東京セキュリティブリーフィング 2026年03月20日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年3月20日、金曜日です。

本日も、世界で発生した重要なセキュリティインシデントやセキュリティ動向についてお届けします。昨日から今朝にかけて、複数の深刻なセキュリティ問題が報告されています。国家レベルのスパイウェア、大規模なデータ漏洩、そして企業ネットワークを標的とした高度な攻撃など、様々な脅威が世界中で確認されています。それでは、詳しくお伝えしていきましょう。

ヘッドライン

本日のセキュリティニュースの主要な話題をお伝えします。

**Cisco Secure Firewallのゼロデイ脆弱性が積極的に悪用されている**という報告が複数のセキュリティ企業から上がっています。

**DarkSwordと名付けられたiOSエクスプロイトキット**が、複数の地域で複数の脅威アクターに悪用されていることが判明しました。

**GitHub上での秘密情報漏洩が過去最高に達している**という警告が発表されています。

**台湾セキュリティブリーフィング東京関連のセキュリティ脅威**も複数報告されています。

それでは、これらのニュースについて、より詳しくお伝えします。

詳細解説

Cisco Secure Firewall脆弱性 - 1月から積極的に悪用中

最初にお伝えするのは、Cisco Secure Firewall Management Center に影響を与える重大な脆弱性についてです。CVE-2026-20131として追跡されているこの脆弱性について、複数のセキュリティ企業が報告を上げています。

この脆弱性は、Cisco Secure Firewall Management Center のウェブベース管理インターフェース内の安全でないデシリアライゼーション問題に由来しています。特別に細工されたシリアル化されたJavaオブジェクトを送信することにより、認証されていないリモート攻撃者は、容易に root 権限で任意のJavaコードを実行できるようになります。

CVSS スコアは最高評価の 10.0 が割り当てられており、これは最も高いリスクを示しています。つまり、事前認証を必要とせずに、システム全体の侵害を可能にする脆弱性ということです。

最も深刻な点は、この脆弱性が既に積極的に悪用されているということです。Amazon Web Services のセキュリティ責任者CJ Moses氏の報告によれば、Interlock というランサムウェアグループが、2026年1月26日からこの脆弱性を悪用していたとのこと。Ciscoが3月4日に修正パッチをリリースする1ヶ月以上前です。つまり、Interlockは攻撃者に有利な 36日間の先制アドバンテージを得ていたということになります。

影響を受けるシステムについては、Ubuntu Desktop 24.04 以降を実行しているシステムが最もリスクが高いとされており、複数のUbuntuリリースに影響を与えています。具体的には、Ubuntu 24.04 LTS では snapd 2.73+ubuntu24.04.2 以降、Ubuntu 25.10 LTS では snapd 2.73+ubuntu25.10.1 以降へのアップグレードが推奨されています。

Interlockが使用した攻撃チェーンは高度に組織化されていました。初期アクセス後、攻撃者は PowerShell スクリプトを展開して、被害者のネットワークから詳細な情報を収集します。収集される情報には、ハードウェアの詳細、実行中のサービス、インストール済みソフトウェア、ストレージ構成、Hyper-V仮想マシンのインベントリなどが含まれます。さらに、Desktop、Documents、Downloads ディレクトリ全体のユーザーファイルリストも取得されます。

永続性を維持するために、Interlockはカスタム遠隔アクセストロイの木馬（RAT）を使用しており、これは JavaScriptと Java の両方で記述されています。JavaScriptバリアントは、回転する RC4 暗号化キーを使用して WebSocket 接続を確立し、Javaバリアントは GlassFish ライブラリを経由して冗長なバックドアアクセスを提供します。

また、攻撃者は検出可能なファイルをディスク上に書き込むことを回避するために、メモリ常駐ウェブシェルを展開しています。これにより、従来の検出メカニズムによる検出が非常に困難になります。

時間分析に基づいて、Interlock オペレータはおおよそ UTC+3 タイムゾーンから操作しており、東ヨーロッパまたは中東の地理的起源が示唆されています。

組織に対する推奨事項として、即座のソフトウェアアップデートが唯一の確実な防御方法とされています。Cisco Secure Firewall Management Center を運用している組織は、周辺インフラストラクチャを保護するために直ちに公式セキュリティパッチを適用することが必須です。

DarkSwordエクスプロイトキット - 複数の脅威アクターが悪用

次にお伝えするのは、DarkSword と名付けられた非常に高度なiOSエクスプロイトキットについてです。複数のセキュリティ企業による報告では、このエクスプロイトキットが2025年11月から複数の攻撃者に悪用されていることが明らかになっています。

DarkSword は複数のゼロデイ脆弱性を活用して、iOS 18.4 から 18.7 を実行している Apple デバイスを完全に侵害します。このエクスプロイトチェーン全体は JavaScript にのみ依存しており、コンパイルされたバイナリの必要性を排除しています。

確認されたターゲットは、サウジアラビア、トルコ、マレーシア、ウクライナなど、複数の地域に及んでいます。複数の脅威クラスターがこのツールを採用しており、それぞれが配信メカニズムとペイロード動作を独自にカスタマイズしています。

UNC6748 として追跡される最初のグループは、「snapshare.chat」という詐欺的なSnapchatテーマのフィッシングドメインを使用して、サウジアラビアの被害者を標的にしました。攻撃者は JavaScriptの難読化とセッションストレージの検証を組み込み、以前に侵害されたデバイスの再感染を回避しています。

2番目のキャンペーンはトルコの商用監視ベンダーである PARS Defense に起因しています。このグループはトルコとマレーシアのユーザーを標的にし、より強化された運用セキュリティ対策を採用しています。彼らのペイロードである GHOSTSABER は、HTTP(S)ベースのコマンド・アンド・コントロール通信が可能な強力なバックドアとして機能します。

3番目のグループ、UNC6353 はロシア関連とされており、ウクライナのウェブサイトを対象とした水飲み場キャンペーンに DarkSword を統合しています。正規のサイトに悪意のあるスクリプトを注入することで、GHOSTBLADE というデータマイナーを配信しています。

DarkSword が悪用する脆弱性は6つの脆弱性の組み合わせです。CVE-2025-31277 と CVE-2025-43529 による JavaScriptCore のメモリ破損フロー、CVE-2026-20700 による dyld ユーザーモードPACバイパス、CVE-2025-14174 による ANGLE メモリ破損脆弱性、そして CVE-2025-43510 と CVE-2025-43520 による iOS カーネル脆弱性です。これらを組み合わせることで、攻撃者はデバイスの完全なコントロールを獲得できます。

Appleはこれらすべての脆弱性に iOS 26.3 で対処しており、ユーザーは即座にアップデートすることが推奨されています。

GitHub上での秘密情報漏洩 - 2,900万件超

続いてお伝えするのは、GitHub上での秘密情報漏洩に関する警告です。GitGuardian のレポートが、AI駆動型コーディングが記録的なペースで秘密をリークしていることを警告しています。

2025年にGitHub上で2,900万個の認証情報が漏洩し、これは前年比34%の増加です。驚くべきことに、AI支援コミットは基準のリーク率の2倍で、Model Context Protocol（MCP）設定ファイルがエクスプロイトを加速させています。

2025年は、AI採用が「恒久的に」ソフトウェアエンジニアリングを変えた年とされています。パブリックコミットで前年比43%の増加があり、以前の少なくとも2倍の速度で成長していました。コミット数の増加は秘密の増加も意味し、2021年以降、これらはアクティブ開発者人口の約1.6倍の速度で増加しています。

特に懸念されるのは、AI生成コード内の秘密リーク率です。Claude Code で構築されたコミットは、約3.2%で秘密をリークしており、これはベースラインの2倍です。AIサービス認証情報リークが最も速く加速しており、前年比81%急増しています。

GitGuardian は特に Model Context Protocol（MCP）の設定リスクを指摘しています。MCP サーバーのドキュメンテーションは、認証情報を設定ファイルに配置することをしばしば推奨していますが、これにより24,000以上の秘密が露出することに寄与しました。

さらに、内部リポジトリが公開リポジトリと比較して、ハードコードされた秘密を含む可能性が6倍高いことが説明されています。インシデントの4分の1以上（28%）が協力およびプロダクティビティツールのリークから発生しています。

AI エージェントがより深いローカルアクセスを取得することで、プロンプトインジェクションとサプライチェーン攻撃はより破壊的になっています。開発者のラップトップは、大規模な攻撃表面に変わってしまっているのです。

Ubuntu Desktop脆弱性 - ルートアクセス可能に

次にお伝えするのは、Ubuntu Desktop に影響を与えるローカル権限昇格脆弱性についてです。CVE-2026-3888 として追跡されるこの脆弱性は、Ubuntu Desktop 24.04 以降のデフォルトインストールに影響を与え、攻撃者が完全なルートアクセスを獲得することを可能にしています。

この脆弱性は、2つのコアシステムコンポーネント間の相互作用に由来しており、snap-confine と systemd-tmpfiles が特定の条件下でどのように一緒に動作するかから生じています。悪用には組み込まれた遅延のため忍耐が必要ですが、潜在的な結果はシステムの完全な侵害です。

攻撃は、自動化されたシステムクリーンアップを悪用して、重要なディレクトリを悪意のあるコンテンツに置き換えることに依存しています。具体的には、攻撃者は以下のステップを実行します。

第一に、システムバージョンによって異なり、10～30日後に発生する一時ファイルのクリーンアップを待つこと。第二に、削除されたディレクトリを悪意のあるペイロードで再作成すること。第三に、snap-confine をトリガーしてこれらのファイルをルート権限で実行すること。

この脆弱性のCVSSスコアは7.8 であり、高度な深刻度を示していますが、必要なタイミングウィンドウのため複雑性も高く評価されています。それでも、ユーザーインタラクションは不要であり、攻撃を開始するには低レベルのアクセスのみが必要です。

ユーザーと組織には、パッチが適用されたバージョンにすぐにアップグレードすることがお勧めされています。

データ漏洩とランサムウェア攻撃の継続

複数の大規模なデータ漏洩インシデントが報告されています。

デジタルセキュリティプロバイダーの Aura は、標的型ソーシャルエンジニアリング攻撃に続いて、約90万件のユーザーレコードに影響を与えるデータ漏洩を確認しました。この事件は、組織内の人的脆弱性を悪用して技術的防御をバイパスする高度なフィッシング攻撃の有効性を浮き彫りにしています。

侵害は、単一の Aura 従業員を対象とした標的型電話フィッシング攻撃から始まりました。攻撃者は従業員を操作して、そのアカウントへのアクセスを許可させることに成功しました。不正なアクセスは約1時間維持され、セキュリティチームが異常を検出するまで続きました。

流出レコードには、Aura が2021年に買収した企業に関連するレガシーマーケティングデータベースに由来するものが大部分を占めています。基本的な連絡先情報が流出しましたが、社会保障番号や財務記録などの非常に機密性の高いデータは影響を受けていません。

銀行向けソフトウェアベンダーの Marquis を標的とした侵害では、672,075人の情報が露出しました。攻撃者がMarquis ソフトウェアのシステムからファイルをコピーしたことが明らかになりました。漏洩した情報には、名前、住所、電話番号、社会保障番号、納税者番号、生年月日、財務口座情報が含まれています。

セキュリティトレンドと脅威状況

国家レベルのサイバー作戦についても報告があります。日本の自衛隊は2026年10月1日から、攻撃的なサイバー作戦を実施することが許可されることになります。これは、憲法第9条の再解釈を含む政府の決定によるものです。

多くの国が攻撃を最高の防守と見なし始めているのが明らかになってきており、特に、盗まれたデータを販売するオンラインフォーラムをシャットダウンするための国際的な取り組みが、フォーラムを別の場所に再ホストすることで回避される傾向があることから、現実世界のインフラストラクチャを対象とすることが、より好ましい選択肢のようです。

クラウドセキュリティに関しても重大な警告が発表されています。クラウド環境での設定ミスが引き続き、ほぼすべての侵害を引き起こしているとされています。多くの場合、攻撃者は高度なハッキング技術を使用せず、企業がデジタルの玄門を開けたままにしているだけです。Snowflake のような企業は、いくつかの基本的な設定調整と多要素認証により、完全な混乱から救われる可能性があります。

エンドポイント管理の脆弱性についても、医療技術企業 Stryker への攻撃を受けて、警告が発表されています。組織のエンドポイント管理システム、特に Microsoft Intune 環境を強化することが推奨されています。

クロージング

本日のセキュリティニュースをまとめますと、国家レベルのサイバー作戦からランサムウェア攻撃、高度なエクスプロイトキット、そして基本的な設定ミスに至るまで、多層的な脅威が世界中で活動しています。

最も重要なメッセージは、パッチの適用が依然として防御の基本であるということです。Cisco Secure Firewall やiOS デバイスの脆弱性に対処するために、利用可能なセキュリティアップデートを迅速に適用することが不可欠です。

同時に、設定管理、最小権限の原則、そして多要素認証といった基本的なセキュリティプラクティスが、組織全体の防御を大幅に改善することができます。

気になるニュースがあれば、ぜひ詳細をご確認ください。本日お伝えしたトピックについてさらに詳しく知りたい場合は、各セキュリティ企業の公開レポートを参照することをお勧めします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。