東京セキュリティブリーフィング 週次コラム 2026年03月22日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年03月22日、日曜日のコラム配信です。

今週も世界中で重大なセキュリティインシデントが相次ぎました。医療機器企業への大規模サイバー攻撃、記録的規模のボットネット破壊作戦、そして新型の iOS 脆弱性など、セキュリティ脅威の様相は確実に変わってきています。今週は、これら複数のインシデントから見えてくる、現在のサイバー脅威の特徴と、組織が直面する新しい課題についてお話しします。

今週のセキュリティトレンド分析

医療機器企業への大規模ワイパー攻撃とエンドポイント管理の脆弱性

今週最も注目を集めたインシデントは、医療機器大手スタイカーへの攻撃です。3月11日に開始されたこの攻撃では、イラン系のハクティビストグループ「Handala」が、世界中の複数の国で数万台の企業デバイスを消去しました。特に重要な点は、攻撃者がマルウェアではなく、正当な企業ツール「Microsoft Intune」を悪用して、エンドポイント管理を乗っ取ったという点です。

Handalaは侵害されたマイクロソフト Intune 環境から グローバル管理者アカウントを作成し、79カ国にわたる組織内のデバイスを一括で遠隔ワイプしました。報告によると、攻撃者は50テラバイト、あるいは12ペタバイト規模のデータを盗み出したと主張しています。

この事件が意味する所は、エンドポイント管理システム自体が、現在のサイバー攻撃における極めて有効な武器となっているということです。企業が従業員デバイスを一元管理するために導入したツールが、攻撃者に悪用されると、組織全体の統制を失うリスクがあります。

この攻撃に対応して、米国の CISA と FBI は、Intune を含むエンドポイント管理システムのセキュリティ強化について、勧告を発表しました。具体的には、最小権限アクセスの実装、多要素認証の徹底、そして複数の管理者による承認体制の構築が重要だと指摘しています。

世界最大級のボットネット破壊作戦と DDoS 脅威の実態

別の大きなニュースとしては、米国、カナダ、ドイツの当局による大規模なボットネット破壊作戦が報告されました。Aisuru、KimWolf、JackSkid、Mossad という4つのボットネットが破壊され、300万台以上の感染デバイスが関わっていました。

これらのボットネットは、記録的なスケールの DDoS 攻撃を実行していました。最新の報告では、毎秒 31.4 テラビット、あるいは 30 テラビット超のトラフィックを生成していました。これは、従来の DDoS 攻撃の数倍から数十倍の規模です。

特に注目すべき点は、攻撃に使用されたデバイスが、比較的古い IoT デバイスや、管理が甘いネットワーク機器だったということです。つまり、最新の高度な技術がなくても、ボットネット運営者は膨大な数の「兵隊」を集めることで、強力な攻撃を実現できるということです。

iOS の脆弱性「DarkSword」と多層的なスパイウェア脅威

セキュリティ研究コミュニティから注目を集めているのが、iOS のエクスプロイトチェーン「DarkSword」です。このツールは、iOS 18.4 から 18.7 までの複数のバージョンに対応し、6つの脆弱性を組み合わせることで、iPhoneを完全に侵害できます。

特に危険な点は、DarkSword が複数の商用スパイウェア販売業者や、国家支援の脅威アクターに利用されているということです。Google の脅威インテリジェンスチームが特定した限りでも、UNC6748、PARS Defense、UNC6353 という複数のグループが、異なるペイロード（GhostBlade、GhostKnife、GhostSaber）を使用して運用しています。

これらのグループが盗み出そうとしているデータは、通話履歴、メッセージ、位置情報、暗号資産ウォレット情報など、被害者の最も機密性の高い情報です。このような脅威が、複数の国家支援グループに広がっていることは、プライベートセクターとパブリックセクター双方にとって大きな脅威を意味しています。

ランサムウェアビジネスモデルの根本的な転換

今週の記事を読んでいて際立つ傾向が、ランサムウェア攻撃者の戦略転換です。Google が発表した分析では、ランサムウェア攻撃が 2025 年の段階で、従来の「ファイルを暗号化して身代金を要求する」モデルから、「データを盗み出して恐喝する」モデルへとシフトしていることが明らかになりました。

具体的な数字として、2025 年に Google が分析したランサムウェア侵害のうち、データ窃盗を含めていたものが 77% に達しています。身代金支払い率の低下や、バックアップからの迅速な復旧により、従来の暗号化戦略の採算性が低下したためだと考えられます。

また、同様の傾向として、ランサムウェアグループが身代金要求額も低下させています。2024 年の平均身代金要求額が 200 万ドルであったのに対し、2025 年には 134 万ドルに低下しています。つまり、攻撃者は、より多くの組織を短期間に標的にすることで、収益を確保する戦略へシフトしているのです。

Cisco ファイアウォールのゼロデイ悪用と積極的なランサムウェア配送

Cisco Secure Firewall Management Center の脆弱性 CVE-2026-20131 が、今週の重要なインシデントとして浮上しました。この脆弱性は CVSS スコア 10.0 と評価される極めて重大なもので、認証不要でリモートコード実行を許可します。

注目すべき点は、Interlock ランサムウェアグループが 2026 年 1 月 26 日からこの脆弱性を悪用していたということです。つまり、Cisco がセキュリティパッチを公開した 3 月 4 日の 38 日前から、既に攻撃が進行していたのです。これは、脆弱性の公開情報以前に、攻撃者が既にエクスプロイトを保有していたことを意味しています。

Interlock は、このゼロデイを使用して、複数の企業ネットワークに侵入し、カスタムマルウェア、PowerShell スクリプト、メモリ常駐型のバックドアを配置していました。

Zimbra メールサーバーの脆弱性を悪用した政府機関への攻撃

別の深刻なインシデントとして、Zimbra Collaboration Suite の脆弱性 CVE-2025-66376 が報告されました。この脆弱性は、メールの本文に埋め込まれた悪意のあるコンテンツが実行されるもので、ウクライナの政府機関が被害を受けています。

ロシア関連の APT（Advanced Persistent Threat）グループが、スピアフィッシングメールを通じてこの脆弱性を悪用し、被害者の認証情報、セッショントークン、2 要素認証コード、メールボックスデータを盗み出しました。政府機関を標的とした地政学的な攻撃であることが、この事件の背景にあります。

AI エージェントとプロンプトインジェクション脅威の拡大

今週の記事の中で、新興の脅威カテゴリとして浮上しているのが、AI エージェント向けの攻撃です。OpenClaw や Claude.ai などの AI プラットフォームが、隠されたプロンプトインジェクション攻撃の対象になっており、ユーザーの機密データが流出するリスクが報告されています。

特に注目すべきは、悪意のあるコンテンツが Web ページに埋め込まれ、ユーザーインタラクションなしに自動的に AI エージェントに指示を与える「間接的プロンプトインジェクション」という技術です。メッセージングプラットフォームのリンクプレビュー機能を悪用することで、サーバーログに認証情報が自動的に記録される仕組みが報告されています。

ClickFix と SEO ポイズニングの継続的な脅威

今週も複数の記事で、ClickFix と呼ばれるソーシャルエンジニアリング技術が報告されています。この技術では、検索エンジン最適化を悪用して、ユーザーが VPN クライアントなどの正当なソフトウェアを検索した際に、偽装サイトに誘導されます。

被害者がダウンロードするのは、正規ツールに見せかけたマルウェアで、Hyrax 情報盗聴ツール、Vidar Stealer、その他のインフォスティーラーが含まれています。複数の国で、250 以上の WordPress サイトがこのキャンペーンに利用されており、12 カ国で被害が報告されています。

今後予想されるリスクと対策

エンドポイント管理システムの統制喪失リスク

Stryker 事件から学べる教訓は、エンドポイント管理システムが攻撃の中央集約点となる可能性があるということです。企業の IT 部門は、Microsoft Intune を含む管理ツールに対して、従来以上に厳格なアクセス制御を実装する必要があります。

記事に記載されている対策としては、最小権限の原則に基づいたロールベースアクセス制御、複数管理者による承認体制、そして多要素認証の実装が重要です。これらは CISA と FBI が推奨している具体的な対策です。

VPN と リモートアクセス基盤の脆弱性

ClickFix や SEO ポイズニングの事例から見えるのは、VPN クライアントなどのリモートアクセスツールが、継続的な攻撃の対象になっているということです。組織の従業員が、検索エンジンから直接ダウンロードするようなツールについては、公式ドメインの確認、HTTPS 証明書の確認、ダウンロード前のウイルススキャンが重要です。

同時に、公式な VPN 設定の社員への配布方法を確立し、従業員が勝手にダウンロードしないような仕組みも必要です。

データ盗難主導型の攻撃への対応

ランサムウェア攻撃がデータ盗難にシフトしているという現実に対応するために、組織は暗号化の実装以上に、データの検出と分類に力を入れる必要があります。記事では直接言及されていませんが、Google の報告から推測できるのは、バックアップから復旧可能なデータに比べて、盗み出されたデータの影響がより大きくなるということです。

したがって、機密データの所在把握、アクセス権限の制限、そして外部流出の早期検出が、従来以上に重要になります。

iOS セキュリティ更新への迅速な対応

DarkSword などの脆弱性に対しては、Apple がセキュリティパッチを提供しています。記事では iOS 26.3 で修正されたと報告されています。組織のモバイルデバイス管理ポリシーについて、最新の iOS バージョンへの更新を強制するメカニズムを確立することが重要です。

Cisco ファイアウォール等の重要機器のパッチ適用

CVE-2026-20131 を含む Cisco の脆弱性に対しては、Cisco がパッチを提供しています。ファイアウォールやセキュリティ機器のような、組織の最外部にある機器は、攻撃者にとって最初の侵入ポイントになります。したがって、パッチ管理を優先事項とする必要があります。

セキュリティ担当者へのアドバイス

インシデント対応計画の見直し

今週の複数のインシデントから見えるのは、セキュリティに対する攻撃の多様化です。単一の防御メカニズムに依存するのではなく、複数のレイヤーでの検出と対応が必要です。

組織の IT セキュリティチームは、特に以下の点について、現在のインシデント対応計画を見直すべきです。まず、エンドポイント管理システムへの不正アクセス検知メカニズムの構築。次に、外部への大規模データ流出の早期検出。そして、AI システムやクラウドサービスに対する新しい脅威への対応です。

ステークホルダーへの報告とコミュニケーション

Stryker の事件では、医療機器メーカーが数万台のデバイスをワイプされたにもかかわらず、医療サービスの継続性が影響を受けなかったと報告されています。これは、バックアップシステムとフェイルオーバー機構が機能していたことを示しています。

セキュリティ担当者は、経営層に対して、サイバー攻撃後の事業継続性について、定期的に報告する必要があります。特に、医療、エネルギー、運輸などの重要インフラに携わる企業においては、攻撃を完全に防ぐことよりも、被害を局限して迅速に復旧することが、事業継続の観点から重要です。

グローバル脅威インテリジェンスの監視

今週の記事から見えるのは、セキュリティ脅威がグローバルに拡散している現実です。イランに関連する攻撃、ロシアに関連する攻撃、北朝鮮に関連する攻撃など、地政学的な状況がサイバー脅威に直結しています。

組織の脅威インテリジェンスチームは、CISA や国際的なセキュリティ研究機関からの情報を定期的に収集し、自社の環境での適用可能性を評価する必要があります。

ベンダー関係の再検討

Cisco ファイアウォールのゼロデイ悪用事件は、セキュリティ製品ベンダーとの関係の重要性を示しています。組織は、単にセキュリティ製品を導入するだけではなく、ベンダーのセキュリティアドバイザリを定期的に確認し、パッチ情報に迅速に対応する体制を確立する必要があります。

特に、ファイアウォールやネットワークセキュリティ機器のようなクリティカルな機器については、ベンダーからのパッチ通知をいち早く受け取る仕組みが重要です。

クロージング

今週のセキュリティ動向を整理すると、攻撃の特徴は明らかです。まず、攻撃対象が多様化しており、医療機器企業、ネットワーク基盤、モバイルデバイス、そして AI システムまで、あらゆるプラットフォームが狙われています。次に、攻撃手法が高度化しており、ゼロデイ脆弱性、ソーシャルエンジニアリング、そして正当な企業ツールの悪用という、多層的なアプローチが組み合わされています。そして、攻撃者の動機が金銭から地政学的な目的へとシフトしており、単純なサイバー犯罪ではなく、国家支援の脅威として機能している側面も見えます。

セキュリティ担当者の皆さんは、これらの脅威に対応するために、従来の防御メカニズムの強化に加えて、組織全体のセキュリティ文化の醸成が必要です。経営層への報告、従業員教育、そしてベンダーとの協力を通じて、継続的なセキュリティ改善を進めていただきたいと思います。

引き続き、セキュリティ動向にご注目いただき、皆さんの組織のセキュリティ向上に役立つ情報をお届けしていきます。本日の東京セキュリティブリーフィングでした。また次回お会いしましょう。