東京セキュリティブリーフィング 2026年04月07日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月07日、火曜日のお送りです。昨日4月6日に公開されたセキュリティニュースから、日本の組織に影響を与える重要な脅威をお伝えします。

本日のニュースは、大規模なインフラストラクチャを狙った攻撃から、北朝鮮の脅威グループによる巧妙な社会工学的キャンペーンまで、多岐にわたります。実務的な対応が急務となっているいくつかの脆弱性も報告されています。それでは、まいります。

ヘッドライン

本日のメインニュースです。まず、Fortinetの管理サーバーに重大な脆弱性が発見され、既に攻撃に悪用されています。次に、北朝鮮の脅威グループが複数のソフトウェアプロジェクトを狙ったサプライチェーン攻撃を実施しており、数百万の開発者が影響を受けています。さらに、クラウドインフラストラクチャ上の暗号資産プラットフォームが大規模なハックの被害に遭い、2億8600万ドルが盗まれています。加えて、GoogleとMicrosoftのプラットフォーム上で、自動化された詐欺キャンペーンが大規模に展開中です。詳しくは後ほど解説します。

詳細解説

FortiClient EMS重大脆弱性が攻撃に悪用

重大度の高いニュースからお始めします。Fortinetが公開したFortiClient Enterprise Management Server、EMSの脆弱性についてです。CVE-2026-35616として追跡されるこの脆弱性は、認証なしでリモートコード実行を可能にするものです。

Fortinetは土曜日に緊急パッチをリリースしており、既に野生での悪用が確認されています。この脆弱性はアクセス制御の不適切な実装に起因しており、攻撃者は認証チェックをバイパスして特別に細工されたリクエストを送信することで、任意のコマンドを実行できます。

FortiClient EMSは単なるエンドポイントツールではなく、組織全体のエンドポイントセキュリティを一元管理する中枢です。攻撃者がこのシステムを制御すれば、ウイルス対策設定を無効化したり、ランサムウェアを組織全体に展開したりできる立場を得ることになります。

インターネットセキュリティ監視機関Shadowserverの調査では、約2000のFortiClient EMSインスタンスが公開インターネットに露出していることが判明しました。その大多数は米国とドイツに位置しています。脆弱なバージョンは7.4.5および7.4.6であり、管理者は直ちにホットフィックスを適用するか、バージョン7.4.7へのアップグレードを検討する必要があります。

北朝鮮のサイバー集団によるソフトウェアサプライチェーン攻撃

次に、複数の記事で報道されているソフトウェアサプライチェーン攻撃についてです。これは注目度が高いニュースです。

北朝鮮関連の脅威グループUNC1069が、複数の大規模サプライチェーン攻撃を実行しています。最も注目されているのはAxiosプロジェクトへの攻撃です。Axiosはnpm上で週間ダウンロード数1億を超える最も人気のあるJavaScriptライブラリの一つです。

3月31日、攻撃者はAxiosのリード・メンテナーのアカウントを侵害しました。その過程は非常に巧妙でした。約2週間前、攻撃者はメンテナーに一流企業の創業者を装った招待を送付しました。その後、Slackワークスペースへの招待へと進み、さらにMicrosoft Teamsでの会議へ促しました。会議中、メンテナーはシステム更新のプロンプトを見せられ、実はマルウェアをインストールしていました。

攻撃者はメンテナーのアカウントを制御下に置いた後、汚染されたAxiosバージョン1.14.1および0.30.4をnpmレジストリに公開しました。これらのバージョンには、plain-crypto-jsという悪意のある依存関係が含まれていました。わずか3時間で削除されましたが、その間に300万人以上のユーザーにインストールされた可能性があります。

このメルウェアはリモートアクセストロージャンをシステムに導入するもので、開発者のマシンへの完全なアクセスを攻撃者に与えていました。

同様の攻撃が他の著名なNode.jsメンテナーもターゲットにしています。複数の大規模プロジェクトの保守者が同じソーシャルエンジニアリング手法でターゲットにされており、実験的な攻撃ではなく、継続的に展開される脅威であることが明らかになっています。

Drift Protocol暗号資産プラットフォーム2億8600万ドルのハック

暗号資産分野での大規模なセキュリティ事案です。Solanaブロックチェーン上の分散型先物取引所Drift Protocolが、4月1日に2億8600万ドル相当の資産を盗まれました。これは2026年のDeFi業界での最大規模のハックとなっています。

攻撃者はDrift Protocolの管理者秘密鍵を盗むことに成功しました。これにより、昇格された特権を得て、複数のボールトから直接資金を引き出すことができました。最大の盗難はJLPデルタ中立ボールトからの4170万トークン、約1億5500万ドル分でした。

ブロックチェーン分析企業Ellipticはこの攻撃を北朝鮮関連の脅威グループに帰属させています。オンチェーン行動、資金洗浄技術、運用パターンが以前の北朝鮮のサイバー作戦と密接に一致しているためです。攻撃は慎重に計画されており、攻撃の約8日前にウォレットを作成し、テスト転送さえ実施していました。

盗まれた資金はSolanaベースの取引所を通じてUSCDに交換され、その後Ethereumブロックチェーンにブリッジされ、ETHに変換されました。確認されれば、これは2026年だけで追跡されている18番目のDPRK関連の暗号資産盗難となり、今年の総損失は3億ドルを超えています。

悪質なnpmパッケージによる大規模サプライチェーン攻撃

npm環境での別の大規模攻撃も報告されています。Strapiコンテンツ管理システムのプラグインに見せかけた36個の悪質なパッケージが発見されました。

攻撃は4つのダミーnpmアカウントを使用して実行されました。これらのパッケージは様々なペイロードを配信しており、Redis遠隔コード実行、Docker コンテナエスケープ、認証情報収集、永続的なコマンド・アンド・コントロール機能が含まれていました。

特に懸念されるのは、攻撃者が8つの異なるマルウェア亜種を展開しており、単なるスパムキャンペーンではなく、活動的で進化する攻撃操作を示唆しています。攻撃チェーンは複数段階に分かれており、cronジョブ挿入、PHPウェブシェルデプロイメント、リバースシェル起動が含まれます。

Guardianというクリプト通貨決済プラットフォームが特に標的にされており、攻撃者がウォレット、トランザクション、デポジット関連のデータを特にプローブしていたことが明らかになっています。

北朝鮮のハッカーが有名なNode.jsメンテナーを標的

さらなる情報として、北朝鮮の脅威グループUNC1069が複数の著名なNode.jsメンテナーをターゲットにしたソーシャルエンジニアリングキャンペーンを実施しています。

標的にはSocket CEOやNode Package Maintenance Working Groupメンバー、Dotenv作成者など、数十億ダウンロードを有する数百のnpmパッケージを保守する個人が含まれます。全員がAxiosメンテナーと同様のソーシャルエンジニアリング攻撃を報告しており、数週間にわたる細部まで計算された関係構築の後に、悪意のあるコマンド実行へと誘導されています。

クロージング

本日のセキュリティニュースをまとめます。

企業インフラストラクチャを管理するFortiClient EMSの重大な脆弱性が既に悪用されており、直ちなる対応が必要です。組織全体のエンドポイントを制御する中枢システムですので、パッチ適用を最優先事項としてください。

次に、ソフトウェアサプライチェーンにおける脅威が深刻化しています。npm、GitHub、その他の開発プラットフォーム上で、北朝鮮関連の脅威グループが巧妙な社会工学的手法を用いて開発者をターゲットにしています。個人のメンテナーだけでなく、組織全体が影響を受ける可能性がある脅威です。

第三に、暗号資産プラットフォームへの大規模なハックが継続しており、北朝鮮の脅威グループによるものと考えられています。金銭的な影響が極めて大きいため、業界全体での警戒が必要です。

日本の組織においても、これらの脅威は対岸の火事ではありません。特にクラウドインフラストラクチャを使用しており、npmやその他のオープンソースパッケージに依存している企業は、供給チェーン上の脅威からの保護を強化する必要があります。

本日のニュースの詳細について、気になるものがあればぜひ確認してみてください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。