。
1 月 7 日: Smaregi (ICT) が lulzintel によってクレームされ、100,000 件の顧客データ (名前、電話番号) が公開されました。
1 月 26 日: アサヒグループ (製造業) のランサムウェアにより 30 の工場が強制的に閉鎖。データ侵害により数百万人が影響を受ける可能性がある。
1月に集計された主要な侵害には以下が含まれ、サイバーインシデントは主要なビジネスリスクとして挙げられています(企業の61%)。ダークウェブにおける政府データの漏洩は、日本を含む20カ国以上に及んでいます。
📈 防御態勢と主要攻撃者のTTP動向
現在、日本企業はサイバーリスクの急増に直面しており、61%の企業が「最も重要な経営リスク」と認識しています。
今回観測された攻撃は、従来型よりも侵入経路が見えにくく、発見が遅れやすい点が特徴です。
主な攻撃手法(TTP)
AI生成マルウェア
KONNI などが使用
人が作った攻撃と区別しにくいコードを自動生成
サプライチェーン攻撃
Clop に代表される、委託先・関連会社経由の侵入
「自社は守っていたが、取引先から侵入される」構図
テーマ型フィッシング
ブロックチェーン・技術分野などを題材にした標的型メール
管理機能の悪用による内部拡散
LongNosedGoblin が確認
正規のWindows管理機能を使うため検知が困難
日本国内の防御動向
2026年1月施行の制度整備により、企業・組織がより踏み込んだ脅威対応(能動的防御)を取りやすい環境が整いつつあります。
これにより、
被害発生後の対応中心 →
兆候段階での検知・遮断重視
へと考え方がシフトしています。
現実的に求められる対策(優先度順)
優先度 | 対策 | 理由 |
高 | パッチ管理の迅速化 | 公開直後に悪用されるケースが増加 |
高 | サプライチェーンの多要素認証 | 侵入の主経路が取引先へ変化 |
中 | AI型攻撃を想定した検知強化 | 従来のシグネチャ型では限界 |
中 | 外部公開資産の継続監視 | 攻撃前の探索活動が増加 |
🔮 今後の脅威に関する先見的分析
地政学的緊張の影響を受け、国家関与型の継続的な情報収集活動はさらに強まる可能性があります。
想定される方向性
北朝鮮系グループ(KONNI)の活動領域拡大
MirrorFace などによる重要インフラ・通信領域への長期潜伏型攻撃
クラウド/AI環境の設定不備を狙うゼロデイ攻撃の増加
「データ公開+業務停止」を組み合わせたハイブリッド型恐喝
特に2026年は、
侵入 → 潜伏 → 情報売買 → 二次攻撃
という、単発ではない“連鎖型被害”が増えると見込まれます。
🧭 当社サービス(RiskSensor)で支援できること
今回のような事例は、特別な攻撃というより外部からどう見えていたかに気づけなかったこと が被害拡大のきっかけになるケースが多く見られます。
RiskSensorは、この“見えないリスク”を継続的に可視化するためのサービスです。
■ 主な支援ポイント
① 外部公開資産の把握
インターネット上に露出している機器や設定不備を検出し、攻撃の入口になり得る箇所を早期に把握します。
② ダークウェブ上の情報流通の監視
自社に関連する認証情報や漏えいデータの兆候を継続的に確認し、拡散前の段階で気付ける体制づくりを支援します。
③ 取引先を含めたリスクの可視化
サプライチェーン由来の巻き込まれリスクも含め、自社単体では見えない外部要因を整理します。
④ 対応の優先順位を明確化
技術的な指摘にとどまらず、どこから手を打つべきかを実務判断できる形で提示します。
今回のような動きへの対策は、新しい防御を増やすことよりも、現状を正しく把握し続けること が重要です。
RiskSensorは、その継続的な把握と早期発見を支援します。
✦ さいごに
ここまでお読みいただき、ありがとうございました。
私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報(Threat Intelligence)を専門とする専門家集団として、日々、現場でお客様とともに脅威に向き合っています。
「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」
「攻撃される前提で現実的に備えたい」
といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。
そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。
だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。
少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。
