東京セキュリティブリーフィング 2026年04月03日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月03日、金曜日です。本日もセキュリティの最新動向をお伝えしていきます。

ヘッドライン

本日は複数の重大なセキュリティインシデントが報告されています。玩具大手ハズブロへのサイバー攻撃による事業継続への影響、複数の製品における認証バイパス脆弱性、そしてオープンソースライブラリのサプライチェーン攻撃など、組織全体に大きなリスクをもたらすニュースが相次いでいます。このほか、複数の新種マルウェア、国家関連の脅威行為者による攻撃、そして重要なセキュリティ脆弱性の悪用が確認されています。詳細をご説明します。

詳細解説

ハズブロへのサイバー攻撃と事業継続への影響

玩具大手ハズブロが3月28日にネットワークへの不正アクセスを検出し、一部システムをオフラインに移行したと報告されました。同社はSEC提出書類で、製品出荷と注文受付能力に影響が生じており、数週間の遅延の可能性があると警告しています。調査が継続中ですが、ファイル暗号化型ランサムウェアの展開とデータ窃取の可能性があると指摘されています。これは2025年の収益が47億ドルに及ぶ大規模企業の事業継続に直結する問題として、業界全体の関心を集めています。

Axiosオープンソースライブラリのサプライチェーン攻撃

オープンソースライブラリ「Axios」が高度なサプライチェーン攻撃の標的になりました。北朝鮮と疑われる脅威行為者UNC1069がaxiosメンテナーのnpmアカウントを侵害し、Axios バージョン1.14.1とバージョン1.30.4で悪意のある依存関係「plain-crypto-js」を導入しました。このバージョンでWaveshaper.v2バックドアが配布され、複数OS向けに事前構築されたペイロードが含まれていました。このライブラリは多くの企業で使用されており、サプライチェーン汚染による広範な影響が懸念されます。

Cisco製品における複数の重大脆弱性

シスコから複数の重大脆弱性が報告されました。最も危険なのはCisco Integrated Management ControllerのCVE-2026-20093で、CVSS 9.8の最高危険度です。この脆弱性により、認証されていないリモート攻撃者がシステムにアクセスし、管理者パスワードを上書きすることで完全な管理権限を奪取できます。このほか、Cisco Smart Software Manager On-PremのCVE-2026-20160も報告されており、こちらもCVSS 9.8で、認証を必要としないAPIを通じてroot権限でコマンドを実行される可能性があります。いずれも現時点で悪用は確認されていませんが、代替制御がないため、早急なパッチ適用が強く推奨されています。

Google Chromeのゼロデイ脆弱性が野外で悪用中

GoogleがCVE-2026-5281を報告し、このWebGPU実装のUse-After-Free脆弱性がすでに野外で悪用されていることを確認しました。メモリ破損によるコード実行が可能になります。GoogleはバージョンChrome 146.0.7680.177および178で修正し、全ユーザーに即座のアップデートを推奨しています。CISAも同脆弱性をKEVカタログに追加し、連邦機関には4月15日までのパッチ適用期限を設定しました。

ClickFixとマルウェアの連鎖

新型マルウェア「DeepLoad」がClickFix技法で配布されており、非常に検出回避能力の高い特性を持っています。ClickFixは、ユーザーの実行ダイアログにコマンドを入力させることで悪意のあるコードを実行させるソーシャルエンジニアリング技法です。DeepLoadはAPC インジェクション、PowerShellローダーのコマンド履歴無効化など、複数の検出回避機構を備えています。ブラウザ拡張機能として偽のバージョンに置き換えられた場合、セッショントークンと保存パスワードを傍受されるリスクもあります。さらに、このClickFix技法を悪用した「VenomStealer」というマルウェア・アズ・ア・サービスプラットフォームがサイバー犯罪フォーラムで月額250ドルまたは生涯1,800ドルで販売されており、認証情報窃盗、ウォレット抽出を自動化した継続的な流出パイプラインを提供しています。複数のテンプレートを備え、WindowsとmacOS双方を対象としています。

Google Vertex AIにおけるデフォルト権限過剰問題

Unit 42が報告した調査によると、Google Cloud Vertex AIエージェントのデフォルト権限が過度に広い設定になっていることが明らかになりました。攻撃者がピボットしてCloud Storageにアクセスし、Googleの専有コードを公開される可能性があります。Googleはドキュメンテーションを更新し、顧客にBring Your Own Service Account（BYOSA）の使用を推奨しています。

イスラエルとUAE組織を標的とした国家関連攻撃

Gray Sandstormに関連したハッカーが3月にイスラエルとアラブ首長国連邦の組織を対象にパスワードスプレー攻撃を実施しました。イスラエルでは300以上の目標、UAEでは約25の目標が対象となっており、特にイランのミサイル攻撃に対応する市町村政府が集中的に攻撃されています。Microsoft 365をターゲットとした攻撃で、Torと複数VPNを使用して匿名性を確保していました。

GigabyteコントロールセンターのCVE-2026-4415

Gigabyteが「Control Center」のペアリング機能に関する重大脆弱性CVE-2026-4415を警告しました。CVSS 9.2の重大度で、認証なしのリモート攻撃者が任意のファイルを書き込むことで、コード実行と権限昇格が可能になります。バージョン25.12.10.01でパッチが適用されており、アップデートが推奨されています。

Google Playの「NoVoice」マルウェアキャンペーン

Operation NoVoiceという大規模なマルウェアキャンペーンが50以上のGoogle Playアプリに隠れており、230万回以上ダウンロードされました。2016年から2021年の古いAndroid脆弱性22個を悪用してroot権限の取得を試みます。Triada RATと類似した機能を持ち、ステガノグラフィとTLS暗号化通信で検出を回避しながら、WhatsAppセッションのクローニングなどが可能です。さらに懸念される点として、ファクトリーリセット後も復旧する機構が備わっています。

TrueConfビデオ会議システムのゼロデイ悪用

TrueConfカンファレンスサーバーのCVE-2026-3502脆弱性が悪用されており、CVSS中程度の脆弱性で整合性チェックが欠落しています。悪意のあるアップデートを配布することで、接続クライアントに任意のファイルを実行させられます。TrueChaosキャンペーンで東南アジアの政府が標的となっており、バージョン8.5.3で修正済みです。

PX4オートパイロットの認証不足脆弱性

CISAがCVE-2026-1579を識別番号ICSA-26-090-02で警告しました。PX4オートパイロットのMAVLinkインターフェースにおける認証不足脆弱性で、CVSS 9.8の最高危険度です。認証されていない攻撃者がドローンをリモート制御可能になり、盗まれた監視データや重要インフラへの被害をもたらします。v1.16.0に影響があります。

Appleがセキュリティアップデートを拡大展開

AppleはiOS 18.7.7をリリースし、DarkSwordエクスプロイトキットが悪用する6つの脆弱性に対処しました。このパッチはiPhone XS以降すべてのiPhoneと対応iPad機種を対象としており、GitHub公開により他の脅威アクターによる利用も懸念されています。

北朝鮮関連の求人詐欺スキーム

北朝鮮と疑われる脅威行為者が盗まれたフロリダ州居住者の身元を使用し、AIアーキテクト職に応募するという求人詐欺を実施していました。Astrill VPN、PiKVMデバイス、Tailscaleで複数デバイスを制御し、ラップトップファーム運営で40台以上のマシンを複数企業に接続させていました。

TA416による中東・ヨーロッパ標的のスパイ活動

中国系脅威グループTA416が2年間の沈静後、2025年中旬からヨーロッパ政府を再標的化し、2026年3月には中東に活動を拡大しました。Webバグで偵察を行った後、PlugXバックドアを配布しており、RC4暗号化C2とCloudflare CDNフロントを使用しています。

Symantec DLPエージェントの脆弱性

Symantec DLP エージェントのCVE-2026-3991がCVSS 7.8で報告されました。硬化パスに存在しないOpenSSL設定ファイルの参照により、SYSTEM権限プロセスでの不正DLL読み込みが発生します。バージョン25.1 MP1で修正済みです。

WhatsApp攻撃チェーン

WhatsAppメッセージで配布されるVBS添付ファイルが、curl/bitsadmin悪用からAWS/Tencentサーバーへの二次VBS取得、さらに署名なしMSIのインストールへと進む多段階攻撃チェーンが確認されました。UAC回避でSYSTEM権限で永続化し、AnyDeskリモートアクセスを実現しています。

Remcos RAT攻撃

Remcos RAT攻撃がZIP添付フィッシング → 難読化JavaScript → PowerShell → .NETアセンブリという階層的なチェーンを使用しており、aspnet_compiler.exeなどのLOLBins悪用で検出を回避し、メモリ内実行を実現しています。

日産へのサイバー攻撃

Everestハッキンググループが日産/Infiniti向けファイル転送システムの侵害を主張し、910GBのデータ窃取を報告しました。ただし日産はベンダーシステムのみが影響を受けたと述べ、日産システムやカスタマーデータの侵害を否定しています。

Linx Securityの資金調達

身元セキュリティスタートアップLinx SecurityがシリーズB資金調達で5000万ドルを調達し、総調達額は8300万ドルに達しました。Autopilot AIエージェントで身元リスクを自動検出・修復する機能を提供しています。

Depthfirstの資金調達

ソフトウェアセキュリティスタートアップDepthfirstがシリーズB資金調達で8000万ドルを調達し、総調達額は1億2000万ドルになりました。AIネイティブプラットフォームでソフトウェア層全体の脆弱性解決に焦点を当てており、Dfs-mini1セキュリティモデルを発表しています。

ノースダコタの浄水処理施設へのランサムウェア攻撃

マイノット市の浄水処理施設が3月14日にランサムウェア攻撃を検出しました。ファイル侵害の可能性が調査中ですが、過去2年間、イランと中国からの国家キャンペーンが米国水道公社を標的としていることが懸念されています。

MercorのLiteLLMサプライチェーン攻撃の被害確認

AIプラットフォームMercorがLiteLLMサプライチェーン攻撃の影響を受けたことを確認しました。外部フォレンジック調査が進行中で、Lapsus$が数百ギガバイトのデータ入手を主張しています。

クロージング

本日ご紹介した通り、セキュリティの脅威環境は非常に厳しくなっています。企業システム、個人デバイス、オープンソースライブラリなど、あらゆるレイヤーでセキュリティ対策が求められる状況です。特に、サプライチェーン攻撃やゼロデイ脆弱性の悪用が相次いでおり、継続的な監視とセキュリティアップデートの実施が不可欠です。気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。