東京セキュリティブリーフィング 2026年03月21日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年03月21日、土曜日にお届けしています。

昨日公開されたセキュリティニュースは、大規模な国際的な法執行活動と、複数の業界にわたる重大なサイバーセキュリティ脅威に関する報告が含まれています。本日も、リスナーの皆様の組織のセキュリティ体制に直接関わる重要な情報をお届けします。

ヘッドライン

本日の主要なニュースは以下の通りです。

まず、国際的な法執行機関による大規模なIoTボットネット破壊作戦が実施されました。世界最大級の4つのボットネットが解体され、300万台以上の感染デバイスが関与しており、記録的な規模のDDoS攻撃に関連していました。

次に、Microsoft Intuneの脆弱性を悪用したイラン関連グループによる医療機器企業への大規模サイバー攻撃について、米国の複数の政府機関が警告を発表しています。

また、iOS端末を標的とした新しいマルウェアフレームワーク「DarkSword」が複数のスパイウェアベンダーと国家支援グループに使用されていることが明らかになっています。

詳細解説

記録的31.4Tbpsの攻撃を実行したボットネット、米国・カナダ・ドイツが共同破壊

まず最初にお伝えするのは、昨日明らかになった国際的なボットネット破壊作戦です。複数のセキュリティニュースメディアが同じ内容を大きく報道しており、注目度が高いため、本日の最初のニュースとしてお伝えします。

米国司法省、カナダ当局、ドイツ連邦刑事警察庁が協力し、世界最大級のIoTボットネット4つを破壊しました。対象となったボットネットはAisuru、KimWolf、JackSkid、Mossadという名称で、世界中で300万台以上のインターネット接続デバイスを感染させていました。

これら4つのボットネットは、分散型サービス妨害、つまりDDoS攻撃を実行するために使用されていました。特に注目すべきは、Aisuruボットネットが実行した記録的な規模の攻撃です。1秒あたり約31.4テラビット、すなわち31.4Tbpsのトラフィックを送信する攻撃が確認されており、これはこれまでに観測された中で最大級の規模です。Aisuruはさらに、Microsoft Azureに対して1秒あたり15.72テラビットの攻撃を実行していることも報告されています。

これら4つのボットネットが感染させたデバイスは、主にIoT、つまりモノのインターネットに分類されるものです。具体的には、ルーター、IPカメラ、デジタルビデオレコーダー、Android TVなどの一般向けコンシューマーデバイスが含まれていました。Aisuruが200,000回以上の攻撃コマンドを発行した一方で、JackSkidは少なくとも90,000回、Kimwolfは25,000回以上の攻撃コマンドを発行しており、Mossadはおよそ1,000回のDDoS攻撃の実行に関与していました。

米国、カナダ、ドイツの当局は、これらのボットネットのコマンドアンドコントロール、つまりC2インフラストラクチャを標的としました。登録されたドメイン、仮想サーバー、その他の関連インフラストラクチャを押収することで、攻撃者とボットネットを構成する300万台以上のデバイス間の通信を遮断しました。

重要な点として、ボットネット操作の背後にいると考えられる個人に対しても、カナダとドイツでは法執行活動が実施されました。FBI、DoDIG、そして国際的なテクノロジー企業の支援を受けた作戦は、今後のDDoS攻撃の実行を大幅に制限することを目的としています。

Microsoft Intune脆弱性を悪用したStryker医療企業への攻撃、イラン関連グループが実行

次のニュースも複数のセキュリティメディアが報道している重要な案件です。ミシガン州の医療機器メーカーであるStrykerに対する大規模なサイバー攻撃が実行され、イランに関連するHandalaという脅威グループが責任を主張しています。

この攻撃の特徴は、マルウェアを使用しなかった点です。攻撃者は、Microsoft Intuneという正規のエンドポイント管理ツールを悪用しました。Intuneは、企業が従業員のデバイスを一元的に管理するためのツールであり、Windows、iOS、Androidなど複数のデバイスタイプをサポートしています。

攻撃者がIntune環境にアクセスしたことで、Strykerの200,000台以上の企業デバイスを遠隔からワイプ、つまり削除することができました。これにより、配送・注文システムに大きな影響が発生し、Strykerのネットワークの一部がオフラインになるという状況が生じました。攻撃は3月11日に実行されたと報告されており、Strykerはその後、顧客に対して接続されているデジタル技術や生命救助技術には影響がなかったことを確認しています。

この事件を受けて、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁、通称CISAとFBIは、3月19日にセキュリティアラートを発表しました。このアラートでは、エンドポイント管理システムのセキュリティを強化するための複数の推奨事項が記載されています。

主な推奨事項は以下の通りです。まず、管理者ロールを設計する際に最小権限の原則を使用することです。つまり、各ロールに対して、日々の業務を完了するために必要な最小限の権限のみを割り当てることです。これにより、Strykerの事件のように、悪意のある行為者が侵害されたIntune環境で新しい管理者アカウントを作成し、それを使用してデバイスをワイプするのを防ぐことができます。

次に、多要素認証、通称MFAと、Microsoft Entra IDを使用することが推奨されています。これにより、Intuneの特権アクションへの不正アクセスをブロックできます。

さらに、デバイスのワイプなど影響が大きいアクションに対しては、2番目の管理者アカウントによる承認を要求するポリシーを設定することが推奨されています。これは、単一の侵害されたアカウントが大規模な破壊を引き起こすのを防ぐための重要な防御策です。

iPhoneを標的とするDarkSwordエクスプロイトチェーン、複数の商用スパイウェアベンダーが悪用

次は、iPhoneのセキュリティに関わる重大な脅威についてお伝えします。Google及び複数のセキュリティ企業が、DarkSwordという新しいマルウェアフレームワークを発見しました。このフレームワークはiOS 18.4から18.7のバージョンに影響を与え、6つの重大な脆弱性を悪用します。

悪用されている脆弱性の一覧は以下の通りです。CVE-2025-31277（CVSS 8.8）、CVE-2025-43529（CVSS 8.8）、CVE-2026-20700（CVSS 7.8）、CVE-2025-14174（CVSS 8.8）、CVE-2025-43510（CVSS 7.8）、CVE-2025-43520（CVSS 7.1）です。これらのうち一部はゼロデイ、つまり公開前に悪用されていた脆弱性です。

重要な点として、Google及びLookout、iVerifyを含む他のセキュリティ企業は、DarkSwordが少なくとも2025年11月から複数の商用マルウェアベンダー及び国家が後援するグループによって積極的に使用されていることを報告しています。

このエクスプロイトチェーンを使用している主な脅威グループは3つです。1つ目は、トルコの企業PARS Defenseという商用スパイウェアプロバイダーで、トルコとマレーシアの標的をターゲットにしています。2つ目はUNC6353で、ロシアの国家が後援する行為者と考えられており、ウクライナの目標に対してDarkSwordを使用しています。3つ目はUNC6748で、Snapchatをテーマにしたウェブサイトを使用してサウジアラビアの人々をターゲットにしています。

DarkSwordフレームワークは、GhostSaberとGhostKnifeという2つの亜種で使用されています。GhostSaberはアカウントを列挙し、ファイルをリストして、データを流出させ、JavaScriptをリモートで実行する能力を持っています。一方、GhostKnifeはJavaScriptベースのバックドアで、サインイン済みアカウント、メッセージ、ブラウザデータ、位置情報履歴、さらには録画を含む、極めて詳細なデータを盗く能力を持っています。

Appleは、これら6つの脆弱性をすべてパッチしており、iPhoneを最新バージョンに更新することで対応できます。

Langflowの認証なしリモートコード実行脆弱性、わずか20時間で悪用される

次のニュースは、オープンソースのAIツールに関わる重大な脆弱性についてです。複数のセキュリティニュースメディアが同じ案件を報道しています。

Langflowは、AIエージェントと検索拡張生成（RAG）パイプラインを構築するためのオープンソースの視覚フレームワークです。2026年3月17日、この製品に重大な脆弱性が開示されました。これはCVE-2026-33017として追跡されており、認証なしのリモートコード実行、つまりRCEを可能にするものです。CVSS スコアは9.3と評価されています。

極めて危険な点は、悪用までの速度です。Sysdig脅威研究チームの報告によると、セキュリティアドバイザリが公開されてからわずか20時間以内に、公開されたProof of Conceptコードが存在しないにもかかわらず、攻撃者は直接機能する悪用コードを構築し、インターネット上で脆弱なLangflowインスタンスのスキャンを開始しました。

流出したデータには、APIキーと認証情報が含まれており、接続されたデータベースへのアクセスと、潜在的なソフトウェアサプライチェーンの侵害をもたらすリスクが発生します。

この脆弱性の悪用パターンは以下の通りです。まず、攻撃者は公開フロービルドエンドポイントにアクセスします。このエンドポイントは認証を必要としないため、任意の攻撃者が活用できます。次に、細工されたフロー定義を含むペイロードを送信することで、サーバー側で任意のPythonコードを実行させることができます。その結果、環境変数が流出し、認証情報が盗まれる危険があります。

Cisco Secure Firewall脆弱性、ランサムウェア攻撃で積極的に悪用

次のニュースは、企業のセキュリティインフラに関わる重大な脅威です。CVE-2026-20131として追跡されている、Cisco Secure Firewall Management Centerの脆弱性が、ランサムウェア攻撃で積極的に悪用されていることがCISAから警告されています。

この脆弱性は、アマゾンの調査で、ランサムウェアグループのInterlockが3月初旬にパッチが当たる数週間前から、このCVEを悪用していたことが判明しました。具体的には、Interlockは1月26日からこの脆弱性を悪用していたと報告されており、Ciscoが3月4日にパッチをリリースするおよそ38日前のことです。

つまり、この脆弱性は本当のゼロデイ、つまり公開前に悪用されていた脆弱性です。Ciscoが3月4日に半年ごとのファイアウォール更新の一部としてパッチをリリースした時点で、セキュリティチームはすでに1ヶ月以上前から攻撃を受けていた可能性があります。

このような状況では、多層防御が重要です。パッチが利用可能になる前に脆弱性が悪用される場合、最も勤勉なパッチプログラムでさえ、その重大な期間中は組織を保護することができないからです。

Auraのデータ侵害、電話ベースのソーシャルエンジニアリング攻撃で約100万件のレコード流出

次は、デジタルセキュリティプロバイダーであるAuraが確認したデータ侵害についてです。約100万件、より正確には約90万件の消費者レコードに影響があったと報告されています。

この侵害の特徴は、技術的な脆弱性ではなく、人的な脆弱性を悪用した点です。攻撃者は従業員の1人に対して電話ベースのソーシャルエンジニアリング攻撃を実行しました。このソーシャルエンジニアリング攻撃に成功した攻撃者は、その従業員のアカウントにアクセスを得ることができました。

脅威行為者はそのアカウントへのアクセスをおよそ1時間の間保持していました。この1時間の間に、約90万件のレコードを流出させることに成功しました。Auraのセキュリティチームは異常な動作を検出し、アクセスを遮断することができました。

流出したデータは、現在の顧客最大20,000件と過去の顧客最大15,000件以下のものであり、名前とメールアドレスが含まれていました。重要な点として、社会保障番号、パスワード、財務情報は流出していません。Auraは、敏感な顧客個人情報はすべて暗号化されており、アクセスが厳しく制限されていたことを強調しています。

ShinyHuntersという脅威グループが侵害の責任を主張し、データを脅迫サイトに追加して、Auraとの「合意に達することができなかった」と述べ、身代金の支払いを要求しています。

Navia福利厚生企業のAPI脆弱性、270万人のデータ露出

次は、米国の福利厚生管理会社であるNaviaが確認した大規模なデータ侵害です。脆弱なAPIエンドポイントを通じた不正アクセスにより、約270万人の個人に影響を与えるデータが流出しました。

侵害されたデータには、広範な個人識別情報と医療関連情報が含まれています。攻撃者は銀行口座番号やクレジットカード情報などの直接的な財務データにはアクセスしなかったと報告されていますが、流出した識別子の広がりは、アイデンティティ窃盗、アカウント乗っ取り試行、そして高度にターゲットを絞ったソーシャルエンジニアリングキャンペーンのリスクを大幅に増加させます。

Naviaはシステム内の異常なアクティビティを検出したときに直ちに内部調査を開始し、外部フォレンジック専門家を雇用しました。その後、米国保健福祉省を含む連邦執行機関に通知しました。

クロージング

本日は、複数の国家と地域にまたがる重大なサイバーセキュリティ脅威についてお伝えしました。記録的なDDoS攻撃の実行に使用されたボットネットの国際的な破壊、医療業界に対するイラン関連グループの活動、iOSデバイスを狙う新しいエクスプロイトチェーン、そしてオープンソースツールの脆弱性など、複数の前線で攻撃が進行していることが明らかになっています。

特に印象的なのは、セキュリティアドバイザリの公開からわずか数時間から数日で脆弱性が悪用される傾向です。これは、組織のパッチ適用スケジュールと現実の攻撃速度の間に大きなギャップが存在することを示しています。

気になるニュースがあれば、ぜひ詳細をご確認ください。皆様の組織のセキュリティ対策の強化の参考になれば幸いです。

東京セキュリティブリーフィングでした。また次回お会いしましょう。