東京セキュリティブリーフィング 週次コラム 2026年04月05日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月05日、日曜日のコラム配信です。

先週、3月30日から4月4日にかけて、セキュリティ業界では極めて深刻な事件が次々と報告されました。大手企業による秘密裏のデータ収集、複数の大規模サプライチェーン攻撃、オープンソース生態系への前例のない侵害など、セキュリティ担当者にとって対応が急務となる課題ばかりです。本日のコラムでは、今週見られた重大なトレンド、その脅威の本質、そして組織がとるべき防御戦略について詳しく分析していきます。

今週のセキュリティトレンド分析

サプライチェーン攻撃の多段階化：npm、クラウド、政府機関まで

今週のセキュリティニュースで最も注目すべきトレンドは、サプライチェーン攻撃の多段階化と規模の拡大です。複数のメディアが同じサプライチェーン侵害について報じており、これは極めて高い注目度を示しています。

まず、Axiosというnpmパッケージの侵害があります。Axiosは毎週100,000回以上ダウンロードされる極めて広く使用されているHTTPクライアントライブラリです。盗まれたメンテナー認証情報により、バージョン1.14.1および0.30.4が悪意のあるバージョンとして公開されました。注入された「plain-crypto-js」という偽りの依存関係は、macOS、Linux、Windowsに対応したクロスプラットフォームマルウェアを配信しました。このマルウェアはC2サーバーとの通信を確立し、npmトークン、AWSの認証情報、SSHキー、CI/CDシークレットなど、開発環境に保存された極めて価値の高い認証情報を窃取します。

攻撃の手口として注目すべき点は、単なるコード注入ではなく、社会工学的な準備があったことです。攻撃者は正当な企業になりすまし、段階的なコミュニケーションを通じてメンテナーの信頼を構築してから、リモートアクセスツールの導入に誘導しました。その後、ブラウザセッションをハイジャックして2段階認証をバイパスし、npmアカウントとGitHubアカウントの完全な制御を奪取したのです。

次に、同様に深刻な供給チェーン侵害として、TrivyとClaudeコードの侵害があります。Trivyはセキュリティスキャナーであり、多くの開発チームが脆弱性検査に利用しています。TeamPCPと呼ばれるハッキンググループがTrivy経由で盗んだAWS APIキーを使用して、欧州委員会のクラウドアカウントにアクセスしました。その結果、Europa.euプラットフォームと関連する29のEU実体から350GB以上のデータが盗まれました。ShinyHuntersという恐喝グループが340GBのデータをTorベースのリークサイトに公開し、欧州の政府活動に関する個人情報、メールアドレス、ユーザー名が世界中の攻撃者にアクセス可能になってしまいました。

また、Anthropicが開発中のAIシステム「Claude Code」からも59.8メガバイトのJavaScriptソースマップが誤ってnpmパッケージに含められ、約50万行のTypeScriptコードが再構築可能な状態で流出しました。これは単なるコード流出ではなく、セキュリティ研究者が即座に権限システムの脆弱性を特定でき、50個を超えるサブコマンドの場合セキュリティチェックがバイパスされることを発見しました。さらに、この流出を悪用する脅威行為者は、偽のGitHub「Claude Code流出」リポジトリを作成し、VidarインフォステーラーとGhostSocksマルウェアを配信しています。これらのマルウェアは、攻撃者が侵害されたシステムをプロキシノードに変換して内部ネットワークへのアクセスを獲得するために使用されます。

LinkedInの秘密裏データ収集：ユーザー同意なしに6000以上のアプリケーションをスキャン

次に重大なトレンドとして浮上したのが、LinkedInによる秘密裏のデバイススキャン行為です。Fairlinked e.V.の「BrowserGate」レポートによると、LinkedInは10億人のユーザーの同意なしに隠しJavaScriptコードを実行し、インストール済みソフトウェアとブラウザ拡張機能をスキャンしていることが確認されました。

具体的には、スキャン対象の拡張機能が2025年の約460製品から2026年2月までに6,236個まで急増しました。スキャンされた情報にはCPU、メモリ、画面解像度、タイムゾーン、バッテリー状態などのシステム情報も含まれます。LinkedInはこれをプラットフォーム保護目的だと主張していますが、収集されたユーザーのプライベートデータがどのように利用されているかについては詳細が明かされていません。特に、競合企業のツール（Apollo、Lushaなど）を特定の目的でスキャンしていること、そして個人データが実名や雇用者情報と結び付けられていることは、欧州のGDPRなどの厳格なプライバシー規制に違反する可能性があります。

デバイスコードフィッシング攻撃が37倍に急増

さらに注目すべき脅威として、OAuth 2.0デバイス認可グラントフローを悪用するデバイスコードフィッシング攻撃が37倍以上に急増しています。このフィッシング手法は複数の新しいマルウェアキット（EvilTokens、VENOM、SHAREFILE、CLURE、LINKID、AUTHOV、DOCUPOLL、FLOW_TOKEN、PAPRIKA、DCSTATUS、DOLCEなど）によって商用化されており、簡単に購入・利用できるようになっています。

攻撃者は偽のログインページやメールを通じて被害者にデバイスコードを入力させることで、正規のMFA保護を回避してMicrosoftやGoogle等のアカウントをハイジャック可能です。これは従来のパスワードフィッシングよりも遥かに成功率が高く、2段階認証でさえも完全には防御できない脅威となっています。

その他の重大なセキュリティインシデント

TrueConfビデオ会議システムのゼロデイ脆弱性（CVE-2026-3502）が東南アジアの政府機関を狙った「TrueChaos」キャンペーンで悪用されています。検証フローの欠陥により、攻撃者が偽の「セキュリティアップデート」に見せかけたマルウェアペイロードを配信でき、DLL sideloadingとHavocペネトレーションテストツールが検出されています。

また、F5 BIG-IPのCVE-2025-53521は当初CVSS 7.5のサービス拒否脆弱性と分類されていましたが、実は認証なしのリモートコード実行が可能な脆弱性でした。Shadowserverによると、インターネット公開されている17,100以上のBIG-IP APMインスタンスのうち、14,000以上がこの脆弱性に対して脆弱な状態にあります。

Progress ShareFileの脆弱性（CVE-2026-2699、CVE-2026-2701）は、約30,000のパブリックインターネット公開インスタンスに影響を与えており、認証なしで管理パネルへのアクセスと任意ファイルアップロードが可能です。

React2Shellの脆弱性（CVE-2025-55182、CVSS 10）を悪用したUAT-10608キャンペーンは、わずか24時間で766台以上のNext.jsサーバーを侵害し、データベース認証情報、SSH秘密鍵、AWSクレデンシャルなどを大規模に窃取しました。

今後予想されるリスクと対策

サプライチェーン攻撃への対策

今週報告されたサプライチェーン攻撃は、複数の段階を含む極めて洗練された手法を示しています。組織が実装すべき対策として、以下の点が記事に示唆されています。

まず、npmパッケージをはじめとするオープンソース依存関係の管理を厳格化することが不可欠です。具体的には、使用しているすべての依存関係をインベントリ化し、定期的に更新をスキャンすることが必要です。

次に、開発チーム向けのセキュリティトレーニングが重要です。攻撃者は社会工学的手法を使用してメンテナーやエンジニアの信頼を獲得しています。LinkedIn、Slack、オンライン会議など、様々なチャネルを通じた段階的な接触が行われていることを認識する必要があります。

また、認証情報管理について、特にCI/CD環境での認証情報の保護が重要です。AWSキー、npm認証トークン、GitHubトークンなどは、開発環境に保存されることが多いため、環境変数や秘密管理システムを利用して厳格に管理する必要があります。

クラウドアカウント侵害への対応

欧州委員会の事例から、APIキー漏洩によるクラウドアカウント侵害の危険性が明らかになっています。組織は以下の対策を講じるべきです：

クラウドプロバイダのアクティビティログを継続的に監視し、異常なアクセスパターンを検出することが重要です。APIキーへの完全な制御アクセスが奪取された場合、膨大なデータが盗まれる可能性があります。

定期的なアクセスキーのローテーション、特に異なるプロジェクト間でのキーの分離、最小権限原則に基づいた権限設定が必須です。

プライバシーと監視リスク

LinkedInの秘密裏スキャン事例から、大手オンラインプラットフォームによるユーザー監視が懸念となっています。組織のセキュリティ担当者は：

ブラウザ拡張機能の使用ポリシーを明確化し、どのような拡張機能が組織内で使用されているかを把握することが重要です。

従業員に対して、オンラインプラットフォーム上の活動と個人情報の取り扱いについて啓発を行うことが必要です。

認証関連の脅威への対策

デバイスコードフィッシング攻撃の37倍増に対応するため、組織は：

ユーザーに対してデバイスコード認証フローの危険性を周知し、疑わしい認証要求には応じないよう指導すること

Microsoftなどのクラウドプロバイダが提供する条件付きアクセスやリスク検出機能を活用すること

MFAだけに依存するのではなく、不審なサインイン活動を検出・制限するための追加的な監視を実装することが重要です。

インフラストラクチャの脆弱性管理

BIG-IP、ShareFile、React2Shellなどの複数のシステムで脆弱性が検出されています。組織は：

インターネット公開されているシステムのインベントリを把握し、定期的に脆弱性スキャンを実施することが重要です。

パッチ管理プロセスを厳格化し、CVSS 9.0以上の重大脆弱性については、可能な限り迅速に対応することが必須です。

セキュリティ担当者へのアドバイス

週次の重点監視項目

今週のトレンドから、セキュリティ担当者は以下の項目について特に注意する必要があります：

まず、組織内で使用されているオープンソースライブラリ、特にnpmやPythonパッケージについて、最新のセキュリティアラートを確認してください。Axios、LiteLLM、Trivyなどの広く使用されているパッケージが次々と侵害されていることから、依存関係チェーンの安全性は予測不可能な状態になっています。

次に、クラウドプロバイダのAPIキーやアクセストークンが漏洩していないか確認してください。欧州委員会の事例では、Trivy供給チェーン攻撃で盗まれたAWSキーが直接的にクラウドアカウント侵害につながっています。

また、従業員の認証活動をモニタリングし、デバイスコードフィッシングなどの新種フィッシング手法による被害がないか確認することが重要です。

報告と共有

今週のセキュリティインシデントは、複数の業界・地域に影響を与えています。組織内のステークホルダーに対して、以下の情報を共有することが重要です：

- サプライチェーン攻撃による依存関係リスク
- クラウドアカウント侵害の可能性
- デバイスコードフィッシング攻撃の増加
- 複数の重大システム脆弱性の存在

これらの脅威は、経営層の意思決定にも直接影響する重要度の高い項目です。

長期的な対策への準備

今週報告された攻撃の手口から、以下の長期的対策が必要であることが明らかになっています：

ソフトウェア開発ライフサイクル全体を通じたセキュリティの統合（DevSecOpsの推進）

開発チーム向けのセキュリティ教育と社会工学的攻撃への耐性強化

クラウドセキュリティ体制の強化と継続的な監視

サードパーティリスク管理プログラムの確立と定期的な監査

クロージング

2026年の第1四半期を締めくくる今週、セキュリティ業界は前例のない規模のサプライチェーン攻撃とプライバシー侵害に直面しています。Axiosなどの広く使用されるライブラリから欧州委員会まで、攻撃の影響範囲は極めて広大です。

しかし同時に、これらのインシデントは組織に重要な教訓をもたらします。依存関係の管理、クラウドセキュリティ、ユーザー認証、社会工学的攻撃への耐性—これらすべてが、現代のセキュリティ戦略の不可欠な要素であることが、今週のニュースからはっきりと示されました。

セキュリティ担当者の皆様は、これらのトレンドを踏まえ、今月中に組織のセキュリティ体制について点検・見直しを行うことをお勧めします。攻撃は日々進化しています。来週も引き続き、セキュリティ動向にご注目ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。