ケニア2026年Q1のサイバー脅威急増:33億7000万件の検知イベントがユーティリティおよび電力網セキュリティチームに示唆するもの
2026年6月20日、ケニアの通信局(CA)は最新の四半期セクター統計報告書を公表し、国立ケニアコンピュータインシデント対応チーム調整センター(KE-CIRT/CC)が2026年1月~3月間に約33億7000万件のサイバー脅威イベントを検知したことを明らかにした。Dawan Africaによれば、オペレーティングシステム、データベース、ネットワークデバイスを含むコアプラットフォームに向けられた敵対的活動として定義されるシステム攻撃が、これらのインシデントのうち32億3000万件以上、つまり検知脅威全体の約96%を占めている。このデータは地域メディアがCAの主要報告書をまとめたものであり、まだ通信社による独立検証を受けていないが、国家規制当局自体の発表統計であるため、制度的な重みを持つ。セキュリティチームは報告された正確な数値をさらに広範な確認待ちで扱うべきだが、方向性の信号は明白である。ケニアの重要情報インフラは産業規模での調査および攻撃にさらされている。
脅威カテゴリーの内訳は、ユーティリティおよび電力網セキュリティのリーダーが分析の焦点を当てるべき場所である。マルウェア試行は四半期中に報告された6870万件に達し、前期比3.08%増となった。運用技術(OT)環境にとってより運用上重要なのは、ブルートフォース攻撃の8.41%上昇が記録されたことであり、約4640万件のインシデントに達している。ブルートフォースキャンペーンは、セキュリティが不十分なリモートアクセスゲートウェイおよびベンダーポータルと最も直結した攻撃ベクトルである — パンデミック後のリモート監視とベンダーアクセスプログラム拡大期間中、アフリカ東部のユーティリティネットワーク全体で急増した入口そのものである。Webアプリケーション攻撃も4.71%上昇して約1210万件のインシデントに達し、攻撃者は認証システム、Webブラウザ、データベースサーバーの弱点を利用していると報告されている。Webに露出したヒューマンマシンインターフェース(HMI)、カスタマーポータル、または請負業者アクセスシステムを実行しているユーティリティにとって、これらは抽象的な統計ではない。
DDoS活動は前期から大幅に減少したと報告されているが、それでも四半期中に約820万件を生成した — SCADA監視ネットワーク、運用ダッシュボード、顧客向け停電報告システムの可用性を低下させるのに十分な規模である。隣接するザンビアからの地域金融部門コメント(主要研究で引用)は、電力網、ユーティリティ、電気通信を「攻撃者の標的となっている重要インフラサービス」と明示的に識別し、この枠組みはCAのケニア内での標的特定に関する自らの特性化と一致する。この地域的な収斂は重要である。アフリカ東部の相互接続されたデジタルエコシステム全体で活動する脅威アクターは国境を尊重せず、ナイロビ、モンバサ、または二次電力網ノードのユーティリティは、ルサカやダルエスサラームの同業者と同じ脅威環境に直面している。CAが暗号資産交換とオンライン外国為替プラットフォームをハイリスク部門として別途指摘したことは、国家系統のグループだけでなく、経済的動機を持つアクターもケニアの脅威環境の活発で成長している構成要素であることを示唆している。
さらなる背景層は全体像から来る。CVE-2024-21762として追跡されるFortinet SSL-VPN脆弱性 — オープンソースセキュリティレポートで非公式ラベル「FortiBleed」の下で参照 — はCISAおよび国際パートナー機関からのアクティブエクスプロイト勧告の対象であり、ユーティリティ、電気通信、政府環境に広く展開されているVPNアプライアンスを含むネットワーク境界デバイスに対する使用を文書化している。帰属および搾取活動の完全な地理的範囲は継続中の調査の対象であり、ソース全体で異なる。セキュリティチームは影響を受けたプロダクトおよび推奨される対策について、最新のCISA勧告およびベンダー通知を直接参照する必要がある。異議の余地がないのは攻撃方法である:侵害されたネットワーク境界デバイスを経由した認証情報の収集は、ケニアのCAが2026年Q1で文書化したブルートフォースおよびネットワークデバイス標的化パターンに直接マッピングする。ハイブリッドIT-OT環境を管理するOT/ITセキュリティリーダーは、ネットワーク境界デバイス — ルータ、VPN集約装置、ファイアウォール — が国家データと並行するグローバルエクスプロイトキャンペーン両者の共有焦点のように見えることに注意すべきである。このデバイスクラスを標的とする。
ケニアおよびより広いアフリカ東部地域のユーティリティおよび電力網クライアントをサポートするGSOCおよびセキュリティ運用センターにとって、実際的な示唆は、この四半期の開示は一般的なIT準拠メトリクスではなくセクター関連の脅威インテリジェンスとして扱われるべきであるということである。システム攻撃カテゴリーへの96%の脅威の集中は、IT バックオフィス機能とOT監視インフラの両者を支える正確なアセットクラス — ネットワークデバイス、データベース、オペレーティングシステム — に対する継続的で大量の偵察およびエクスプロイト試行を示している。ブルートフォースおよびWebアプリケーション攻撃の増加した規模は、認証情報の収集およびアプリケーション層エクスプロイトを好ましい初期アクセス手法として継続的な敵の関心を示す。外部攻撃面への現在の可視性がないセキュリティチーム — 特にレガシーリモートアクセスインフラ、パッチが当たっていないWebアプリケーション、ベンダー管理ネットワークノード — は、この環境で実質的に不完全な脅威像で運用している。インシデントテレメトリーにジオスパティャルインテリジェンスおよびOSINTプラットフォームデータを重ねることで、チームは脅威活動スパイクを並行する地域イベント — インフラ投資発表、政治的緊張点、またはセクター固有の規制開示 — と相関させることができ、歴史的に高価値ネットワークアセットに対する標的キャンペーンに先行する。
参考資料
Dawan Africa — Kenya hit by 3.37 billion cyber threats in Q1 2026, CA warns
CISA — Known Exploited Vulnerabilities Catalog: CVE-2024-21762 (Fortinet FortiOS)
本記事は状況認識のためのみであり、リスク勧告ではない。