知的財産を狙う中国とAI活用型サイバー犯罪者——ITセクターへの脅威が拡大

Dive Brief:

• CrowdStrikeは火曜日に公開したITセクターの脅威動向に関する年次レポートで、中国政府に連なるハッカーがITセクターの企業にとって最も深刻な脅威であると指摘しています。レポートはITセクターの脅威動向に関する年次報告書として公開されています。
• CrowdStrikeのレポートによると、2025年4月から2026年3月の間、北京に仕えるサイバー工作員はあらゆるセクターの中でテクノロジーセクターを最も頻繁に標的にしており、その背景には「重要な先端技術分野における技術的自立と競争優位の確立という北京の戦略的命題への対応」があると見られています。
• 同レポートはさらに、北朝鮮やサイバー犯罪グループ、その他の脅威アクターによる脅威についても詳述しています。

Dive Insight:

CrowdStrikeのレポートは、12カ月間のデータ収集期間中にITセクターに対して重大なサイバー攻撃を仕掛けた多数の脅威アクターを網羅的に記録しています。その多くは、長年にわたってこのセクターを脅かし続けてきた常連のハッカーグループです。

中国に関連する主要な活動としては、「下流の政府顧客にZimbraソリューションを提供する東南アジアのテクノロジー企業」を標的にしたSunrise Pandaの攻撃、Microsoft Azureユーザーへのパスワードスプレー攻撃（CrowdStrikeによると、主に米国を拠点とする340以上の組織が複数のセクターにわたって影響を受けた）を展開したMurky Panda、そしてVMwareの脆弱性を悪用してBrickstormマルウェアを展開したWarp Pandaが挙げられます。

「テクノロジー関連企業は総じて、中国に関連する脅威アクターにとって戦略的な標的となっています」とCrowdStrikeのアナリストは記述しています。「そうした企業へのアクセスは高価値な情報収集を可能にするとともに、下流の顧客環境へのアクセスも提供し、サプライチェーン侵害につながる可能性があるためです。」

北朝鮮のアクターもITセクターへの攻撃に強く注力していました。リモートITワーカー工作に加え、平壌はオープンソース開発者間の信頼関係を悪用して広く使われているパッケージを汚染し広範なスパイ活動を可能にしました。CrowdStrikeによると、北朝鮮の工作員は開発者をだましてマルウェアに感染したGitリポジトリをクローンさせ、macOSおよびLinuxコンピューターへの侵入を果たしたとのことです。

CrowdStrikeは、中国の活動はその高度な巧妙さが懸念される一方、北朝鮮の活動は攻撃量の多さが際立っていると指摘しています。北朝鮮に関連するグループであるFamous Chollimaは、IT企業への政府連動型サイバー攻撃全体の47%を占めていました。

報告期間中のサイバー犯罪活動には、Scattered SpiderやShinyHuntersによる攻撃のほか、比較的新しいグループCrimson CollectiveによるRed Hat Consultingへのハッキングも含まれています。後者では、機密性の高い顧客インフラや設定情報を含む570GBのデータが流出したとされています。

CrowdStrikeによると、報告期間中のITセクターへの攻撃の65%がサイバー犯罪によるものでした。ハッカーグループはリークサイト上で572のテクノロジー企業を恐喝していると主張し、ダークウェブのフォーラムでは277のテクノロジー企業の侵害情報が売買されており、前年比で約30%増加しています（フォーラム全体では4,550件の侵害情報が掲載されていました）。

サイバー犯罪者はAIを積極的に活用しており、自動化ツールを使って認証情報収集スクリプトを生成したり、防御側が証拠を保全するよりも速くフォレンジックの痕跡を消去したりしています。また、セキュリティが不十分なAIプラットフォームも脅威アクターに付け入る隙を与えています。2026年初頭の数カ月間には、複数の犯罪グループがAIエージェント「OpenClaw」の脆弱性を利用して、新たなmacOS向け情報窃取型マルウェア「Skrawl」を含むマルウェアを配布しました。

CrowdStrikeによると、報告期間中に最も多くのサイバー攻撃を受けたのは北米のIT企業で、セクター全体の侵害の45%、データリークサイトに掲載された恐喝被害者の49%を占めていました。