東京セキュリティブリーフィング 2026年04月21日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月21日、火曜日です。昨日公開されたセキュリティニュースから、重要な案件をピックアップしてお届けします。本日も多数のセキュリティインシデントと脆弱性情報が報告されていますので、ぜひ最後までお付き合いください。

ヘッドライン

本日のトップニュースは、クラウド開発プラットフォームVercelのセキュリティ侵害です。このほか、イギリス人ハッカーが暗号資産盗難で有罪を認める事件、Appleアカウント通知機能を悪用したフィッシング詐欺、Anthropicの重大なセキュリティ脆弱性、そしてNISTが採用した新しい脆弱性評価モデルなど、業界全体に影響を与える重要なニュースをお伝えします。

詳細解説

Vercelセキュリティ侵害：内部システムへの不正アクセス

まず最初に、複数のメディアで報道されているVercelのセキュリティ侵害についてです。クラウド開発プラットフォームのVercelが、内部システムへの不正アクセスを確認しました。この攻撃は、Context.aiというサービスのアカウント侵害を通じて実行されました。Vercel従業員のGoogleアカウントがハイジャックされ、内部システムへのアクセスが可能になったということです。

影響を受けた範囲は限定的で、顧客のサブセットのみが影響を受けたと報告されています。盗まれたデータには、アクセスキー、ソースコード、APIキーへのアクセスが含まれているとされています。ただし、重要な点として、「機密」タグが付けられた環境変数は暗号化保護されており、現在のところそれらが流出したという証拠はないとのことです。

ShinyHuntersを名乗るハッカーがダークウェブでアクセスキー、ソースコード、APIキーへのアクセスを販売すると主張しており、約580人の従業員レコードが公開される可能性があります。また、200万ドルのランサムウェア要求も報告されています。Vercelの顧客で、このプラットフォームでホストしているプロジェクトを持つ組織は、認証情報のリセットと環境変数の監査を実施することが推奨されます。

Scattered Spider関連：イギリス人ハッカーが有罪認否

次に、国際的な暗号資産盗難事件について。24歳のスコットランド人タイラー・ロバート・ブキャナンが、複数の企業から800万ドル以上の暗号資産を盗んだとして米国で有罪を認めました。

ブキャナンが使用した手口は、SMSフィッシングとSIMスワップの組み合わせです。標的の電話番号をハイジャックすることで、多要素認証を回避し、被害企業の資金にアクセスしました。被害企業は10社以上に及んでいます。被害額は最低でも800万ドルですが、実際にはさらに多い可能性があります。

この事件はScattered Spiderキャンペーンに関連していると報告されています。ブキャナンは2023年4月にスペインで逮捕され、22年の最大懲役に直面しています。また、この事件に関連した他の3人も告発されており、その中には既に10年の判決を受けた人物も含まれています。このケースは、SIMスワップ詐欺がいかに深刻な脅威であるかを示す好例です。

Appleアカウント通知を悪用したフィッシング詐欺

Appleのアカウント変更通知機能が悪用されている新しいフィッシング詐欺が報告されています。攻撃者がAppleサーバーから送信されるメール内に虚偽のメッセージを埋め込み、iPhone購入詐欺へのリンクを挿入しています。

このメールはAppleのサーバーから送信されるため、SPF、DKIM、DMARC認証に合格し、スパムフィルターをバイパスします。正規のAppleメールと判別することが困難です。被害者は最終的にサポート詐欺電話へ誘導され、金銭や個人情報を詐取されます。この攻撃手法は、正規のIT企業のメール送信基盤を悪用した高度なフィッシング詐欺であり、ユーザーは非常に警戒が必要です。

Anthropic Model Context Protocol（MCP）の致命的脆弱性

次に、Anthropicのセキュリティに関する重大なニュースです。Anthropicの Model Context Protocol、通称MCPに致命的な脆弱性が発見されました。この脆弱性は、1億5000万回以上のダウンロードと、最大20万台のサーバーに影響を及ぼす可能性があります。

脆弱性は、MCPがサポートするすべての言語に存在します。Python、TypeScript、Java、Rustの全対応言語で、任意のリモートコード実行が可能です。セキュリティ研究者により、4つの主要な攻撃方法が確認されており、少なくとも10個のCVEが生成されています。そのうち多くが重大度評価を受けています。このMCPはAIアプリケーション開発で広く使用されているため、影響範囲は極めて広大です。

NIST NVD リスク基盤型評価モデルへの移行

次に、セキュリティ業界全体に影響を与える重要なニュースです。NISTが脆弱性評価モデルの大幅な変更を発表しました。

2020年から2025年の5年間でCVE提出が263%増加しました。この増加に対応するため、NISTはこれまでの包括的な脆弱性分析モデルから、リスク基盤型モデルへシフトします。新しいモデルでは、すべての脆弱性を深く分析するのではなく、高リスク脆弱性を選別的に「拡張」分析します。

優先される脆弱性は、CISAのKnown Exploited Vulnerabilities（KEV）カタログに含まれるもの、連邦政府システムに影響を及ぼすもの、重要インフラのソフトウェアに影響を及ぼすものです。これ以外の脆弱性は「最低優先度」として扱われますが、メール要求によってNISTに分析をリクエストすることが可能です。この変更は、限られたリソースで最大のセキュリティ効果を実現するための現実的な決定です。

Microsoft Teamsを悪用したクロステナントヘルプデスク偽装攻撃

次に、Microsoft Teamsを悪用した新しい社会工学攻撃について。攻撃者がMicrosoft Teamsのクロステナント機能になりすまし、ユーザーを攻撃する新しい手口が報告されています。

この攻撃では、攻撃者がMicrosoft Teamsからのメッセージでユーザーをだまし、Quick Assistというマイクロソフト純正のリモートコントロールツールをインストールさせます。ユーザーはITサポートからの正当なリクエストと考えてしまいます。一度Quick Assistがインストールされると、攻撃者はDLLサイドローディングによるマルウェア配置、WinRM経由でのネットワーク横展開、データ流出をすべて正当なIT活動に偽装して実行できます。このアプローチの危険性は、セキュリティ防御が正当なIT活動と攻撃を区別できない点です。

Windows Server緊急アップデート：ドメインコントローラー再起動ループ問題

Microsoftが Windows Serverの緊急アップデートをリリースしました。Windows Server 2025の4月セキュリティアップデート（KB5082063）により、深刻な問題が発生していました。特にドメインコントローラーが再起動ループに陥るという問題です。

この問題は、LSASS（Local Security Authority Subsystem Service）のクラッシュが原因であり、PAM（Privileged Access Management）を使用するマルチドメインフォレスト環境で特に顕著です。Windows Server 2016から2025までの複数バージョンが影響を受けているため、デプロイメント環境に応じた適切なパッチの適用が必要です。この緊急OOBアップデートを早急に導入することが推奨されます。

Marimo フレームワークの認証前RCE脆弱性

次に、オープンソースフレームワークMarimo に認証なしで実行可能なリモートコード実行脆弱性が発見されました。CVE-2026-39987として登録されています。

Marimoフレームワークの /terminal/ws エンドポイントが認証チェックなしでシステムシェルアクセスを提供しており、認証なしのリモートコード実行が可能です。この脆弱性は、特にHugging Face Spaces上で実行されるMarimoインスタンスでマルウェア配信に悪用されていることが報告されています。Marimo を使用している組織は、すぐにセキュリティアップデートを確認し、適用する必要があります。

iTerm2 SSH統合エスケープシーケンス脆弱性

macOSユーザーにとって重要なニュースです。ターミナルエミュレータiTerm2に、テキストファイルの表示だけで任意のコード実行が可能な脆弱性が発見されました。

この脆弱性はiTerm2のSSH統合機能を悪用します。SSH統合のDCS 2000p、OSC 135エスケープシーケンスに対する検証が不十分で、悪意のあるエスケープシーケンスが埋め込まれたテキストファイルを表示するだけでコード実行が可能です。sshargsフィールドを操作することで、実行可能ファイルパスを作成できます。この脆弱性の修正は3月31日にコミットされていますが、安定版リリースにはまだ含まれていません。iTermユーザーは定期的なアップデート確認をお勧めします。

Blueskyサーバー障害：DDoS攻撃の報告

分散型ソーシャルメディアプラットフォームのBlueskyが4月15日から16日にかけて大規模なサーバー障害を経験しました。ユーザーのフィード、通知、スレッド、検索サービスが断続的に中断しました。

Blueskyはこの障害を「高度なDDoS攻撃」が原因であると報告しています。313 Teamが攻撃の責任を主張していますが、このグループの関与について独立した検証はなされていません。重要な点として、ユーザーデータへの不正アクセスの証拠はないということです。約4,370万のユーザーが影響を受けました。このインシデントは、分散型プラットフォームであっても多くのユーザーを抱える場合、DDoS攻撃に対する防御の重要性を示しています。

Gardyn Smart Garden システムの重大な脆弱性

スマートガーデンデバイスであるGardyn Home Kitシステムに複数の重大な脆弱性が発見されました。CVSSスコアが9.3に達する脆弱性が存在し、認証されていない攻撃者がデバイスを完全に侵害し、クラウド環境に保存されたユーザー情報にアクセス可能です。

関連するCVEは、CVE-2025-1242、CVE-2025-10681、CVE-2026-28766、CVE-2026-32662が報告されています。これらの脆弱性の組み合わせにより、リモートからの完全な制御が可能になります。Gardyn製品を使用しているユーザーは、ベンダーからのセキュリティアップデートの情報をご確認ください。

ZionSiphon：イスラエル水道インフラを標的とするマルウェア

イスラエルの重要インフラが標的となっているセキュリティ脅威が報告されました。ZionSiphonという名前のOTサボタージュマルウェアが、イスラエルの水処理施設および淡水化施設を狙っています。

このマルウェアはイランを支持するメッセージが埋め込まれており、政治的動機を持つ攻撃の可能性があります。マルウェアはイスラエルIPレンジおよび水処理プロセスを確認してから実行される設計となっています。ただし、実装上の欠陥により、破壊的機能は完全には活性化していないと報告されています。重要インフラへの攻撃は深刻な社会的影響をもたらすため、各国の重要インフラ防御体制への注目が必要です。

クロージング

本日は、Vercelのセキュリティ侵害、大規模な暗号資産盗難事件、Apple通知を悪用したフィッシング詐欺、Anthropic MCPの重大脆弱性、NIST のリスク基盤型脆弱性評価モデルの採用、Microsoft Teamsを悪用した新しい社会工学攻撃、Windows Serverの緊急更新、Marimo フレームワークの認証前RCE、iTerm2の脆弱性、Blueskyのサーバー障害、Gardynスマートデバイスの脆弱性、そしてイスラエルの重要インフラを標的とするマルウェアについてお届けしました。

セキュリティの脅威は日々進化し、複雑化しています。特に、正規のツールやサービスを悪用した攻撃が増加していることが本日のニュースからも明らかです。SIMスワップ、クロステナント攻撃、ESPの悪用など、新しい攻撃手法に対する防御が急務です。所属する組織のセキュリティ状況を定期的に見直し、最新の脅威情報を確認することが重要です。気になるニュースがあれば、ぜひ詳細をご確認ください。

本日も東京セキュリティブリーフィングをお聞きいただき、ありがとうございました。また次回お会いしましょう。