東京セキュリティブリーフィング 2026年04月14日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月14日、月曜日のお送りです。

昨日公開されたセキュリティニュースの中から、日本の企業や組織に影響を与える可能性のある重大なインシデントを中心にお伝えしてきます。

ヘッドライン

本日のハイライトです。

複数のセキュリティ企業が報告する重大なゼロデイ脆弱性が野生で悪用されています。特に注目されるのは、Adobe Acrobat Readerの重大なプロトタイプ汚染脆弱性。既に2025年11月から悪用されている可能性があります。

次に、オープンソースのPythonノートブックプラットフォーム「Marimo」における認証前リモートコード実行の脆弱性が公開からわずか10時間以内に悪用されました。自動化されたエクスプロイトの脅威の加速を示す事例です。

さらに、人気のあるHTTPクライアントライブラリ「Axios」で重大な脆弱性が報告され、クラウド環境での認証情報窃取が可能になる恐れがあります。

そのほか、複数の供給チェーン攻撃、大規模なデータ漏洩インシデント、そしてインフラ資産への継続的な脅威について報告されています。

詳細解説

Adobe Acrobat Readerのゼロデイ脆弱性

最初にお伝えするのは、複数のメディアが報道するAdobe Acrobat Readerの重大なセキュリティ欠陥です。

CVE-2026-34621として追跡されるこの脆弱性は、プロトタイプポリューション脆弱性に分類されており、Adobeはプライオリティ1レーティングを与えています。野生で積極的に悪用されていることが確認されています。

攻撃の仕組みはシンプルです。攻撃者が悪意のあるPDFファイルを被害者に送信すると、ユーザーがそのファイルを開くだけで、攻撃者がシステムで任意のコード実行を達成できるというものです。セキュリティ研究者による分析では、攻撃者は侵害されたPDFドキュメント内に直接埋め込まれた悪意のあるJavaScriptを実行し、機密ファイルを盗み出すことができることが報告されています。

影響を受けるシステムはWindows と macOS上の複数のバージョンです。Acrobat DC では26.001.21367以前、Acrobat Reader DCでも同様に26.001.21367以前が対象です。Acrobat 2024の場合、Windowsで24.001.30356以前、macOS で24.001.30360以前が脆弱です。

Adobeが提供する修正済みバージョンは、Acrobat DC およびAcrobat Reader DCで26.001.21411、Acrobat 2024ではWindowsで24.001.30362、macOSで24.001.30360となっています。

実務での対応として、組織は直ちにパッチを適用することが必須です。エンドユーザーはヘルプメニューから「アップデートを確認」に移動して手動でアップデートするか、自動更新が有効になっているシステムをご確認ください。ITの管理者向けには、AIP-GPO、ブートストラッパー、SCUP/SCCMを使用したエンタープライズでの展開が推奨されています。

パッチを適用するまでの間、未知の送信者からのPDFや予期しない添付ファイルに対して特に注意が必要です。ユーザーエージェントフィールドの「Adobe Synchronizer」という文字列について、すべてのHTTP/HTTPSトラフィックを注意深く監視することも推奨されています。

Marimo Pythonノートブックの認証前RCE脆弱性

次に、オープンソースのPythonノートブークプラットフォームMarimoで発見された認証前のリモートコード実行脆弱性についてお伝えします。

CVE-2026-39987として追跡されるこの脆弱性はCVSS スコア9.3で、バージョン0.20.4以前のすべてのMarimoに影響します。

この脆弱性により、認証されていない攻撃者は公開されているMarimoサーバ上で単一の接続を通じて、完全なインタラクティブシェルを取得し、システムの完全な制御を獲得できます。ターミナルWebSocketエンドポイント「/terminal/ws」が認証検証を欠いているという、極めてシンプルな問題が原因です。

最も注目すべき点は、この脆弱性が公開からわずか9時間41分以内に悪用されたことです。その時点で公開されているプルーフオブコンセプトエクスプロイトコードは存在していなかったにもかかわらず、脅威アクターはアドバイザリー説明のみを使用して独自のエクスプロイトを構築していました。これはAIを使用した自動化された悪用の脅威を示しています。

Sysdig脅威研究チームが設置したハニーポットサーバでの実測によると、攻撃者は初めての接続からわずか3分以内にAWSのアクセスキーを含む環境ファイルを特定し、盗み出しています。つまり、完全な認証情報盗難作業が数分で完了しているということです。

対策としては、Marimo 0.23.0以降への直ちのアップグレードが必須です。さらに、/terminal/wsエンドポイントへの不正な接続についてネットワークログを確認し、以前に公開されたノートブック環境に保存されているAPIキー、データベースパスワード、クラウド認証情報を直ちにローテーションする必要があります。最小権限の原則に従い、Marimoを制限されたアクセス許可で実行し、機密ファイルとリソースへのアクセスを制限することも推奨されています。

HTTPクライアントライブラリAxiosの重大脆弱性

続いて、人気のあるHTTPクライアントライブラリAxiosにおける重大な脆弱性についてお伝えします。

CVE-2026-40175として追跡されるこの脆弱性はCVSS 3.1スコア9.9を持つ極めて重大度の高い脅威です。Axiosは週に1億回以上ダウンロードされているJavaScriptライブラリであり、無数のウェブアプリケーションとクラウド環境で使用されています。

この脆弱性により、攻撃者はAWS IMDSv2のセキュリティコントロールをバイパスし、クラウド環境から機密メタデータと認証情報を流出させることが可能です。

脆弱性の根本原因はヘッダー処理の不適切な実装です。JavaScriptプロトタイプポリューション技術を通じて、body-parser、qs、minimistなどの依存パッケージがObject.prototypeを汚染した場合、Axiosはリクエスト作成中にこれらの汚染されたプロパティを設定に自動的にマージします。影響を受けるAxiosがキャリッジリターンとラインフィード（CRLF）文字をサニタイズできないため、マージされたプロパティはHTTPリクエストスマグリング攻撃を実行できる悪意のあるヘッダーペイロードになります。

公開概念実証では、一見無害な送信リクエストがハイジャックされ、攻撃者がIAMセッショントークンを盗み、特権をエスカレートし、ターゲットのクラウド環境を完全に制御することができることが示されています。

対策としては、Axiosバージョン1.15.0以降への直ちのアップグレードが必須です。パッチが適用されたバージョンは厳密なヘッダー検証を強制し、無効なCRLFシーケンスを含むすべての入力を拒否します。セキュリティチームは、プロトタイプポリューション攻撃ベクトルの可能性について第三者の依存関係も監査し、脆弱なnpmパッケージを監視するために依存スキャンツールを実装する必要があります。

供給チェーン攻撃：PCハードウェア情報ツール

次に、PCハードウェア情報ユーティリティの配布サイトを標的とした供給チェーン攻撃についてお伝えします。

CPUIDウェブサイトは4月9日から4月10日にかけて約6時間にわたって侵害されました。セカンダリー機能、つまりAPIがハッキングされ、メインウェブサイトがランダムに悪意のあるリンクを表示するようになりました。CPUIDの署名付きオリジナルファイル自体は侵害されませんでしたが、ダウンロードリンクが外部の悪意のあるサーバーにリダイレクトされていました。

影響を受けたソフトウェアには、CPU-Z、HWMonitor、HWMonitor Pro、およびPerfMonitorが含まれます。トロイの木馬化されたバージョンには、正規の署名付き実行可能ファイルとともに、DLLサイドローディング技術を利用するためにCRYPTBASE.dllという名前の悪意のあるDLLが含まれていました。

Kaspersky研究者は150人以上の被害者を特定しており、主に個人ですが、製造、小売、通信、コンサルティング、および農業部門の組織も含まれています。悪意のあるペイロードはSTX RATで、認証情報とデータ盗難の機能を持つ永続的なリモートアクセストロイの木馬です。

この攻撃は、以前のFileZilla供給チェーン攻撃と同じインフラストラクチャと感染チェーン要素を使用していたことが報告されています。これは孤立した一時的な事件ではなく、洗練されたツールキットを利用した継続的な運用であることを示唆しています。

Rockstar Games侵害

次に、グランド・セフト・オート開発会社Rockstar Gamesが経験した重大なセキュリティインシデントについてお伝えします。

ShinyHuntersサイバー犯罪グループは、Rockstar Gamesの一部のデータにアクセスしたと主張し、2026年4月14日までに身代金を支払わない場合はデータをリークすると脅迫しています。

グループによると、侵入はRockstar自体の脆弱性を直接悪用するのではなく、第三者のサービスを通じて実現したと述べています。具体的には、Anodotというクラウドコスト監視および分析プラットフォームがエントリーポイントとなり、Anodotから盗まれたアクセストークンが、接続されたSnowflakeアカウントへのアクセスを可能にしたと報告されています。

Rockstar Gamesは声明で、限定的な非実質的な企業情報がアクセスされたことを確認し、この事件が組織またはプレイヤーに影響を与えないと述べています。ただし、具体的にどのようなデータが流出した可能性があるかについては明らかにされていません。

この事件は、サプライチェーンを通じたアクセスが直接的な侵入の強力な代替手段となることを示しており、組織が使用するすべての統合サービスのセキュリティが重要であることを強調しています。

Basic-Fit大規模データ漏洩

続いて、ヨーロッパ最大級のジムチェーンBasic-Fitが経験した大規模データ漏洩についてお伝えします。

Basic-Fitは約100万人の顧客の個人データが流出したことを確認しました。オランダだけで約20万人の会員のデータが流出しています。影響を受けた国はベルギー、オランダ、ルクセンブルク、フランス、スペイン、ドイツです。

漏洩したデータには、会員の名前、生年月日、住所、電話番号、メールアドレス、銀行口座詳細が含まれています。同社によると、パスワードと政府発行の身分証明書にはアクセスされていません。

Basic-Fitの内部監視システムが疑わしいアクティビティをリアルタイムで検出し、セキュリティチームが数分以内に接続を遮断したにもかかわらず、脅威行為者は切断前にユーザーデータの相当な部分をスクレイプすることができました。

金融データと個人識別情報の組み合わせは、ソーシャルエンジニアリング攻撃や詐欺のリスクを大幅に増加させています。影響を受けた個人は銀行の明細書を監視し、フィッシング試みに注意を払い、連携アカウントで多要素認証を有効にすることを推奨されています。

WordPressプラグイン認可バイパス脆弱性

次に、WordPressプラグインで発見された重大な認可バイパス脆弱性についてお伝えします。

CVE-2026-1492として追跡されるこの脆弱性は、User Registration & Membershipプラグインのバージョン5.1.2までに影響を与え、CVSS v4スコア9.8の重大度を持ちます。

この脆弱性により、リモート攻撃者は有効な認証情報なしで完全な管理者アクセスを取得できます。問題はフロントエンドとバックエンドコンポーネント間の信頼処理にあります。ユーザーが制御する入力を不適切に検証し、AJAXベースのメンバーシップワークフローで認可チェックが弱く実装されています。

攻撃者は役割パラメータまたはメンバーシップアクションを操作することで、システムに登録中に管理者権限を割り当てるよう強制できます。プラグインはユーザーがこれらのアクションを実行する権限を持っているかどうかをチェックするのを怠り、認証回避につながります。

これらのパラメータには公開JavaScriptファイルに公開されているnonce値が含まれています。バックエンドがそれらを適切に検証できないため、認証されていないユーザーはこれらの値を再利用してWordPress AJAXエンドポイント（/wp-admin/admin-ajax.php）への細工されたリクエストを送信できます。

成功した攻撃は完全な管理者乗っ取りにつながり、脅威アクターがウェブサイト設定を変更、悪意のあるプラグインをインストール、コードを注入することが可能になります。

対策としては、プラグインをバージョン5.1.3以降に直ちにアップグレードすることが必須です。管理者は、異常なAJAXリクエストや予期しないアカウント権限昇格などの悪用の兆候を監視する必要があります。

Apache Tomcatの暗号化関連脆弱性

次に、広く展開されているApache Tomcatウェブサーバーにおける複数の重大なセキュリティ脆弱性についてお伝えします。

Apache Software Foundationは、新たに開示された3つの脆弱性に対処するため、Apache Tomcatの重大なセキュリティ更新をリリースしました。

最初の脆弱性CVE-2026-29146は、Tomcatのencrypt Interceptorコンポーネントに影響を与え、パディングオラクル攻撃に露出する可能性があります。デフォルトではこのコンポーネントはCipherBlockChaining（CBC）モードを使用しており、サーバーは意図せずパディングオラクル攻撃にさらされていました。簡単に言えば、パディングオラクル攻撃により、悪意のあるアクターは不正なパディングを持つデータリクエストに対するサーバーの応答を分析することで、傍受されたトラフィックを徐々に復号化できます。

2番目の脆弱性CVE-2026-34486は、Adobeがパディングオラクル脆弱性にパッチを当てようとしたときのエラーにより導入されました。これにより、attackerはEncryptInterceptorを完全にバイパスできます。

3番目の脆弱性CVE-2026-34500は、Online Certificate Status Protocol（OCSP）チェックに関連し、クライアント証明書認証をバイパスする可能性があります。

これらの脆弱性を解決するため、Apacheはユーザーが直ちにサーバー環境をアップグレードすることを強く推奨しています。システム管理者は、現在のリリースブランチに応じてApache Tomcatバージョン11.0.21、10.1.54、または9.0.117にアップグレードする必要があります。

イラン関連の脅威グループによるインフラ攻撃

次に、重要インフラを標的とする継続的な脅威についてお伝えします。

米国の複数の連邦機関が共同警告を発表し、イラン関連のハッカーグループがRockwell AutomationやAllen-Bradleyのプログラマブルロジックコントローラ（PLC）を積極的に狙っていることを明かしました。

Censysからの新しいスキャンデータによると、5,200台以上のこれらの重大な産業用デバイスが現在、公共のインターネットに露出しています。米国がこのリスクの大部分を負っており、露出したデバイスの約75％をホストしています。

驚くべきことに、世界全体の半分はVerizonビジネスセルラーネットワークに依存しており、AT&T Mobilityも多く使用されています。露出したほとんどのPLCが、水ポンプやエネルギー変電所などの現場に展開され、基本的なセルラーモデムを介してインターネットに直接接続されていることを示しています。

脅威は露出したデバイスのタイプによって増幅されます。多くは古いMicroLogix 1400モデルが古いソフトウェアを実行しており、ターゲット化されたCompactLogixおよびMicro850システムと一緒になっています。さらに悪いことに、これらのPLCの数百はVNCやTelnetなどの安全でないリモートアクセスサービスと一緒に露出しています。

この脅威に対抗するため、組織は直ちに行動を取る必要があります。最も緊急なステップは、PLCを直接インターネット露出から削除することです。リモートアクセスが必要な場合、セキュアゲートウェイとマルチファクター認証によって保護する必要があります。

追加の重要なセキュリティニュース

このほか、以下のセキュリティニュースも報告されています。

暗号資産関連では、承認フィッシング詐欺による被害が深刻化しており、英国、米国、カナダの法執行機関による共同作戦が1,200万ドルを凍結し、20,000人以上の被害者を特定しました。

メッセージング関連では、WhatsAppの暗号化主張に関する議論が続いており、デフォルトのバックアップ設定がユーザー会話の大多数を暗号化されていない状態のままにしていることが指摘されています。一方、イーロン・マスクのXChatは4月17日にiOSでリリースされる予定で、デフォルトのエンドツーエンド暗号化、自動消滅メッセージ、スクリーンショットブロッキング機能を提供します。

Googleは、AndroidおよびiOS上のGmailでエンドツーエンド暗号化機能を拡大し、エンタープライズユーザーがモバイルデバイスから直接暗号化メールを作成・読解できるようにしました。

クロージング

本日お伝えしたセキュリティニュースから、いくつかの重要な教訓が浮かび上がります。

第一に、ゼロデイ脆弱性の悪用タイムラインが急速に短縮されています。公開から数時間以内に悪用が始まるケースが増えており、迅速なパッチ適用がこれまで以上に重要です。

第二に、供給チェーン攻撃は直接的な侵入と同じくらい危険です。組織が使用するすべての統合サービスのセキュリティを確認することが必須です。

第三に、基本的なセキュリティ実装の不足は継続的な脅威をもたらします。弱い認可チェック、不適切な入力検証、インターネットへの不必要な公開などは、技術的に高度でなくても重大な侵害につながります。

第四に、AIを使用した自動化攻撃により、攻撃速度が加速しています。防御側もこれに対応する必要があります。

気になるニュースがあればぜひご確認いただき、貴組織のセキュリティ対策にお役立てください。

本日のセキュリティニュースは以上です。東京セキュリティブリーフィングでした。また次回お会いしましょう。