東京セキュリティブリーフィング 2026年04月04日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月04日、土曜日の配信です。昨日公開されたセキュリティニュースを中心に、今週の重要なセキュリティ情報をお届けします。世界中で発生している様々なサイバーセキュリティの脅威について、詳しく解説していきますので、どうぞご視聴ください。

ヘッドライン

本日は複数の重大なセキュリティ事案をご紹介します。F5 BIG-IPの重大な脆弱性による広範な悪用リスク、北朝鮮の脅威アクターによるDeFiプラットフォームからの2億8000万ドル以上の大規模盗難、Claude Codeのソースコード流出に関連するセキュリティ脆弱性、React2Shellの脆弱性を悪用した大規模な侵害事件、OpenSSHの重大なシェルインジェクション脆弱性、そしてProgress ShareFileの認証バイパス脆弱性について取り上げます。その他、Akiraランサムウェアの急速な拡大、NoVoiceと呼ばれるAndroidマルウェアの発見など、様々な脅威動向についてお伝えします。

詳細解説

F5 BIG-IP RCE脆弱性が14,000以上のインスタンスを脅かす

F5はCVE-2025-53521について重要な再分類を発表しました。この脆弱性は当初サービス拒否と評価されていましたが、リモートコード実行の重大なリスクを持つことが認識されました。BIG-IP APMが仮想サーバーに構成されている場合、RCEが発生する可能性があります。

セキュリティ調査機関のShadowserver Foundationが調査したところ、世界中には17,000以上の脆弱なIPアドレスが存在することが判明しました。さらに詳細な分析では、14,000以上のF5 BIG-IP APMインスタンスがオンラインで公開されており、悪用に対して脆弱だと評価されています。この脆弱性の重大度が過小評価されていたため、多くのシステムが未更新のままになっていると考えられます。

CVSS スコアは9.8から9.3の範囲で再評価されており、これは極めて深刻な脆弱性です。組織がF5 BIG-IPを使用している場合は、緊急の対応が必要となります。

北朝鮮の脅威アクターがDriftから2億8000万ドル以上を盗難

DeFiプロトコルのDriftが壊滅的な盗難に遭いました。北朝鮮関連の脅威アクターがセキュリティカウンシルの管理権を掌握し、2億8000万ドル以上の資金引き出しに成功しました。

攻撃の詳細では、脅威アクターはわずか10秒以内に5つのボールトから資金を流出させています。無価値なトークンCVTの偽造担保市場を作成し、サーキットブレーカーを無効化することで、この迅速な盗難を実現しました。その後、攻撃者は自動化されたボットを使用して、57,331個のウォレットアドレスに資金を分散させました。

セキュリティ企業のEllipticとTRM Labsが調査を実施し、オンチェーン指標に基づいて北朝鮮の脅威アクターに起因させています。攻撃の準備は3月23日から30日にかけて行われ、4月1日に事前署名トランザクションで実行されました。Driftは2025年9月までに被害者から少なくとも2億4,500万ドルの身代金を獲得しているとされるAkiraランサムウェアグループとは異なり、この盗難はDeFi特有の脆弱性を悪用した事案です。

Claude Codeソースコード流出によるセキュリティ脅威

Anthropicの開発ツールClaude Codeのソースコード流出は、複層的なセキュリティ脅威をもたらしています。約512,000行のTypeScriptコードが流出し、エージェントアーキテクチャの内部コンポーネントが明らかになりました。

流出を悪用した脅威アクターが多数の悪意あるGitHubリポジトリを作成しています。「漏洩したClaude Code」などの検索キーワードでGoogle検索の上位に表示される偽のリポジトリが、VidarインフォステーラーやGhostSocksなどのマルウェアを配布していました。複数のリポジトリが高いスター数とフォーク数を獲得し、ユーザーを欺いていました。

さらに重大なのは、流出したソースコードを分析することで本当のセキュリティ脆弱性が発見されたことです。Adversa AI Red Teamが、権限システムの脆弱性を特定し、拒否ルールをバイパスできることを示しました。MAX_SUBCOMMANDS_FOR_SECURITY_CHECKという制限値が50に設定されているため、50個以上のサブコマンドでこの保護をバイパスできます。

Anthropicはこの問題に対応し、GitHubに8,100以上のClaude Code流出リポジトリとそのフォークを削除させるための大量DMCA申し立てを実施しました。

React2Shell脆弱性による700以上のNext.jsホスト侵害

CVE-2025-55182は、React2Shellの重大なリモートコード実行脆弱性で、CVSS スコアは10.0です。脅威グループUAT-10608がこの脆弱性を悪用して、わずか24時間以内に766ホスト以上を侵害しました。

攻撃者はShodanやCensysなどのスキャンサービスを使用して脆弱なNext.jsアプリケーションを自動検出し、認証なしでコード実行を達成しました。盗まれたデータは極めて深刻で、クラウドトークン、SSHキー、Kubernetesトークン、GitHubトークン、データベース接続シークレットが含まれていました。10,000以上のファイルが収集され、環境変数やシェルコマンド履歴も抽出されています。

この脆弱性はNext.jsアプリケーションの管理エンドポイントに対して広く悪用される可能性があり、多くの開発者がパッチ適用の緊急対応を迫られています。

Axiosのnpm侵害は標的型ソーシャルエンジニアリングに遡る

人気の高いAxios npmパッケージが北朝鮮関連の脅威アクターに侵害されました。2つの悪意あるバージョンがnpmに公開されましたが、その根本的な原因は高度なソーシャルエンジニアリングキャンペーンであることが判明しました。

攻撃者は正当な企業になりすまして段階的に信頼を構築し、メンテナーを説得してシステムアクセスを許可させています。盗まれたメンテナー認証情報を利用して、ZshBucketマルウェアの新しいバリアントが配布されました。CrowdStrikeは中程度の信頼度でSTARDUST CHOLLIMAに起因させています。

攻撃者は認証済みセッションで動作していたため、2要素認証をバイパスすることに成功しました。オープンソースメンテナーが十分なセキュリティサポートを受けていない脆弱性が露呈した事案として注視されています。

OpenSSH 10.3が重大なシェルインジェクション脆弱性を修正

OpenSSH 10.3がリリースされ、危険なシェルインジェクション欠陥を防ぐパッチが含まれています。この脆弱性は極めて重大で、即座のパッチ適用が必要です。

その他の修正内容として、証明書認証バグ、レガシーSCP権限問題、ECDSAキー強制エラーに対処しています。また、接続インサイト、アンチスパムペナルティ、複数失効ファイルサポートなど、セキュリティとパフォーマンスの向上機能が追加されています。

OpenSSHは広く使用されるコンポーネントであるため、システム管理者は優先順位を上げて更新する必要があります。

Progress ShareFileの認証バイパス脆弱性

Progress ShareFileに2つの重大な脆弱性が発見されました。CVE-2026-2699はCVSS 9.8、CVE-2026-2701はCVSS 9.1で、これら2つの脆弱性が連鎖することでリモートコード実行が実現されます。

認証されていない攻撃者がShareFile Storage Zone Controllerの管理エンドポイントにアクセスし、ストレージ場所を再構成してWebシェルをアップロードできます。約30,000のShareFileインスタンスが脅かされていると推定されています。

バージョン5.12.4で修正されていますが、オンプレミス環境のみが影響を受けており、SaaS版は含まれていません。該当バージョンを使用している組織は、早急なアップグレードが必要です。

Appleが古いデバイスへのDarkSword対策パッチを展開

AppleはDarkSwordエクスプロイトキットからの保護を強化するため、iOS 18.7.7を古いデバイスに展開しました。このバージョンは24個のセキュリティ欠陥に対処しています。

DarkSwordエクスプロイトキットは6つのiOS脆弱性を対象としており、国家支援グループと商用監視ベンダーの両方に使用されています。古いデバイスのユーザーも同等の保護を受けられるようにするため、Appleが対応を進めています。

スターバックスの設定ミスでファームウェアが露出

脅威グループShadowByt3sが設定ミスのあるAmazon S3バケット「sbux-assets」に侵入し、10GBの機密データを盗んだと主張しています。盗まれたデータには、Mastrena IIマシンとFreshBlends自動化システムのファームウェアが含まれています。

ただし、この侵害は正式に確認されていない点に注意が必要です。クラウドストレージの設定ミスによる情報漏洩は継続的なセキュリティ課題となっています。

NoVoiceマルウェアが230万ダウンロード以上のアプリに隠された

McAfeeが230万ダウンロード以上の50のGoogle Playアプリに隠されたNoVoiceマルウェアを発見しました。このマルウェアは古いAndroidカーネルとGPUの欠陥を悪用し、工場出荷時リセット後も継続可能な極めて永続的なルートキットです。

WhatsAppなどのアプリにコード注入してセッションをハイジャックできる機能を持ち、多くのAndroidデバイスユーザーが影響を受ける可能性があります。

Akiraランサムウェアグループが1時間以内のデータ暗号化を実現

Akiraランサムウェアグループは初期アクセスから暗号化までの時間を4時間以下に短縮し、多くの場合1時間以内に達成可能になりました。攻撃の迅速化により、組織の対応時間が著しく短くなっています。

2025年9月までに被害者から少なくとも2億4,500万ドルの身代金を獲得しており、活動を活発化させています。

Qilinランサムウェアが300以上のEDRを無効化

Qilinランサムウェアグループは300以上のEDR（Endpoint Detection and Response）ソリューションを無効化できる高度な感染チェーンを開発しました。悪意のある「msimg32.dll」を展開してDLLサイドローディング攻撃を実行しています。

EDRの無効化により、侵害の検出を困難にしており、ランサムウェアグループの技術的な成熟度が高まっていることを示しています。

Phorpiexボットネットがランサムウェア配布を促進

Phorpiex（別名Trik）ボットネットの新しいTwizバリアントはハイブリッドアーキテクチャを備え、LockBitBlackとGlobal系ランサムウェアを配布しています。セクストーション詐欺と暗号資産盗難も実行しており、複層的な脅威をもたらしています。

TP-Linkルーター脆弱性によるDoS攻撃リスク

TP-Link Tapo C520WS v2.6に複数のセキュリティ脆弱性が存在します。CVE-2026-34118からCVE-2026-34120はバッファオーバーフロー、CVE-2026-34121は認証バイパス、CVE-2026-34124はパス拡張オーバーフローです。隣接の攻撃者がデバイスをクラッシュさせたり、特権コマンドを実行できるリスクがあります。ファームウェア1.2.4 Build 260326 Rel.24666n以降で修正されています。

北朝鮮がGitHubをC2として悪用するLNKフィッシング展開

北朝鮮関連の攻撃者がGitHubをC2インフラストラクチャとして悪用し、韓国をターゲットにする悪意のあるLNKフィッシングキャンペーンを展開しています。隠されたPowerShellスクリプトがバックグラウンドで実行され、XenoRATマルウェアを配布する複雑な攻撃チェーンが組まれています。

EU機関30以上がTrivy悪用攻撃で影響

TeamPCPはTrivyサプライチェーン攻撃で盗まれたAWS APIキーを使用して、欧州委員会のクラウド環境を侵害しました。少なくとも29の他のEU機関が影響を受けています。ShinyHuntersがダークウェブで340GBのドキュメントアーカイブをリークし、51,992ファイルのメール通信を含む個人データが公開されました。

インフラエンジニアが254台のサーバーをロック

元インフラストラクチャエンジニアのダニエル・ラインが、前雇用主の254台のWindowsサーバーをロックしたことで、連邦コンピュータ詐欺・恐喝罪で有罪答弁しました。2023年11月の攻撃で13の管理者アカウント削除、301ユーザーのパスワードを「TheFr0zenCrew!」にリセット、254サーバーと3,284ワークステーションをロックしています。20ビットコイン（当時約750,000ドル）の身代金を要求しました。この事件は、内部脅威がもたらす深刻なリスクを示しています。

CrowdStrikeが攻撃者のAI活用による対抗を報告

CrowdStrikeの2026年グローバル脅威レポートによると、攻撃者はブレークアウト時間を29分に短縮しています。2025年の検出の82%がマルウェアなしでした。AI対応攻撃者からの活動で89%の増加が観察され、ジェネレーティブAIでソーシャルエンジニアリングをスケーリングしています。

Ciscoが多くの製品のIMC認証回避フローを修正

CVE-2026-20093はパスワード変更の不適切な処理に由来し、認証されていないリモート攻撃者がIMCへの管理者アクセスを取得できます。IMCはベースボード管理コントローラで、OSがシャットダウンされている場合でもサーバー管理が可能です。

CrystalX RATが被害者をからかうチャットウィンドウを提供

CrystalX RATはスパイ活動機能と独特の盗難・いたずら機能を含み、被害者をからかったり嘲笑したりできるチャットウィンドウを提供しています。月額250ドルから生涯アクセスで1,800ドルの購読モデルで提供されており、マルウェア・アズ・ア・サービスの新しい傾向を示しています。

Venom Stealerがソーシャルエンジニアリングで初期アクセスを獲得

Venom StealerというMalware-as-a-Serviceは、偽のCloudflare CAPTCHA、OSアップデート、SSL証明書画面などのおとりを使用して、ユーザーにコマンド実行を促しています。感染後、暗号資産ウォレットをGPU駆動クラッキングエンジンで即座に破裂させ、9つのブロックチェーンネットワークで資金を流出させます。月額250ドルから生涯1,800ドルの購読モデルです。

TrueConfゼロデイがアジア政府機関を攻撃

CVE-2026-3502はTrueConfクライアントのソフトウェア更新メカニズムで整合性チェックが欠落しており、攻撃者が更新を改ざんして任意コード実行を達成できます。Check PointはCVSS 7.8の脆弱性が中国のハッカーによってアジアの政府機関攻撃に悪用されていることを報告しました。CISAは4月2日にKEVカタログに追加し、連邦機関に4月16日までの対応を要求しています。

フィリピン銀行ユーザーが信頼されたプラットフォームでのフィッシング被害

フィリピンの銀行ユーザーを標的とした高度なフィッシングキャンペーンで、Google BusinessやCloudflare Workersなどの信頼されたプラットフォームが悪用されていました。900以上の悪意あるリンクが配布され、400以上の被害者が影響を受けました。攻撃者は「ホットリンク」技術を使用して銀行ページを完璧に複製し、OTPを含むすべての認証情報をリアルタイムで盗み取っています。

Microsoft Windows強制アップグレード開始

Microsoftが管理されていないWindows 11デバイスをバージョン24H2からバージョン25H2への自動強制アップグレードを開始しました。24H2は2026年10月13日にサポート終了に到達するため、この強制対応が実施されています。インテリジェント機械学習アルゴリズムでハードウェア互換性を検証しながら展開されています。

悪質なChrome拡張機能がChatGPTユーザーを監視

「ChatGPT Ad Blocker」という悪質なChrome拡張機能が、ユーザーのChatGPTプロンプトとチャット履歴を体系的に収集して攻撃者のDiscordチャネルに送信していました。広告をブロックする機能は完全に無効化されており、60分ごとにGitHubからリモート設定ファイルを取得して挙動を更新する仕組みが組み込まれていました。

クロージング

本日は、セキュリティ脅威の最前線から、様々な重大なインシデントと脆弱性についてお届けしました。F5 BIG-IPのRCE脆弱性、北朝鮮の脅威アクターによるDeFi盗難、Claude Codeの流出と脆弱性、React2Shell大規模侵害、OpenSSHの重大パッチなど、多くの組織に直結する深刻な脅威が報告されています。

これらのニュースは、セキュリティの継続的な対応とパッチ適用の重要性を改めて示しています。皆さんの組織で該当するシステムやアプリケーションがないか確認し、必要な対策を講じることをお勧めします。気になるニュースがあれば、ぜひ詳細をご確認ください。本日のポッドキャストでご紹介した内容については、公式ウェブサイトでも詳しく解説していますので、併せてご参照ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。