東京セキュリティブリーフィング 2026年03月25日（水曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年03月25日、水曜日の配信です。昨日公開された主要なセキュリティニュースについて、詳しく解説していきます。今回は、サプライチェーン攻撃の拡大、フィッシングキャンペーンの高度化、そして地政学的な緊張に関連したサイバー脅威など、注目度の高い複数の案件について取り上げます。

ヘッドライン

本日のメインニュースは以下の通りです。まず、Aqua Securityの脆弱性スキャナー「Trivy」がサプライチェーン攻撃により侵害された件。次に、フィッシング・アズ・ア・サービスの「Tycoon2FA」が法執行機関の摘発から数日で活動を再開した件。そして、ロシア関連のフィッシングキャンペーンが数千のメッセージングアカウントを侵害した件です。さらに、DDoS攻撃が過去最高レベルに達するなど、多くの重大な脅威が報告されています。

詳細解説

Trivyサプライチェーン攻撃、Docker Hubに悪意あるイメージを拡散

まず、注目すべきはAqua Securityの脆弱性スキャナー「Trivy」を狙ったサプライチェーン攻撃です。複数のメディアが同じ話題を報道していることから、業界全体で大きな関心を集めている案件です。

2026年3月19日、TeamPCPと呼ばれる脅威グループがAqua Securityの基盤となるインフラストラクチャを侵害しました。攻撃者は、GitHub Actionsの公式リリースに認証情報を盗むマルウェアを注入し、その後、Docker Hubに悪意あるイメージをアップロードしました。具体的には、バージョン0.69.4が最初に侵害されたリリースで、その後0.69.5と0.69.6というラベルの付いた新しいイメージが3月22日にDocker Hubに静かにプッシュされました。

これらのイメージには、TeamPCP情報収集ツールに関連する侵害の兆候が含まれていることが確認されました。特に懸念される点は、これらの悪意あるイメージは公式のGitHubリリースに対応するものがないままDocker Hubに存在していたことです。

侵害されたTrivyバージョンがデプロイされると、ユーザーのシステムからSSHキー、クラウド認証情報、Kubernetesトークン、暗号通貨ウォレットなどの機密情報が盗まれました。TeamPCPのインフラストラクチャ自体も侵害されており、攻撃者は複数のGitHub組織へのアクセス権を持つ侵害されたサービスアカウントトークンを使用していたと考えられています。

Aqua Securityの商用製品への影響については、セキュリティ企業から「Aqua Platform内で配信されるTrivyを含む商用製品がこのインシデントの影響を受けたという兆候はない」との声明が出されています。しかし、CI/CDパイプラインでTrivyを使用している組織は非常に多いため、被害の範囲は膨大です。

Tycoon2FA、法執行機関摘発からわずか数日で復活

次に注目したいのは、フィッシング・アズ・ア・サービス「Tycoon2FA」が法執行機関の摘発から驚異的な速度で活動を再開した件です。このケースも複数のメディアで報道されており、サイバー犯罪の適応性を象徴する事例です。

2023年にローンチされたTycoon2FAは、多要素認証をバイパスしてメールアカウントを侵害するためのプラットフォームとして急速に成長しました。2025年の中盤までに、Tycoon2FAはMicrosoftが検出したすべてのフィッシング試行の驚異的な62パーセントを占め、月単位で3000万以上の有害なメッセージを配信していました。

2026年3月初旬、Europolが調整した大規模な法執行機関の作戦により、6つの国の当局がTycoon2FAのインフラストラクチャに対して330のドメインを押収しました。初期の結果は、Tycoon2FAの活動が大幅に減少し、日次キャンペーンが機能停止前のレベルの約25パーセントに低下したことを示していました。

しかし、その後の展開は衝撃的でした。わずか数日のうちに活動は急速に回復しました。2026年3月4日から3月6日の間に、セキュリティ企業CrowdStrikeは少なくとも30件の疑わしいTycoon2FA対応フィッシング事件を観察したと報告しています。オペレーターは侵害されたドメインと正当なクラウドサービスを使用し続けており、AIが生成したデコイページと悪意あるURLは引き続き展開されています。

この迅速な回復は、現代のサイバー脅威の適応的な性質を示しており、サイバー防御者にとって継続的な課題が続くことを意味しています。

ロシア関連フィッシングキャンペーン、メッセージングアプリで数千件の侵害

複数のセキュリティレポートで報道されているロシアのフィッシングキャンペーンについて、解説します。FBI、CISA、そしてオランダの情報機関が同時期に警告を発しており、これが大規模かつグローバルなキャンペーンであることを示しています。

ロシア情報機関と関連する脅威行為者が、SignalとWhatsAppなどの商用メッセージングアプリケーションを積極的に標的にしています。このキャンペーンでは、「Signal Support」や「Signal Security Bot」などの偽の送信者になりすまし、高価値のターゲットにアプローチしています。

攻撃者は、被害者が自発的にアクセスを共有することになるフィッシングとソーシャルエンジニアリングを中心とした戦術を使用しています。具体的には、ユーザーは検証コードの提供やアカウントPINの入力などのアクションを促すメッセージを受け取ります。ユーザーがこれらのアクションを実行すると、攻撃者のデバイスが自動的にリンクされたデバイスとして追加されるか、または完全なアカウント乗っ取りが発生します。

このキャンペーンの対象者には、米国政府高官、軍関係者、政治家、ジャーナリストが含まれていますが、オランダ当局の報告では「大規模かつグローバル」であることが指摘されており、同様の戦術は企業や一般ユーザーにも適用される可能性があります。特に注目すべきは、FBI長官カシュ・パテルがX上で「このキャンペーンが数千の個人アカウントへの不正アクセスをもたらした」と述べていることです。

イラン関連サイバー脅威、ハンダラグループとPay2Key

イランに関連した複数のサイバー脅威グループが活発化しています。FBIの警告によれば、イラン政府のMOIS（情報保安省）と関連するグループが、Telegramマルウェアで反体制派を標的にしており、さらにハンダラグループが米国の医療機器メーカーであるStrykerへのハッキングと関連しています。

ハンダラが実行したSpyware攻撃では、イランの反体制派、ジャーナリスト、およびイラン政府が脅威と認識する他の個人が標的にされています。マルウェアは情報収集、データ漏洩、および評判被害をもたらしており、一部のケースでは2023年秋からの活動がさかのぼります。

さらに、イラン関連のランサムウェア集団Pay2Keyが、米国とイラン間の最近の軍事紛争と同時期に活動を増加させています。新しいレポートによれば、米国の医療機関が2月下旬にPay2Keyランサムウェア攻撃の標的となっており、被害者の環境から暗号化を通じた破壊を目的としているようです。これは典型的な金銭主導型のランサムウェア操作をはるかに超えた動機を示唆しています。

DDoS攻撃が過去最高レベルに激増

DDoS攻撃の規模と頻度が劇的に増加しています。ソフトウェアプロバイダーGcoreのRadarレポートによると、2025年下半期に登録されたDDoS攻撃は前半期比で倍増しており、全体として約225万件のDDoS攻撃が記録されました。2024年の総攻撃数は約180万件であったのに対し、2025年は合計約342万件に達し、年間比較で90パーセントの増加です。

攻撃の規模も劇的に増加しています。2025年の攻撃は12テラビット毎秒までの最高値に達しましたが、2024年はわずか2.2テラビット毎秒でした。これは約550パーセントの増加に相当します。

特に注目すべきは、攻撃の構造の変化です。ネットワークレベルの容積的攻撃はますます短くより攻撃的になっており、2025年下半期のすべての攻撃の82パーセントがネットワークレイヤーに集中しています。これらの攻撃の約3分の2が1分未満の期間で実行されています。

アプリケーションレベルの攻撃は全攻撃の18パーセントを占めており、より標的型で長引いています。約半数は10～30分の期間続き、8パーセントは1時間以上続いています。これらの攻撃は、プログラミングインターフェース、認証プロセス、またはバックエンドシステムなどのビジネスクリティカルな機能を標的にしているようです。

攻撃の被害者には、主にテクノロジー企業（34パーセント）が含まれており、その後に金融サービス企業（20パーセント）とゲーミング企業（19パーセント）が続いています。

ロシア人初期アクセスブローカー、懲役81ヶ月の判決

複数のメディアで報道されているロシアの初期アクセスブローカー事件について、詳しく説明します。26歳のアレクセイ・ボルコフは、インディアナ州の連邦裁判所で懲役81ヶ月（6年以上）を言い渡されました。

ボルコフはYanluowangランサムウェアグループなどの複数の「主要なサイバー犯罪グループ」の初期アクセスブローカーとして活動していました。初期アクセスブローカーとは、企業のコンピュータネットワークに侵入し、そのアクセスをランサムウェアグループを含む他のハッカーに売却するタイプのサイバー犯罪者です。

彼の活動に関連した攻撃は、ペンシルベニア州、カリフォルニア州、ミシガン州、イリノイ州、ジョージア州、オハイオ州を含む複数の州の銀行、通信プロバイダー、エンジニアリング企業など様々な組織を標的にしました。当局によると、このキャンペーンは900万ドル以上の実際の損失をもたらし、2400万ドル以上の身代金要求を含んでいました。

ボルコフは企業ネットワークの脆弱性を特定し、ランサムウェア攻撃を実行した共謀者にそのアクセスを提供し、見返りに身代金支払いの一部を受け取っていました。被害者は通常、暗号通貨で身代金を支払うよう指示されており、時には数千万ドルに達する額でした。

判決の一部として、ボルコフは被害者に対して少なくとも910万ドルの賠償金を支払うことと、ハッキング操作に使用されたコンピュータを没収することが命じられました。彼はローマで逮捕され、その後米国に身柄送還されました。

その他の重大なセキュリティ脅威

本日のニュースには他にも多くの重大な脅威が報告されています。偽のChatGPT招待がAndroidユーザーを狙った新しいマルウェアキャンペーンが確認されており、Firebase App Distributionを悪用してマルウェアが配布されています。また、新しいマルウェア「PureHVNC」がGoogle Formsを使用して配布されており、DLLハイジャックを介した感染チェーンが観察されています。

さらに、Chrome、NetScaler ADC、Roundcubeなど複数の主要なソフトウェアに重大な脆弱性が発見・修正されています。Googleは遠隔コード実行を可能にする8つの高重大度の脆弱性に対処するChrome用のセキュリティアップデートをリリースしました。

WordPressプラグイン「BuddyBoss」のアップデートシステムが侵害され、管理者認証情報、Stripeキー、およびデータベースが盗まれた事例も報告されています。教育サービス企業Kaplanは230,000人以上の顧客情報流出を報告し、Crunchyrollもサードパーティベンダー経由でカスタマーサービスチケットデータが流出したことを確認しています。

AI関連の脅威も増加しており、AIエージェントによる予期しない動作やセキュリティリスク、そしてLLMを悪用した新しい攻撃手法が報告されています。

クロージング

本日は、サプライチェーン攻撃の深刻化、フィッシング・アズ・ア・サービスの復活力、地政学的要因に駆動されるサイバー脅威など、複雑で多層的なセキュリティの課題について解説してきました。

重要なポイントは、現代のサイバー脅威は単一の対策では防ぎきれないということです。サプライチェーンの監視、多要素認証の導入、定期的なセキュリティアップデート、従業員の意識向上トレーニング、そして情報共有など、複合的なアプローチが必要です。

特に、複数のメディアで同時期に報道された案件については、業界全体での警戒と対応が重要です。今回報道されたTrivyサプライチェーン攻撃、Tycoon2FAの復活、ロシアのフィッシングキャンペーンなどは、組織の規模や業種を問わず、対策の見直しを迫るものです。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。