東京セキュリティブリーフィング 2026年04月10日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月10日、金曜日の配信となります。昨日から本日にかけて、セキュリティ業界ではいくつもの重要なニュースが報道されました。本日はそれらの中から、組織や個人のセキュリティに特に影響を与えるべき事案をピックアップしてご説明していきます。

ヘッドライン

本日お伝えする主要ニュースをご紹介します。

まず、ロシアの脅威グループが米国の重要インフラを対象に大規模な諜報活動を実施していたことが判明し、米国当局が作戦を展開して対抗した事案。

次に、イラン系の脅威グループが米国の水処理施設やエネルギー施設の産業制御システムを継続的に標的としている状況。

そして、macOSを標的とした新しいフィッシング攻撃キャンペーンが確認されたこと。

さらに、複数の重大な脆弱性が新たに公開または悪用されていることが報告されています。

詳細解説

ロシアAPTによるSOHOルーター悪用と米国の対抗作戦

複数のセキュリティレポートから、ロシアの軍情報機関GRUとの関連が指摘される脅威グループが、TP-LinkやMikroTikなどのメーカーが提供するSOHOルーターの脆弱性を悪用していたことが明らかになりました。

この作戦は「Operation Masquerade」と称されています。攻撃グループは、ルーターのDNS設定を改変することで、米国の政府機関や重要インフラのインターネットトラフィックを盗聴していました。この行為により、機密情報の流出を含む深刻な情報収集活動が行われていたと考えられています。

FBIは複数国にまたがる被害者から、このロシア系のアクセスを排除する大規模な対抗作戦を実施しました。世界中の120以上の国で被害が報告されており、米国だけでも23州のターゲットが含まれていたとのことです。

このニュースは複数のメディアで報道されており、「Forest Blizzard」と呼ばれるAPT28との関連も指摘されています。2025年5月以降、同じ脅弱性を利用して世界中の多くの組織からメール認証情報を盗む活動が継続していたと報告されています。

イラン系脅威グループによる重要インフラへの組織的攻撃

米国の水処理施設やエネルギー施設をターゲットとした攻撃キャンペーンが確認されました。FBI、CISA、NSAを含む複数の米国政府機関が連合警告を発令しています。

攻撃の対象となっているのは、Rockwell Automationが提供するプログラマブルロジックコントローラー（PLC）です。脅威グループはCVE-2021-22681という認証バイパス脆弱性を悪用して、複数のサイトへの侵害に成功しています。

特に注目されるのは、攻撃者が正当なエンジニアリングツール、具体的には「Studio 5000 Logix Designer」を使用して検出を回避しながら、産業制御プロセスを操作していることです。複数の産業プロトコルをターゲットとしており、被害の全体像はまだ完全には把握されていない状況です。

当局は、組織に対して多要素認証の実装とネットワークセグメンテーションの強化を強く推奨しています。これらの基本的なセキュリティ対策が、このような高度な脅威から身を守る鍵となるということです。

macOSを標的とした新しいClickFixキャンペーン

Script Editorを悪用したマルウェア配信キャンペーンが検出されました。このキャンペーンでは、攻撃者がAppleScriptのURLスキーム「applescript://」を使用して、macOSのScript Editorを自動的に起動し、悪意のあるスクリプトを実行させています。

配信されているマルウェアは「Atomic Stealer」と呼ばれるインフォスティーラーです。このマルウェアはブラウザの認証情報、暗号通貨ウォレット、システム詳細情報などを盗聴する能力を持っています。

Appleが実装した「Terminal」の使用に関する保護機能をバイパスする方法として、このScript Editorの悪用が選択されたと考えられています。また、base64エンコード難読化されたペイロードが使用されており、セキュリティソリューションによる検出を困難にする工夫が施されています。

新しいバリアントでは、ClickFixという偽のセーフガード通知を装い、ユーザーを誘導する手口が使用されています。

Flowiseプラットフォームの重大な脆弱性

オープンソースのAIプラットフォーム「Flowise」において、最高深刻度の脆弱性が発見されました。CVE-2025-59528として追跡される、CVSS 10.0と評価される任意コード実行脆弱性です。

脆弱性はCustomMCPノードに存在するバグが原因となっており、バージョン3.0.5で検出され、3.0.6で修正されています。しかし修正が提供された時点で、推定15,000個のFlowiseインスタンスが脆弱な状態でインターネットに露出していたと報告されています。

また、より少ない推計値として12,000～15,000のインスタンスがパブリックインターネットに露出し、実際に悪用されていたことが確認されています。任意のJavaScriptコード注入とサーバー側での実行が可能という、きわめて危険な脆弱性です。

Apache ActiveMQの13年間隠された脆弱性

Apache ActiveMQ Classicに存在するリモートコード実行脆弱性が公開されました。CVE-2026-34197として追跡されており、CVSS 8.8と評価されています。驚くべきことに、この脆弱性は13年間にわたって検出されていませんでした。

バージョン5.19.4未満と6.0.0～6.2.3が影響を受けます。Jolokia APIの脆弱性により、外部のSpring XMLファイルから任意のコマンド実行が可能となります。

この発見は、セキュリティ研究者がClaudeを活用してコンポーネント間の相互作用を分析することで、従来の方法では見落とされていた脆弱性の発掘に成功したケースとして報告されています。

OpenSSLのデータ漏洩脆弱性

CVE-2026-31790として追跡される中程度の脆弱性がOpenSSLで修正されました。RSASVE鍵カプセル化を使用するアプリケーションに影響を与えるもので、初期化されていないメモリバッファから機密データが漏洩する可能性があります。

バージョン3.0以上が影響を受けるため、多くの組織のシステムが対象となる可能性があります。

Chrome 147のWebML脆弱性

Google Chromeバージョン147のセキュリティアップデートで、WebMLコンポーネントに存在する重大な脆弱性が修正されました。CVE-2026-5858とCVE-2026-5859です。

ヒープバッファオーバーフローと整数オーバーフローが存在し、いずれも任意コード実行を可能にします。セキュリティ研究者に対して合計43,000ドルのバグ報奨金が授与されており、複数の脆弱性全体に対処する更新となっています。

Cortex XSOARのMicrosoft Teams統合脆弱性

Palo Alto NetworksのCortex XSOARに存在するCVE-2026-0234は、Microsoft Teams統合における暗号署名の不適切な検証が原因となっています。CVSS 9.2と評価される高深刻度の脆弱性で、バージョン1.5.0から1.5.51が影響を受けます。

認証なしでセンシティブデータにアクセス可能となり、現在のところ悪用の証拠は報告されていませんが、パッチ1.5.52以降へのアップグレードが急務です。

SonicWallアプライアンスの複数脆弱性

SMA1000シリーズアプライアンスで4つの脆弱性が修正されました。最も重大なのはCVE-2026-4112で、CVSS 7.2のSQLインジェクション脆弱性により、読み取り専用アクセスから完全な管理者制御への権限昇格が可能です。

また、CVE-2026-4114とCVE-2026-4116はTOTP認証バイパス脆弱性で、多要素認証の迂回につながる危険性があります。

Ivanti EPMMのコードインジェクション脆弱性

CVE-2026-1340はIvanti Endpoint Manager Mobile（EPMM）とXSIAMに影響するコードインジェクション脆弱性です。認証なしでリモート攻撃者が任意コード実行可能となり、現在、実際の攻撃で悪用されています。

CISAは既知悪用脆弱性カタログに追加し、連邦機関に対して2026年4月12日までのパッチ適用を命令しました。オンラインで約950インスタンスが露出しており、リスクは高いです。

大規模データ漏洩案件の報告

ロサンゼルス市弁護士事務所が侵害され、7.7テラバイトのデータと337,000以上のファイルが露出しました。LAPD機密文書が含まれており、証人名、医療情報、刑事記録が盗まれています。

またEurail B.V.は2025年12月のハッキングで308,777人のパスポート番号を含む個人情報が盗まれたと発表しました。DiscoverEUプログラムにも影響が及んでいます。

フランスのメールプロバイダーAlintoも、4000万件のSMTPレコードをインターネット上に露出させてしまい、L'Oreal、Renault、DHLを含む430万件のユニークなメールアドレスが流出しました。

暗号資産ATMサービスの大規模盗難

Bitcoin Depot（米国最大級のビットコインATMネットワーク）が3月23日のサイバー攻撃で約50.903ビットコイン（約360万ドル相当）を盗まれました。企業環境に限定された被害で、カスタマープラットフォームへの影響はないと述べられていますが、デジタル資産決済アカウントの認証情報が制御されたことになります。

AI関連のセキュリティリスク

AIエージェント技術の拡大に伴い、新たなセキュリティリスクが明らかになっています。複数の報告によれば、AIエージェント関連の脅威は多層的で、エージェント型チャットボットの65%が未使用のまま認証情報を保有しているという調査結果も報告されています。

OWASP Agentic AI Top 10といったフレームワークが2026年版として発表され、インベントリ可視性、サプライチェーン保護、ポリシー実行、MCP検証などの5つのプラクティスが強調されています。

また、プロンプトインジェクション攻撃が本質的な脅威として特定されており、米国の82%の州・準州が従業員による生成AI利用を報告する中で、直接・間接プロンプトインジェクション両方が可能な状況になっています。

フィッシング攻撃での正当なサービスの悪用

GitHubのコミット通知とJiraの顧客招待機能が、フィッシング攻撃に悪用されています。プラットフォーム自身のインフラから送信されるため、SPF/DKIM/DMARCチェックを通過し、セキュリティフィルターを無力化しています。

同様に、Meta Business Managerのパートナーリクエスト通知もフィッシングに悪用されており、Metaの実インフラから送信されるため認証チェックを通過してしまいます。

Slack経由でもオープンソース開発者がLinux Foundationリーダーになりすましたハッカーの標的となり、AIツールのピッチで信頼を獲得した後にフィッシングに誘導されるという多段階の社会工学的攻撃が報告されています。

その他の重要な脅威と動向

ラテンアメリカでは社会工学詐欺が2025年に155%急増し、モバイル重視の経済環境が被害を拡大させています。メキシコではアカウント乗っ取り試行が300%以上急増し、ブラジルではバンキングトロイの木馬がPix決済をターゲットにしています。

傭兵スパイウェアキャンペーンが中東・北アフリカのジャーナリストや活動家をAndroid ProSpyスパイウェアで標的にしており、スピアフィッシングと偽のソーシャルメディアアカウントが使用されています。

2025年下半期には203の国と地域で800万件以上のDDoS攻撃が記録され、30Tbpsに達する攻撃とAI統合による高度化が観測されています。IoTボットネット（AisuruやTurboMirai）が秒速4ギガパケットの攻撃を実行しました。

サイバー犯罪者が詐欺関連キーワードをエモジに置き換え、キーワードフィルターをバイパスしながら多言語環境で効率的にコミュニケーションを取っているという新しい難読化手法も報告されています。

ミネソタ州のウィノナ郡が4月初旬にサイバー攻撃を受け、重大な緊急サービスが中断されました。州知事がサイバー保護支援のため州兵を派遣し、1月にはランサムウェア攻撃が既に発生していた履歴があります。

英国の石油・ガス企業Zephyr Energy plcが「極めて高度な」攻撃により、請負業者への支払い約70万ポンドが攻撃者のアカウントにリダイレクトされました。

クロージング

本日ご報告した事案からは、以下のような傾向が見えてきます。

第一に、政府・重要インフラをターゲットとした国家級の脅威グループによる組織的な活動が継続していること。ロシアやイランといった国家背景を持つ脅威グループが、引き続き米国のキリティカルインフラを標的としています。

第二に、新興技術であるAIおよびAIエージェント関連のセキュリティリスクが急速に拡大していること。プロンプトインジェクションやエージェント初期化時のアクセス制御の問題など、従来とは異なる脅威が生じています。

第三に、フィッシングやソーシャルエンジニアリングが、正当なプラットフォームのインフラを悪用することで、より巧妙化・効果的化していること。

第四に、多くの重大な脆弱性が発見・報告されており、パッチ適用のための時間的余裕が急速に縮小していること。公開から悪用までの時間が短縮されているという報告もあります。

組織のセキュリティ担当者の皆様におかれましては、これらのニュースの詳細をご確認いただき、ご自身の組織に対する影響を評価することをお勧めします。特に多要素認証の実装、ネットワークセグメンテーション、定期的な脆弱性スキャンと迅速なパッチ適用が、現在のセキュリティ環境では必須となっています。

気になるニュースがあれば、ぜひ詳細をご確認ください。本日も東京セキュリティブリーフィングをお聴きいただき、ありがとうございました。また次回お会いしましょう。