【2026年3月総まとめ】日本週間脅威レポート（Week1〜Week3統合）

19 時間前
読了時間: 7分

2026年3月日本のサイバー攻撃の全体像（Week1〜Week3）

日本の組織を標的としたランサムウェアのインシデントは引き続き発生しているものの、その規模は限定的であり、今週は新たに3件の被害報告または公表があった。特筆すべき傾向として、Clickfixキャンペーンが500%以上増加したことが挙げられる。また、日本の確定申告シーズンと時期を同じくして、日本の電子申告（e-Tax）詐欺キャンペーンが増加する傾向が見られた。「The Gentlemen」は、日本の上場企業を標的とする従来のパターンを継続しており、日本特有の全く新しいランサムウェアグループは出現しなかった。影響を受けたセクター：サービス・公共、出版、産業用部品。確認された新たな被害者（DLS + 日本のセキュリティレポート）：

ダークウェブで確認された日本企業のデータ流出

2026年3月16日から3月22日の期間、BreachForumsや中国語圏の専門市場（DeepMix）を含むダークウェブフォーラムでは、日本企業のデータに関する活発な動きが見られた。

主な脅威アクター：ShinyHunters、Everest、およびAPAC地域に特化した専門のIAB（初期アクセスブローカー）。

• 3月1日：著名なフォーラムで、ユーザー「jrintel」が、日本の大手フォワーディング会社に属するとされる「Project Sakura - Logistics 2026」と題された内部文書をリークした。

• 3月17日：日本のECプラットフォームの120万件のレコードを含むデータベースがDeepMixで売りに出された。データには、メールアドレス、ハッシュ化されたパスワード、配送先住所が含まれている。

• 3月21日：ホテル・リゾートグループ（ウィン・リゾーツ・ジャパン）の機密記録80万件が販売されていることが、ハッカー集団ShinyHuntersによって確認された。アンダーグラウンドのチャネルでは、6,500万ドルの身代金要求が報告されている。

日本のランサムウェア被害動向（2026年3月）

日本の組織を標的としたランサムウェア攻撃は継続しているものの、その規模は限定的であり、今週は3件の新たな被害申告または公表があった。Thegentlemenは、日本の上場企業を標的とする従来のパターンを継続しており、日本特有の全く新しいランサムウェアグループは出現しなかった。影響を受けた業種：サービス・公共、出版、産業用部品。確認された新たな被害者（DLS + 日本のセキュリティ報告）：

注目の業種：製造業が依然として最大の標的（全事例の約18.2%）。

3月1日：日本の地方自治体のWebポータルへの「管理者権限」が、アンダーグラウンドフォーラムでオークションにかけられた。

• 3月16日：Chase Asia（上場企業、日本の被害企業として記載）がThegentlemenグループによる攻撃を受けたと主張。データ流出量は公表されていない。

• 3月17日～1G：株式会社メディカ出版（Medica Publishing Co., Ltd.、出版

部門）が未確認のランサムウェアに感染し、個人情報が流出し、受注・出荷業務が停止した。

• 3月18日：日本スウェージロックFST（Japan Swagelok FST、

産業・製造）がランサムウェアの被害に遭い、業務に支障が生じたが、その後出荷は再開された。

• 3月20日：ナフコ（小売・水産業界）が、ランサムウェア「Akira」の漏洩サイトに追加された。

IAB - 日本の企業向け初期アクセスブローカー（IAB）の売上

3月16日：日本国内で「VPN SMTP コンボ」アクセス権の販売が検出された

情報漏洩・セキュリティインシデントの主な事例

今週報告された単独の個人情報漏洩およびインシデント（重複を除いたもの）：

• 3月1日：マツダ株式会社 – タイの調達管理システムへの不正アクセスにより、従業員692名の記録（ユーザーID、氏名、メールアドレス、会社名、取引先ID）が流出した可能性がある。

• 3月17日：タネ総合病院 – 委託業者の従業員が、379人の患者の個人情報が記録されたUSBメモリを紛失した。

• 3月17日：メディカ出版株式会社 – 第三者によるランサムウェア攻撃を受け、情報漏洩が確認された。

フィッシング詐欺・メール攻撃の最新手口

• 「ClickFix」の急増：悪意のあるPowerShellスクリプトを実行してドキュメントの表示問題を「修正」するようユーザーに促すメールによる攻撃が500％増加。

• 「Metamask 2FA」の罠：日本の暗号資産保有者を標的とした高度なキャンペーン。メールでは「不審なログイン」があったと主張し、悪意のある S3 バケットのリンクを介して 2FA を有効にするようユーザーに迫る。

• McAfee/Norton「サブスクリプション期限切れ」詐欺：「スケアウェア」（偽のウイルススキャン）の手法を用いて請求情報を収集する、継続的なキャンペーン。3月14日から3月20日の期間に大量発生が確認された。

• AIを活用したビジネスメール詐欺（BEC）：NTTデータが、従来の「不自然な日本語」文法フィルターを回避した、メールと音声のハイブリッド攻撃におけるディープフェイクによる役員なりすましを複数検知したとの報告が相次いでいる。

国家系サイバー攻撃（APT）の動き

• シャドウ・キャンペーン（TGR-STA-1030）：Unit 42は、日本政府および重要インフラを標的とする国家系グループを特定した。

• KONNI（北朝鮮）：仮想通貨取引所やブロックチェーン系スタートアップを標的とした、AI生成の日本語によるフィッシング攻撃が継続中。

• LapDogs（中国関連）: 侵害された日本のSOHOルーターを利用した「Operational Relay Box」（ORB）ネットワークを使用し、スパイ活動のトラフィックを隠蔽している。

日本企業に影響する脆弱性情報（JVNまとめ）

JVN（Japan Vulnerability Notes）のデータによると、日本の企業で一般的に使用されているソフトウェアに重大な脆弱性が確認されています：

• JVNDB-2026-000037 (CVE-2026-2180): 高 (7.2) - OpenLiteSpeed/LSWS Enterprise における OS コマンドインジェクション。3月16日公開。

• JVNDB-2026-00003G：高（8.3） - GROWI（OpenAI Thread API）における認証の欠如。多くの日本の技術開発チームに影響。3月16日公開。

• JVNDB-2026-000038: 高 (7.8) - IBM Trusteer Rapport（日本の銀行で広く利用）におけるDLLハイジャック脆弱性。3月17日公開。

• JVNDB-2026-007524: 日立コマンドスイートに新たな脆弱性が報告されました。3月17日公開。

• JVNVU#G50G3G77: Xerox FreeFlow Coreに複数の重大な脆弱性（日本のFUJIFILM BIユーザーに影響）。3月19日公開。

企業が今すぐ取るべき対策

• パッチ管理：GROWIおよびHitachi Command Suiteは日本の企業環境で広く利用されているため、これらのパッチ適用を優先してください。

• IAB防御：通常とは異なる地理的場所からの不正なVPN/Citrixログイン試行を監視し、FIDO2ベースの多要素認証（MFA）を導入して、盗まれた認証情報の価値を無効化してください。

• フィッシング：KONNIキャンペーンを踏まえ、従来の「不自然な」文法が見られなくなったAI生成の日本語によるフィッシングメールを見分けるための具体的な研修を実施する。

今後のサイバー攻撃予測（日本）

「サプライチェーン・ランサムウェア」の急増が続くと予想される。攻撃者は、GROWIやDigital Artsの事例のように、中小の日本のソフトウェアベンダーを標的とし、そこから大企業の顧客へと攻撃を拡大する。地政学的緊張の高まりにより、国家が支援するスキャン活動において、日本国内のIoTデバイスを悪用した「ORB」ネットワークの活動が増加する可能性が高い。