2026年6月に観測されたサイバー攻撃の傾向を、公開情報をもとに整理しました。本レポートは中堅企業の情報システム部門・セキュリティ担当者向けに、今月特に警戒すべき脅威動向と推奨対策をまとめています。AEVUSセキュリティブログでは毎月最新の攻撃トレンドをアップデートしてお届けします。
2026年6月は、クラウドインフラへの不正アクセスとAI技術を悪用した詐欺が引き続き猛威を振るいました。特に注目すべきは、Microsoft Entra IDやOktaをターゲットにしたID窃取攻撃の件数が前月比で約30%増加した点です。また、生成AIの進化を背景に、経営幹部の音声をリアルタイムで合成するディープフェイク詐欺が国内でも確認され始め、従来型のBEC(ビジネスメール詐欺)とは一線を画す新しいソーシャルエンジニアリングの手口として業界全体に衝撃を与えています。
さらに、長らくWindowsが主な標的とされてきたランサムウェアの世界でも変化が起きています。クラウドネイティブ環境やオンプレミスのLinuxサーバーを直接狙う亜種が増加しており、仮想化基盤(VMware ESXiなど)を含む企業インフラの根幹部分が標的となるケースが増えています。以下では各トレンドの詳細と対策を解説します。
2026年6月の主要トレンド3選
トレンド1 — クラウドサービスを狙ったID窃取攻撃の急増(Entra ID・Okta等)
2026年6月において最も観測件数が多かった攻撃手口は、クラウドIDプロバイダーを標的にしたクレデンシャルスタッフィング及びフィッシング攻撃です。Microsoft Entra ID(旧Azure AD)やOkta、Google Workspaceの管理者アカウントを狙い、MFA(多要素認証)疲労攻撃(MFA Fatigue)や中間者フィッシング(AiTM: Adversary-in-the-Middle)を組み合わせることで、MFAを突破するケースが報告されています。
AiTM攻撃では、正規のログインページに酷似したフィッシングサイトをリバースプロキシとして機能させ、被害者が入力したID・パスワード・MFAトークンをリアルタイムで奪取します。その結果、セッションクッキーが窃取され、MFAを設定していても不正ログインを許してしまうという深刻な問題が発生しています。攻撃者はその後、条件付きアクセスポリシーの改ざんや新規管理者アカウントの作成、他のSaaSサービスへの横展開を行い、組織全体のクラウド環境を掌握しようとします。
特に中堅企業では、クラウド移行後もIDガバナンスが追いついておらず、長期間使用されていないゾンビアカウントや、過剰な権限を付与されたサービスプリンシパルが放置されているケースが多く見られます。攻撃者はこうした管理の隙を突いて侵入し、長期間気づかれずに潜伏します。CASB(クラウドアクセスセキュリティブローカー)の導入やEntra ID Protection・Okta ThreatInsightといった脅威検知機能の有効化が急務です。
攻撃手法 | 主な標的 | 対策の優先度 |
|---|---|---|
AiTM フィッシング | Entra ID、Okta 管理者 | 最高 |
MFA Fatigue(疲労攻撃) | 全クラウドSaaSユーザー | 高 |
クレデンシャルスタッフィング | 未使用・弱パスワードアカウント | 高 |
サービスプリンシパル悪用 | クラウドAPI・自動化スクリプト | 中 |
トレンド2 — AIを悪用したディープフェイク音声による経営幹部詐欺(BEC 2.0)
生成AI技術の急速な進化により、経営幹部の音声をリアルタイムで複製したディープフェイク音声通話を用いた詐欺(BEC 2.0とも呼ばれる)が、2026年に入り国内でも本格的な被害事例として報告されるようになりました。従来のBECがメールを主な攻撃ベクターとしていたのに対し、BEC 2.0ではTeamsやZoomなどのビジネスコミュニケーションツール上でのリアルタイム音声・映像通話を悪用します。
典型的な攻撃シナリオは以下の通りです。攻撃者はまず、LinkedInや企業ウェブサイト、カンファレンス登壇動画などから経営幹部の音声サンプルを収集します。次に商用または自作のAI音声合成ツールを使って、対象人物の声質を模倣したモデルを構築します。攻撃当日、財務担当者に対し「CFOから緊急の振込指示」という形で電話をかけ、ディープフェイク音声でリアルタイムに会話を成立させます。被害者は声の主がCFO本人であると信じて疑わず、数千万円規模の不正送金を実行してしまうケースが起きています。
この攻撃の恐ろしい点は、従来の「不審なメールに注意」という啓発だけでは対処できないことです。組織として「音声や映像だけでは本人確認をしない」「一定金額以上の振込には複数経路での確認を必須とする」などのプロセス的な対策と、従業員向けの定期的なシミュレーション訓練が不可欠となります。また、ディープフェイク検知ツールのビジネス向けソリューションも2026年現在では市場に出始めており、リスクの高い組織での導入検討が始まっています。
トレンド3 — Linuxサーバーを標的にしたランサムウェアの増加
2026年6月は、LinuxおよびVMware ESXi環境を直接標的にするランサムウェアグループの活動が活発化した月として記録されています。従来のランサムウェアはWindowsエンドポイントを主な標的としていましたが、企業がクラウドネイティブ化・仮想化を進めるにつれ、攻撃者の標的もシフトしています。Linuxベースの仮想化ホストを暗号化することで、その上で動作するすべてのVMを一度に人質にとれるため、攻撃の効率が飛躍的に高まるためです。
観測された主な攻撃グループとして、BlackBastaやAkiraの後継とされる新興グループが、Linuxのcrontabや起動スクリプトに悪意あるペイロードを仕込み、特定の日時に一斉実行するタイムボム型の手法を採用しています。初期侵入経路としては、VPN装置やSSHのブルートフォース、Webアプリケーションの脆弱性(特にApache、nginx、PHPの既知CVE)が引き続き多く使われています。侵入後は長期潜伏し、バックアップサーバーを含む重要システムを特定した上で一斉暗号化を行うため、バックアップの安全性確保が対策の最重要ポイントとなります。
中堅企業においては、Linuxサーバーに対するEDR(エンドポイント検知・対応)ソリューションの導入率がWindowsと比べて著しく低い傾向があります。「Linuxは安全」という神話は完全に過去のものとなっており、WindowsとLinux両方を統一的に監視できるXDR(拡張型検知・対応)プラットフォームの整備が急務です。
業種別 注目すべき脅威
サイバー攻撃は業種を選ばず発生しますが、狙われやすい資産や侵入経路、要求される身代金の規模は業種によって異なります。以下では2026年6月時点での業種別の脅威動向を整理します。
金融機関
金融機関では、オープンバンキングAPIを悪用した不正アクセスと、インターネットバンキングを狙ったフィッシング詐欺の高度化が引き続き深刻です。特に2026年6月は、金融庁が注意喚起を行うほど、SMSを用いたスミッシング(SMSフィッシング)の件数が急増しました。また、SWIFT(国際銀行間通信協会)ネットワークに接続する証券会社や地方銀行を狙った標的型攻撃も報告されており、サードパーティのFinTechベンダー経由のサプライチェーンリスク管理が一層重要になっています。
製造業
製造業においては、OT(オペレーショナルテクノロジー)環境とITネットワークの融合点が最大のリスクポイントです。2026年6月には、国内の自動車部品メーカーや精密機器メーカーを狙ったランサムウェア攻撃が複数確認されており、生産ラインの停止や出荷遅延に直結する被害が発生しています。工場のPLC(プログラマブルロジックコントローラー)やSCADAシステムはパッチ適用が困難なレガシー機器が多く、長期間未修正の脆弱性が残存しています。
医療・ヘルスケア
医療機関は依然としてランサムウェアグループにとって最も収益性の高いターゲットの一つです。患者の診療記録・個人情報を人質にした二重恐喝(暗号化+データ公開脅迫)が横行しており、身代金の支払い拒否時に機微な医療情報がダークウェブで公開される事例が国内でも発生しています。
小売・EC
小売・EC業界では、Webスキミング(Magecartスタイルの攻撃)とカード情報を狙ったフォームジャッキング攻撃が継続して観測されています。2026年6月は夏季セールシーズンを前にした時期と重なり、攻撃者がトラフィックの増大に乗じて不正なJavaScriptを決済フォームに埋め込む事例が増えています。
今月の推奨対策チェックリスト
- フィッシング耐性MFAへの移行確認:FIDO2/パスキーやCertificate-Based Authenticationへの段階的移行計画を策定・推進してください。特に管理者アカウントおよび特権ユーザーから優先的に対応することを推奨します。
- クラウドIDの棚卸しと不要アカウント・権限の削除:90日以上サインインのないアカウント、過剰な管理者権限を持つアカウント、不審なサービスプリンシパルやOAuthアプリ連携を洗い出し、最小権限の原則に基づいて整理してください。
- 振込・送金プロセスへの二重確認ルールの制定:BEC 2.0(ディープフェイク音声詐欺)対策として、一定金額以上の振込指示は「音声・映像のみでは承認しない」「別の通信手段での二重確認を必須とする」などの業務ルールを文書化し、財務・経理部門に周知徹底してください。
- LinuxサーバーへのEDR/XDR展開状況の確認:自組織のLinuxサーバー(オンプレミス・クラウド双方)にエンドポイント保護が適切に展開されているかを確認してください。
- バックアップの3-2-1-1ルール遵守と復旧テスト実施:3つのコピー・2種類の媒体・1つはオフサイト・1つはオフライン(またはイミュータブルクラウドストレージ)という3-2-1-1ルールに基づいたバックアップ体制を確立し、定期的な復旧テストを実施してください。
- VPN・リモートアクセス装置の脆弱性対応優先化:FortiGate、Ivanti、Citrix等のVPNアプライアンスに対するゼロデイ・既知脆弱性の悪用は初期侵入経路であり続けています。パッチ適用のSLAを組織内で定めてください。
- サードパーティ・サプライチェーンリスクの定期評価:重要なサービスを提供するサードパーティに対してISO 27001認証の取得状況確認やセキュリティ調査票の送付・確認を定期的に実施してください。
まとめ
2026年6月のサイバー脅威動向を振り返ると、「クラウドとIDの境界」「AI悪用による人的判断の欺瞞」「インフラ直撃型ランサムウェア」という3つの軸が明確に浮かび上がります。攻撃者はもはや、エンドポイントのマルウェア対策だけでは検知・阻止できない多層的な手口を組み合わせており、技術的対策と組織的プロセスの両輪での対応が不可欠です。
2026年7月以降については、AIエージェントを悪用した自律型攻撃キャンペーンの本格化が警戒されています。また、夏季休暇シーズンに合わせた標的型攻撃(情シス担当者の不在を狙ったインシデント)も毎年観測されており、インシデント対応体制のBCP整備と対応フローの事前確認を強く推奨します。
AEVUSのセキュリティ支援サービス
AEVUSでは、中堅企業向けにクラウドセキュリティアセスメント、インシデント対応支援、セキュリティ教育・訓練などのサービスを提供しています。貴社のセキュリティ課題に応じた最適な支援をご提案しますので、まずはお気軽にご相談ください。
