東京セキュリティブリーフィング 週次まとめ 2026年04月06日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月06日、月曜日の週次まとめ回です。先週1週間、2026年03月30日から2026年04月05日にかけてセキュリティ業界では数多くの重大なニュースがありました。本日は先週の最重要トピックをお振り返りしていきたいと思います。それではまいりましょう。

重要ニュースTOP

供給チェーン攻撃が相次ぐ - Axios npm侵害と欧州委員会データ流出

先週のセキュリティニュースで最も注目すべきは、供給チェーンを標的とした複数の大規模攻撃が相次いだことです。

まず、JavaScriptの人気HTTPライブラリであるAxiosが3月31日に侵害されました。攻撃者は盗まれたメンテナー認証情報を使用して、バージョン1.14.1と0.30.4に悪意のあるコードを注入しました。具体的には「plain-crypto-js」という悪意のある依存関係が追加され、postinstallスクリプトを通じて自動実行されます。このマルウェアはWindows、macOS、Linuxの3つのプラットフォームに対応しており、Axiosは月間4億回以上ダウンロードされているため、影響は極めて広範になる可能性があります。攻撃者の詳細は現時点で完全には明らかになっていませんが、北朝鮮関連の脅威グループUNC1069に帰属する可能性が指摘されています。

同じく供給チェーン攻撃として、Trivy脆弱性スキャナーへの侵害も報告されました。これはTeamPCPハッキンググループによるもので、盗まれたAPIキーが悪用されました。その結果、欧州委員会のクラウドインフラストラクチャから300GB以上のデータが盗まれました。2026年3月28日には、ShinyHuntersという恐喝グループが340ギガバイト（圧縮時91.7ギガバイト）のデータをダークウェブに公開しました。攻撃の影響は、欧州委員会の42つの内部クライアントと、少なくともその他29のEU実体に及んでいます。流出したデータには個人名、メールアドレス、ユーザー名が含まれています。

F5 BIG-IPの重大な脆弱性が野生で悪用中

F5 BIG-IPについて重大なニュースがあります。CVE-2025-53521という脆弱性は、当初CVSS 7.5のサービス拒否脆弱性として報告されていました。しかし2026年3月の再分類により、CVSS 9.8のリモートコード実行脆弱性へと昇格しました。BIG-IP AMPモジュールの欠陥で、事前認証なしで攻撃可能です。最も重要なのは、この脆弱性が既に野生で積極的に悪用されていることです。Shadowserverの調査によると、14,000以上のF5 BIG-IP AMPインスタンスがインターネット上で公開されています。CISA（米国サイバーセキュリティ・インフラストラクチャセキュリティ庁）はこの脆弱性を既知の悪用された脆弱性（KEV）カタログに追加し、連邦機関に対して早急な修復を要求しています。

Citrix NetScalerの重大なメモリ読み取り脆弱性

Citrix NetScalerについても重大な脆弱性が報告されています。CVE-2026-3055として追跡される脆弱性はCVSS 9.3の深刻度で、SAML認証処理とWS-Federation認証エンドポイントでのメモリ読み取り異常によって管理者セッションIDを含む機密情報が流出する可能性があります。watchTowrおよびDefused Cyberの研究者により、3月27日以降、この脆弱性が野生で悪用されていることが確認されました。攻撃者はNSC_TASSクッキー経由でメモリコンテンツを流出させ、NetScalerシステムの完全な乗っ取りが可能になります。バージョン14.1-60.58、13.1-62.23、13.1-37.262より前が影響を受けており、約30,000個のNetScalerと2,000個以上のGatewayがインターネットに公開されていることが確認されています。

TrueConfビデオ会議ソフトのゼロデイ悪用

アジア地域の政府機関への攻撃でTrueConfというビデオ会議ソフトウェアのゼロデイ脆弱性が悪用されました。CVE-2026-3502として追跡されるこの脆弱性はCVSS 7.8の深刻度で、ソフトウェア更新メカニズムにおいて真正性と整合性の検証が欠落しています。これにより、ネットワーク上の攻撃者が正当なアップデートパッケージを悪意のあるペイロードに置き換えることが可能です。公開開示から1週間未満で野生での悪用が開始され、CISAが既知の悪用された脆弱性カタログに追加しました。連邦機関への改善期限は2026年4月16日に設定されています。

React2Shellの脆弱性を悪用した大規模キャンペーン

CVE-2025-55182として追跡されるReact2Shellの脆弱性がCVSS 10の重大度で、大規模な認証情報盗聴キャンペーンに悪用されました。攻撃者が自動スキャンで脆弱なNext.jsアプリケーションを特定し、24時間以内に766台のサーバーを侵害しています。盗まれたデータには環境変数、SSHキー、AWS認証情報、APIキー、Kubernetesトークンが含まれており、これらはクラウドアカウント乗っ取りやサプライチェーン攻撃に利用される可能性があります。攻撃はNEXUS Listenerフレームワークで一元管理されています。

AI支援型マルウェアの実装が進行中

Check Point Researchが「VoidLink」という洗練なLinuxマルウェアを発見しました。このマルウェアはAI支援で開発されたもので、単一の開発者がAIツールを使用して数日で88,000行以上の機能的コードを生成しています。これは従来なら数ヶ月を要する作業です。VoidLinkはモジュール式のコマンドアンドコントロール機能と30以上のポスト搾取プラグインを備えており、AI駆動型マルウェア開発がもはや理論段階ではなく実用段階にあることを示しています。

Claude Codeのソースコード流出と悪用

Anthropicが開発しているClaude Codeの完全なソースコードが流出しました。3月31日、従業員エラーによってnpmパッケージに59.8メガバイトのJavaScriptソースマップファイルがバンドルされ、1,900ファイル、512,000行以上のコードが公開されました。この流出に乗じて脅威行為者が悪意のあるGitHubリポジトリを作成し、「ClaudeCode_x64.exe」という名前のドロッパーでVidarインフォステーラーとGhostSocksプロキシマルウェアを配布しています。Zscalerが検出した結果によると、6,236個のブラウザ拡張機能がスキャンされており、より広範な影響が懸念されます。

LinkedInが隠蔽スキャンで大規模なプライバシー侵害を実行

LinkedInがウェブサイトに隠れたJavaScriptコードを実装し、ユーザーの同意なしにインストール済みソフトウェアとブラウザ拡張機能を秘密裏にスキャンしていることが明らかになりました。スキャン対象の拡張機能数は2025年の461個から2026年2月までに6,000個以上に拡大しています。検出結果はユーザーの実名、職務経歴、雇用主と結紐付けられており、個人のプライバシーに対する重大な脅威となっています。LinkedInは利用規約違反検出とサイト安定性改善を目的としていると述べていますが、EU個人情報保護法では明示的同意なしにこの種のデータ収集を禁止しており、EU規制当局への対応が注視されています。

iOS向けのDarkSword攻撃キット悪用

ロシアに関連する脅威グループTA446がDarkSwordというiOSエクスプロイトキットを使用してiOSデバイスをターゲットにしています。2026年3月26日のキャンペーンでは、Atlantic Councilになりすましたフィッシング波でDarkSwordが使用されました。このキットはSafari悪用、リモートコード実行、PACバイパス機能を組み合わせており、リークされたエクスプロイトの迅速な兵器化を示しています。

Google ChromeのゼロデイRCE脆弱性

GoogleはCVE-2026-5281を含む21の脆弱性をパッチするChrome 146アップデートをリリースしました。このゼロデイはDawnグラフィックスコンポーネントのuse-after-free脆弱性で、野生での悪用が確認されています。これは2026年パッチされた4番目のChromeゼロデイです。

OpenSSHの重大なシェルインジェクション脆弱性

OpenSSH 10.3がシェルインジェクション脆弱性を修正しました。SSHクライアントのコマンドラインで渡された悪意のあるユーザー名が任意のシェルコマンドを実行可能でしたが、バージョン10.3で対応されました。

カテゴリ別まとめ

脆弱性情報

先週報告された脆弱性は極めて多く、多くが既に野生で悪用されています。F5 BIG-IP、Citrix NetScaler、TrueConf、React2Shellなど、いずれも重大度が高く、既に攻撃が観察されている脆弱性ばかりです。また、Progress ShareFileはCVE-2026-2699（CVSS 9.8）とCVE-2026-2701（CVSS 9.1）の連鎖悪用で、認証なしのリモートコード実行が実現されるとされており、約30,000インスタンスがパブリック公開されています。

攻撃・インシデント

供給チェーン攻撃が中心となっています。AxiosやTrivyなどのオープンソースプロジェクトが侵害され、その依存関係を通じて大規模な影響が生じました。欧州委員会のデータ流出は30以上のEU実体に影響を及ぼし、国家規模での被害となっています。

また、AI支援型マルウェアVoidLinkの発見は、マルウェア開発がAIで加速化していることを示しています。

規制・コンプライアンス

LinkedInの隠蔽スキャン問題は、EU個人情報保護法との関連で重要です。明示的同意なしのデータ収集はEU規制の違反に該当する可能性があります。

業界動向

OpenSSHやGoogle Chromeなどの著名なソフトウェアでゼロデイ脆弱性が相次いで発見・修正されている点は注目です。セキュリティ研究コミュニティの活動が活発化していることを示唆しています。

今週の注意ポイント

供給チェーン攻撃の継続監視が極めて重要です。Axios、Trivy、Telnyx、LiteLLMなど、複数の著名なプロジェクトが侵害されており、開発環境のセキュリティ強化が急務です。特に、npm、PyPIなどのパッケージレジストリからのダウンロード時に注意が必要です。

また、F5 BIG-IP、Citrix NetScaler、TrueConfなどの既知の悪用脆弱性については、可能な限り早期のパッチ適用が推奨されます。これらはすべて野生で積極的に悪用されているため、修復期限の厳守が重要です。

LinkedInの隠蔽スキャン問題については、ユーザーレベルでのアクション指針も必要となり、今後の規制当局の対応が注視されています。

クロージング

今週も数多くの重大なセキュリティインシデントが報告されました。供給チェーン攻撃、既知の悪用脆弱性、AIを活用したマルウェア開発など、セキュリティの脅威は多次元化・複雑化しています。

企業のセキュリティチームの皆様におかれては、依存ライブラリの継続的な監視、脆弱性パッチの迅速な適用、開発環境のセキュリティ強化が今まで以上に重要となってきます。

今週も安全なIT運用を心がけていきましょう。東京セキュリティブリーフィングでした。また次回お会いしましょう。