週次コラム: Appleの正規通知を悪用した巧妙なフィッシング攻撃 | 2026年4月26日

東京セキュリティブリーフィング 週次コラム 2026年04月26日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月26日日曜日のコラム回です。今週のセキュリティの動きは、なかなか盛り沢山でした。AI技術が攻撃と防御の両面で急速に進化する中、新しい脅威パターンが次々と現れています。特に注目すべきは、複数の高度な脅威が同時進行していることです。本日は、この1週間に起きた重大なセキュリティインシデントと、その背景にある新しいトレンドについてお話しします。

今週のセキュリティトレンド分析

Appleの正規通知を悪用した巧妙なフィッシング攻撃

今週特に注目を集めているのが、Appleの正規アカウント変更通知を悪用したフィッシング詐欺です。攻撃者たちがApple IDアカウントを作成した後に配送情報を変更することで、Appleサーバーから送信される正規のアカウント変更通知メール内に、詐欺のペイロードを埋め込むという手口が確認されました。このメールはSPF、DKIM、DMARC認証にすべて合格しているため、セキュリティフィルターを通り抜けます。被害者は「iPhone購入に関する配送情報の変更」という正当に見える通知内のリンクをクリックし、詐欺師の電話番号に電話をかけさせられます。その後、リモートアクセスソフトウェアのインストールを強要され、認証情報やクレジットカード情報が盗まれるという流れです。ユーザーは正規のAppleからのメールだと信じてしまうため、この手口は特に危険です。

Vercelのセキュリティ侵害がサードパーティツール経由で発生

次に、クラウド開発プラットフォームVercelが大規模なセキュリティ侵害を受けたことが判明しました。Context.aiという従業員が使用していたAIドキュメント作成ツールが侵害され、そのアクセストークンがVercelの従業員のGoogle Workspaceアカウントをハイジャックするのに利用されました。攻撃者はこれによって、「機密」としてマークされていない環境変数にアクセスできるようになってしまいました。ShinyHuntersというグループが2億ドルの身代金を要求し、APIキー、ソースコード、580件の従業員情報の盗番を主張しており、200万ドルの身代金要求について議論したとされています。ただし、「機密」とマークされた環境変数はプレーンテキスト読み取りを排除する形式で保存されていたため、これらの値が実際に侵害されたという証拠はまだありません。Vercelは限定的な顧客サブセットのシークレット値が影響を受けた可能性があると述べており、限定的な顧客層に直接通知され、認証情報の変更、多要素認証の有効化、アクティビティログの監査が指示されました。

Claude MythosがFirefoxで271個のゼロデイ脆弱性を発見

セキュリティ防御側に非常に重要なニュースとして、AnthropicのClaude Mythosがモジラのブラウザ「Firefox」で271個のゼロデイ脆弱性を発見したことが報告されました。これらの脆弱性はFirefox 150で修正されていますが、重要な点は、従来のセキュリティツールでは検出できなかった複雑なメモリ使用後の解放（use-after-free）や初期化されていないメモリバグが含まれていたということです。Mozillaの最高技術責任者がこれを「転換点」と表現し、AIがエリート人間研究者と同等の能力でコード分析を実行でき、脆弱性の非対称性が初めて防御者側に有利に働く可能性を示唆しています。

北朝鮮のHexagonalRodentがAIを悪用して1200万ドルの暗号資産を盗取

北朝鮮関連の脅威グループHexagonalRodentが、ChatGPT、Cursor、AnimaなどのAIツールを使用して、3ヶ月間でおよそ1200万ドル相当の暗号資産を盗んだと報告されています。このグループは偽のコーディングテストと偽造されたLinkedInプロフィールを作成して開発者を騙し、バックドアを含むマルウェアをインストールさせます。特に注目すべきは、スキルの低い攻撃者がAIの支援で高度な攻撃を実行できるようになり、北朝鮮がより幅広い労働力を採用できるようになったという点です。2026年3月までに750以上の感染したリポジトリが特定されており、難読化されたJavaScript埋め込みと認証情報収集機能を含んでいます。

中国がSS7とDiameterプロトコルの脆弱性を悪用して位置追跡を実施

Citizen Labの「Bad Connection」レポートが明かしたところによると、中国関連の監視ベンダーが電気通信インフラのSS7およびDiameterシグナリングプロトコルの脆弱性を悪用して、世界規模でモバイルユーザーを位置追跡しています。攻撃者たちは「ゴーストオペレーター」として正当なキャリアIDになりすまし、複数国の電気通信ネットワークを経由して位置情報を抽出しています。これらのレガシープロトコルの構造的失敗が指摘されており、特定の著名人が標的にされているとのことです。

今後予想されるリスクと対策

Appleの通知フィッシング手口が成功している理由は、ユーザーが正規の企業からのメールであることを全く疑わないという人間心理を悪用しているからです。今後、攻撃者たちはこの手法をさらに洗練させ、他の企業の正規サービスも同様に悪用する可能性が高いです。企業の側からは、アカウント変更通知内に外部リンクを含めない設計や、プレーンテキストでの重要情報送信を避けるなどの技術的対策が必要です。ユーザーの側からは、正規企業からのメールであっても、金銭や認証情報を要求するメール内のリンクには慎重に対応し、必ずブラウザのアドレスバーから直接企業のウェブサイトにアクセスして確認することが重要です。

供給チェーン攻撃のリスクは今後さらに高まるでしょう。Vercelの事例は、自社のセキュリティがいかに堅固であっても、従業員が使用する第三者ツールから侵害される可能性を示しています。企業は従業員が使用するすべてのツール、特に認証情報を要求するAIツールやSaaS製品に対して、厳格なアクセス制御と多要素認証を強制する必要があります。

AI脆弱性検出の加速により、攻撃面の爆発的な増加が予想されます。Claude Mythosが271個の脆弱性を発見したように、AI駆動型の脆弱性検出により、従来は見過ごされていた欠陥が急速に表面化するでしょう。NISTは2026年4月15日から、CVE対応方法を変更し、高リスク脆弱性のみを完全に拡張し、その他は「最低優先度」に分類することを発表しています。これは、脆弱性数の増加に対応するための戦略的な判断です。

暗号資産関連の詐欺は、AIの支援を受けることでますます巧妙化しています。HexagonalRodentがChatGPTを使用して偽のプロフィール写真や履歴書を生成し、リモート採用プロセスを悪用している事例が示すように、北朝鮮のような国家支援グループが制裁を回避するための手段としてAIを活用しています。

セキュリティ担当者へのアドバイス

企業のセキュリティ担当者として、今週のニュースから学ぶべき点は複数あります。まず、Vercelの事例は「ゼロトラストは内部から始まる」という教訓を示しています。従業員が使用するすべてのツールに対して、同じレベルのセキュリティ対策を適用する必要があります。特にAIツールやクラウド生成ツールなどの新しい技術に対しては、使用許可前に严格なセキュリティレビューを実施してください。

次に、Appleの通知フィッシング事例から、正規の企業メール内に悪意のあるコンテンツが埋め込まれる可能性を認識する必要があります。メールフィルタリング、SPF・DKIM・DMARC認証だけでは十分ではなく、ユーザー教育も同等に重要です。定期的なセキュリティ意識向上トレーニングにおいて、「正規に見えるメール内のリンククリック」の危険性を強調してください。

Claude Mythosなどのいわゆる「AI脆弱性検出ツール」の出現により、今後脆弱性の数が劇的に増加する可能性があります。現在の脆弱性管理プロセスが対応できるか検証が必要です。NISTの新しいリスク基盤優先順位付けモデル（2026年4月15日発効）に対応できる仕組みを整備しておくことをお勧めします。CISA KEVリスト、連邦ソフトウェア、大統領令14028に列挙された重要ソフトウェア以外にも、自社環境に特有の重要度評価基準を策定してください。

北朝鮮による求人詐欺キャンペーンについては、採用面接プロセスにおけるID確認を強化することが重要です。特にリモート環境での採用において、候補者の身元確認を複数の方法で検証し、オンライン身分証明書の検証ツール使用を検討してください。

クロージング

今週のセキュリティ動向から見えるのは、攻撃者たちが技術的なセキュリティ対策を回避するのではなく、人間の信頼と正規企業のシステムそのものを悪用しているということです。Appleの正規通知を悪用し、Vercelの従業員の判断を悪用し、採用プロセスにおける社会工学を悪用しています。

同時に、Claude Mythosのような防御技術も急速に進化しており、AIが脆弱性検出の新たな時代をもたらそうとしています。攻撃と防御の両面でAIが戦っており、その戦いのテンポが劇的に加速しています。

ご組織のセキュリティチームにおいては、新しい脅威に対応するために、内部統制の強化、従業員教育の徹底、そして新しい検出・対応技術の導入検討を並行して進めることが重要です。

来週も引き続きセキュリティ動向にご注目ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。