東京セキュリティブリーフィング 2026年04月18日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年4月18日、土曜日の配信となります。昨日公開されたセキュリティニュースから、重要なトピックをお届けいたします。では、ニュースをご紹介していきましょう。

ヘッドライン

本日の主要なニュースは以下の通りです。

まず、21ヶ国の当局が協力したDDoS傭兵サービスの大規模摘発が実施され、75,000人以上のユーザーに警告メールが送付されました。次に、Windows Defenderの複数のゼロデイ脆弱性が現在、野生で悪用されていることが報告されています。さらに、北朝鮮の攻撃グループが偽造Zoom更新プログラムを使用してmacOSユーザーを狙うキャンペーンを展開中です。そのほか、Microsoftの Webex サービスにおける重大な脆弱性が報告されており、NISTが脆弱性分析フレームワークを大幅に刷新するなど、セキュリティ環境の変化が加速しています。

詳細解説

Operation PowerOFF - DDoS傭兵サービスの大規模摘発

21ヶ国の当局が協力した「Operation PowerOFF」という大規模な国際作戦により、DDoS攻撃に関連する組織的な犯罪活動が壊滅させられました。この作戦では、75,000人以上のサイバー犯罪者に警告メールが送付され、計53個のドメインが廃止されました。さらに、4人の逮捕が実行され、25件の捜査令状が発行されています。

押収されたサーバーやデータベースから、300万件以上の犯罪ユーザーアカウント情報が発見されており、これは DDoS サービスの利用者層がいかに広範かを示しています。加えて、検索エンジンから100以上のDDoS宣伝URLが削除されました。

DDoS攻撃は、ウェブサイトやオンラインサービスを大量のトラフィックで圧倒し、利用不可にする手口です。今回の摘発により、こうした傭兵サービスを提供していたインフラが大規模に停止されたことで、日本の組織においても、DDoS攻撃の脅威が一時的に軽減される可能性があります。ただし、ダークウェブ上には同様のサービスが数多く存在するため、組織には DDoS 対策の継続的な実装が引き続き重要です。

Windows Defenderの複数ゼロデイが野生で悪用中

深刻な問題として、Microsoft Defender に複数のゼロデイ脆弱性が存在し、現在、実際の攻撃で悪用されていることが報告されています。これらの脆弱性は「RedSun」「BlueHammer」「UnDefend」と呼ばれており、既に複数の攻撃キャンペーンで検出されています。

RedSun ゼロデイは、クラウドタグ付きファイルの自動上書き機能を悪用して、システム権限（SYSTEM権限）の昇格を実現できます。この脆弱性は Windows 10、Windows 11、Windows Server に影響を与えており、特に 4 月のセキュリティパッチ適用後も悪用が継続しています。

Huntress の SOC アナリストも複数の実際の攻撃試行を観察し、攻撃者が低権限ユーザーディレクトリにマルウェアをステージングしていることを確認しています。BlueHammer は 4 月のパッチで修正されたものの、RedSun と UnDefend はまだパッチが公開されておらず、Microsoft による帯域外パッチの提供が数週間待たれている状況です。

Windows を使用する組織では、これらのゼロデイの悪用に対する監視を強化し、ファイアウォールルールやエンドポイント検出・応答ツール（EDR）の設定を見直すことが急務となっています。

北朝鮮APT38によるmacOS狙いの採用詐欺キャンペーン

北朝鮮の攻撃グループ Sapphire Sleet（APT38）が、偽造Zoom更新プログラムを使用して macOS ユーザーを標的としたキャンペーンを展開しています。攻撃者は LinkedIn など複数のソーシャルメディア上に偽の採用担当者プロフィールを作成し、求人詐欺を実施しています。

被害者がZoom通話に参加すると、攻撃者は「Zoom SDK Update.scpt」という名称のスクリプトを提供して実行させています。このスクリプトが実行されると、複数のバックドア機能が含まれたマルウェアが導入され、ブラウザ、暗号資産ウォレット、SSH鍵などの機密情報が盗まれます。さらに、マルウェアは TCC（透過的なクロスアプリケーション利用）保護操作を行い、複数の追加的な悪意あるアクティビティを実行可能にします。

Apple は自動保護機能をプラットフォームレベルで配信していますが、ユーザーは採用面接と称された未知のビデオ通話に対して慎重に対応し、不明なスクリプト実行を避けることが極めて重要です。

Cisco Webex の重大な脆弱性

Cisco は Webex サービスにおいて、複数の重大なセキュリティ脆弱性を報告しています。特に CVE-2026-20184 は CVSS スコア 9.8 であり、シングルサインオン（SSO）が統合された Webex 環境において、未認証の攻撃者がサービス内のユーザーになりすまし可能です。

また、ISE（Identity Services Engine）に対しては、CVE-2026-20147 と CVE-2026-20148 が報告されており、認証済みの攻撃者がリモートコード実行を実現できます。これらの脆弱性は企業のネットワーク認証インフラに直結しているため、迅速なパッチ適用が必須です。

加えて、Cisco は iOS XE の特定バージョンにおいて、毎日5MBずつ増加し削除不可のログファイルが発生するバグを報告しています。このバグにより、230以上のアクセスポイントモデルが新規更新インストール不可になっており、多くの企業ネットワークに影響が及んでいます。

NIST による脆弱性分析フレームワークの刷新

National Institute of Standards and Technology（NIST）は、脆弱性報告の急増に対応するため、脆弱性分析フレームワークを抜本的に刷新しました。2020年から2025年の間に、CVE（共通脆弱性列挙）投稿が263%増加したことを受けたものです。

新しいフレームワークでは、すべての脆弱性を詳細に分析するのではなく、優先度の高い脆弱性に焦点を当てることが決定されました。具体的には、CISA の既知悪用カタログに掲載されている脆弱性、連邦政府が使用するソフトウェアの脆弱性、および「重要ソフトウェア」の脆弱性が優先的に分析されます。一方、その他の CVE は「スケジュール予定なし」と分類され、詳細な分析情報が提供されない可能性があります。

これにより、脆弱性情報を参照する組織にとって、自力で脆弱性の重大度を判断する必要が増大し、セキュリティ運用の複雑さがさらに高まります。

TP-Link ルータの CVE-2023-33538 を悪用したMirai攻撃

TP-Link の旧式ルータが CVE-2023-33538 というコマンドインジェクション脆弱性を悪用した Mirai スタイルのボットネット攻撃の標的になっています。影響を受けるモデルには、TL-WR940N、TL-WR740N、TL-WR841N 等が含まれます。

この脆弱性は、/userRpm/WlanNetworkRpm.htm エンドポイントの ssid1 フィールドへの細工入力を通じてシェルコマンドを実行できるものです。攻撃者は arm7 バイナリをダウンロードさせ、C&C サーバーに接続させることで、感染したルータを DDoS ボットに変化させています。さらに問題なのは、マルウェアが複数の CPU アーキテクチャ対応バイナリで自身を更新できるという点です。

多くの家庭や小規模企業ではこうした旧式ルータを使用し続けているため、すべてのデバイスが脆弱性の対象となり得ます。

ウクライナの検察官がAPT28の攻撃対象に

ロシアの攻撃グループ APT28（別名 Fancy Bear、Forest Blizzard）がウクライナの検察官と汚職対策機関を標的にしたキャンペーンを展開しています。攻撃者は Roundcube ウェブメールプラットフォームの脆弱性を悪用して、検察官や捜査官170以上のメールアカウントを侵害しました。

特別反汚職検察局（SAP）と資産回収管理庁（ARMA）が標的となり、一部の盗まれた情報は 3 月初めにオンラインで公開されています。CERT-UA がこのキャンペーンを 2023 年から追跡していることから、APT28 の活動がウクライナにおいて長期にわたって継続していることが窺えます。

マイクロソフトの Windows Server パッチ適用後のリブートループ問題

マイクロソフトの 2026 年 4 月セキュリティアップデート KB5082063 を適用した Windows Server 環境で、リブートループが発生する問題が報告されています。特に Windows Server 2025 のドメインコントローラーが影響を受けており、システムが無限に再起動を繰り返す状態に陥ります。

根本的な原因は Kerberos 認証修正にあると考えられています。加えて、BitLocker 暗号化が有効な環境では、パッチ適用後に回復モードが強制される問題も報告されています。

この問題は認証サービスとディレクトリサービスの機能を失わせるため、ネットワーク全体の安定性に影響を与えます。Microsoft からの根本原因説明がまだ公開されていないため、企業はテスト環境で十分な検証を行った上でパッチ適用を進める必要があります。

Fortinet FortiSandbox の重大な脆弱性

Fortinet の FortiSandbox 製品に対して、CVE-2026-39808 と CVE-2026-39813 という 2 つの重大な脆弱性が報告されています。これらの脆弱性により、未認証の攻撃者がFortiSandbox において認証をバイパスして、任意のコマンドを実行できます。

影響を受けるバージョンはバージョン 5.0.0～5.0.5 および 4.4.0～4.4.8 です。特に問題なのは、これらの脆弱性に対する Proof-of-Concept（PoC）コードがインターネット上に公開されており、攻撃者が簡単に悪用できる状態になっているという点です。攻撃者は curl などのシンプルなコマンドで RCE を達成可能であり、自動化されたスキャンと悪用が既に実施されています。

工業用制御システムへのメールワーム脅威

工業用制御システム（ICS）全体に対して、メール添付形式で配布される「Backdoor.MSIL.XWorm」というマルウェアが出現しています。このマルウェアは「Curriculum-vitae-catalina」というフィッシング詐欺キャンペーンを通じて配布されており、2025 年第 4 四半期から世界中の ICS 環境に波状の影響をもたらしています。

感染したシステムは C&C サーバーに接続して DDoS 実行能力を取得し、複数の地域に波状の影響が拡がっています。ブロック率は 19.7% に低下し、リムーバブル USB による拡散も報告されています。石油・ガス産業のみがブロック増加を記録しており、その他の産業ではマルウェア検出が増加傾向にあります。

クロージング

本日は、国際的な DDoS 摘発作戦から、Windows Defender のゼロデイ問題、北朝鮮の采用詐欺キャンペーン、そして Cisco の重大脆弱性まで、実務に直結する重要なセキュリティニュースをお届けいたしました。

特に Windows Defender のゼロデイ複数件が既に野生で悪用されている状況は、多くの組織にとって緊急の対応が必要な事態です。また、NIST による脆弱性分析フレームワークの刷新は、企業のセキュリティ運用に大きな影響を与えることになります。

今回お伝えしたニュースについて、ご自身の組織に該当する脆弱性や脅威がないか確認していただき、必要に応じてセキュリティ対策の見直しを進められることをお勧めします。気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。