今年の狂気的なハッキング事件のタイムライン。

2026 年初頭の 4 ヶ月にかけて発生したサイバーインシデント群において、どれか単独でも 2014 年や 2017 年に起きたとすれば、確実にニュースサイクルを一周支配するほどの巨大な社会現象となりはずです。報道によれば中国国家超計算センター（天津 NSCC）からは約 10 ペタバイトのデータが流出し、医療機器ベンダーのストライカー（Stryker）は 79 カ国の施設で業務停止に追い込まれ、ロッキード・马丁（Lockheed Martin）では 375 タラバイト規模のデータ侵害が指摘されています。また FBI 長官本人の個人メールボックスが公開され、FBI の通話盗聴管理ネットワークも別の「重大インシデント」として 침해 されました。ロックスタールゲームズは一般には無名な SaaS 分析ベンダーを介して被害を受け、シスコのプライベート GitHub リポジトリが複製され、オラクルのレガシークラウド環境も突破されました。さらに Axios の npm パッケージ（週に約 1 億回ダウンロード）が北朝鮮由来のハッカー集団に侵害されるという事例もありました。また AI データパイプラインを提供するメルクア（Mercor）もオープンソースライブラリ LiteLLM を介して侵入され、4 タラバイト規模の学習データが流出しました。ホンダに至っては二度も攻撃を免れませんでした。新しい「シャイニハンターズ／スカーテッド・スピダー／LAPSUS$」という同盟は、約 400 の組織を侵害し、 Salesforce レコードから約 15 億条分の個人情報を漏洩させるに至りました。

これらの事象が毎日積み重なり、概ね 100 日間にわたって重複する形で発覚しました。コンピュータセキュリティ史の専門家から見れば、これらはいかにも 2050 年を基準点とするような転換点と言える出来事です。しかしながら、一般世間の議論はこの異常現象に対して奇妙なほど静寂でした。これは単なる違和感に留まらず、以下のような意図をもってこれらの事件を一つの場所へ集約し、各々の報道内容を引用しながら「なぜこの極めて重要な期間がリアルタイムで文書化・記録されていないのか」という問いかけを投げかけることが本稿の目的です。以下の項目ごとに記載するインシデントの後には、それを暴露または報道した出版物への出典を付記しています。

クラスター 1：イラン / ハンダラ / ヴォイド・マンティコア（破壊的な国策作戦）

概要: 「ハンダラ・ハックチーム」というペルソナの下で活動しており、パロアルトネットワークスの Unit42 はこれをイランの内務省および安全保障省に属する「ヴォイド・マンティコア」と帰属させています。ハンダラは米国の工業・防衛・政府目標に対する攻撃を主張し、特に 2 月 28 日に南部イランのミナブ（Minab）で発生した学校へのミサイル攻撃（死者約 175 人、その多くが児童）に対して報復行動と明示的に位置づけています。
確認および主張された Q1 2026 の被害者:
- ストライカー：約 20 万台のデバイスが停止
- ロッキード・马丁：375 タラバイト流出の主張、28 名のエンジニアの人件情報が公開
- FBI 長官キャッシュ・パテル（Kash Patel）：個人メールの完全ダンプ

クラスター 2：スカーテッド・LAPSUS$ハンターズ／SLH（犯罪サイバーランドの頂点捕食者の合体）

概要: 世界的に最も著名な金銭動機による犯罪集団の中で、コンティ（Conti）崩壊以来最大の組織的発展を遂げたものです。2025 年 8 月、シャイニハンターズ（ShinyHunters）、スカーテッド・スピダー（Scattered Spider）、LAPSUS$ の三団体が「スカーテッド LAPSUS$ハンターズ（SLH）」という名の同盟を公式に結成しました。スカーテッド・スピダーがソーシャルエンジニアリングおよび音声フィッシング（vishing）による初期アクセスを提供し、シャイニハンターズが流出データの管理および強制介入を担い、LAPSUS$ がアイデンティティシステムの侵害を担当します。これにより、グローバル企業の SaaS レヤー全体に対するエンドツーエンドの犯罪パイプラインが構築されました。
2025-2026 Salesforce 作戦の数値: シャイニハンターズは約 300 から 400 の組織を侵害し、そのうち高プロファイルな企業は約 100 に上り、合計で約 15 億条の Salesforce レコードを盗出したと主張しています。Salesforce は 2026 年 3 月 7 日、Experience Cloud プロダクトの不正設定が利用されたことを確認し、シャイニハンターズは 2 日後にデータリークサイトで責任を主張しました。被害者リストにはグーグル、シスコ、アディダス、Qantas、オラクル生命保険、Farmers Insurance Group、ワークデイ（Workday）、パンドラ、シャネル、TransUnion、LVMH ファミリー（ルイ・ヴィトンなど）、エアフランス・ケム、LastPass、Okta、AMD、スノーフレイク、マッチグループ、サウンドクラウド、パンェラブレッド、ベタメリット、ハーバード大学、ペンシルバニア大学、Crunchbase、カナダグース、2025 年 12 月のポルノハブ・ブリーチ（Mixampaign を介して）が含まれます。
手口の進化: OAuth トークンを引き上げるだけのインテグレーター侵害から進化し、従業員に電話をかけて IT サポートを装い、MFA セッティングの更新や Salesforce Data Loader のアップリンクを通じて、リアルタイムでパスワードおよび MFA コード、OAuth グラントを収穫するようになりました。さらにシャイニハンターズはマンディアン社の AuraInspector オーディットツールを利用して、Salesforce Experience Cloud のゲストユーザー権限設定の不備をスキャンおよび突入するよう「武器化」しました。音声フィッシングが 2026 年の企業ブリーチにおいて、単一の技術的脆弱性よりも多くの被害結果を生み出したのです。

クラスター 3：北朝鮮 / UNC1069（オープンソースサプライチェーン侵害）

概要: グーグル・-threat Intelligence Group は、2026 年 3 月 31 日の Axios npm パッケージの横領を、北朝鮮由来の金銭動機によるアクターである UNC1069 に帰属させています。彼らは既知の脆弱性を突くのではなく、架空の企業やブランディングされた Slack ワークスペース、Microsoft Teams ミーティング（架空の参加者）を作成し、主要メンテナーの信頼を騙して npm アカウントを掌握し、クロスプラットフォーム RAT を JavaScript ライブラリとして配信しました。シスコのもう一つの 2026 年 3 月のブリーチ（Trivy サプライチェーン攻撃）も同様のパターンを示しています。

クラスター 4：ロシア / APT28（ウクライナおよび EU に対するゼロデイ利用）

概要: ロシア支援の APT28 は、公開後数日以内で CVE-2026-21509 という新しい Microsoft Office の脆弱性を突入しました。標的はウクライナ政府機関と 60 以上の欧州メールアドレスであり、ウクライナ気象庁からの文書と偽装されたマルイスメール（Malicious Office Document）を使用しました。このクラスターは四つの中で米国内を直接対象としない唯一の事例ですが、スピード感、関係性の利用、最小限の公衆反応というアーキテクチャ点は共通しています。

構造的弱点: 現代における西洋企業の防衛すべき境界（ペリメーター）はもはや存在せず、ベンダーおよび開発者への信頼関係のみが長く連なっており、そのチェーンのいずれかが逆手に取り得る状態になっています。イランはこの連鎖で破壊を加え、シャイニハンターズはその構造を金銭奪取のために利用し、北朝鮮はそれを世界の開発者マシンへのインプラント（埋め込み）の種付けに使い、ロシアはそれを欧州メールボックスの閲覧に利用しています。

AI サイドの数値: 2015 年末、アンソロピック（Anthropic）は AI オーケストレーションによるサイバースパイ作戦に関するレポートを公開し、中国国策関連アクターが Claude を自動化して約 30 の組織に対する偵察を行い、AI が作戦負荷の 80〜90% を担っていたと明かしました。この開示はモデルベンダー自身からのものですから、専門家圏外ではほとんど議論が及んでいません。Hoxhunt、ZeroThreat、StrongestLayer、Bright Defense、StationX から得られた測定データも同じ方向を指しています。

AI 生成フィッシングメールは 2023 年以来 1,265% 増加しました。
フィッシングメールの約 82.6% は AI 生成コンテンツを含んでいます。
ポリモーフィック攻撃の 90% 以上が LLM（大規模言語モデル）駆動です。
AI 生成メールは作成に約 5 分かかり、熟練人間との比較では 16 時間に対してであり、クリック率は 54% です（対照群は 12%）。
アノマリー（Anomali）や欧州の測定では、マルイスメールが 19 秒ごとに届いています。
マイクロソフトは北朝鮮由来のアクタークラスター（Jasper Sleet, Coral Sleet）が攻撃サイクル全体で AI を利用していることを追跡中です。Genians と The Record は Kimsuky が ChatGPT を用いて韓国軍および政府の偽造 ID ドキュメントを作成していると文書化しています。
2026 年 3 月、米国財務省 OFAC は大規模言語モデルを用いて偽のプロファイルや履歴書を作成し、Fortune 500 企業でリモートエンジニアリング職を得ようとした DPRK（北朝鮮）IT ワーカー詐欺スキームに関与した 6 名の個人および 2 団体に対処しました。
Microsoft Teams の多人数会議において、AI 生成ディープフェイク CFO が財務部門従業員を操作して 2,500 万ドルを香港銀行口座へ振込させる事件も発生し、リアルタイムで映像通話を偽装するインフラが利用されていることを確認しています。

防御者側の状況: アンソロピックは Myhtos モデルの内部レッドチーム評価を行い、6.2 時間でネットワーク侵入を完了できる能力（GPT-4o では 10.4 時間が必要）や、アプリケーションの 73% で突入可能な欠陥を発見できることを確認しました。OpenAI も同様のモデルを開発中ですが、セキュリティ理由によりアクセスが制限されています。

4 月 7 日の出来事: 米国財務長官スコット・ベセント（Scott Bessent）と連邦準備制度理事会議長ジェローム・パウエル（Jerome Powell）が、ゴールドマン・サックス、シティーグループ、モルガン・スタンレー、バンクスオブアメリカ、ウェルズ・ファーゴの CEO たちを招き、ワシントンで緊急の対面会議を召集しました。これはアンソロピックからの報告により、「Mythos モデル」が主要 OS やブラウザの数千ものゼロデイ脆弱性を発見したことがきっかけです。この会合は単なるソフトウェアベンダーの問題ではなく、金融安定性事象として扱われたことを示す最も権威あるシグナルです。

ストライカー事例の詳細:

2026 年 3 月 11 日、約 20 万台のシステム（サーバー、ラップトップ、モバイルデバイス）が数分以内に停止し、79 カ国のオフィスが暗くなりました。製造および出荷プロセスも停止しました。
ハンダラ・ハックチームは約 50 タラバイトのデータ流出を主張し、FBI が後に捜索したインフラから公開されました。病院では手術の延期が発生しており、被害は患者への影響として十分報道されていませんでした。
「ハンダラ」は独立したクルーではなく、内務省（MOIS）によって隠蔽された架空のアイデンティティです。背後のオペレーターはヴォイド・マンティコア（Banished Kitten, Red Sandstorm, Storm-842）と推定され、内務省情報部内の攻撃ユニットです。
動機としてミナブの学校へのミサイル攻撃に対する報復が表明されています。FBI は 2026 年 3 月 19 日に 4 つのハンダラドメインを捜索し、州務省は 1,000 万ドルの賞金を宣言しましたが、ハンダラはこれに対して「反賞金」として 5,000 万ドルを要求し、米中およびイスラエルによる攻撃で部隊リーダーが殺された直後に発生しました。

ロッキード・马丁事例の詳細:

インシデント 1（375 タラバイト主張）：APT Iran と自称する Entity がロッキード・马丁からデータ流出と暗網での販売を主張しましたが、ロッキードは確認しておらず、研究者もサンプルを検証していません。過剰評価されている可能性が高いです。
インシデント 2（28 エンジニアの人件情報公開）：ハンダラペルソナが F-35、F-22、THAAD など開発に携わる米国エンジニア 28 名の個人情報と脅迫電話を掲載しました。これは国策組織による生命への脅威であり、サイバーセキュリティエコシステムがこれを平常事として扱っている点に問題があります。

FBI 長官キャッシュ・パテル氏個人 Gmail の侵害:

2026 年 3 月 27 日、ハンダラはパテル氏の Gamil アカウントから約 14 GB（2011-2022 年のメールや画像）を公開しました。これはオペレーターが旧公傷データベースからのパスワード Stuffing を使い、パスワード再利用による暴力行為で侵入したものです。
これは機密情報の抽出ではなく、「FBI 長官の個人通信を読むことができることをウェブに公開する」という報復行為です。

FBI ワイアタップ管理ネットワーク侵害:

2026 年 3 月 23 日、米国司法部はこれを「重大インシデント」として分類しました。被害者は通話盗聴管理ネットワークで、法執行データの PII（個人情報識別子）を含むものです。
アタッカーは ISP ベンダーのインフラを利用して FBI のセキュリティ制御をバイパスし、このアーキテクチャのパターンが国策作戦において利用されたことを示しています。

Axios npm パッケージ侵害:

2026 年 3 月 31 日、UNC1069（北朝鮮系）は Axios の npm アカウントを横領しました。アタッカーは CVE を突くのではなく、架空の会社と Slack ワークスペースを作り、メンテナーを欺いてアカウントを掌握しました。これは公開されたオープンソース維持者侵害として最も手間のかかるものです。

シスコの二重ブリーチ:

2026 年 3 月 21 日、Trivy サプライチェーン攻撃を通じて内部開発環境が突破され、300 を超える GitHub リポジトリが複製されました（AI プロダクトや銀行顧客コードを含む）。
また同日、シャイニハンターズは Salesforce から 300 万条以上のレコードを窃取し延命（ランサム）を要求しました。

メルクア (AI インドストリー関連):

OpenAI、アンソロピック、メタのデータパイプラインの内部にある $10B バリュエーションの AI トレーニングデータベンダーです。
LiteLLM ライブラリが TeamPCP によって侵害され、メルクア環境から 4 タラバイト（DB レコード 211GB、ソースコード 939GB、ストレージ 3TB を含み、AI システムとコントラクターの会話ビデオ含む）が盗出されました。
この侵害により、メタは契約を停止し、複数の訴訟が発生しました。

オラクルクラウドリーク:

CVE-2021-35587 を利用してオラクルのレガシークラウド環境からデータが流出しました。約 80 の病院が影響を受けた可能性があります。

ロックスタールゲームズブリーチ:

Anodot というサードパーティ SaaS を介してスノーフレイクインスタンスが突破され、データが漏洩しました。主要なゲーム発売前に発生し、サードパーティ依存のリスクを浮き彫りにしました。

航空機 IT システムブリーチ:

2026 年 4 月 6 日、欧州主要空港（ヒースロー、シャルル・ドゴール、フランクフルト、コペンハーゲン）でのチェックインシステムが停止し、1,600 便以上が欠航または遅延しました。原因はコリンズアエロスペースの MUSE プラットフォームであり、これは単一のベンダーへの依存リスクを示しています。

中国国家超コンピューターブリーチ (FlamingChina):

2026 年初頭、天津 NSCC から約 10 ペタバイトのデータが流出したと報告されています（画像や国防関連資料含む）。
これは稀な中国国策計算施設への外部からの侵害であり、歴史的な非対称性が逆転しました。米国大手メディアは短期間しか報道しませんでした。

背景: ヴォルトタイフーンとソルトタイフーンという 2 つの中国系アクターがすでに米国のインフラに潜伏しており、2026 年の出来事はこれらの上に積み重なっています。

ホンダのケース: API 欠陥、パスワードリセットフローの悪用、ランサムウェアによるデータ漏洩など、複数回のインシデントが製造大手としての攻撃面を超えたセキュリティ未熟さを示しています。

2026 年 1 月〜4 月の主要なインシデントリスト:

1 月: イリノイ州/ミネソタ州システム（約 100 万人）、マッチファミリーシリーズブリーチ、Eurail アクセス、Microsoft Patch Tuesday (Office バグ APT28)、ナイキ・インベストガシ（調査）、レッドハット GitHub 侵害、ピケット USA、シャイニハンターズ vishing。
2 月: ブリッジペイランサムウェア、オディド不正アクセス、チェンジヘルスケア二度目攻撃、シスコ・カタリスト SD-WAN 脆弱性 (CVE-2026-20127)、APT28 欧州対ウクライナ、FBI ワイアタップ内部ネットワーク異常活動 (重大インシデント)、ミラノ/コルティーナオリンピックインフラ NoName057(16) DDoS、University of Mississippi Medical Center ランサムウェア、フランス FICOBA クレデンシャル弱点、アイアンマウンテン等。
3 月: ストライカーワイパー、Microsoft Teams vishing ヒントレポート、オラクルクラウドリーク (rose87168)、ロッキード・ martin28 エンジニア人件情報公開、欧州委員会 Europa クラウドブリーチ、キャッシュ・パテルメールダンプ、シスコ Trivy サプライチェーン、LiteLLM/メルクアブリーチ、Axios npm ハッキング、シャイニハンターズシスコ Salesforce 延命、メルクア公認ブリーチ、FlamingChina テレグラム公開。
4 月: UNC1069 Axios 帰属確認、Fortune メルクアブリーチ確認、メタメルクア契約停止、DOJ FBI 重大インシデント確認、航空機 IT システム欧州停電、アンソロピック Mythos AI モデルに関する財務省・連邦準備制度理事会/CB 緊急会議、ロックスタールゲームズ Anodot/スノーフレイクブリーチ確認、National Public Data29 億レコード流出、イェールニューヘイブンヘルスシステムブリーチ、3 月ランサムウェア672 件（キリン、アキラ、ドラゴンフォースが 40%）。

静寂の理由:

国策帰属の困難さ: 政治的リスクから、国策アクターと称するのを避け、「脅威アクター」という表現に留める傾向があります。
SaaS サプライチェーンの不快感: セキュリティ業界が自ら販売している構造を批判することは難しいため、自らの防衛限界（防衛すべきペリメーターの不在）について正直に語りにくいのです。
ニュースサイクルの疲弊: 過去の巨大なブリーチ（Equifax, Yahoo, SolarWinds など）を経験した結果、新たなインシデントへの感応度が低下し、過剰反応を避ける傾向があります。
AI 技術との比較: セキュリティベンダーが「AI パワード」防御製品を提供しているため、攻撃の AI 化について正直に議論することに商業的に抵抗がある可能性があります。

結論: 2026 年初頭の 100 日間で発生したこれらの事件は、コンピュータセキュリティ史にとって極めて重要な転換点であり、米国政府最高レベル（財務省・連邦準備制度理事会）での秘密裏の対話が公衆向けの静寂と対照的であることは歴史的に極めて興味深い現象です。

今年の狂気的なハッキング事件のタイムライン。

Japanese Translation:

同じ日のほかのニュース