東京セキュリティブリーフィング 2026年04月11日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年4月11日、土曜日のお届けです。

先日来の様々なセキュリティインシデントと脆弱性情報を、わかりやすく解説してまいります。ぜひ最後までお付き合いください。

ヘッドライン

本日のトップニュースは、引き続き深刻な脆弱性の悪用が相次いでいることです。Adobe Readerのゼロデイ脆弱性が複数月にわたって悪用されている状況、そしてChromeの新しいセッション盗難対策機能の展開について、詳しく解説します。

また、プログラマブルロジックコントローラを狙うイラン関連の脅威、Ivanti EPMMの重大な脆弱性、さらにはAIセキュリティの新しい課題についても報告します。

詳細解説

Adobe Acrobat Readerのゼロデイ脆弱性が継続して悪用中

最も深刻な状況から始めます。Adobe Acrobat Readerのゼロデイ脆弱性が、2025年12月以降数ヶ月間にわたって悪用されています。この脆弱性は、悪意のあるPDFファイルを通じて機密データの盗取やリモートコード実行を可能にするもので、現時点でパッチがまだ提供されていません。

攻撃では、被害コンピューターのフィンガープリント化が行われており、攻撃者が将来の攻撃を計画する際に活用される可能性があります。つまり、一度PDFで攻撃されたことがあれば、その情報が後々の攻撃に利用されるということです。これは特に注意が必要な点です。

Adobeからのパッチ提供がまだ無い状況ですから、Adobe Readerを使用している場合は、信頼できない送信元からのPDFファイルを開く際に特に慎重になる必要があります。

NERCがイラン関連ハッカーによる電力網狙いを警告

非常に重大なインシデントですが、イランと関連するハッカーグループが米国の電力網、水処理施設、そして政府機関で使用されるプログラマブルロジックコントローラ、いわゆるPLCを標的にしています。

CISA、DOE、そしてNERC（北米電力信頼性機構）が複数のセクターに警告を発付しており、NERCはグリッド全体を積極的に監視中とのことです。このような重要インフラへの直接的な脅威は、多くの一般市民に影響を与える可能性があり、非常に深刻です。

日本でも重要インフラ保護に関わる組織は、同様の脅威がないか注視する必要があります。

Chromeの新セッション盗難対策Device Bound Session Credentialsが展開

良いニュースとしては、Googleが新しいセキュリティ機能をChrome 146でWindows向けにロールアウト開始しました。Device Bound Session Credentials、略してDBSCという機能です。

この機能の仕組みは、セッションクッキーをデバイスのハードウェアキーに暗号的にバインドするというものです。つまり、たとえセッションクッキーが盗まれても、そのクッキーは盗まれたデバイス以外では機能しなくなります。

Lumma C2などのインフォスティーラーマルウェアは、盗まれたクッキーを使用してなりすまし攻撃を行いますが、このDBSC機能により、その脅威が大幅に軽減されます。macOS向けのサポートは今後のリリースで予定されています。

Ivanti EPMMの重大な脆弱性がKEVカタログに追加

CVE-2026-1340として追跡されるIvanti EPMMのコード注入脆弱性が、CISAの既知悪用脆弱性カタログに追加されました。重大度はCVSSで9.8という非常に高いスコアです。

この脆弱性の特徴は、認証なしでのリモートコード実行が可能という点です。つまり、インターネットに接続されているIvanti EPMMのシステムは、ログイン情報がなくても侵害される可能性があります。

連邦民間行政機関に対しては、2026年4月11日、つまり本日が軽減デッドラインとして設定されています。つまり、本日までに脆弱性を修正する必要があるということです。民間企業についても、同様の緊急対応が推奨されます。

WhatsAppのユーザー名機能がロールアウト開始

WhatsAppのセキュリティとプライバシー機能が拡張されています。ユーザー名機能のロールアウトが開始され、これまで電話番号を共有する必要があった連絡先追加が、ユーザー名を通じて行えるようになります。

具体的には、電話番号を公開することなく連絡を取ることができるようになり、プライバシーが向上します。さらに、オプションの4桁キーによってセキュリティを強化することも可能です。

この機能はまだ限定的なベータテスト段階であり、完全展開には数ヶ月を要する予定とのことです。

Smart Slider WordPressプラグインが乗っ取られバックドア配布

重大なセキュリティインシデントとして、Smart Slider 3 Proプラグインのバージョン3.5.1.35のアップデートシステムが乗っ取られました。約80万以上のウェブサイトに影響が及ぶ可能性があります。

侵害されたアップデートには、複数のバックドアと隠し管理者アカウントが挿入されていました。このアップデートは2026年4月7日に配布されています。

WordPressを使用しているサイト管理者は、Smart Sliderがインストールされている場合、直ちにバージョン3.5.1.36へのアップグレードか、3.5.1.34へのロールバックが推奨されます。

React Server Componentの脆弱性がDoS攻撃を可能に

CVE-2026-23869として追跡される脆弱性が、React Server Componentsを使用するウェブアプリケーションに影響を与えます。認証されていない攻撃者が、特別に細工されたHTTPリクエストを送信することで、サーバーの過度なCPU使用を引き起こし、サービス拒否条件を形成することができます。

react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpackの複数バージョンが影響を受けています。アップグレード推奨バージョンはReact 19.0.5、19.1.6、19.2.5以降です。

EngageSDKの脆弱性が数百万のクリプト財布ユーザーを危機に

Android通信ライブラリであるEngageSDKの脆弱性が発見されました。この脆弱性により、3000万以上から5000万以上のクリプト財布アプリのインストールが影響を受ける可能性があります。

MTCommonActivityが自動公開されてしまい、悪意のあるアプリがプライベートデータとキーを盗む可能性があります。つまり、暗号資産ウォレットの秘密鍵が流出するリスクがあるということです。

Juniper Networksのデフォルト認証情報脆弱性

CVE-2026-33784として追跡される脆弱性が、Juniper Networks Support Insights Virtual Lightweight Collectorに存在します。重大度はCVSSで9.8、つまり極めて高い脆弱性です。

この脆弱性は、プロビジョニングフェーズでデフォルトパスワードが強制変更されないことにより、攻撃者が完全な管理者権限を獲得できるというものです。バージョン3.0.94より前に影響があり、最新バージョンへのアップグレードが推奨されます。

FlamingChinaが中国スーパーコンピュータから大規模データ盗取を主張

FlamingChinaと名乗るハッカーが、天津の国家スーパーコンピューティングセンターから10ペタバイト以上の機密軍事データを盗取したと主張しています。1ペタバイトは100万ギガバイトですから、この規模の大きさが理解できます。

盗取されたデータには、航空宇宙、軍事研究、核融合シミュレーションに関するデータが含まれていると主張されており、攻撃者は仮想通貨での販売を示唆しています。

AI言語モデルの安全性ガードレールの弱点

研究者が発見した「ソックパペッティング」と呼ばれるジェイルブレイク技術により、ChatGPT、Claude、Geminiを含む11の主要AIモデルが脆弱であることが判明しました。

わずか1行のコードでAIのセーフティガードレールを回避できるという極めて簡潔な攻撃手法です。アシスタントプレフィル機能を悪用し、AIの自己一貫性の弱点を利用するものです。API検証の実装により軽減可能とのことですが、この発見はAIセキュリティの重要な警告となります。

ClickFix攻撃がmacOS向けに進化

macOS向けのClickFix攻撃が進化しており、URLスキーム経由でScript Editorを悪用する新手法が発見されました。AppleScriptの事前入力実行によりAtonic Stealerマルウェアをデプロイするものです。

偽のAppleセキュリティページを経由して指示が与えられ、ユーザーが気づかないうちにマルウェアがインストールされる可能性があります。macOS 26.4での改善後も継続して観察されており、注意が必要です。

量子耐性暗号化への移行が加速

Googleの量子耐性暗号化への移行期限が短縮されるという背景には、技術的な進歩があります。カルテック、Oratomic、UC Davisの共同研究が、量子コンピュータが必要とするビット要件を大幅に削減することを示唆したため、Googleが対応を加速させました。

また、Cloudflareも量子優先事項を「積極的に調整」しており、間もなく結果を共有予定とのことです。これは、量子耐性化が企業にとってより現実的なタイムラインになってきたことを示しています。

Fancy Bear APTが新しいゼロデイを悪用

Fancy BearことAPT28が、Prismexマルウェアを使用してウクライナの防衛サプライチェーンを標的化しています。CVE-2026-21513（Windowsゼロデイ）とCVE-2026-21509（Office脆弱性）を悪用しています。

両方ともゼロデイ、つまりパッチが未提供の脆弱性です。ウクライナだけでなく、同様の標的を有するセクターは注視が必要です。

ChipSoftランサムウェア攻撃がオランダの病院に影響

オランダの医療ソフトウェアベンダーChipSoftがランサムウェア攻撃を受けました。電子健康記録システムHiXが影響を受け、オランダの複数の病院でサービス障害が発生しています。

約70%のオランダの病院がこのシステムを使用しているとのことですから、国の医療システムに大きな影響を及ぼしています。300万人以上のデータが露出した可能性も指摘されています。

TP-Link ルータの複数重大脆弱性

TP-Link Archer AX53 v1.0ルータに複数の重大な脆弱性が発見されました。CVE-2026-30815を含む5つの脆弱性があり、CSSスコアは8.5という高い値です。

攻撃者がコマンドインジェクションによってシステム制御を獲得できます。ファームウェア1.7.1 Build 20260213以降でパッチが適用されています。

Gmailのエンドツーエンド暗号化がモバイルに対応

GmailのE2E暗号化機能がAndroidおよびiOSで一般提供されました。Enterprise Plus顧客がGmailアプリで直接暗号化メッセージを送受信できます。

特に追加ツールを必要としません。管理者がGoogle管理コンソール経由で有効化する必要があります。これにより、Gmail内での機密通信のセキュリティが大幅に向上します。

BlueHammer Windows脆弱性がエクスプロイトコード流出

BlueHammerと名付けられたWindows Defenderの署名更新システムのゼロデイ脆弱性が、エクスプロイトコードとともに流出してしまいました。TOCTOU脆弱性として知られています。

セキュリティ研究者がマイクロソフトの脆弱性開示プロセスの不十分さに不満を表明しており、これは脆弱性管理プロセスの改善の必要性を示唆しています。

AWS Research and Engineering Studioの複数脆弱性

AWS Research and Engineering Studio（RES）バージョン2025.12.01以前に複数の脆弱性が存在し、リモートコード実行と権限昇格が可能でした。CVE-2026-5707、5708、5709として追跡されており、バージョン2026.03で修正されています。

MuddyWaterがロシア運営のマルウェア・アズ・ア・サービスを利用

MuddyWaterがロシア運営のマルウェア・アズ・ア・サービスプラットフォーム（MaaS）を兵器化し、ChainShellというブロックチェーンベースのC2エージェントを使用した攻撃を展開しています。

さらに、MuddyWaterとTAG-150というロシアのグループ間に直接的な運用上のリンクが確認されており、両者が協力していることが判明しました。

GitHubとGitLabが悪意あるコンテンツのホスティングに悪用

脅威行為者がGitHubとGitLabを悪用してマルウェアと認証情報フィッシングをホストしており、約95%がGitHubドメインを使用しています。

評判良好なドメインを使用することで検出を回避しています。これらの大手プラットフォームの信頼性が悪用される状況は、セキュリティの新しい課題を示しています。

Office 365フィッシングが給与横領に利用

Storm-2755グループがSEO汚染と偽のMicrosoft 365ログインページを使用してカナダの従業員をターゲットにしています。AITMという中間者攻撃手法でMFAをバイパスし、給与振込をリダイレクトさせています。

つまり、正当に見えるMicrosoft 365ログインを通じて、MFAを突破されている例です。

クロージング

本日はイラン関連の重要インフラ狙いから、AI言語モデルのセキュリティ課題、そして身近なアプリケーションの脆弱性まで、多岐にわたるセキュリティニュースをお伝えしました。

最も重要なポイントは、Adobe Readerのゼロデイ脆弱性が継続して悪用されていること、そしてIvanti EPMMなどの重大な脆弱性に対応期限が設定されていることです。組織に属される方は、システム管理者への確認をお勧めします。

また、個人レベルではChromeなどのブラウザの最新版への更新、WhatsAppやGmailなどのセキュリティ機能の有効化が、皆さんの安全性を大きく高めることになります。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。