週次まとめ: Vercelのセキュリティ侵害：顧客環境変数が露出 | 2026年4月27日

東京セキュリティブリーフィング 週次まとめ 2026年04月27日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。このポッドキャストの司会を担当しております。本日は2026年4月27日、月曜日の週次ニュースまとめ回をお送りします。先週1週間（4月20日から4月26日）のセキュリティニュースの中から、特に重要な事案をピックアップして皆さんにお届けいたします。本日は、大型のサプライチェーン攻撃、政府機関を狙った高度な脅威、そして継続的な地政学的サイバー緊張など、セキュリティの最前線で起きている重要な出来事を振り返ります。では、先週の重要ニュースをご紹介していきましょう。

重要ニュースTOP

Vercelのセキュリティ侵害：顧客環境変数が露出

最初にお伝えするのは、開発プラットフォーム大手Vercelが確認したセキュリティ侵害です。Context.aiというサードパーティAIツールの侵害に起因する攻撃により、Vercel従業員のGoogle Workspaceアカウントが乗っ取られました。攻撃者が侵害されたContext.ai OAuthトークンを使用して従業員のアカウントをハイジャックし、Vercelの内部システムへアクセスしました。その結果、機密としてマークされていない環境変数にアクセスされ、限定的な顧客サブセットが影響を受けたと報告されています。

この事件が示唆しているのは、サードパーティツールの過度なアクセス許可がもたらすリスクです。攻撃者がVercel顧客のAPIキーとシークレット情報にアクセスした可能性があり、Vercelは影響を受けた顧客に対して認証情報のローテーションを推奨しています。

Ciscoファイアウォール脆弱性悪用：Firestarter バックドアの永続的な脅威

次にご報告するのは、シスコのセキュリティファイアウォール製品に対する継続的な攻撃です。米国とイギリスの政府機関がCVE-2025-20333とCVE-2025-20362という2つの脆弱性が悪用されていることを警告しました。国家支援の攻撃者がこれらの既知脆弱性を利用して、高度なカスタムマルウェア「Firestarter」をシスコファイアウォールに展開しています。

このマルウェアの厄介な点は、その永続性です。セキュリティパッチを適用したり、デバイスを再起動したりした後でも、このマルウェアは生き残る能力を持っています。具体的には、LINAプロセスにフックを設定し、メモリ内にシェルコードを注入することで検出を回避します。CISAと英国NCSCは、このマルウェアを完全に削除するにはハードパワーサイクル（電源の物理的切断）以外に方法がないと述べています。連邦政府機関に対しては5月6日までのパッチ適用期限が設定されました。

中国関連ハッカーの大規模秘密ボットネット構築

同時に警告されているのが、中国関連の脅威アクターが侵害されたSOHOルータとIoTデバイスから構成される秘密ボットネットネットワークの構築と保持です。複数の国家機関による合同勧告で、これらのネットワークが継続的に更新・拡張されており、複数の攻撃グループによって共有使用されていることが明かになりました。このアプローチは、攻撃の起源を隠蔽し、検出を困難にする戦術となっています。

Raptor Trainなどのボットネットは26万台以上のデバイスから構成されており、DDoS攻撃やマルウェア配信、データ盗難に使用されています。このような産業規模での秘密インフラストラクチャの構築は、従来の静的IPアドレスブロックリストなどの防御を無効化するため、リアルタイムの脅威フィード購読と行動検出が重要になります。

Microsoft Defender脆弱性BlueHammer：特権昇格の危機

4月には、Microsoft Defenderに重大な権限昇格脆弱性が発見されました。CVE-2026-33825として追跡される脆弱性で、CVSS スコアは7.8とされています。この脆弱性により、攻撃者はオペレーティングシステムの特権レベルでコード実行を実現できる可能性があります。攻撃コード「BlueHammer」が公開された後、RedSunとUnDefendという追加の関連脆弱性も判明しました。

CISAはこれをKEVカタログに登録し、野生での悪用が確認されていると述べています。米国連邦民間行政府機関に対しては、5月6日までのパッチ適用が命じられました。これは、攻撃者がすでにこの脆弱性を実際に悪用していることを意味しており、迅速な対応が急務となっています。

Amazon Web Servicesファイルアップロード脆弱性：Breeze Cache WordPressプラグイン

WordPressプラグイン「Breeze Cache」にも重大な脆弱性が見つかりました。CVE-2026-3844として指定される脆弱性で、CVSS スコア9.8の認証なしファイルアップロード脆弱性です。40万以上のインストール環境が影響を受ける可能性があり、攻撃者が任意のファイルをウェブサーバーにアップロード可能になります。Wordfenceは170以上の悪用企図を検出しており、対応は急を要します。プラグイン開発者はバージョン2.4.5でパッチを配布しました。

Xiongmai IPカメラの認証バイパス脆弱性

商用環境に広く配置されているXiongmai製のIPカメラXM530に重大な脆弱性が発見されました。CVE-2025-65856として指定され、CVSS スコアは最高レベルの9.8です。この脆弱性により、リモート攻撃者が認証メカニズムを回避して機密デバイス情報にアクセス可能になります。ファームウェア内の認証チェック欠落が根本原因であり、世界中の商業環境に配置されたカメラが対象となります。CISAが2026年4月23日に公式警告を発表しており、Proof of Conceptコードが利用可能です。

BitwardenのNPMパッケージ侵害：供給チェーン攻撃

パスワード管理ツールBitwardenのNPMパッケージがサプライチェーン攻撃で侵害されました。月間250,000回以上ダウンロードされるBitwardenのCLI NPMパッケージが、バージョン2026.4.0で悪意のあるJavaScriptペイロードが含まれたコードで汚染されました。攻撃者が盗まれたGitHubトークンを使用し、Azure、AWS、Google Cloud、NPMのシークレットをターゲットにしました。盗まれたGitHubトークンは、GitHub Actionsを乱用して複数のクラウドシークレットストア全体でピボット活動を実行するのに使用されています。

npmサプライチェーン型マルウェア：自己伝播型ワーム機能

さらに、npmレジストリで複数の悪意のあるパッケージが発見されました。@automagik/genieとpgserveを含むパッケージが、ICP（インターネットコンピュータプロトコル）キャニスターベースのコマンド・アンド・コントロールインフラストラクチャを使用しています。インストール中にマルウェアが実行され、GitHub、AWS、Azure、Google Cloud、NPM、SSHの認証情報が収集されます。さらに悪質なことに、このマルウェアは自身が実行されたマシンの認証情報を使用してnpmトークンを抽出し、悪意のあるパッケージを再公開する自己伝播機能を持っています。

カテゴリ別まとめ

脆弱性情報

先週報告された重大脆弱性は多岐にわたります。Cisco Firepower FXOS の CVE-2025-20333（スコア9.9）と CVE-2025-20362（スコア6.5）、Microsoft Defender の CVE-2026-33825（スコア7.8）、Breeze Cache の CVE-2026-3844（スコア9.8）、Xiongmai IPカメラの CVE-2025-65856（スコア9.8）など、複数の最高レベル脆弱性が認識されました。これらはいずれも認証なしでのリモート攻撃またはシステム権限昇格を可能にするもので、即座の対応が必要です。

攻撃・インシデント

複数の国家支援サイバー攻撃が報告されました。Vercelに対するContext.ai経由の侵害、Cisco製品を狙う Firestarter バックドア展開、中国関連グループによる秘密ボットネット構築など、高度で長期的な侵害活動が観察されています。また、北朝鮮関連グループがClickFix攻撃でmacOSユーザーを標的にし、企業ネットワークへのアクセスを取得しています。

セキュリティ製品と検出

セキュリティ企業による検出努力も報告されています。Wordfenceが Breeze Cache プラグインの170以上の悪用企図を検出し、Socket研究者がnpmサプライチェーン攻撃を特定、Citizen Labが通信プロトコルの脆弱性を悪用した監視キャンペーンを報告しています。

今週の注目ポイント

本日ご紹介した重要ニュースから、今週注視すべきポイントを3つ挙げます。

第一に、Ciscoファイアウォール脆弱性への対応期限が5月6日に迫っていることです。パッチ適用後もマルウェアが残存する可能性があるため、単なるパッチ適用だけでなく、継続的な監視と検証が必要です。

第二に、npm などのパッケージレジストリを通じたサプライチェーン攻撃が継続的に増加していることです。開発チームは、依存パッケージの出所確認と定期的な更新チェックを強化する必要があります。特に認証情報が盗まれる可能性があるため、多要素認証の有効化が急務です。

第三に、中国関連の秘密ボットネット構築により、従来のIPブロックリストベースの防御が無効化されていることです。ネットワークセグメンテーション、ゼロトラストアーキテクチャの導入、行動検出の強化が重要になります。

クロージング

以上、先週1週間のセキュリティニュースをお届けいたしました。Vercelでのサプライチェーン侵害、Ciscoファイアウォールへの継続的な攻撃、複数の重大脆弱性の発見など、セキュリティの脅威は多方面から迫っています。

特に、サードパーティツールやオープンソース依存関係からの侵害リスクが高まっており、単一企業の対策だけでなく、供給チェーン全体での連携が必要な局面を迎えています。皆さんの組織でも、アクセス権限の最小化、多要素認証の徹底、継続的な脆弱性監視が重要です。

今週も安全なIT運用を心がけていきましょう。東京セキュリティブリーフィングでした。また次回お会いしましょう。