東京セキュリティブリーフィング 2026年03月04日（水曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年3月4日、水曜日です。本日も、昨日公開されたセキュリティニュースの中から、特に注目すべき事案をご紹介していきます。

ヘッドライン

本日お伝えするのは、中東での軍事紛争に関連する大規模なサイバー活動、Google Chromeのセキュリティ脆弱性、AIを活用した新型マルウェア、そして複数の脆弱性による重要インフラへの脅威など、極めて深刻な情報セキュリティの現況です。

詳細解説

中東紛争とハイブリッド型サイバー作戦の急速な展開

本日のニュースで最も注目すべき話題は、中東地域における前例のないハイブリッド型のサイバー活動の急激な拡大です。2026年2月28日に実行された米国とイスラエルによる軍事作戦「エピック・フューリー作戦」に続き、イランは極めて大規模で組織的なサイバー報復キャンペーンを開始しました。

CloudSekの報告によると、この軍事攻撃の直後、イランのデジタルインフラは甚大な混乱に陥りました。インターネット接続は通常時の約4パーセントにまで低下し、事実上のインターネット遮断状態に陥りました。政府機関、公式メディア、エネルギーセクター、そして航空セクターが深刻な影響を受けたと伝えられています。

より詳細には、この混乱は複数の原因によって発生したと考えられています。イランの指導部、軍事施設、核関連施設を標的とした米国とイスラエルの共同攻撃の後、イランのデジタルインフラを混乱させるための大規模なサイバー作戦が並行して実行されました。報告によると、この作戦は電子戦争能力としてのジャミング、圧倒的なDDoS爆撃、そしてエネルギーおよび航空セクターのデータベースへの深刻な浸透を含んでいました。

このサイバー作戦と軍事行動の統合化は、現代戦争の新しい段階を示しています。Googleの脅威インテリジェンス責任者ジョン・ハルトキストは、イランが「確実に」中東およびその先の広範な目標に対するサイバー攻撃で報復すると警告しました。彼の分析によると、イランは過去数年間、複雑で長期的なサイバー作戦を実施してきた実績があります。

イランの過去のサイバー活動を振り返ると、2011年から2013年にかけて米国の金融ウェブサイトを無効にした事案、2014年のラスベガスサンズカジノからのデータ消去事案、そしてイラン革命防衛隊司令官カセム・ソレイマニの死後のウェブサイト改ざん事案があります。加えて、2020年と2021年の米国選挙当局者への脅迫キャンペーンも確認されています。

現在の情勢において、Halcyonのシニア副社長で元FBI サイバー部門幹部のシンシア・カイザーは、イランが分散型サービス拒否（DDoS）ボットネット「HydraC2」、ハクティビストグループ「Handala」、およびランサムウェアグループ「Sicarii」からの行動呼びかけを観察していると述べました。2月28日から3月1日の間に、オープンチャネル全体で150以上のハクティビスト事件が記録されました。

これらの作戦は主にDDoS攻撃、ウェブサイトの改ざん、そして未確認のデータ漏洩請求が含まれており、政府、銀行、航空および通信セクターを標的としています。

英国の国家サイバーセキュリティセンター（NCSC）は、現在のところイランからの英国への直接的なサイバー脅威に重大な変化はないと述べていますが、状況は流動的であり、中東にオフィスまたはサプライチェーンを持つ組織に対する間接的なリスクが高まっていると警告しています。

Google ChromeのGemini Live脆弱性：複数のセキュリティリサーチが報告

第二の主要なニュースとして、Google Chromeに深刻なセキュリティ脆弱性が発見されたことをお伝えします。CVE-2026-0628として追跡されているこの脆弱性は、Chrome に組み込まれたAIアシスタント「Gemini Live」の実装において発見されました。

Palo Alto Networks の Unit 42 研究チームが発見したこの脆弱性により、悪意のある拡張機能は Gemini Live サイドパネルへのネットワークリクエストをインターセプトし、改ざんすることが可能でした。その結果、基本的な権限しか持たない拡張機能でも、本来はより高度な権限を必要とする機能にアクセスできてしまいました。

具体的には、攻撃者が不正な拡張機能をインストールさせることで、以下のことが可能になりました：ユーザーの许可なしにカメラまたはマイクを起動すること、ローカルファイルを読み取ること、任意のウェブサイトのスクリーンショットを撮ること、そして信頼できるインターフェイスを装ったフィッシング攻撃を実施することです。

Unit 42は2025年10月に責任を持って開示しました。Googleは2026年1月にChrome更新を通じてパッチを適用しました。ユーザーは直ちに更新し、疑わしい拡張機能を削除する必要があります。

セキュリティ研究者からの指摘では、このような脆弱性が存在した理由として、Chrome が AI 機能をコア構成要素と深く統合する際に、従来の拡張機能隔離モデルとの相互作用を十分に検討しなかったことが挙げられます。

AI駆動型攻撃の急速な進化

複数のセキュリティ脅威アクターが、AI を活用した新しい攻撃ツールを積極的に展開し始めています。Team Cymru の脅威インテリジェンス研究者は、「CyberStrikeAI」というオープンソースのAI駆動型ペネトレーションテストツールが、Fortinet FortiGate デバイスを大規模に標的にしているところを観察しました。

このツールは、Go言語で記述されており、100以上のセキュリティツールを統合しています。2025年11月に最初に公開されましたが、脅威アクターによる採用は2026年1月20日から2月26日の間に劇的に増加しました。この期間、21個のユニークなIPアドレスから CyberStrikeAI を実行していることが検出されました。

Amazon Threat Intelligence が特定したキャンペーンでは、IPアドレス 212.11.64.250 が2026年1月11日から2月18日にかけて、55カ国以上で600台以上の FortiGate デバイスを侵害しました。

開発者の GitHub プロフィールを調査した結果、CyberStrikeAI の開発者「Ed1s0nZ」が中国の国家安全保障機関との関連性を持つことが示唆されています。特に注目される点として、2025年12月19日、Ed1s0nZ は CyberStrikeAI を Knownsec 404 Starlink Project に提出しました。このプロジェクトは中国国務院傘下の機関との関連が文書化されています。

攻撃の特徴として、CyberStrikeAI のオペレーターは、AI を使用して段階的な攻撃計画、コマンドシーケンス、および悪用方法を自動的に生成していました。ゼロデイ脆弱性は必要ありませんでした。代わりに、彼らはインターネットに露出した管理ポートと弱いシングルファクタ認証に依存していました。

Ivanti接続セキュアの脆弱性による重要インフラの危機

別の重大な脅威として、Ivanti Connect Secure デバイスを標的とした「RESURGE」というマルウェアについて、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が警告を発表しました。

CVE-2025-0282 として追跡されている脆弱性はスタックベースのバッファオーバーフローで、Ivanti Connect Secure、Policy Secure、および ZTA Gateways に影響します。

RESURGE マルウェアは、Web シェルを作成し、システム整合性チェックをバイパスし、ファイルを変更するコマンドを含んでいます。これらの機能により、攻撃者は以下の活動を実行できます：任意のコードの実行、データベースアクセスの獲得、永続的なバックドアの設置、そしてシステムの完全な制御の確立です。

特に懸念される点として、RESURGE はリブート後も永続化でき、継続的な悪意のあるアクションの実行が可能です。オランダの司法施設局は、Ivanti EPM モバイルデバイス管理システムの脆弱性を悪用された侵害により、職員データが流出し、公式モバイルデバイスの管理が危機的な状況に陥ったことを報告しています。

攻撃者はこの脆弱性を悪用して、最低5ヶ月間、オランダ司法施設局のIT基盤内に駐留していました。侵害を受けた職員のメールアドレス、電話番号、デジタル証明書にアクセスが得られました。刑務官および部門長の連絡先の露出は、強要、恐喝、および標的型脅迫のリスクを著しく高めます。

その他の重大な脅威：脆弱性と侵害事案

複数の組織が大規模なデータ侵害とセキュリティインシデントを経験しています。ハワイ大学がん研究センターは、疫学部門へのランサムウェア攻撃の結果として、最大120万人の個人情報が漏洩したことを確認しました。

盗まれた情報には、社会保障番号と運転免許証番号、1998年のホノルル市郡の投票者登録記録が含まれています。流出の調査は現在も進行中であり、他の機密情報がアクセスされたかどうかを確認しています。

ミシシッピ大学医学部附属センターは、ランサムウェア攻撃により、Epic 電子健康記録システムがオフラインになった後、1週間以上経過してから州全体のクリニックを再開しました。

さらに、韓国の国税庁（NTS）は、押収されたLedger ハードウェアウォレットのニモニック種子フレーズを不注意で暴露し、約480万ドルのデジタル資産を盗むことを可能にしてしまった事案が報告されています。プレスリリースで、当該ウォレットの写真が公開されたとき、手書きのニモニック復旧フレーズも含まれていました。

認証情報盗難とフィッシング攻撃の進化

新しいフィッシングキャンペーン「GTFire」が発見されました。このキャンペーンでは、Fire base やGoogle Translateなどの正当なGoogleサービスを悪用して、セキュリティ防御を回避し、ユーザーの認証情報を収集しています。

GTFire スキームは、Google が所有するインフラストラクチャを使用して偽のログインページをホストし、悪質なURL を偽装しています。攻撃者は検出を回避しながら、世界中の組織に侵入することが可能になっています。

Telegram プラットフォームが、攻撃ライフサイクルの複数の段階を単一のプラットフォームに集約する犯罪インフラストラクチャとして悪用されていることが報告されています。Telegram のチャネルベースアーキテクチャにより、脅威行為者は中断から迅速に回復できます。1つのチャネルが削除された場合、オペレータは置換を立ち上げて、加入者を数分で移行させることができます。

量子耐性HTTPSの実装に向けた動き

Google Chrome チームは、量子コンピュータの脅威からHTTPS接続を保護するための新しいイニシアチブを発表しました。このプロジェクトでは、マークルツリー証明書（MTC）と呼ばれる新しい暗号化メカニズムが導入される予定です。

現在の量子耐性暗号アルゴリズムはより大きなキーサイズを要求し、接続を遅くし、帯域幅の使用量を増やすという課題があります。マークルツリー証明書は、従来のX.509証明書への軽量でスケーラブルな代替手段として設計されています。

複数の大きな暗号署名をチェーンする代わりに、MTC は認証局によって署名された単一の「ツリーヘッド」に関連付けられたコンパクトな暗号証明システムを使用します。このツリーヘッドは何百万もの証明書を安全に表すことができます。

Google は、MTC を Chrome のセキュリティアーキテクチャに安全かつ段階的に統合するための3段階のロールアウト戦略を概説しています。フェーズ1 は現在進行中であり、Cloudflare との実現可能性研究が含まれています。フェーズ2 は2027年第1四半期に予定されており、フェーズ3 は2027年第3四半期に計画されています。

クロージング

本日お伝えしたセキュリティニュースは、世界的なサイバー脅威の複雑化と深刻化を如実に示しています。中東での軍事紛争とサイバー活動の融合、AI駆動型攻撃ツールの悪用、重要インフラへの継続的な脅威、そして個人のプライバシーに関わるデータ侵害が同時に進行しています。

セキュリティ専門家からの提言としては、組織は以下の対策を優先すべきとされています：多要素認証の実装、セキュリティアップデートの迅速な適用、ネットワーク監視の強化、そして特に中東地域や海外に関連を持つ組織では、リスク態勢の見直しとインシデント対応計画の策定です。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。