BlueNoroffの高度なファイルレスPowerShell攻撃キャンペーン | 2026年4月30日

東京セキュリティブリーフィング 2026年04月30日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年4月30日木曜日、昨日公開されたセキュリティニュースをお届けします。本日も数多くの重要なセキュリティインシデントが報告されています。ぜひ最後までお付き合いください。

ヘッドライン

本日のヘッドラインをお届けします。北朝鮮系グループBlueNoroffがAI生成の偽Zoomリンクを使用したキャンペーンで、わずか5分以下でシステム侵害を完了させるという驚異的なスピードでの攻撃が報告されています。次に、19歳のハッカーScattered Spiderのメンバーが米国で逮捕・起訴され、複数の大企業から数百万ドルの恐喝に関与していたことが明かされました。また、Microsoft GitHubで数百万のプライベートリポジトリへのアクセスを許可する重大なリモートコード実行脆弱性が発見・修正されています。さらに、医療機器メーカーMedtronicが900万件以上の医療記録が盗まれたことを確認し、破壊的なVECT 2.0ランサムウェアが確認された128KBを超えるファイルを完全に破壊してしまう致命的な暗号化欠陥を持つことも判明しました。それでは、詳しく解説していきましょう。

詳細解説

BlueNoroffの高度なファイルレスPowerShell攻撃キャンペーン

北朝鮮系のサイバー犯罪グループBlueNoroffが、非常に高度なソーシャルエンジニアリング攻撃を展開していることが複数のセキュリティ機関によって報告されています。このグループは、AIで生成された偽のZoomミーティングリンクを含むCalendlyリンクを使用して、Web3企業の幹部およそ100人を標的にしました。被害者は20カ国以上に分散しており、攻撃の規模は相当です。

最も注目すべき点は、この攻撃の完了速度です。Arctic Wolfの報告によると、初期URLのクリックから完全なシステム侵害、そして永続的なアクセス確立まで、わずか5分以下で完了するというものです。このキャンペーンでは、AI生成のディープフェイク技術を使用した偽のZoomミーティングが利用され、ファイルレスPowerShellマルウェアが展開されます。攻撃者はメモリ内C2インプラント、Telegram盗難機能、ブラウザ注入ペイロードを使用して、被害者の暗号資産ウォレットへのアクセスを試みています。

さらに詳しく調べると、このグループはこのキャンペーンで66日間の持続的なアクセスを維持しており、北米のWeb3組織を継続的に狙っていることが確認されています。この攻撃手法の巧妙さと迅速さは、組織の防御体制に大きな課題をもたらします。ソーシャルエンジニアリングの初期段階の防御、特に従業員教育と多要素認証の徹底実装が極めて重要です。

Scattered Spiderメンバーの逮捕と起訴

19歳のピーター・ストークス（オンラインエイリアスは「Bouquet」）が、複数の大企業からの恐喝に関与したとして、米国とフィンランドで逮捕され起訴されました。Scattered Spiderグループのメンバーであるこの容疑者は、2025年5月のラグジュアリー小売業者への攻撃で、100ギガバイトものデータを抽出し、800万ドルの身代金を要求していました。

驚くべきことに、このハッカーは16歳から活動を開始しており、ダイヤモンド装飾ネックレスに「HACK THE PLANET」と刻印させるなど、豪華なライフスタイルを示しながら法執行機関をあざ笑うような行動を取っていました。電信詐欺を含む複数の罪で起訴されており、サイバー犯罪が実在する法的結果をもたらすことを示す重要な事例です。

このケースから組織が学ぶべき教訓は、高度なソーシャルエンジニアリング攻撃への対抗です。Scattered Spiderグループは従来、従業員のなりすまし、フィッシング、物理的侵入などの手法を組み合わせた攻撃を展開することで知られています。

GitHub RCE脆弱性CVE-2026-3854

Wizのセキュリティ研究者によって発見されたCVE-2026-3854は、GitHub.comおよびGitHub Enterprise Server全体に影響する重大なリモートコード実行脆弱性です。CVSSスコアは8.8で、極めて深刻な脅威です。

この脆弱性は、git pushのユーザー提供オプション処理に不備があるもので、攻撃者が特別に細工されたgit pushコマンドを実行することで、X-STATコンポーネント内でコマンド実行が可能になります。研究者の報告によると、GitHubリポジトリ上で数百万個のパブリック・プライベートリポジトリへのアクセスが可能だったということです。

セキュリティ研究者は2年間の研究を経てこの脆弱性を発見し、Claude Codeを使用した自動リバースエンジニアリングで成功を収めました。GitHubはこの報告に対して、最大級のバグ報奨金を提供しており、Gitリポジトリ修正は数時間以内に実施されました。しかし、88%のGitHub Enterprise Serverインスタンスが脆弱な状態にあったと報告されており、多くの組織への影響が懸念されます。

開発組織は至急、GitHub Enterpriseのアップデート適用を確認し、プライベートリポジトリへのアクセス制御を再評価する必要があります。

Medtronic医療記録大規模盗難事件

医療機器大手のMedtronicが、企業ITシステムへの権限のないアクセスを確認しました。ShinyHuntersグループが900万件以上のレコードを盗んだと主張しており、Medtronicはこの確認を発表しています。

盗まれた情報に関しては、Medtronicは製品と患者安全への直接的な影響はないと述べています。主にテクノロジーデータとビデオメタデータが含まれているとのこと。ただし、900万件という膨大な件数から見ても、この侵害の規模は相当なものです。

医療機関への攻撃はセキュリティ業界で大きな懸念事項です。RunSafe Securityの調査によると、医療機関の24%が過去1年間にサイバー攻撃を経験しており、そのうち80%が「中程度」から「重大」な影響を報告しています。医療機関の対策の遅れは、患者データの流出だけでなく、医療サービス自体の中断にもつながる可能性があります。

VECT 2.0ランサムウェアの致命的な暗号化欠陥

VECT 2.0ランサムウェアが、Windows、Linux、VMware ESXiのマルチプラットフォーム環境で暗号化攻撃を展開しています。最も重要な発見は、Check Point Researchが指摘した致命的な暗号化実装欠陥です。

このランサムウェアは128KBを超えるファイルを4つのチャンク処理し、最後の1つのノンス以外を破棄してしまいます。つまり、ファイルの75%が数学的に回復不可能になり、結果として実質的なデータワイパーとして機能します。被害者が身代金を支払ってもファイルの復元は不可能という、極めて破壊的な特性を持っているのです。

VECT 2.0は単なるランサムウェアとしてマーケティングされていますが、実態はデータ破壊ツールです。ChaCha20-IETF暗号を使用しており、エンタープライズディスク、データベース、バックアップはすべて永久に喪失される可能性があります。2月時点での分析インシデントの1.6%を占めており、攻撃が拡大していることを示しています。

Check Point Researchはリポート内で「身代金を支払うべきではない」と警告しており、この脅威の深刻性が強調されています。

Windows Shell脆弱性CVE-2026-32202の積極的な悪用

CVE-2026-32202は、Windows Shellのスプーフィング脆弱性で、野生での積極的な悪用が確認されています。CISAが発表した警告によると、この脆弱性は前年のCVE-2026-21510の不完全なパッチに由来しており、LNKファイル経由でAPT28によって悪用されています。

この脆弱性により、攻撃者は信頼できる内部ソースになりすまして詐欺行為を行うことが可能です。システムがSMB接続を自動開始し、Net-NTLMv2ハッシュがNTLMリレー攻撃やオフラインクラッキングに利用されます。CVSSスコアは8.0以上と判定されており、連邦機関に対してはCISAから5月12日までのパッチが義務付けられています。

特に懸念される点は、ウクライナとEU への攻撃でAPT28が既にこの脆弱性を悪用していることが確認されているという点です。組織は即座にWindows Updateを適用し、パッチ管理体制を強化する必要があります。

GlassWorm VS Code拡張機能スリーパー攻撃

Socket研究者が発見した73個の「スリーパー」拡張機能が、4月にVS Code拡張マーケットプレイスに追加されました。最初は無害に見える正当なプロジェクトを模倣していますが、後にマルウェアを展開するように更新されるという仕組みです。

このGlassWorm関連の詐欺的な拡張機能のうち、6つはすでにアクティブな状態が確認されています。暗号通貨ウォレット、認証情報、SSHキー、開発者コンテンツを盗むことが目的と見られています。

Socketのレポートによると、先月72個の悪意あるGlassWorm関連拡張機能が追加された後に、今月さらに73個が追加されたということで、継続的な攻撃が確認されています。開発者は特に、インストール前に拡張機能の提供元と評価を十分に確認し、信頼できる公式ソースからのインストールを心がけるべきです。

Vimeo Anodot侵害によるデータ漏洩

ビデオプラットフォームのVimeoが、サードパーティ分析ベンダーAnodotの侵害により、ユーザーおよび顧客データへのアクセスを確認しました。ShinyHuntersが同社をリークサイトに追加した後の発表です。

漏洩した情報には、技術データ、ビデオタイトル、メタデータ、顧客メールアドレスが含まれています。ただし、Vimeoはビデオコンテンツ自体、ログイン認証情報、支払いカード情報は安全であると述べています。

ShinyHuntersグループは身代金を要求しており、このグループは複数の大企業から大量の記録を盗むことで知られています。実際に、Medtronic以外にも複数の組織から記録を盗んだと主張しています。

LiteLLM認証前SQLインジェクション脆弱性

CVE-2026-42208は、LiteLLM プロキシのAPIキー検証プロセスに存在するSQLインジェクション脆弱性で、CVSSスコアは9.3という極めて深刻な評価です。

4月20日に脆弱性が公開された直後、24日にGitHubアドバイザリに追加されました。その後、わずか36時間で実際の悪用が開始されたと報告されています。認証されていない攻撃者がAPIキーと認証情報を含むデータベーステーブルに直接アクセス可能になり、甚大な被害をもたらす可能性があります。

この脆弱性の迅速な悪用は、セキュリティ研究の公開とそれに続く攻撃のタイミングが非常に短いことを示しており、ゼロデイ的な性質を持っていることが懸念されます。LiteLLMを使用している組織は緊急にアップデートを適用する必要があります。

Cursor AI IDEの重大なセキュリティ脆弱性

LayerXが発見した「CursorJacking」（CVE-2026-26268、CVSSスコア8.2）は、AI搭載IDEのCursorに存在する重大な脆弱性です。悪意のある拡張機能が不安全な認証情報保存と拡張機能・アプリデータ間の隔離欠如を悪用することで、開発者のAPIキーとセッショントークンを静かに抽出できるようになります。

不安全なSQLiteデータベースに暗号化されずに保存された開発者トークンが、インストールされたあらゆる拡張機能から直接アクセス可能という極めて危険な状態です。

さらに問題となるのは、LayerXが2月1日に脆弱性を開示したにもかかわらず、4月下旬時点でCursorがパッチをリリースしていないという点です。開発環境のセキュリティが脆弱化することは、組織全体のコード品質やセキュリティに直接的な影響を与えます。

その他の重要なセキュリティ脅威

Robloxでは610,000以上のユーザーアカウントが盗まれ、ロシアのウェブサイトで暗号通貨で転売されました。被害者にはウクライナ人と外国人プレイヤーが含まれています。

ShinyHuntersグループは、オンライン学習プラットフォームUdemyから140万件以上のメールアドレスと講師の支払い方法情報を盗んだと主張しており、複数の企業侵害を並行して実行していることが確認されています。

ClickUpの公開ウェブサイトのハードコードされたAPIキーが1年以上にわたって959個のメールアドレスと3,165個の内部フィーチャーフラグを露出させていたという、組織内のセキュリティ意識の欠如を示す事例も報告されています。

ハードウェアウォレット・取引所関連企業の経営幹部は、Cursor、LiteLLM、GitHub Copilot内クラウドエージェント、Visual Studio統合など、AI開発ツールを使用する際に特に注意が必要です。これらのツールは開発効率を向上させる一方で、認証情報や秘密鍵が新たな盗難対象となる可能性があります。

クロージング

本日お届けしたセキュリティニュースは、北朝鮮系攻撃グループ、若年ハッカーの逮捕、医療機関への大規模侵害、開発ツールのセキュリティ問題、そして新型ランサムウェアの脅威など、多岐にわたっています。

AI生成の偽装リンク、スリーパー拡張機能、認証前SQLインジェクション、不安全な認証情報保存など、従来のセキュリティ脅威だけでなく、AI時代ならではの新たな攻撃手法が急速に増加しています。

特に注目すべきは、ホワイトハッカーと悪意のある攻撃者の「競争」の加速です。脆弱性が公開されてから数十時間で悪用が開始される事例が増えており、組織の対応速度がかつてないほど求められています。

セキュリティチームとシステム管理者の皆様におかれましては、本日お聞きになったニュースを参考に、貴組織のセキュリティ体制の見直しを強く推奨します。特に、開発環境のセキュリティ、多要素認証の導入、パッチ管理の自動化、従業員教育の継続実施が重要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。