東京セキュリティブリーフィング 週次コラム 2026年04月12日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月12日、日曜日のコラム配信です。今週もセキュリティの脅威トレンドが加速しており、複数のニュースメディアが報道する大きな事件が複数発生しています。本日は、この週に見られたセキュリティ脅威の重要なトレンドと、その対策について、深掘り分析でお届けします。

今週のセキュリティトレンド分析

ロシア国家勢力による大規模ルーター侵害キャンペーン

今週、複数のセキュリティメディアが同じ事件を大きく報道していることから、これが最大級の注目トピックです。ロシアのGRU軍事情報部隊26165に属するとされるAPT28こと「Forest Blizzard」が、米国を含む複数国におけるTP-LinkなどのSOHOルーターの脆弱性を悪用しています。

この攻撃の規模は非常に大きく、120カ国以上、18,000台以上の異なるIPアドレスからの通信が観測されています。記事では、米国とドイツが最も高い脆弱性濃度を保有していると報告されています。攻撃者がDNS設定を改ざんし、トラフィックを攻撃者制御のサーバーに誘導する中間者攻撃を実施。特にMicrosoft Outlookのウェブインターフェースが標的とされており、ユーザーの認証情報が盗まれています。

FBIは4月にこの脅威ネットワークの米国部分を無力化する「Operation Masquerade」を実行し、複数州のTP-Linkルーターに特別なコマンドを送信してDNS設定をリセットしました。しかし、この攻撃キャンペーンは2024年12月から継続していたと推定され、かなり長期間にわたって情報が漏洩していた可能性があります。

Smart Slider 3プラグイン侵害による大規模感染

WordPressの人気プラグインSmart Slider 3が複数のニュースメディアで報道されている重大なサプライチェーン攻撃に見舞われています。攻撃者がパッチ配布システムに侵入し、2026年4月7日付近にバージョン3.5.1.35を公開。このバージョンには複数のバックドアが埋め込まれており、80万以上のウェブサイトに悪意のあるコードが自動配布されました。

被害者はバージョン3.5.1.36へアップグレード、または3.5.1.34へのロールバックを直ちに推奨されています。バックドアはHTTPヘッダーを通じてリモートコマンド実行を許可するため、攻撃者は侵害されたサイトの完全な制御を取得可能です。これは約80万以上のWordPressサイト運営者に直接影響を与える危機的な状況です。

AI駆動型脆弱性発見の急速な進化

複数のセキュリティニュースでAnthropicのClaude Mythos Previewが取り上げられています。このAIモデルが極めて高度なゼロデイ脆弱性を自律的に特定・悪用する能力を持つことが報告されています。OpenBSDの27年前のバグ、FFMpegの16年前の脆弱性、FreeBSDのRCE脆弱性を含む数十年古い欠陥を自動検出したと報告されており、複数の完全にパッチされたターゲットで完全な制御フロー・ハイジャックを実現したと述べられています。

Project Glasswingを通じて40以上の組織にアクセスが限定されていますが、このような能力が存在する時点で、脆弱性発見と悪用のタイムラインが根本的に変わる可能性が高いです。セキュリティ研究者やペネトレーションテスト企業がこの技術をいち早く活用する一方で、攻撃側も同様の手法を採用する可能性があります。

ClickFixキャンペーンのmacOS対応

複数のセキュリティ企業がClickFixスタイルの攻撃がmacOS環境に拡がっていることを報告しています。最初はTerminal操作を要求していましたが、macOS 26.4でのセキュリティ強化を受けて、攻撃者がScript Editorを直接起動する新手法を採用しました。

applescript:// URLスキームを利用して、ユーザーの操作をほぼ必要とせずにマルウェア（Atomic Stealer別名AMOS）をダウンロード・実行するメカニズムが確認されています。Atomic Stealerは暗号資産ウォレット、ブラウザパスワード、クレジットカード情報などを盗聴します。

サプライチェーン攻撃の新展開

複数のニュースメディアがサプライチェーン攻撃の拡大を報道しています。Axiosメンテナーのアカウント侵害により、NPMレジストリに悪質なバージョンがプッシュされました。記事によれば、3時間で300万人以上に悪質なパッケージがインストールされた可能性があると述べられています。また、GitHubとGitLabを悪用したマルウェア配信キャンペーンも複数報道されており、git.ioやgithub.comのドメイン評判の高さを悪用しています。

今後予想されるリスクと対策

イラン関連のPLC攻撃の継続

米国政府機関が共同勧告を発表し、イラン国家支援ハッキング集団がロックウェル・オートメーション・アレン・ブラッドリーのプログラマブルロジックコントローラをターゲットにしていると警告しています。記事に記載されている通り、水道・下水処理施設、エネルギー発電施設、政府機関が影響を受けており、運用の中断と経済的損失をもたらしています。

Censysの報告では、インターネットに露出している5,200以上のこのようなデバイスのうち、米国内には約3,900台が配置されています。これらのデバイスはセルラーモデム経由、一部はStarlink衛星ターミナル経由でネットワーク化されており、地理的に分散されています。記事に記載されている通り、攻撃者はロックウェル・オートメーション製Studio 5000 Logix Designerなどの正当なエンジニアリングツールを使用してPLCプロジェクトファイルを抽出・改ざんしています。

EDR回避技術の高度化

複数のセキュリティ企業がEDRキラーの増加と高度化を報告しています。DesckVB RATやSTX RATなど新型マルウェアは、複雑に難読化されたJavaScriptから始まる多段階感染チェーンを使用し、PowerShellペイロードをドロップしてファイルレス.NETローダーを実行します。プロセスホローイングやメモリ内実行により検出を回避しています。

ルーター侵害の引き続く脅威

Forest Blizzardだけでなく、複数の記事がMasjesuボットネットなど他の脅威アクターがMikroTikやTP-Linkなどのルーターを侵害していることを報告しています。これらのデバイスはDDoS-for-hireサービスとして、290～300Gbpsの攻撃能力で宣伝されており、商用DDoS攻撃市場での需要が高い状況が窺えます。

セッション盗聴攻撃の進化

複数の記事が盗まれたセッションクッキーがMFAを完全に無視することを強調しています。暗号資産詐欺やビジネスメール詐欺で「Stormインフォスティーラー」などが月額900ドルのサブスクリプション形式で配信されており、パスワードとMFAをバイパスしたアカウント侵害を可能にしています。

GoogleがChrome 146でDevice Bound Session Credentials（DBSC）機能をWindows向けに公開し、セッションをハードウェアセキュリティモジュール（TPM）に暗号的にバインドしてこの脅威に対抗しています。盗まれたクッキーは短い有効期限で急速に失効するようになります。

セキュリティ担当者へのアドバイス

緊急対応

SOHO環境でTP-LinkやMikroTikなどのルーターを使用している組織は、直ちにDNS設定を確認し、不正な設定がないか検証してください。可能であれば、ルーター管理画面で現在のDNS設定を確認し、ISP標準のDNSまたは信頼できるDNS（GoogleのDNS等）に変更してください。

WordPressサイト運営者はSmart Slider 3プラグインを使用している場合、直ちにバージョンを確認してください。バージョン3.5.1.35を使用している場合は、3.5.1.36にアップグレードするか、3.5.1.34にロールバックしてください。

監視と検出

Microsoft Outlookのウェブインターフェース経由のログイン異常、DNSクエリの異常なリダイレクト、SOAR環境やEDRログで説明不可能なシステムコマンド実行が検出された場合、直ちに調査を開始してください。記事で報告されている通り、Forest BlizzardはMicrosoft 365環境を特に標的としており、Outlookへのログイン試行が増加する可能性があります。

セッション盗聴への対策

Google Chrome 146以降へのアップグレードを検討し、Windows環境ではDevice Bound Session Credentials機能を有効化してください。企業環境ではセッションクッキーの盗聴に対する継続的な監視体制を構築し、不正なセッションアクティビティの検出に向けて自動化を推進してください。

ソーシャルエンジニアリング対策

記事で報道されている通り、UNC6783などの恐喝グループが BPOネットワークを経由して複数企業へアクセスしており、偽のOkta・Microsoft Teamsログインページが使用されています。従業員教育においてフィッシング検出スキルの継続的な向上に加え、ヘルプデスク職員への集中的な訓練が重要です。

クロージング

今週のセキュリティトレンドは、国家支援勢力から商用犯罪グループまで幅広いアクターが、ルーター・SaaS・オープンソースなど様々な基盤を狙う多層的な攻撃を展開していることを示しています。同時にAI駆動型脆弱性発見技術の急速な進化により、脅威のタイムラインが根本的に変わりつつあります。

セキュリティ担当者の皆様には、これらの脅威に対して先制的な防御体制を整備し、継続的なアップデートと監視を怠らないことを強く推奨いたします。来週も引き続きセキュリティ動向にご注目ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。