東京セキュリティブリーフィング 2026年03月24日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。

本日は2026年03月24日、火曜日です。昨日公開されたセキュリティニュースから、注目すべき重大なインシデントが複数報告されています。大規模なデータ侵害、新しいマルウェア技術、そして重要なセキュリティ脆弱性が次々と明らかになってきました。詳しく解説していきましょう。

ヘッドライン

まずはこのエピソードの主要なニュースをお伝えします。

情報盗聴マルウェアVoidStealerが、Google Chromeの高度なセキュリティ機能を初めてのワイルドでバイパスしました。LAPSUS$ハッキング集団が製薬大手AstraZenecaの内部データ3ギガバイトの盗難を主張しています。ソニー傘下のアニメストリーミングサービスCrunchyrollから100ギガバイトのユーザーデータが流出した疑いが浮上しました。Appleのエコシステムに影響する高度なエクスプロイトチェーンが野生で悪用されています。さらに北朝鮮のIT労働者詐欺計画に関与した米兵が有罪判決を受けました。

詳細解説

VoidStealer - Chrome ABEバイパスの新手法

まず、セキュリティ研究者が発見した重大な脅威についてお伝えします。VoidStealerという情報盗聴マルウェアが、Google ChromeのApplication-Bound Encryption、つまりABEと呼ばれる暗号化機構をバイパスする新しい手法を使用しています。

このマルウェアはMaaS、つまりマルウェア・アズ・ア・サービスとして提供されており、2025年12月中旬から活動が報告されていました。3月13日には新しいバージョン2.0がリリースされ、これまでのABEバイパス手法を大きく上回る洗練された技術が搭載されました。

従来のABEバイパスは、システムレベルの権限昇格が必要でしたが、VoidStealerは全く異なるアプローチを取っています。デバッガーとしてChromeプロセスに自身をアタッチし、ハードウェアブレークポイントを設定することで、v20_master_keyという暗号化キーがプレーンテキストで存在する正確な瞬間を傍受するのです。

特に注目すべき点は、この技術が権限昇格もコード注入も必要としないため、従来のセキュリティツールによる検出が極めて困難だということです。EDRシステムが検出する可能性のある動作を最小化しながら、ブラウザの機密データへのアクセスを実現しています。

LAPSUS$ - AstraZeneca大規模侵害

次に、LAPSUS$という悪名高いハッキング集団による新たな活動についてです。

彼らはAstraZenecaという多国籍製薬大手に対し、3ギガバイトの内部データ盗難を主張しています。2026年3月20日時点で、AstraZenecaはこのインシデントを公式に確認していません。

盗まれたデータには、非常に機密性の高い情報が含まれているとされています。具体的には、Java Spring Bootで構築されたアプリケーションやAngularフロントエンドなどのソースコード、AWS環境およびAzure環境向けのTerraform設定、さらにはAnsibleロール、プライベート暗号化キー、Vault認証情報、そしてGitHubおよびJenkinsのCI・CDパイプライン関連トークンが含まれています。

特に懸念されるのは、AZU_EXFILという名前のルートフォルダの下に、als-sc-portal-internalという重要なサプライチェーンポータルリポジトリが存在することです。このポータルは需要予測、在庫追跡、製品マスターデータ管理、SAP統合、そしてOTIF配送指標を管理する重要なシステムであると説明されています。

LAPSUS$はこれまでの公開恐喝方法とは異なり、セッションメッセージアプリケーションを通じた購入交渉を提案するなど、有料アクセスモデルへのシフトを示唆しています。

Crunchyroll - 100ギガバイトのユーザーデータ流出

ソニー傘下のアニメストリーミングプラットフォームCrunchyrollが、大規模なデータ侵害の被害を受けた疑いが浮上しました。

2026年3月12日に発生したとされるこの侵害は、CrunchyrollのビジネスプロセスアウトソーシングパートナーであるTelusの侵害から発生しています。Telus従業員がマルウェアを実行してしまい、攻撃者に初期アクセスを提供してしまったと考えられています。

そこから攻撃者はラテラルムーブメント技術を使用してCrunchyrollの内部環境に侵入し、最終的にカスタマーアナリティクス環境とチケッティングシステムから100ギガバイトのデータを抽出しました。

流出したデータセットには、ユーザーのIPアドレス、アカウントメールアドレス、クレジットカード情報、そして内部カスタマーアナリティクスデータが含まれています。Crunchyrollのセキュリティ運用チームは3月12日の初期侵害から24時間以内にアクセスを取り消しましたが、その間に膨大な量のデータが流出していました。

本報告時点で、Crunchyrollはインシデントに関する公式声明を発表しておらず、影響を受ける可能性のあるユーザーへの警告通知も行われていないとされています。

Apple DarkSword - iOS多段階エクスプロイトチェーン

サイバーセキュリティ・インフラストラクチャセキュリティ庁、CISAが重大な警告を発令しました。

DarkSwordと呼ばれるiOSエクスプロイトチェーンの一部として、3つの重大なApple脆弱性が野生で積極的に悪用されています。これらはCVE-2025-31277、CVE-2025-43520、CVE-2025-43510として追跡されており、2026年3月20日に既知の悪用脆弱性カタログに正式に追加されました。

このチェーンの危険性は、その隠蔽性と単純性にあります。攻撃は通常、ユーザーがSafariまたはアプリ内ブラウザを通じて悪意のあるまたは侵害されたウェブサイトにアクセスしたときに始まります。

まずCVE-2025-31277、つまりメモリ破損脆弱性がトリガーされ、攻撃者に初期実行権を付与します。そこからCVE-2025-43520、つまり古典的なバッファオーバーフローが悪用され、デバイスのカーネルメモリへの直接書き込みが可能になります。最後に、CVE-2025-43510という不適切なロック機構の脆弱性が悪用され、プロセス間で共有されるメモリが操作され、攻撃者の深いシステム制御が確固たるものになるのです。

この影響範囲は非常に広く、iOS、iPadOS、macOS、watchOS、tvOS、visionOSを含むAppleの現在のハードウェアラインアップのほぼすべてのデバイスに影響を与えます。

CISAは拘束力のある運用指令22-01の下で、すべての連邦民間機関に対し2026年4月3日までに必要な緩和措置を適用するよう要求しています。

北朝鮮IT労働者詐欺計画 - 米兵有罪判決

セキュリティの脅威は外部からだけではありません。北朝鮮のIT労働者詐欺計画に関与した米兵が有罪判決を受けました。

35歳のAlexander Paul Travisは、ジョージア州フォート・ゴードンに駐屯していた現役陸軍兵です。彼は2019年9月から2022年11月にかけて、北朝鮮のIT労働者が自分の身分を使用してアメリカの企業に雇用されることを許可し、その名義で銀行口座を開設させました。

Travisを雇用していると思っていた8社からラップトップを受け取り、北朝鮮の労働者がこれらのデバイスにリモートアクセスできるようにするソフトウェアをインストールしました。この詐欺計画への関与に対して、彼は51,397ドルを受け取りました。

一方、北朝鮮人労働者はTravisの名義で193,265ドルの総給与を稼ぐことができたのです。同じく有罪判決を受けたJason Salazarの場合、北朝鮮人は彼の名義で400,000ドル以上を稼ぎました。Auderlis Fagnasey関連では、680,000ドルの収入が報告されています。

合計すると、この詐欺計画は北朝鮮に約130万ドルの総給与支払いをもたらしたと推定されています。

Trivy脆弱性スキャナー - サプライチェーン侵害

開発者ツールのセキュリティも脅威にさらされています。Aqua Securityの脆弱性スキャナーTrivy、特にそのGitHubアクション機能が重大なサプライチェーン攻撃に見舞われました。

攻撃者は、aquasecurity/trivy-actionリポジトリの76個のバージョンタグのうち75個を強制プッシュしました。これらのタグは悪意のあるTeamPCP infostealerペイロードを提供するように修正されました。

2026年3月22日に新しいDockerイメージタグ0.69.5および0.69.6が3月22日に公開されましたが、対応するGitHubリリースやバージョンタグなしで公開されました。特に懸念されるのは、latestタグが現在バージョン0.69.6を指しており、デフォルトイメージをプルしているユーザーが気付かないうちに侵害されたコードを環境に配置している可能性があることです。

最後に検証されたクリーンリリースはバージョン0.69.3で、バージョン0.69.4が最初に侵害されたバージョンです。GitHubの10,000以上のワークフローファイルがこのアクションを参照しているため、潜在的な影響は極めて甚大です。

Quest KACE SMA - 認証バイパスで大規模攻撃

Quest KACE Systems Management Applianceの重大な脆弱性CVE-2025-32975が、実環境で積極的に悪用されています。

この脆弱性は、アプライアンスのシングルサインオン認証メカニズムに影響を与え、攻撃者が有効な認証情報なしに正規ユーザーになりすまして完全な管理者権限を奪えるというものです。

2026年3月9日の週から悪用が観察されており、脅威アクターはKPluginRunProcessという組み込み機能を利用してリモートコマンドを実行しており、検出を回避するためにBase64エンコードされたペイロードを多用しています。

観察された攻撃では、IPアドレス216.126.225.156でホストされたコマンド・アンド・コントロールサーバーから追加の悪意のあるペイロードをダウンロードしています。攻撃者はMimikatzを使用してメモリから直接プレーンテキストの認証情報を抽出し、その後リモートデスクトッププロトコルを介してドメインコントローラーやエンタープライズバックアップシステムへの横展開を行っています。

IP-KVM脆弱性 - $30から$100のデバイスがBIOSレベルの脅威に

安価なIP-KVMデバイスに影響を与える深刻なセキュリティ危機が明らかになりました。

セキュリティ研究者は、GL-iNet、Angeet、Sipeed、JetKVMという4つのベンダーにわたって9つの脆弱性を発見しました。最も深刻な問題はAngeet ES3 KVMに影響し、CVSS 9.8というスコアで、攻撃者が認証なしに任意のファイルをアップロードできてしまいます。

これらのデバイスはしばしば$30から$100の価格帯で販売されており、エンタープライズデータセンター、医療施設、産業環境全体に広く展開されています。インターネットに直接公開されているこれらのデバイスの数は、2025年6月の404から2026年1月までに1,600以上に増加しました。

KVMデバイスを侵害すると、攻撃者は接続されているすべてのマシンに対して完全な物理レベルの制御を獲得します。つまり、攻撃者がBIOSレベルで直接キーボード、ビデオ、マウスの制御を獲得し、オペレーティングシステムとエンドポイントセキュリティコントロールを完全に回避することができるのです。

Craft CMS - コード注入脆弱性の積極的悪用

コンテンツ管理システムのCraft CMSが、重大なセキュリティ脆弱性の悪用対象となっています。

CVE-2025-32432として追跡される脆弱性は、最大CVSSスコア10.0という重大度で、認証されていないリモート攻撃者が影響を受けるサーバー上で任意のコードを実行することを可能にします。

この脆弱性は、Craft CMSのアセット変換生成機能内の不適切な処理に由来しており、攻撃者が細工されたシリアル化されたJavaオブジェクトを注入することで、安全でない逆シリアル化を悪用できます。

Craft CMS 3.x、4.x、5.xの複数のブランチに影響を与え、2026年3月20日にCISAの既知の悪用脆弱性カタログに追加されました。

その他の重要な脅威

さらに報告されている脅威として、イランと関連があると思われるサイバー犯罪グループによる中東エネルギー部門への標的化、北アフリカでの石油精製所に対するAsyncRAT配信キャンペーン、SEO汚染技術を利用した大規模マルバタイジング作戦によるBYOVD型EDRキラーの配信などがあります。

また、Google Chromeのアップデート偽装やW-2税務フォーム関連のスピアフィッシング詐欺も活発化しており、税務申告シーズンに乗じた攻撃が増加しています。

クロージング

本日は複数の大規模サイバーセキュリティインシデントをご紹介しました。情報盗聴マルウェアの高度な技術進化、大規模なデータ侵害、そして新たな脆弱性の悪用など、セキュリティ脅威は日々進化・多様化しています。

特に注目すべき点は、複数のニュースメディアが同じテーマを取り上げることの多さです。これは当該脅威が業界全体にとって高い注目度を持つ重大な課題であることを示唆しています。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。