📊 3行サマリー

  • フランスのセキュリティ企業CybelAngelが4月30日に出したレポートで、中国系ハッカー集団MirrorFace(APT10の下部組織)が外務省・防衛省・JAXAなどに200件超の侵入を重ねていたと指摘された。
  • 日本の組織が受けるサイバー攻撃は2025年で週平均1,231件。2026年に入ってさらに増え、イラン系が手を引いた攻撃インフラを中国とロシアが引き継いでいる。
  • 2026年10月1日から自衛隊が能動的サイバー防御を始める。日本企業にとって、その態勢が固まるまでの半年が一番危ない時期になる。

📝 露中のハッカーが矛先を日本へ、仏CybelAngelが「再配分」を警告

日本の組織が受けるサイバー攻撃の「担い手」が、2026年に入って入れ替わった。フランスのセキュリティ企業CybelAngelが4月30日に公表したレポートは、これまで活発だったイラン系グループが中東での報復活動に引きこもる一方で、空いた攻撃インフラを中国系とロシア系のグループが引き継ぎ、矛先を日本へ向け直していると分析する。件数で目立つのは中国系だ。APT10の下部組織とされるMirrorFaceは、警察庁とNISCの調べで外務省・防衛省・JAXA・半導体・航空宇宙の関連先に200件超の侵入を繰り返していた。日本政府が2025年12月の新サイバーセキュリティ戦略で中国・ロシア・北朝鮮を「深刻な脅威」と名指ししたのは、こうした実態が背景にある。

📰 仏CybelAngel:「攻撃力の総量は増えていない。向き先が変わった」

元ネタWhy Japan Is Suddenly Absorbing the World’s Spare Cyber Capacity(CybelAngel REACTチーム / 2026年4月30日)

The total amount of offensive capacity in the world has not increased. Where it points has changed. Japan got a bigger share.

世界全体の攻撃能力が増えたわけではない。変わったのは矛先で、そのうち日本に向く割合が増えた——というのがレポートの核心だ。書いたのはCybelAngelのREACTという脅威分析チームで、ダークウェブや闇フォーラムの動きを日常的に追っている。彼らがいま観測しているのは、日本企業の認証情報の流出増加、日本の標的を名指しした「初期アクセス売買」の増加、日本の資産への偵察行為の増加だという。攻撃の下ごしらえが一斉に進んでいる状態だ。2025年の日本組織への攻撃は週平均1,231件。Cisco Talosの集計ではランサムウェアだけで2025年に134件、前年から17.5%増えている。

🔥 G7・対ロシア制裁・台湾——日本が「再配分先」に選ばれた3つの条件

なぜ日本が「余った攻撃力の行き先」になったのか。CybelAngelは3つの条件を挙げる。1つ目は地政学的な立ち位置だ。日本はG7の一員で米国の同盟国、2022年のウクライナ侵攻以降はロシアへの制裁国でもある。北方領土問題と制裁の継続でロシアの標的リストに残り、米日台の戦略的な三角関係のなかで中国の作戦対象にもなり続けている。2つ目は、標的としての価値の高さと防御の成熟度のギャップ。日本のサイバーセキュリティ市場は2026年に114億ドルへ拡大し、2031年には190億ドルに届くと見込まれるが、これは市場が健全だからではなく、守らざるを得ないから金が出ているのだ、とレポートは突き放す。会計検査院は、国と自治体のITシステムの16%に攻撃への脆弱性があると報告している。3つ目は復旧の遅さ。アサヒグループは復旧に2カ月以上かかり、アスクルは法人受注の再開まで6週間を要した。攻撃側は、侵入後に相手が立ち直るまで時間のかかる地域を選ぶ。いまの日本はその条件に当てはまる。

🇯🇵 狙われるのは中小企業、日本のランサム被害の57%を占める

このレポートで日本企業がいちばん直視すべきなのは、狙われているのが大企業や官庁だけではないという点だ。Talosの分析では、日本のランサムウェア被害者の57%が中小企業だった。製造業が全体の28%を占め、その多くは大企業のサプライチェーンに組み込まれた中小の取引先だ。攻撃者から見れば、守りの薄い中小を一社落とせば、その先の本丸につながる。実際、2026年第1四半期には穴吹ハウジングサービスから49万6千人分の情報が流出し(Qilinは240GBを盗んだと主張)、名古屋港管理組合も攻撃を受け、日本医科大学武蔵小杉病院には1億ドルの身代金が要求された。中国系のStorm-1175に至っては、ゼロデイ脆弱性を突いてMedusaランサムウェアを24時間以内に展開する。侵入から暗号化までを「1営業日」に圧縮しているわけだ。「うちは小さいから狙われない」という前提は、もう通用しない。

🏁 自衛隊の反撃開始まで半年、問われる「攻撃される前提」の備え

日本政府も同じデータを読んでいる。2025年5月に成立した能動的サイバー防御関連法は2026年に施行され、重要インフラ事業者にインシデント報告を義務づけ、政府が通信を監視して攻撃元サーバーに対処する権限を認めた。そして2026年10月1日からは、自衛隊が攻撃側のインフラに対する攻撃的なサイバー作戦を行えるようになる。裏を返せば、いまから10月までの半年は、日本の守りが固まる前に攻撃側が「取れるだけ取っておこう」と動く期間でもある。CybelAngelが勧める備えは3つ。流出した認証情報を継続的に監視すること、社外に露出したVPNやルーターを「最前線」として扱うこと、そして自社が止まったとき誰が連鎖して止まるのかを把握しておくことだ。攻撃を防ぐ話から、攻撃される前提でどう被害を最小化するかへ。発想を切り替えられた企業から生き残る、ということだろう。