東京セキュリティブリーフィング 週次まとめ 2026年04月20日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年04月20日月曜日です。

今週のエピソードでは、先週1週間間のセキュリティニュースを一週間分まとめてお送りします。先週は、複数の重大なセキュリティインシデント、新たな脆弱性の公開と悪用、そして業界を揺るがすようなセキュリティ論争が展開されました。本日は、先週の最重要ニュースを詳しく解説していきます。

重要ニュースTOP

Adobe Acrobat ReaderのゼロデイRCE脆弱性

先週最大のニュースの一つが、Adobe Acrobat ReaderとAcrobat DCにおけるプロトタイプポリューション脆弱性です。CVE-2026-34621として識別されたこの脆弱性は、CVSS 8.6の高い危険度を持っています。

最も懸念される点は、この脆弱性が2025年11月から既に野生で悪用されていたということです。つまり、Adobe側がパッチを提供するずっと前から、攻撃者たちはこの欠陥を活用してユーザーシステムに侵入していたわけです。

脆弱性の詳細ですが、ユーザーが悪意のあるPDFファイルを開くだけで、任意コードを実行される危険性があります。追加のユーザー操作は必要ありません。攻撃者はまずユーザーの環境をフィンガープリント（情報採集）してから、より深刻な攻撃ペイロードを展開するという多段階攻撃を実施できます。

Acrobat DC バージョン26.001.21411以降へのアップグレードが強く推奨されています。これは優先度の高い更新です。もしあなたが定期的にPDFファイルを扱う業務に従事されているのであれば、本日中のアップグレード実施をお勧めします。

Axiosライブラリの重大脆弱性（CVE-2026-40175）

次に、JavaScriptの広く使用されているHTTPクライアントライブラリ「Axios」における重大な脆弱性を報告します。CVE-2026-40175として識別されたこの脆弱性は、CVSS 9.9という極めて高い危険度を持つものです。

この脆弱性の巧妙な点は、プロトタイプ汚染技術を悪用してルーティングチェーンを操作し、複数の攻撃を組み合わせることができるという点です。具体的には、HTTPヘッダー注入、Server-Side Request Forgery（SSRF）、そしてHTTP Request Smuggling（リクエストスマグリング）を組み合わせて実行できます。

特に懸念される悪用シナリオは、AWS IMDSv2のトークンをバイパスして、IAM認証情報を窃取することができるということです。これはクラウド環境にホストされているアプリケーションに対して非常に危険です。

修正はバージョン1.15.0以降で実装されています。CRLFインジェクション検証が強化されているため、このバージョンへのアップグレードが急務です。

Marimo Pythonノートブックの認証前RCE脆弱性

セキュリティニュースとしてもう一つ注目したいのが、Marimo Pythonノートブークにおける脆弱性です。CVE-2026-39987として追跡されているこの脆弱性は、CVSS 9.3という高い危険度を持つリモートコード実行脆弱性です。

最も問題となるのは、この脆弱性が公開されてからわずか10時間以内に、攻撃者によって実際に悪用されたということです。/terminal/wsエンドポイントの認証チェックが不足していたため、認証を回避してシェル操作を取得することが可能でした。

実際の攻撃では、公開Proof-of-Conceptコードなしにもかかわらず、わずか9時間41分で攻撃者が独自の悪用コードを開発しました。その後、わずか3分でAWSアクセスキーを抽出することが確認されています。

バージョン0.20.4以前が影響を受けており、セキュリティパッチの適用が緊急です。

WordPressプラグイン脆弱性（CVE-2026-1492）

「User Registration & Membership」というWordPressプラグインに、CVSS 9.8という重大度の高い認証回避脆弱性が発見されました。CVE-2026-1492として識別されています。

このプラグインは多くのWordPressサイトで使用されており、バージョン5.1.2以前が影響を受けています。脆弱性の内容は、AJAX非認証エンドポイントで不適切な権限チェックが行われていないというものです。

攻撃者は公開されているnonce値から細工されたリクエストを送信することで、管理者権限を取得することが可能です。これはあなたのWordPressサイト全体の乗っ取りにつながる可能性があります。

バージョン5.1.3以降でこの脆弱性は修正されています。WordPress管理画面からの直ちのアップグレードが推奨されます。

Apache Tomcatの複数脆弱性

Apache Tomcatに複数の脆弱性が報告されました。特に注目すべきは、暗号化通信をバイパスする可能性がある脆弱性です。

CVE-2026-29146では、EncryptInterceptorのパディングオラクル攻撃に対する脆弱性があります。CVE-2026-34486ではこの修正が完全でなく、CVE-2026-34500ではOCSP失効チェックをバイパスすることが可能です。

これらの脆弱性により、攻撃者は暗号化された通信を復号化したり、証明書検証を回避したりできる可能性があります。

修正はバージョン11.0.21、10.1.54、9.0.117以降に適用されています。Tomcatを運用されている組織では、早急なアップグレードをお勧めします。

イラン関連APTグループによる産業制御システム攻撃

セキュリティとして深刻な懸念が報告されました。イラン革命警備隊のサイバー電子司令部に関連するCyberAv3ngersというグループが、ロックウェル・オートメーションのPLC（プログラマブルロジックコントローラ）を大規模に標的にしているということです。

FBI、CISA、NSAの共同警告によると、このグループはデフォルト認証情報を悪用して、米国の産業制御システムに侵入しており、特に水道施設が集中的に狙われているとのことです。

被害企業の報告によれば、セルラーモデム経由でインターネット露出しているPLCが悪用されており、複数の被害企業で運用停止やHMI・SCADAテレメトリ操作の報告があります。

この攻撃キャンペーンは非常に組織化されており、ICS利用トレードクラフトが60以上の親イラン系グループに拡散しているとのことです。産業制御システムを運用されている組織では、デフォルト認証情報の変更、ネットワークセグメンテーション、そしてPLC設定の厳重な監視が急務です。

APT37によるFacebook・Telegram経由の侵入キャンペーン

北朝鮮関連のAPT37グループが、Facebook MessengerとTelegramを使用した社会工学的な侵入キャンペーンを実施していることが報告されました。

攻撃手法は極めて洗練されており、改ざんされたWondershareインストーラーを配信します。このインストーラーは一見すると正規のソフトウェアのように見えますが、実際にはRokRATというバックドアをペイロードとして含んでいます。

被害者システムに侵入したバックドアは、Zoho WorkDrive経由のコマンド・アンド・コントロール通信を確立し、プロセスインジェクション技術を使用して検出を回避します。

この攻撃キャンペーンの特徴は、正当なメッセンジングアプリケーションを初期アクセスベクトルとして悪用しているという点です。セキュリティ意識の向上が必要であり、インストーラーファイルのダウンロード元を常に確認することをお勧めします。

GoogleのGmail エンドツーエンド暗号化モバイル拡張

セキュリティに関する明るいニュースもあります。GoogleはAndroidおよびiOSのネイティブGmailアプリケーションに、エンドツーエンド暗号化機能を拡張すると発表しました。

ユーザーはロックアイコンをタップするだけで、暗号化メッセージを作成できるようになります。受信者がGmailユーザーでない場合でも、ブラウザ経由でメッセージを読むことが可能です。

技術的には、クライアント側暗号化（CSE）を使用しており、メッセージはクライアント側で暗号化された上でサーバーに送信されます。これはユーザープライバシーを大幅に向上させるものです。

GoogleがPixel 10モデムファームウェアにRustベースDNSパーサーを採用

セキュリティ対策としてのプログラミング言語の選択についても、重要なニュースがあります。GoogleはPixel 10シリーズのモデムファームウェアにRustプログラミング言語で実装されたDNSパーサーを統合すると発表しました。

このDNSパーサーはhickory-protoライブラリを使用しており、メモリ管理言語による脆弱性を根本的に排除できます。バッファオーバーフロー、メモリ破損などのクラスの脆弱性は、言語レベルで防止されるわけです。

ただし、実装にはファームウェアサイズが約371KB増加するというトレードオフがあります。これはメモリセーフな言語をモデムファームウェアレベルで採用する最初の商用スマートフォンとなるものです。

Telegram vs WhatsAppのエンドツーエンド暗号化設計議論

業界内で興味深い議論が展開されました。TelegramのCEOドゥロフ氏が、WhatsAppのエンドツーエンド暗号化実装を批判しています。

ドゥロフ氏の指摘によると、WhatsAppメッセージの約95%が最終的にAppleやGoogleのサーバーに平文で保存されるということです。デフォルトではエンドツーエンドクラウド暗号化が有効でないため、「大規模消費者詐欺」と表現しています。

一方、暗号化研究者からはTelegramのデフォルトではエンドツーエンド暗号化が有効でないという点が指摘されています。これはセキュリティアーキテクチャの設計思想に関わる根本的な違いです。

MITRE Fight Fraud Framework発表

セキュリティ業界として注目すべき新しいフレームワークが発表されました。MITRE Fight Fraud Framework（F3）は、実攻撃データから構築された詐欺キャンペーン分析フレームワークです。

このフレームワークは7段階をカバーしています。偵察、リソース開発、初期アクセス、防御回避、ポジショニング、実行、そして収益化です。

このフレームワークの特徴は、詐欺チームとサイバーセキュリティチームの連携を支援することにあります。詐欺対策とサイバー防御は別の領域と見られることが多いですが、実際には密接に関連しています。

Elon MuskによるXChat発表

イーロン・マスク氏が4月17日にセキュアメッセージングアプリ「XChat」をiOSでリリースすると発表しました。

XChatの特徴は以下の通りです。デフォルトエンドツーエンド暗号化、自動削除メッセージ、そしてスクリーンショットブロック機能を搭載しています。

電話番号は必要とせず、Xアカウント認証を使用します。これはメッセージングアプリのセキュリティと利便性の両立を目指した実装です。

Storm-2755キャンペーン セッションハイジャック経由の給与リダイレクト詐欺

セキュリティの脅威としてもう一つ注目すべき事例が報告されました。Storm-2755というキャンペーンが、セッションハイジャック経由で給与リダイレクト詐欺を展開しています。

このキャンペーンはカナダを対象としており、攻撃手法は以下のようなものです。まずSEO汚染によってOffice 365の偽ページにユーザーを誘導します。中間者設定によってセッショントークンを取得します。

さらに巧妙な点は、Axisoユーザーエージェント経由でCVE-2025-27152（SSRF脆弱性）を悪用していることです。30日間有効なトークンを30分ごとに使用することで、継続的なアクセスを維持します。

CPU-ZとHWMonitorの改ざん STX RAT配布

セキュリティツール自体が攻撃の標的になるというケースが報告されました。CPUID.comが改ざんされ、4月9日15時から4月10日10時の間（実際には4月3日から）、トロイの木馬化されたCPU-ZとHWMonitor配信がされていました。

これはDLL側面ローディング技術を使用してSTX RATを展開しています。Kasperskyによると、150人以上の被害者が特定されており、ブラジル、中国、ロシアで多数の感染が報告されています。

これは供給チェーン攻撃の一例であり、正規のダウンロードチャネルさえも信頼できないという厳しい現実を示しています。

オペレーション・アトランティック 承認フィッシング詐欺で1200万ドル押収

国際法執行機関による大規模な作戦が報告されました。英国NCA主導、FBI・オンタリオ州警察協力によるオペレーション・アトランティックです。

この作戦では、承認フィッシング詐欺により1200万ドルが凍結され、3300万ドルが追加で特定されました。636,847登録ユーザー、915,655生成文書が分析されました。

米国ドキュメント236,002件が押収され、約147万ドルの購買が記録されています。これは金融詐欺対策における国際協力の一例です。

GitHubとJira通知を悪用したフィッシング

Cisco Talosが検出した新しいフィッシング技術が報告されました。攻撃者がGitHub・Jiraの正規テンプレートを悪用しています。

GitHubコミット説明に詐欺ルアーが注入され、正規メール経由で送信されます。Jiraプロジェクト・招待フィールドに誤解を招く内容が挿入されます。

わずか5日間でGitHubトラフィックの1.2%が請求書キーワードを含有していました。これは正規プラットフォームの信頼を悪用した巧妙なフィッシング手法です。

Rockstar GamesのSnowflakeアクセス経由データ漏洩

Rockstar GamesはAnodot経由でSnowflakeアクセスが侵害されたことを確認しました。ShinyHuntersが4月14日までの身代金要求、MinecraftのSnowflakeアクセスを主張しています。

限定的な非重要企業情報のみが漏洩したと公式確認されており、プレイヤー影響なしとのことです。ただし、クラウドストレージプロバイダー経由の供給チェーン攻撃という点で注目に値します。

Basic-Fit ヨーロッパの大手ジム企業100万人データ漏洩

Basicfit社が6カ国約100万メンバーのデータ漏洩を確認しました。オランダで20万件、全体で約100万人が影響を受けています。

漏洩データに氏名、生年月日、連絡先、銀行口座詳細が含まれています。ただし、パスワードと政府身分証は漏洩していません。

攻撃は数分以内に検出・遮断されましたが、その前にデータはダウンロードされていました。ソーシャルエンジニアリングや金融詐欺リスクが高いです。

VerifTools偽造身分証プラットフォーム 915,655件流出

オランダ警察が2025年8月にサーバーを押収したVerifTools偽造身分証プラットフォームの規模が明らかになりました。

636,847登録ユーザー分析で915,655生成文書が発見されました。オランダ身分証5,169件、米国文書236,002件が含まれています。

8人が逮捕され、2024年7月から2025年8月で約147万ドルの販売が記録されています。詐欺で最大6年懲役に相当します。

GoogleのデバイスバインドセッションCookie盗難防止

セキュリティに関する改善が報告されました。GoogleがChrome 146でデバイスバインド式セッション認証（DBSC）を安定版として導入しました。

この技術により、盗まれたクッキーだけは無効化されます。秘密鍵をTPM・Secure Enclaveに隔離し、各セッションを物理デバイスに紐付けます。非対称暗号化を使用して実装されています。

後方互換性が保持されており、Windows対応、macOS対応予定とのことです。

Anthropic Mythosについての業界議論

Anthropicが発表した「Mythos」という謎のAIに関して、セキュリティ業界が討論を展開しています。

これが何であるか、安全性についての疑問視する声が多くあります。詳細はセキュリティコミュニティで精査される予定です。このモデルの能力と安全性についての業界での議論が続いています。

カテゴリ別まとめ

脆弱性情報

先週報告された主要脆弱性は以下の通りです。

Adobe Acrobat ReaderのCVE-2026-34621（CVSS 8.6 RCE、2025年11月から悪用中）。Axiosライブラリのプロトタイプ汚染脆弱性CVE-2026-40175（CVSS 9.9）。Marimo PythonノートブックのCVE-2026-39987（CVSS 9.3 認証前RCE、公開10時間で悪用）。WordPressプラグインのCVE-2026-1492（CVSS 9.8 認証回避）。Apache Tomcatの暗号化バイパス脆弱性3件。

攻撃・インシデント

イランのCyberAv3ngersによるRockwell Automation PLC攻撃が水道施設を標的に。APT37によるFacebook・Telegram経由のトロイの木馬化PDF配布。Storm-2755キャンペーンのセッションハイジャック給与リダイレクト詐欺。CPU-ZとHWMonitor改ざんによるSTX RAT配布。Basic-Fitの100万人データ漏洩。Rockstar GamesのSnowflakeアクセス侵害。

セキュリティ対策・業界動向

GoogleがGmail E2E暗号化をモバイルに拡張。GoogleはPixel 10でRustベースDNSパーサー採用。GoogleがデバイスバインドセッションCookie盗難防止導入。Elon MuskがセキュアメッセージングアプリXChatを発表。MITRE Fight Fraud Frameworkが発表。オペレーション・アトランティックで1200万ドルの詐欺資金凍結。

規制・コンプライアンス

UKサイバーセキュリティカウンシルがアソシエイト・プロフェッショナル資格を立ち上げ。NHS EnglandがMicrosoft契約交渉を実施。

今週の注目ポイント

先週のセキュリティニュースから、本週特に注視すべき点は以下の通りです。

まず、Adobe Acrobat ReaderのCVE-2026-34621が2025年11月から長期間悪用されていたという事実です。これは脆弱性の発見から悪用までの時間が急速に短縮されていることを示しています。

次に、セッションハイジャックが給与リダイレクト詐欺に利用されている点に注目してください。単なるデータ盗取だけでなく、金銭的損失に直結する犯罪に発展しています。

また、GoogleがRustプログラミング言語をモデムファームウェアレベルで採用する動きは、セキュリティ対策におけるプログラミング言語選択の重要性を示しています。

さらに、イラン関連APTグループによるPLC攻撃は、産業制御システムに対する地政学的脅威が実体化していることを示しています。

最後に、正規なセキュリティツールそのものが供給チェーン攻撃のベクトルになっているという点を看過してはなりません。ダウンロード元の確認とファイル完全性の検証がより一層重要になっています。

クロージング

本日は先週1週間のセキュリティニュースを、最重要ニュースを中心に解説させていただきました。

Adobe Acrobat ReaderのゼロデイRCE脆弱性、Axiosライブラリの重大脆弱性、Marimo Pythonノートブークの認証前RCE、そしてWordPressプラグインの認証回避脆弱性など、複数の重大な脆弱性が同時に報告されました。

同時に、イラン関連APTによるPLC攻撃、APT37によるトロイの木馬化ソフトウェア配布、そしてセッションハイジャック経由の給与リダイレクト詐欺など、多様な攻撃キャンペーンが展開されています。

一方で、GoogleがPixel 10でRustベースのセキュアコンポーネント採用を予定するなど、セキュリティ対策技術も進化しています。

先週のニュースから学べることは、セキュリティは多面的なアプローチが必要であるということです。技術的な脆弱性対応、セキュリティ意識の向上、ダウンロード元の確認、そして持続的な監視。

リスナーの皆様も、本日ご紹介した脆弱性が自分たちのシステムに該当しないかを確認され、必要に応じてパッチ適用やセキュリティ設定の見直しを行っていただきたいと思います。

今週も、セキュリティに関する最新情報のご確認をお勧めします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。