2026年に入り、サイバー攻撃の対象が社会保障番号を含む個人データ、欧州の電力網、オープンソース基盤、大企業のシステムにまで広がっている。国家インフラや公共データ、グローバル企業をまたぐ形で被害が拡大し、脅威は新たな局面に入ったとの見方が強まっている。

米ITメディアのTechCrunchは7日（現地時間）、今年の主要なセキュリティ事故を分析し、個人情報流出、サプライチェーン攻撃、重要インフラ攻撃が同時進行で増加していると報じた。

問題視されている事例の一つが、米社会保障庁（SSA）のデータを巡る動きだ。政府効率化局（DOGE）がSSAのシステムにアクセスした後、米国民の機微な個人情報がどのように管理されたのかが明確になっていない。

内部告発者は、DOGEが社会保障データベースのリアルタイム複製を、十分な保護措置のない外部サーバーに保存したと主張した。そこには、存命中の米国民の社会保障番号を含む各種個人情報が含まれていた可能性があるという。民主党の連邦下院議員らは「米国史上最大規模のデータ流出になりかねない」と警告した。

欧州では、電力網や水処理施設などの重要インフラが相次いで標的となった。昨年末には、ポーランドの電力網にシステム破壊を狙うマルウェアが侵入し、スウェーデンの火力発電所とノルウェーのダムにも被害が及んだ。今年初めには、ポーランドの水処理施設も攻撃を受けたと伝えられている。

米国とイスラエル、イランの軍事的緊張が高まるなか、米国内では上水道施設などの民間インフラが新たな標的になるとの懸念も出ている。

企業への攻撃も激化している。米医療技術企業Strykerは3月、大規模なサイバー攻撃を受け、従業員向け端末数万台が遠隔消去され、数日間にわたり運用障害を強いられた。米政府は、背後にイランの情報機関と関係するハッカー集団がいると指摘している。

ランサムウェア集団の活動も続いている。英語圏のハッカー集団ShinyHuntersは、音声フィッシングで企業内部のアクセス権を奪い、大規模な個人情報流出を引き起こした。

同集団の攻撃を受けた教育技術企業Instructureの学習管理システム（LMS）「Canvas」では、学生や教職員を含む3000万人超の個人情報が流出した。企業側が身代金の支払いを拒否すると、ハッカーは再侵入してシステム障害を発生させた。最終的に同社は、米連邦捜査局（FBI）の勧告にもかかわらず、身代金を支払ったとされる。

オープンソースを狙ったサプライチェーン攻撃も増えている。攻撃者はソフトウェアの更新プロセスに悪性コードを埋め込んだり、バックドアを仕込んだりして、利用者のパスワードや認証トークンを窃取した。

被害はOpenAIやVercelなどの主要テック企業にも波及したと報じられた。セキュリティ業界では、オープンソースプロジェクトが現代のソフトウェア産業を支える中核基盤であるだけに、サプライチェーン攻撃の波及力は一段と大きくなっているとみている。

FBIも例外ではなかった。FBIは4月、監視システムの一部が侵害されたことを受け、これを「重大なサイバー事件」と位置付けた。一部報道では、中国のハッカーが非機密ネットワークに侵入した可能性も指摘された。

大企業の復旧対応の遅れも浮き彫りになった。玩具大手Hasbroは3月末、システム侵入を把握した後も数週間にわたり実質的にオフライン状態が続いた。Webサイトは長期間アクセス不能となり、顧客対応にも支障が出た。

Hasbroは5月中旬時点で、ハッカーはすでにシステム内におらず、復旧作業が進んでいると説明した。ただ、影響は財務開示を延期するほど大きかった。

この数カ月で目立つのが、パスポートや運転免許証のスキャン画像といった本人確認書類データの流出だ。ホテルのチェックインシステム、送金アプリ、刑務所の公衆電話サービス事業者、英国のビザサービスなどで、200万人超の個人文書がWeb上に露出した。基本的なセキュリティ対策で防げた事故も少なくなかったという。

こうした動きは、オンラインサービスで本人確認の要求が広がる流れと重なる。クローズド型コミュニティアプリやWebサイトでは確認手続きを強化する動きが進み、一部の政府は成人利用者にも年齢確認を求める法制化を進めている。

ただ、流出事故が増えるほど、本人確認書類に依存した認証の信頼性は低下しかねない。盗難・流出したパスポートや運転免許証が容易に悪用され得るためだ。身元情報の収集拡大そのものが、さらなる侵害事故を招きかねないとの警戒も強まっている。