61万件以上のRobloxアカウントが盗難 ウクライナで3人逮捕 | 2026年5月2日

東京セキュリティブリーフィング 2026年05月02日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年05月02日の土曜日、本番組のパーソナリティがお送りします。昨日公開されたセキュリティニュースから、注目の記事をピックアップしてお届けします。本日も様々なセキュリティインシデントが報告されていますので、ぜひ最後までお付き合いください。

ヘッドライン

本日は14本のセキュリティニュースをお伝えします。注目すべきニュースとしては、61万件を超えるRobloxアカウントの大規模盗難、インターネットの多くが依存するウェブホスティングサービスcPanelの重大な認証バイパス脆弱性、複数の重要なファイアウォール脆弱性、そして企業のアイデンティティセキュリティへの新たな脅威など、様々な領域で重要なインシデントが発生しています。これらについて、詳しく解説していきます。

詳細解説

61万件以上のRobloxアカウントが盗難 ウクライナで3人逮捕

まず最初のニュースは、オンラインゲームプラットフォーム「Roblox」に関連した大規模な詐欺事件です。ウクライナの警察当局が、610,000件を超えるRobloxアカウントを侵害した疑いで3人を逮捕しました。

このインシデントの時間軸は、2025年10月から2026年1月の間に発生しています。逮捕されたのは、ドロホビッチ出身の19歳と、21歳および22歳の2人です。

攻撃の手口は、ソーシャルエンジニアリングと情報窃取マルウェアの組み合わせでした。ハッカーはRobloxプレイヤーに対して、ゲーム内ボーナスを提供すると称した罠を仕掛け、プレイヤーをフィッシングページへ誘導しました。このフィッシングページは、ユーザーのゲーム強化ツールになりすましており、ユーザー名、パスワード、認証トークンを盗んだ情報窃取マルウェアをダウンロードさせていました。

なぜRobloxアカウントが狙われたのか、それは金銭的価値にあります。高い「Robux」残高を持つアカウント、取得不可能なレアアイテムを所有するアカウント、複数年のゲームプレイの進捗を持つアカウントは非常に価値があります。特に「エリート」アカウントと呼ばれる高価値アカウントが357件特定されており、これらは暗号通貨での支払いと引き換えにロシアのウェブサイトで販売されていました。

当局の推定では、このグループは225,000ドル以上、つまり約225万ドルの売上を得ていたということです。

押収品は極めて重要です。ウクライナのサイバー警察とセキュリティサービスが10か所で捜索を実施した結果、コンピュータ機器、ストレージデバイス、携帯電話、銀行カード、そして2,500ユーロ以上と約35,000ドル相当の現金が押収されています。

もし皆さんがRobloxユーザーで、疑わしいゲーム強化ツールをダウンロードした場合は、直ちに完全なシステムマルウェアスキャンを実行することをお勧めします。その後、パスワードを変更し、まだ有効にしていなければ2段階認証を有効化してください。アカウントにアクセスできない場合は、パスワード復旧オプションを利用するか、Robloxサポートに直接連絡してください。重要な点として、Robloxに連絡する場合は侵害後30日以内に行う必要があります。

インターネット規模の脅威：cPanel CRLF インジェクション脆弱性

次のニュースは、インターネット基盤に対する深刻な脅威です。watchTowr Labsの研究者により、cPanelおよびWeb Host Manager（WHM）に重大な認証バイパス脆弱性が発見されました。CVE-2026-41940として追跡されるこの脆弱性は、CVSS 9.8近い最高レベルの重大度が与えられており、既に野生での利用が確認されています。

cPanelについて簡単に説明すると、これはウェブサイトのコントロールパネルとして機能するソフトウェアです。WHMはサーバーレベルですべてのウェブサイトを管理します。この脆弱性の要点は、攻撃者がパスワードを必要とせずに認証されたセッションを偽造できることです。

脆弱性の技術的な詳細は、攻撃者がCRLF、つまりキャリッジリターンラインフィードをcPanelログブックに注入することで、セッションファイルの暗号化をバイパスし、攻撃者をルート管理者として確立できるというものです。これにより、攻撃者にWHM管理パネルへのアクセスが提供され、その結果、そのサーバーにホストされているすべてのウェブサイト、データベース、ユーザーアカウントへのアクセスが与えられます。

攻撃者がこのアクセスを得た場合、彼らは皆さんのウェブサイトとユーザーデータのすべてを盗めますし、マルウェアをアップロードすることも、サーバー上のすべてを削除することも可能です。

cPanelは即座にパッチをリリースしており、以下のバージョンへの更新を強く推奨しています。110.0.x系ではバージョン11.110.0.97、118.0.x系では11.118.0.63、126.0.x系では11.126.0.54、132.0.x系では11.132.0.29、134.0.x系では11.134.0.20、136.0.x系では11.136.0.5へのアップデートが必要です。

Linuxカーネルの権限昇格脆弱性 Copy Fail

次は、Linuxユーザーへの重要なお知らせです。Linux カーネルのalgif_aeadユーザースペース暗号インターフェースに、CVE-2026-31431として追跡される脆弱性が発見されました。この脆弱性は「Copy Fail」と呼ばれており、CVSS 7.8のHIGH評価を受けています。

最も懸念すべき点は、権限のないローカルユーザーが、setuidバイナリのページキャッシュを破損することで、数秒以内にroot権限を取得できるということです。Ubuntu 24.04、Amazon Linux 2023、RHEL 10.1、SUSE 16のカーネルには動作するエクスプロイトが既に存在しています。

この脆弱性は2017年にcommit 72548b093ee3を通じて導入されました。AEAD操作をインプレース処理に切り替える最適化が、今回の問題の原因となったわけです。修正は2026年4月初頭に含まれるパッチシリーズで終わりますが、つまりほぼ10年前の最適化を戻すことになります。

影響を受けるバージョンは、Linux カーネル 4.14～7.0-rc、すべての6.18.x（6.18.22より前）、および6.19.x（6.19.12より前）です。修正済みバージョンは7.0、6.19.12、6.18.22です。

概念実証コードは既に公開されており、約700バイトのPythonスクリプトで、3つのプリミティブを連鎖させています。攻撃者は対象ファイル、書き込みオフセット、および4バイトペイロードを制御できます。ただし、このエクスプロイトには初期アクセスが必要です。つまり、攻撃者は最初にマシンでコード実行が必要であり、直接的なリモートベクトルはありません。

Deep#Door：ステルス性の高いPythonバックドア

Securonixの研究により、Deep#Doorと呼ばれるマルウェアが発見されました。このマルウェアはWindows システムを標的とする長期監視と認証情報盗取が可能なステルス性の高いPythonベースのバックドア フレームワークです。

その特徴的な点は、難読化されたバッチスクリプトを使用して従来の検出方法を回避しながら永続的なインプラントをデプロイすることです。一般的なローダーとは異なり、Deep#Doorはその悪意のあるPythonコードをドロッパースクリプト内に直接埋め込みます。このセルフコンテインドアプローチはネットワークインジケータを削減し、マルウェアが実行中にメモリとディスク上の両方でペイロードを再構成することを可能にします。

攻撃チェーンの中核にあるのは、埋め込まれたPythonペイロードを抽出する前にWindowsセキュリティ機能を無効にする、大きく難読化されたバッチファイルです。スクリプトは複数のメカニズムを通じて永続性を確立します。具体的には、スタートアップフォルダエントリ、レジストリ実行キー、スケジュールされたタスクなどです。

デプロイされると、バックドアは公開TCPトンネリングサービス経由で攻撃者インフラストラクチャと通信します。これにより、専用のコマンドアンドコントロール（C2）サーバーの必要性が削除されます。

インプラントが支持している機能は多岐に渡ります。キーロギング、スクリーンショット取得、マイク録音、ブラウザ認証情報収集が含まれます。SSHキーとクラウド認証トークンも抽出でき、エンタープライズ環境全体での横方向の移動を可能にします。

検出を回避するための反分析機能も備えており、マルウェアは起動前に仮想マシン、デバッグツール、サンドボックス環境をチェックします。コアWindowsテレメトリシステムにもパッチを当て、イベントログをクリアしてフォレンジック可視性を制限します。

Windows 11更新がバックアップソフトウェア障害の原因に

Microsoftに関連したニュースです。2026年4月のKB5083769セキュリティ更新が、Windows 11 24H2および25H2を実行しているシステム上の複数ベンダーのサードパーティバックアップアプリケーションを破損させています。

この問題はVSS、つまりボリュームシャドウコピーサービス スナップショットを使用するソフトウェアに影響を及ぼし、VSSサービスタイムアウトが原因で障害が発生します。

影響を受けるソフトウェアのリストには、Acronis Cyber Protect Cloud、Macrium Reflect、NinjaOne Backup、およびUrBackup Serverの製品が含まれます。Acronisはこの問題がWindows 11 ProおよびHomeエディションに影響を及ぼし、バックアップ操作が「Microsoft VSSがスナップショット作成中にタイムアウトしたため、バックアップに失敗しました」というエラーで失敗することを確認しています。

一時的な回避策として、影響を受けたユーザーは「設定」→「Windows Update」→「更新履歴」→「関連設定」→「更新のアンインストール」から問題のKB5083769をアンインストールし、Windows更新を一時停止してシステムを再起動することをお勧めします。

Bluekit：企業向けフィッシング攻撃を一元化するプラットフォーム

次のニュースは、フィッシング攻撃の新たな脅威についてです。Varonis Threat Labs研究者によって、Bluekitという複雑な新しいフィッシングキットが発見されました。

このキットの最大の特徴は、ソフトウェアアズサービス、つまりSaaS パッケージとしてフィッシングを提供していることです。異なるベンダーからフィッシング攻撃の各コンポーネントを集約するのではなく、Bluekitはソフトウェアアズサービスプラットフォームと同様の方法で機能し、フィッシングワークフローを一元化および自動化するダッシュボードを備えており、潜在的に壊滅的なフィッシング攻撃へのエントリーの障壁を大幅に低下させています。

Bluekitはドメイン登録、サイトホスティング、データ流出を単一のパネルで処理し、40以上の有名ブランドを模倣する機能を提供しています。具体的には、iCloud、Apple ID、Gmail、Outlook、Hotmail、Yahoo、ProtonMail、GitHub、Twitter、Zoho、Zara、Ledgerを含む人気のあるグローバルプラットフォームのエミュレーションです。

さらに特筆すべきは、地理的位置のエミュレーション機能です。一部のプラットフォームでは、異常な場所からのログインがユーザーへのアラートをトリガーしますが、Bluekitの位置エミュレーション機能により、ログインが通常の場所からのものに見えるようにすることができます。

認証情報を収集するための機能も高度です。Bluekitはセッションをハイジャックし、クッキーを抽出することができ、攻撃者が盗まれたアクティブなブラウザセッションを使用して認証されたユーザーを模倣することで、多要素認証（MFA）プロトコルをバイパスすることができます。プラットフォームはまた、攻撃者がログイン後にターゲットの画面のライブフィードを見て、偽のページをナビゲートすることを可能にしています。

さらに懸念される点として、プラットフォームのAIアシスタントが存在します。研究者は、これがLlama、GPT-4.1、Sonnet 4、Gemini、DeepSeekの潜在的にジェイルブレイクされたバリアントである可能性があると述べています。AIエージェントはほとんど修正を必要としない「スケルトン」フィッシングメールを作成することができます。

Cordial SpiderとSnarky Spider：Scattered Spiderのプレイブックを展開する脅威グループ

複数の重要インフラセクター全体を標的にしている2つの新しい恐喝犯グループについてのニュースです。CrowdStrikeの報告によると、「Cordial Spider」と「Snarky Spider」という金銭目的の攻撃者グループが、迅速なデータ窃盗と恐喝攻撃を積極的に実行しています。

これらのグループは2025年10月以降、ボイスフィッシングとソーシャルエンジニアリング攻撃を使用して被害者のアイデンティティプラットフォームに侵入し、SaaS環境を移動してきました。

英語が母語の部分グループは、学術、航空、小売、ホテル、自動車、金融サービス、法律、技術セクターの米国ベースの組織を主に標的にしています。これらの「新世代の電子犯罪脅威アクター」はScattered Spiderと密接に連携しており、SLSHやShinyHuntersを含むThe Comの他のサブセットにも関連しているとされています。

攻撃の手口は、音声通話、テキストメッセージ、メールを通じてルアーを設定し、従業員を雇用主の正規のシングルサインオンページまたはプライマリアイデンティティプロバイダーになりすましたフィッシングページへ誘導しています。これらのフィッシングページは、認証情報、セッションキー、またはトークンをキャプチャします。

キャプチャされた認証情報を悪用することで、攻撃者はシステムへのエントリーポイントを提供し、被害者のSaaS全体にわたって広範なアクセスを利用します。初期の足がかりを利用して、攻撃者は多要素認証デバイスを削除・確立し、その後、潜在的な悪意のあるアクティビティを警告する可能性のあるメールおよび他のアラートを削除します。

恐喝要求に応じなかったいくつかの被害者はDDoS攻撃の対象となっており、Snarky Spiderはより積極的なフォローアップ嫌がらせ戦術を使用しており、被害者組織の従業員への襲撃を含むとされています。

FBI：貨物盗難攻撃の急増とサイバー犯罪者を関連付け

米国連邦捜査局（FBI）が輸送・物流業界に対して重要な警告を発しています。サイバー対応型の貨物盗難の急増について警告し、米国とカナダでの推定損失が2025年にほぼ7億2500万ドルに達したと述べています。

これは前年比で60%の損失の増加を表しており、犯罪者が高価な貨物をハイジャックするためにハッキングと詐称戦術をますます使用していることに起因しています。確認された貨物盗難事件は昨年だけで18%増加し、盗難あたりの平均価値は36%増加して27万3990ドルに達しました。

脅威行為者は少なくとも2024年以来、なりすまし電子メールと偽のウェブリンクを通じて貨物ブローカーとキャリアのコンピュータシステムに侵入しています。一旦内部に侵入すると、犯罪者はオンライン荷物掲示板に詐欺的な掲載を投稿し、正当な企業になりすまして出荷を転用します。

攻撃プロセスとしては、最初にブローカーまたはキャリアのアカウントを侵害し、従業員をリモート監視ソフトウェアをインストールするフィッシングサイトに誘導し、その後、ターゲット企業のシステムへの検出されないアクセスを取得します。次に数万の偽の貨物掲載を投稿し、正当なキャリアを悪意のあるファイルのダウンロードにだまし、その後盗まれたキャリア身分で実際の出荷を受け入れます。

荷物は協力的なドライバーに転用され、転売のために盗まれ、場合によっては、犯罪者は転用された荷物の位置について身代金も要求しています。

特に悪質なのは、侵害されたキャリアの登録詳細を連邦自動車キャリア安全局で変更し、保険記録を更新することです。これにより、正当な企業がハックされたことを発見するのは、ブローカーが知らないうちに彼らの名前で予約された欠落出荷を報告するまでとなります。

FBIは輸送・物流企業に対し、すべての出荷リクエストをセカンダリチャネルを通じて確認し、可能な限り多要素認証を実装・適用するよう促しています。

AI導入がアイデンティティ攻撃パスリスクの増加を加速

次のニュースはアイデンティティセキュリティについてです。SpecterOpsの2026年のアイデンティティ攻撃パス管理のトレンドレポートが発表されました。

重要なポイントとして、組織の43%が現在、攻撃パスの可視化をトップのサイバーセキュリティ優先事項として順位付けており、AI統合イニシアチブさえも上回っています。

AI導入の課題は、より多くの非人間アイデンティティと信頼関係を導入することです。つまり、攻撃者が利用できるより多くの正当なパスがもたらされます。組織がAIエージェントを採用し、より多くのワークフローを自動化するにつれ、システムおよびデータと相互作用するアイデンティティの数は急速に拡大しています。

これには人間ユーザーだけでなく、サービスアカウント、ボット、AI駆動プロセスなどの非人間アイデンティティも含まれます。新しい各アイデンティティは追加のアクセスポイントを導入し、攻撃者が悪用できる誤設定、過度な特権、および不十分に管理されたクレデンシャルのリスクを増加させます。

アイデンティティ攻撃パス管理の台頭についても報告されており、組織の35%がアイデンティティAPMソリューションを完全に実装しており、前年の21%から増加しています。半分以上がすでに自動化されたツールを使用してアイデンティティベースの攻撃パスを発見しています。

非人間アイデンティティの影響も深刻です。報告によると、組織の34%がNHIの管理をすでに重大な課題と見なしており、これらのアイデンティティはガバナンスプロセスが対応できるより速いペースで特権を蓄積することが多いためです。

フランスの国家身分証明書機関がハッキング被害、15歳を調査

パリの検察官は、身分証明書を担当するフランス政府機関に侵入し、数百万人の市民の個人情報を売却しようとした疑いで、10代のハッカーが容疑されていることを発表しました。

未成年者は4月25日、パスポート、国家身分証明書、居住許可書、運転免許証の申請を処理する国家安全文書機関、ANTSに影響を与えるデータ漏洩への関与の疑いで警察に拘留されました。

容疑者は「breach3d」というペンネームでオンライン上で活動した可能性があると当局は述べており、このエイリアスはサイバー犯罪者フォーラムで1200万から1800万件のレコードの販売を宣伝するために使用されていました。

当局によると、潜在的に侵害された情報には、ログイン認証情報、名前、メールアドレス、生年月日、および一意のアカウント識別子が含まれます。さらに、郵便住所、電話番号、生まれた場所を含む追加の個人情報も影響を受けた可能性があると述べられています。

これらの犯罪はフランス法の下では最大7年の懲役と300,000ユーロ（約350,000ドル）の罰金の対象となります。

Fast16：Stuxnetより5年前の産業妨害マルウェア

最後から2番目のニュースは、サイバーセキュリティの歴史に関するものです。SentinelOneの研究者が、エンジニアリングモデリングソフトウェアの高精度浮動小数点演算操作をターゲットとした「Fast16」というマルウェアフレームワークを発掘しました。

このマルウェアは2005年に活動していたと考えられており、これは既知の中で最も古い国家関連サイバー妨害フレームワークとなる可能性があります。

ご承知の通り、イランの核濃縮プログラムを破壊するために設計された2010年のStuxnetワームは、国家が戦略的スパイ活動からサイバー空間での妨害へと活動をエスカレートさせた初めてのケースとして知られています。しかし、今回の新しい発見は、Stuxnetが明るみに出る数年前から、そのような作戦が本格的に進行していたことを示唆しています。

このマルウェアフレームワークのコンポーネントの1つであるカーネルドライバfast16.sysは、2017年のShadow Brokersが流出させた米国国家安全保障局（NSA）のサイバーチームが使用する悪用およびツールをカバーする文書で簡潔に言及されています。

ファイルの中心にあるのはsvcmgmt.exeで、Windows 2000/XP時代の悪意のある実行可能ファイルです。もともと2005年に作成されたものであり、ほとんどのロジックに暗号化されたLuaバイトコードを使用するモジュール式サービスバイナリです。

このマルウェアが特に興味深い点は、浮動小数点計算を破損させるという異常なルートキット機能です。fast16.sysペイロードはディスクから読み取られるときに実行可能コードをインターセプトして変更できるカーネルファイルシステムドライバとしてロードされます。

クロージング

本日は、大規模なアカウント盗難から重要インフラへの脅威まで、様々なセキュリティインシデントをお伝えしました。特に注目すべきは、cPanelの重大な脆弱性やRobloxアカウント盗難など、広範囲に影響を与えるインシデントが増加していることです。

皆さんのデジタルセキュリティを守るためには、定期的なセキュリティパッチの適用、強力で一意のパスワード、多要素認証の有効化が不可欠です。また、疑わしいリンクをクリックしたり、未検証のソフトウェアをダウンロードしたりしないよう、常に注意が必要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。本日も様々な脅威についてお知らせしましたが、これらの情報が皆さんのセキュリティ意識向上に役立つことを願っています。

東京セキュリティブリーフィングでした。また次回お会いしましょう。