東京セキュリティブリーフィング 2026年03月05日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。このPodcastは、日本のセキュリティ担当者向けに、世界のサイバーセキュリティの最新動向をお届けしています。本日は2026年03月05日、木曜日です。昨日公開されたセキュリティニュースの中から、特に重要で緊急度の高いニュースをお届けしていきます。

ヘッドライン

本日の主要ニュースをご紹介します。

まず、複数のセキュリティ企業が報道しているiOS向けの強力なエクスプロイトキット「Coruna」が、ロシアや中国の脅威アクターに拡散している問題。これは23個の脆弱性を含む非常に危険なツールです。

次に、MicrosoftとGoogleのOAuth認証機能を悪用した新しいフィッシング攻撃が、政府機関を標的に使用されていることが明らかになりました。

さらに、Anthropic社のClaudeをめぐる米国防総省との対立が激化し、同時に中国の企業がClaudeの情報を大規模に収集していることが判明しました。

そして、イランのサイバー活動が急速に高まっており、中東地域の緊張がサイバー空間にも影響を与えています。

詳細解説

Coruna iOS エクスプロイトキット - 最初の大規模iOS攻撃

最も重要なニュースから始めます。Google脅威インテリジェンスグループが「Coruna」と名付けたiOS向けエクスプロイトキットが、複数のセキュリティ企業によって報道されています。このキットは非常に危険であり、状況が深刻化しています。

Corunaは5つの完全なエクスプロイトチェーンと合計23個のエクスプロイトで構成されています。iOS 13.0から17.2.1までのバージョンを標的にしており、2019年9月から2023年12月まで、かなり広い範囲のiPhoneが影響を受ける可能性があります。

このエクスプロイトキットは、最初は商用監視ベンダーの顧客によって使用されていました。しかし2025年2月にはすでに一部が用いられ、その後の展開でロシアの脅威アクターであるUNC6353が、ウクライナのユーザーを標的にしたウォーターホール攻撃で使用したことが確認されました。さらに深刻なことに、2025年後半には中国を拠点とする経済的動機を持つUNC6691が、完全なエクスプロイトキットを入手して大規模なキャンペーンを実施しました。iVerifyのチーフプロダクトオフィサーによると、この攻撃により少なくとも42,000台のデバイスが影響を受けたと考えられています。

注目すべき点として、iVerifyの研究者は、このエクスプロイトキットが米国政府によって開発された可能性があると指摘しています。コードベースの高度な組織化と、ネイティブ英語話者による内部ジョークが含まれていることから、防衛産業基盤に関わった経験を持つ人物による開発の可能性が示唆されています。これは、以前のEternalBlueエクスプロイトの流出事件を想起させるシナリオです。

防御対策として、iPhoneユーザーは最新バージョンのiOSにアップデートすることが強く推奨されています。最新版ではCorunaのすべてのエクスプロイトが修正されています。アップデートができない場合は、ロックダウンモードの有効化が推奨されており、これはCorunaを完全にブロックします。

OAuthリダイレクト悪用フィッシング攻撃

次に、MicrosoftとGoogleの認証システムを悪用した洗練されたフィッシング攻撃について説明します。複数のセキュリティ企業がこの攻撃パターンを報道しており、政府機関や公共部門が標的になっています。

この攻撃の巧妙さは、OAuth 2.0プロトコルの標準的で合法的な機能を悪用している点です。通常、OAuth認証でエラーが発生した場合、認証サーバーはユーザーをあらかじめ登録されたリダイレクトアドレスに自動的に誘導します。攻撃者はこのメカニズムを悪用して、攻撃者が管理するフィッシングサイトやマルウェアホストへユーザーをリダイレクトさせます。

被害者は、Teams会議の記録、パスワードリセットリクエスト、文書署名などを装ったメールを受け取ります。メール内のリンクは、一見するとMicrosoftまたはGoogleの正規のログインページを表示しますが、実際には攻撃者が細工したOAuthパラメータが含まれており、エラーをトリガーして攻撃者のサイトへリダイレクトします。

重要な点として、被害者が攻撃者のサイトに到達するまで、認証情報やセッショントークンは盗まれません。攻撃者がターゲットにしているのは、フィッシングパネルへの誘導か、マルウェアの配信です。一部のケースでは、被害者がリダイレクト後にZIPアーカイブをダウンロードさせられ、LNKショートカットとHTMLスマグリングローダーが含まれています。これらが実行されると、PowerShellコマンドがトリガーされ、最終的には外部C2エンドポイントへの接続が確立されます。

Microsoftは、この攻撃が政府機関と公共部門を標的にしていることを確認しており、数千の「過度に広範な」位置情報確認令状に異議を唱えるなど、対応を進めています。

「Starkiller」フィッシングフレームワークと進化する脅威

関連する脅威として、「Starkiller」という名前のフィッシング・アズ・ア・サービスツールが報道されています。このツールは、実際のブランドのログインページをプロキシして表示する点で特に危険です。

偽のクローンを使用する従来のフィッシングキットとは異なり、Starkillerはユーザーのトラフィックを正規のサイトを通してプロキシします。被害者がフィッシングリンクをクリックすると、Dockerコンテナ内で実行されるHeadless Chromeを通じて、Microsoftのログインページなど実際のブランドのウェブサイトが読み込まれます。

ページは本物であるため、見た目、操作感、動作が全く同じです。被害者が認証情報を入力してMFAを承認すると、すべてがプロキシを通過し、攻撃者がキーストローク、地理情報、ライブセッションビューを含むすべてをリアルタイムで記録します。

StarkillerはJinksuなどの地下フォーラムでバージョン6.2.4として販売されており、攻撃者を保護するためのTOTP 2FAさえも備えています。機械学習を使った個別のカスタマイズも可能であり、初心者の犯人でも容易に複雑なフィッシングキャンペーンを展開できるようになっています。

AI駆動の攻撃加速

Cloudflareの脅威インテリジェンスレポートによると、大規模言語モデル（LLM）へのアクセスがサイバー犯罪者にもたらす影響について、深刻な警告が出されています。

以前は説得力のあるフィッシングメールを作成やカスタムマルウェアを書くスキルを持たなかった者でも、LLMを活用することで、迅速に大規模にそれらを生成できるようになります。高度に効果的な操作のための障壁が大幅に低下しています。

LLMとAIは、国家支援の侵害グループ、経済的動機のサイバー犯罪ギャング、ハクティビストの集団を含む広範な脅威行為者によって採用されています。攻撃者はLLMを使用して、特に母語以外の言語で書かれている場合、より説得力のあるフィッシングメールを作成しています。

さらに悪質なのは、AIを使用してマルウェアの作成とキャンペーン実施を支援し、攻撃を開始するための技術的障壁を低下させている点です。攻撃者はリアルタイムでネットワークをマップするためにLLMを使用しており、複雑なサプライチェーン攻撃で数百の企業テナントを侵害することが報告されています。

また、AI生成のディープフェイクが新しい内部脅威として浮上しています。特に北朝鮮は、AI生成のディープフェイクと詐欺的なIDを採用フィルターをバイパスするために使用し、脅威行為者を直接ターゲット組織内に従業員として埋め込むことで知られています。このような浸透は遠隔労働力を攻撃ベクトルに変え、組織の最も信頼されている管理とファイナンシャルシステム内に悪意のある内部者を配置しています。

Anthropic Claude をめぐる政府対立と知的財産窃盗

米国防総省によるAnthropicへの対抗措置が注目を集めています。ピート・ヘグセス国防長官は、Anthropicを「国家安全保障に対するサプライチェーンのリスク」と指定し、同社との提携を断ち切りました。これはこれまでHuaweiのような外国の敵対者にのみ適用されていた指定であり、米国企業に対してこの指定を適用することは極めて異例です。

対立の核心は、Anthropic社がその自社モデルの軍事システムでの使用に対して、二つの契約上の制限を求めたことにあります。すなわち、AIモデルが米国市民に対する大規模な国内監視に使用されることを禁じることと、完全自律型兵器への技術採用を望まないという点です。

国防総省はすべてのAIベンダーに対し、契約の一部として「あらゆる合法的な目的」という文言への同意を求めていました。しかしAnthropic社は、国防総省が最終的に提示した条件は、同社の監視禁止条項および兵器禁止条項に違反する余地を残していると述べました。

ヘグセス国防長官は、昨年7月に授与された2億ドルの国防総省との契約を解除する声明を出し、Anthropic社が軍事作戦に対する拒否権を掌握しようとしていると非難しました。一方、Anthropicのダリオ・アモデイCEOは政府の対応を報復的で懲罰的だと批判し、この指定を法廷で争うことを約束しています。

興味深いことに、政府の対応の直後、OpenAIとの新しい契約が署名されました。OpenAIのサム・アルトマンCEOは、この合意がAnthropicが擁護したのと同じ原則を維持していると述べていますが、執行メカニズムが異なると主張しています。

同時に、Anthropic社は中国の複数のAI企業による大規模な知的財産窃盗キャンペーンの対象になっていることを明かしました。DeepSeek、Moonshot AI、MiniMaxという3つの中国に拠点を置くAI企業が、およそ24,000の詐欺的アカウントを通じて1,600万以上のインタラクションをClaudeを通じて実行したと報告されています。これらのキャンペーンはClaudeの最も機密性の高い能力に直接向かっており、エージェント推論、ツール使用、コーディングが標的にされています。

Qualcomm Androidチップセット脆弱性の悪用

Google脅威インテリジェンスグループによる3月のAndroidセキュリティアップデートにおいて、129個の脆弱性が修正されました。このうち特に注目すべきは、CVE-2026-21385として追跡されるQualcommチップセットのメモリ破損脆弱性です。

この脆弱性は、Graphics コンポーネント内のバッファオーバーリード脆弱性であり、7.8/10の深刻度スコアが付与されています。Qualcommは、バグが12月18日に最初に発見され、顧客には2月2日に通知されたと述べています。235個のチップセットに影響します。

Googleによると、CVE-2026-21385が限定的で標的を絞った悪用の可能性があるという兆候があります。Qualcommは、バッファスペースをチェックしないでユーザーが提供したデータを追加した際のメモリ破損を指摘しています。

CISAはこの脆弱性を既知の悪用された脆弱性（KEV）カタログに追加し、野生下での積極的な悪用を確認しました。Pixelデバイスが最初にパッチされ、OEM のロールアウトは後で予定されています。Androidエコシステムの断片化を考えると、ほとんどのデバイスがパッチされるまでに時間がかかる可能性があります。

イランのサイバー活動強化と地政学的紛争

最後に、中東の緊張がサイバー空間に与える影響について説明します。複数のセキュリティ企業が、イラン関連のサイバー活動の著しい増加を報告しています。

2026年2月28日、米国とイスラエルは大規模な共同サイバー攻撃を展開し、米国はこれを「オペレーション・エピック・フューリー」、イスラエルは「オペレーション・ロアリング・ライオン」と呼びました。この攻撃に対応して、イランのサイバー能力は広範なインターネット中断によって深刻な影響を受けています。

イランのインターネット接続性は通常容量の1～4%まで低下しました。この接続喪失はイランの国家主導サイバー部隊を混乱させ、大規模なサイバー攻撃を実行する能力を制限しました。しかし、イランの指導部内での通信チャネルの低下に代わって、イラン支援ハクティビストグループが活動をエスカレートさせています。

MuddyWater、OilRig、APT33、UNC1549などのグループが主導する攻撃の急増が報告されており、過去の紛争では133%の増加が見られました。これらのグループは、スパイ活動から破壊工作まで、複雑な作戦を継続しています。

複数のセキュリティ企業の報告によると、イラン関連のAPTアラートの急増が観測されており、製造業と運輸セクターが優先されています。ハクティビストグループはDDoS攻撃、ウェブサイト改ざん、データ流出キャンペーンなど、低～中程度の複雑性の攻撃を特徴としています。

英国のナショナルサイバーセキュリティセンター（NCSC）は、中東における緊張の高まりに伴い、イラン関連のサイバー活動の可能性に備えるよう英国の組織に促しており、中東に拠点または供給網を持つ組織に対して特に注意を呼びかけています。

クロージング

本日は、iOS向けのCorunaエクスプロイトキット、OAuth認証を悪用したフィッシング攻撃、AI駆動型の脅威の加速化、Anthropic Claudeをめぐる政府間の対立、そしてイランのサイバー活動強化など、極めて重要なセキュリティニュースをご紹介しました。

これらのニュースは、現在のサイバー脅威環境がいかに複雑で多層的になっているかを示しています。政府機関から民間企業まで、あらゆる組織がこれらの脅威に対して警戒を強める必要があります。

セキュリティチームは、最新のOAuthベストプラクティスの導入、デバイスの継続的なアップデート、AIを活用した脅威検出システムの強化を優先すべきです。また、地政学的な緊張がサイバー空間にも影響を与えることを認識し、地域別の脅威インテリジェンスに基づいた防御態勢を構築することが重要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。本日も東京セキュリティブリーフィングをお聴きいただき、ありがとうございました。また次回お会いしましょう。