東京セキュリティブリーフィング 週次まとめ 2026年03月23日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。3月23日の月曜日、パーソナリティの島田です。本日は週次ニュースまとめ回となっており、先週の3月16日から3月22日にかけて公開されたセキュリティニュースの中から、特に重要で注目度の高いトピックを厳選してお届けします。先週1週間は、医療機関への大規模なワイパー攻撃、複数の深刻なゼロデイ脆弱性の悪用、そして組織全体に影響を与える重大なセキュリティインシデントが相次いで報告されました。皆さんの組織でも関わるかもしれない、重要な情報が満載です。どうぞ最後までお付き合いください。

重要ニュースTOP

イラン関連グループによるStryker大規模ワイパー攻撃

先週最も注目を集めたのは、医療機器メーカーのStryker Corporationへの大規模なサイバー攻撃です。複数のセキュリティニュース報道で繰り返し報じられたこの事件は、3月11日に開始され、数千台のデバイスがリモートワイプされるという深刻な被害をもたらしました。攻撃者はHandalaと名乗るイラン情報保安省（MOIS）関連のグループと評価されており、このグループは2月28日の米国とイスラエルによるイランへの攻撃以降、報復サイバー作戦を加速させています。

最も重要な点は、従来のランサムウェアやワイパーマルウェアではなく、Microsoft Intuneというエンドポイント管理システム自体を悪用した点です。攻撃者はIntuneの管理者認証情報を侵害し、正規の管理機能であるリモートワイプ機能を悪用して、デバイスを一括削除しました。これは「living off the land」と呼ばれる手法で、カスタムマルウェアではなく、企業が合法的に導入している管理ツール自体を兵器化したものです。

Strykerから流出したデータとされているのは50テラバイト以上。Handalaグループは犯行声明を出し、盗まれたデータを保有していることを示唆しています。重要なのは、Strykerの医療デバイスであるda Vinci手術ロボット、Ion呼吸器治療システム、各種デジタルプラットフォームはネットワーク分離により直接的な影響を受けておらず、患者ケアに対する物理的なセキュリティプロトコルが正常に機能したという点です。しかし、IT基盤への被害は広範囲に及び、複数の事業所でシステムダウンが発生しました。

このインシデントの重要性は、クラウドベースのエンドポイント管理システムが攻撃対象となり得ること、そして管理者認証情報の保護がいかに重要であるかを浮き彫りにしました。CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）とFBIは、組織にMicrosoft Intuneのセキュリティ強化を緊急に促し、最小権限の原則、多要素認証、複数管理者による承認プロセス、条件付きアクセスポリシーの実装を推奨しています。

Chrome ゼロデイ脆弱性の野生での積極的な悪用

先週は、Google Chromeをはじめとする複数のブラウザに影響する深刻なゼロデイ脆弱性が野生で積極的に悪用されていることが報告されました。CVE-2026-3909とCVE-2026-3910として追跡される2つの脆弱性で、前者がSkiaグラフィックスエンジン、後者がChromium V8エンジンの欠陥です。

これらの脆弱性は、Google Chrome、Microsoft Edge、Operaの複数バージョンに影響し、ドライブバイダウンロード攻撃により、ユーザーがシンプルにウェブサイトを訪問するだけで侵害される可能性があります。つまり、ユーザー側に特別な操作は不要で、悪意あるウェブサイトを訪問した時点で感染のリスクが生じるということです。

CISAは連邦機関に対し3月27日までの修復を義務付けており、民間企業に対しても即時の対応を強く推奨しています。現在、これらの脆弱性は野生で「積極的に悪用されている」状況にあるため、個人ユーザーも含めて、ブラウザの自動更新が有効化されていることを確認し、利用可能な最新バージョンへの更新を急ぐべき状況です。

CondiBot及びMonaco：ネットワークデバイスを標的とするボットネット脅威

Miraiの派生型であるCondiBot（別名RondoDox）が174個もの異なるエクスプロイトを活用して、インターネット公開のネットワークデバイスを大規模に侵害しているという報告が先週出されました。このボットネットは2025年5月に初めて確認されたものですが、数ヶ月の間に大幅な進化を遂行しており、32個の攻撃ハンドラーを実装しています。

同じく報告されたMonacoは、SSHクリプトマイナーで、実に36億のIPアドレスをスキャンしており、Monaroコイン採掘用にXMRigとXMRigCC両方のマイナーを配布しています。このボットネットの脅威は、従来のマルウェアと異なり、ルータやゲートウェイといった企業のネットワーク周辺に位置するデバイスを標的としている点です。

これらデバイスは一般的にエンドポイント検出対応（EDR）やXDRシステムの監視下にないため、感染が長期間検出されない可能性があります。さらに、感染したネットワークデバイスは内部ネットワークへの戦略的な足がかりとなり、横展開のための理想的な拠点となります。報告によると、ネットワークデバイス脆弱性の悪用は2025年から8倍増加しており、これは攻撃者がターゲットをエンドポイントからネットワークインフラストラクチャへとシフトさせていることを示唆しています。

Telus Digital ペタバイト規模のデータ漏洩

カナダのアウトソーサー、Telus Digitalが限定的な数のシステムへの不正アクセスを認め、ShinyHuntersグループがGoogle Cloud Platformの認証情報を悪用してペタバイト以上のデータを漏洩させたと報告されています。このデータには、20以上の企業顧客の個人識別情報とコールセンター録音が含まれています。

Telus Digitalはサービスプロバイダーとして多くの企業の機密情報を扱っており、その侵害は広範囲な企業に波及効果をもたらします。ShinyHuntersグループは、盗まれたGoogle Cloud Platformの認証情報が2025年の別の事件から流出したSalesloftのインシデントで入手されたものと述べており、セキュリティ侵害のチェーン状の連鎖を示しています。

ClickFix進化：複数のWordPress サイト被害

ClickFixと呼ばれる欺瞞的な手法が進化を遂行しており、先週の報告では12か国の250以上のWordPressサイトが侵害されていることが判明しました。この攻撃は、偽のCloudflare CAPTCHAチャレンジページを使用して、複数の情報窃取マルウェアのペイロードを配信しています。

DoubleDonutローダーを使用したメモリ内シェルコードローダーが、Vidar Stealer、Impure Stealer、VodkaStealer、その他の新しいペイロードを配信する構成が観察されています。さらに、Windows Terminalを使用したコマンド実行も観察されており、攻撃者の制御下でシステムコマンドを実行可能な状態が作られています。

Cortex XDR BIOC規則の暗号化解除と検出回避

Palo Altoの高度なセキュリティプラットフォームであるCortex XDRのBIOC（Behavioral Indicators of Compromise）規則が、AES-256-CBC暗号化で保護されていますが、静的な暗号化キーが使用されているため復号化が可能であることが研究者により公開されました。復号化されたBIOC規則により、グローバルホワイトリスト規則内の「:\Windows\ccmcache」という条件が、検出の約半分を回避可能であることが判明しています。

この発見は、商用セキュリティ製品の内部ロジックが攻撃者に悪用される可能性を示唆しており、Palo Altoは2月末にパッチを配信してグローバルホワイトリストを削除することで対応しました。しかし、この事実は、セキュリティベンダーの検出ロジックが完全に秘密にされていない場合、攻撃者による逆向きの工学が可能であることを示しています。

Companies House WebFiling 認可バイパス脆弱性

英国の会社登記所が2025年10月の更新で導入した新しい認可ロジックに欠陥があり、認証されたユーザーが他社のプライベート情報にアクセスして変更できるようになっていました。この脆弱性は2026年3月13日に発見され、3月16日に修復されており、数ヶ月間にわたり理論上、約500万社の取締役データが露出の危険にさらされていました。

露出の可能性があるデータには、生年月日、住所、企業メール、社会保障番号、銀行口座情報が含まれており、これらの情報は詐欺申し立ての実行、不正な取締役追加、企業財務情報の改ざんに利用される可能性があります。このインシデントは、認可バイパスのリスクをいかに軽視できないかを示す重要な教訓です。

Wing FTP サーバー脆弱性の既知悪用

CVE-2025-47813として追跡されるWing FTPサーバーの情報開示脆弱性が、実際の攻撃で積極的に悪用されていることが報告されました。この脆弱性により、長いUID値で例外が発生し、詳細なエラーメッセージが機密情報を公開してしまいます。CISAはこの脆弱性をKEV（Known Exploited Vulnerabilities）カタログに追加し、連邦機関に2026年3月30日までのパッチ適用を義務付けています。

RegPwn Windows 権限昇格脆弱性

CVE-2026-24291として追跡される新しいWindows権限昇格脆弱性「RegPwn」が発見されました。この脆弱性はWindows 10、Windows 11、Server 2012から2025までのバージョンに影響し、Windowsアクセシビリティ機能の設定管理の欠陥に由来しています。

攻撃者は低権限のユーザーコンテキストから完全なSYSTEM権限を獲得可能で、レジストリシンボリックリンク悪用によってSYSTEM権限で実行されるプロセスを詐欺できます。MDSecレポートによると、この脆弱性は2025年1月から既に悪用されており、3月にパッチで修復されています。

CrackArmor Linux AppArmor 権限昇格脆弱性

Linux AppArmorセキュリティフレームワークに9つの脆弱性が発見され、「CrackArmor」と命名されました。これらの脆弱性はLinuxカーネル4.11以降に存在しており、約1,260万台以上のエンタープライズシステムが「混乱した代理人」欠陥によるルート権限昇格にさらされています。無特権ユーザーが管理者認証情報なしにセキュリティプロファイルを操作可能であり、これはデフォルトインストールされるAppArmorプロファイルに影響します。

インターポール作戦シナージア III

72か国からの法執行機関の協力により、インターポール作戦シナージア IIIが2025年7月から2026年1月にかけて実施され、45,000以上の悪意あるサーバーとIPアドレスが削除されました。94人が逮捕され、212機器が押収されています。特に、マカオではフィッシング詐欺33,000件以上が関連付けられ、トーゴではSNSハッキングが、バングラデシュではローン詐欺で40人以上が逮捕されました。

Intuitive Surgical フィッシング攻撃

ロボット手術企業のIntuitive Surgicalがフィッシング攻撃によって従業員認証情報を盗まれ、一部IT事業アプリケーションに侵入されました。盗まれたデータには顧客ビジネス情報、従業員記録、連絡先が含まれています。重要なのは、da Vinci、Ion、デジタルプラットフォームはネットワーク分離により影響を受けておらず、ロボットシステムは独自のセキュリティプロトコルで保護されているということです。

RondoDox ボットネット 174個のエクスプロイト

RondoDox（Miraiの派生型）が2025年5月に確認されて以来、174個の異なるエクスプロイトを悪用して侵害された住宅用IPを大規模に利用しています。1日のピーク時には15,000件の悪用試行が記録されており、2026年初頭までに戦略を最適化して、最も効果的な2つのエクスプロイトに特化しています。

PylangGhost RAT サプライチェーン攻撃

悪意のあるnpmパッケージ「@jaime9008/math-service」と「react-refresh-update」がPylangGhostリモートアクセストロジャンを配布していることが発見されました。これらのパッケージはBase64エンコーディングとXOR暗号化（鍵：fdfdfdfdf3rykyjjgfkwi）で難読化され、完全なリモートコントロール機能を提供します。USA、モンゴル、ドイツでの感染が報告されており、PiviGamesエコシステム経由で配布されています。

OpenClaw AI エージェント 間接的なプロンプトインジェクション脆弱性

OpenClawエージェントが外部データに埋め込まれた悪意のある指示により、攻撃者制御のサーバーへの URLをクエリパラメータに機密データを付加して生成させられます。Telegramやdiscordのリンクプレビュー機能が自動的に攻撃者のサーバーにアクセスするため、ユーザーのクリック操作なしにデータが流出します。

Meta Instagram エンドツーエンド暗号化の削除

2023年12月から展開されていたInstagram DMのエンドツーエンド暗号化（E2EE）が2026年5月8日に削除されることが発表されました。削除後、Metaはメッセージコンテンツへのアクセスが可能になります。CSAM（児童性虐待素材）検出と法執行機関協力に関する圧力の増加が削除決定に関連していると報告されています。

FortiGate ファイアウォール脆弱性キャンペーン

CVE-2025-59718、CVE-2025-59719、CVE-2026-24858の悪用により、攻撃者はファイアウォール設定ファイルをダウンロードしてLDAP/Active Directory認証情報を取得し、ドメイン全体への横展開を実現します。2025年12月から2026年2月にかけて複数のキャンペーンが観察されました。

IBM Slopoly AI生成マルウェア

IBM Threat Intelligenceが「Slopoly」というAI生成のおそらくPowerShell C2クライアントをHive0163ランサムウェア作戦に関連付けました。Hive0163はClickFixでアクセスを獲得した後、NodeSnakeやInterlockRATなどの複数バックドアを配備する際に、このマルウェアをテスト配備しました。このマルウェアは広範なコメントと詳細ログ記録を含むLLM生成コードの特徴を示しています。

Microsoft Teams と Quick Assist バックドア配信

ClickFixを使用した攻撃者はTeamsを通じてメールサポートになりすまし、被害者を騙してWindows Quick Assistant経由でリモートアクセスを許可させます。その後A0バックドアが配置され、BlueVoyantはA0バックドアが2025年8月からアクティブであり、Blitz Brigantineと戦術を共有していると報告しています。

偽荷物追跡フィッシングキャンペーン

Group-IBが2025年に毎月100件以上の偽荷物追跡キャンペーンを特定し、6月と12月にはそれぞれ218件と208件のピークを記録しました。Draculus PhaaS等が100以上の国で悪用されています。リアルタイムフィッシングキャンペーンでは、WebSocketで被害者のキーストロークをリアルタイムにキャプチャし、銀行認証情報を即座に流出させています。

イラン戦争後のサイバー犯罪245%急増

Akamaiの報告によると、2月28日のイラン戦争開始以降、サイバー犯罪が245%増加しました。金融（40%）、eコマース（25%）、ゲーム（15%）が被害の大部分を占めており、悪意あるトラフィック発信元はロシア（35%）と中国（28%）が多いです。

カテゴリ別まとめ

脆弱性情報

先週報告された脆弱性は、極めて重大性の高いものが複数存在しました。Chrome のゼロデイ（CVE-2026-3909、CVE-2026-3910）、Windows の RegPwn（CVE-2026-24291）、Wing FTPサーバー（CVE-2025-47813）、Linux AppArmor の CrackArmor（複数CVE未割当）など、複数のOSやアプリケーションに影響する脆弱性が野生で悪用されています。これらの脆弱性への対応は、今週の最優先課題となるべきです。

攻撃・インシデント

Stryker への大規模ワイパー攻撃は、エンドポイント管理システムを悪用した前例のない攻撃パターンであり、クラウドベースの管理ツールがいかに重要な攻撃対象であるかを示唆しています。ClickFix の進化、ボットネット（CondiBot、Monaco、RondoDox）の活発化、サプライチェーン攻撃（PylangGhost、Slopoly）など、複数の異なる攻撃手法が並行して展開されています。

規制・コンプライアンス

Companies House の WebFiling 欠陥は、認可ロジックの実装ミスが企業の機密情報露出につながることを示しており、クラウドシステムの設計と運用における厳密なアクセス制御の必要性を浮き彫りにしています。

今週の注目ポイント

これからの数日間で最も監視が必要な項目は、以下の通りです：

1. **Chrome 等ブラウザのセキュリティアップデート**：3月27日までに最新バージョンへの更新を完了させることは、個人、企業共通の最優先課題です。

2. **Stryker インシデントの波及効果**：医療機関や企業におけるMicrosoft Intuneの設定見直しと、多要素認証の強化が急務です。

3. **ボットネット活動の監視**：CondiBot、Monaco、RondoDoxによるネットワークデバイスへの攻撃は継続的に増加する傾向にあり、ルーター、ゲートウェイなどのネットワーク周辺デバイスの監視強化が必要です。

4. **エンドポイント管理システムの保護**：Stryker インシデントにより、エンドポイント管理システムの管理者認証情報がいかに貴重な攻撃対象であるかが明らかになりました。条件付きアクセスポリシーと多要素認証の強化が必須です。

5. **サプライチェーン攻撃への警戒**：PylangGhost 等のオープンソースパッケージの悪用事例が増加しており、npm、PyPI等のレジストリからのパッケージ導入時には、ソースの確認と定期的な依存性チェックが欠かせません。

クロージング

先週のセキュリティニュースは、従来の攻撃パターンを大きく超える新しい脅威が相次いで報告された1週間でした。大規模な医療機器メーカーへの攻撃、複数のゼロデイ脆弱性の野生での悪用、高度なボットネットの活動加速など、セキュリティ環境はますます厳しくなっています。

皆さんの組織でも、今週は緊急のセキュリティ対応が必要な項目が複数あるかもしれません。ブラウザの更新、エンドポイント管理システムの設定見直し、ネットワークデバイスの監視強化など、実行可能な対策から着実に進めていくことをお勧めします。

今週も安全なIT運用を心がけていきましょう。東京セキュリティブリーフィングでした。また次回お会いしましょう。