【セキュリティニュース】2026年3月21日号(第2版)|Chromeゼロデイ緊急対応・警察庁2025年脅威報告・サプライチェーンランサム
secure
Google / CISA | 2026年3月13日
Chromeに2件のゼロデイ脆弱性、悪用確認済み──Edge・Operaも緊急アップデートが必要
Googleは2026年3月、Google Chromeに存在する2件のゼロデイ脆弱性(CVE-2026-3909・CVE-2026-3910)を修正する緊急セキュリティアップデートを公開しました。いずれも実際の攻撃での悪用が確認されており、米国のサイバーセキュリティ機関CISA(Cybersecurity and Infrastructure Security Agency)は3月13日に既知悪用脆弱性(KEV)カタログに追加し、注意喚起を発しています。
CVE-2026-3909はChromeのグラフィック処理エンジン「Skia」に存在する領域外メモリ書き込みの脆弱性です。CVE-2026-3910はJavaScript実行エンジン「V8」の脆弱性で、細工されたHTMLページを開くだけで任意コードが実行される可能性があります。両脆弱性のCVSSスコアはいずれも8.8(高)と評価されています。
ChromeをベースとするMicrosoft Edge、Opera、Vivaldi等のChromiumベースブラウザにも同様の脆弱性が存在します。Operaはすでに修正アップデートを公開しており、Edgeについても順次対応が進んでいます。
社内でWebブラウザとしてChromeやEdgeを使用している場合、このまま放置すると悪意あるWebページを閲覧しただけでシステムを乗っ取られる可能性があります。攻撃はすでに発生中であり、「特定の組織だけが狙われる」類の脅威ではなく、不特定多数を対象にした攻撃も想定されます。
- Chromeを開き、右上の「…」メニュー →「ヘルプ」→「Google Chromeについて」を選択。最新バージョンが自動適用されるので、再起動ボタンが表示されたら必ず再起動する
- Microsoft Edgeも同様に「設定」→「Microsoft Edgeについて」から更新状況を確認する
- 社内で複数台のPCを管理している場合は、全端末のブラウザを当日中に更新するよう周知する
- 更新後にバージョン番号を記録しておくと、後で適用済み確認がしやすい
警察庁 サイバー警察局 | 2026年3月10日公表
警察庁が2025年サイバー脅威の年次報告を公表——フィッシング245万件超・ランサム226件、いずれも深刻水準
警察庁は2026年3月10日、「令和7年(2025年)におけるサイバー空間をぁぐる脅威の情勢等について」を公表しました。2025年通年のサイバー犯罪・サイバー攻撃の実態がまとめられており、中小企業にとっても直接参照すべき内容が並んでいます。
主要データ一覧
| 区分 | 件数・被害額 | 前年比 |
|---|---|---|
| ランサムウェア被害件数 | 226件 | +4件(過去2番目) |
| フィッシング報告件数 | 245万4,297件 | +42.9%(過去最多) |
| 証券フィッシングによる不正取引被害額 | 約7,400億円 | 大幅増(前年比数倍規模) |
| ネットバンキング不正送金 件数 | 4,677件 | 過去最高 |
| ネットバンキング不正送金 被害額 | 約102億円 | 過去最高 |
| SNS型投資詐欺・ロマンス詐欺 被害額 | 約1,827億円 | +43.6%(過去最多) |
ランサムウェア被害226件のうち、ウイルス種別が特定された149件のうちでは「Qilin」が32件で最多、次いで「LockBit」が19件と続いています。侵入経路は引き続きVPN機器の脆弱性悪用とリモートデスクトップ(RDP)の不正利用が中心です。
フィッシング報告が前年比約43%増の245万件超に達した背景には、AI生成による日本語の巧妙なフィッシングメール・SMSの急増があります。証券会社を装ったフィッシングによる不正取引被害は約7,400億円と突出しており、個人の証券口座を標的にした攻撃が組織的・大規模化しています。
ランサムウェア226件は「大企業だけの問題」ではなく、取引先・委託先を経由したサプライチェーン攻撃の事例も多数含まれます。フィッシングは従業員個人のメール・SMS・SNSを入口に社内ネットワークへ侵入するケースが増えており、「本人が気づかないうちに認証情報を奪われる」パターンが主流です。ネットバンキングを業務で使用している場合、不正送金のリスクも見落とせません。
- 【フィッシング対策】メールや SMS に含まれるURLは直接クリックせず、公式サイトをブックマークから開く運用を徹底する
- 【ネットバンキング対策】業務用のネットバンキングには多要素認証(MFA)を設定し、振込等の操作は専用端末に限定することを検討する
- 【ランサム対策】VPN機器のファームウェアを最新版に更新し、RDPはVPN経由のみに制限する(先週号の推奨対応を未実施の場合は優先して着手する)
- 【証券口座】業務で証券口座を管理している場合は、証券会社が提供するアクセス制限設定(IPアドレス制限等)を活用する
東京都 / シード・プランニング | 2026年3月6日〜19日
東京都委託先・シード・プランニングにランサム攻撃——個人情報漏えいの可能性、サプライチェーンリスクの実例
市場調査会社の株式会社シード・プランニングは、2026年3月2日早朝、社内端末の一部がランサムウェアに感染しファイルが暗号化される被害を受けました。同社は全ネットワークを即時遮断し、外部専門家を交えた調査を開始。東京都水道局への報告(3月6日・9日)により、東京都が複数の業務を委託していた協力会社への被害であることが明らかになりました。
東京都から同社に委託されていた業務は、政策連携団体等の手続デジタル化に係る調査、屋外広告物規制に係る調査、がん検診の対象人口率等調査など複数にわたります。個人情報の漏いについては現時点で調査中ですが、漏いの可能性があるとして東京都も情報開示を行っています。なお、3月19日の報道では東京都教育委員会が委託していた業務も含まれていた可能性が指摘されています。
この事案はいわゆるサプライチェーン攻撃の典型例です。攻撃者は規模の大きい発注元(東京都)を直接狙うのではなく、セキュリティ対策が相対的に手薄な委託先・協力会社を入口として情報にアクセスします。大手企業・官公庁の取引先や外注先になっている中小企業が、まさにこの構図の標的になりえます。
大企業・官公庁の委託先・協力会社として仕事を受けている中小企業は、発注元の個人情報や業務データを預かっている場合があります。自社が攻撃されることで取引先に損害を与え、取引停止・損害賠償・信頼失墜につながるリスクがあります。「委託を受けているから自分もセキュリティ対策をしなければならない」という認識が現在の中小企業には求められています。
- 発注元から提供された個人情報・機密データがどの端末に保存されているかを棚卸しし、アクセス権限を必要最小限に絞る
- 外部からのリモートアクセス手段(VPN・RDP・クラウドストレージ等)の一覧を作成し、不要なものは閉じる
- 重要データは定期バックアップを実施し、バックアップをネットワークから切り離した状態で保管する(ランサムウェアに感染してもバックアップが暗号化されないようにする)
- 取引先・発注元からセキュリティに関する書面(情報セキュリティチェックシート等)の提出を求められた際は、回答内容を実態に合わせて誠実に記載し、不備があれば速やかに改善計画を示す
編集部まとめ
今週の3本に共通するのは「対応の緊急度が高い」という点です。Chromeの更新は今日中に全PCで完了させてください。警察庁の統計が示す通り、フィッシングとランサムウェアは引き続き中小企業にとって最大の脅威であり、特にVPN・RDP経由の侵入と、フィッシングによる認証情報窃取が主な入口です。シード・プランニングの事案は「取引先になっている中小企業も攻撃対象になる」という現実を改めて示しています。
セキュリティ対策の優先順位は「ブラウザ更新(即日)→バックアップ確認(今週)→VPN・RDP設定見直し(今月中)」の順で進めると現実的です。
参考情報
- Google / CISA「CVE-2026-3909・CVE-2026-3910に関する注意喚起」(2026年3月13日)
- Security NEXT「連日『Chrome』が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処」
- 警察庁 サイバー警察局「令和7年におけるサイバー空間をぁぐる脅威の情勢等について」(2026年3月10日公表)
URL: https://www.npa.go.jp/news/release/2026/20260310001.html - ScanNetSecurity「ランサムウェア攻撃被害のシード・プランニング、東京都も業務を委託」(2026年3月19日)
- 東京都水道局「委託先協力会社におけるサイバー攻撃被害について」(2026年3月6日)
