週次まとめ: Google APIキー削除後も23分間有効 | 2026年5月25日

東京セキュリティブリーフィング 週次まとめ 2026年05月25日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。今週も多くのセキュリティニュースが報道されました。本日は2026年5月25日（日曜日）。先週1週間のセキュリティ動向を振り返ります。

先週5月18日から24日までの間に、企業システム、クラウドサービス、オープンソースプロジェクトに影響を与える重大な脆弱性の悪用が相次ぎました。特にGitHubリポジトリの大規模侵害、複数のゼロデイ脆弱性の野生での悪用、そして悪意あるサプライチェーン攻撃が今週の主要テーマとなっています。セキュリティ業界では、脆弱性の発見から悪用までの時間がますます短縮されていることへの懸念が高まっています。それでは先週の重要トピックを詳しくご説明します。

重要ニュースTOP

Google APIキー削除後も23分間有効

セキュリティ企業Aikidoが重大な発見を報告しました。Googleのクラウドサービスで使用されるAPIキーが削除されても、平均16分間、最長で23分間も使用可能なままであることが判明しました。これはGoogleが「削除後すぐに無効化される」とユーザーに通知していることと矛盾しています。テスト結果によると、Asia Southeast1リージョンでの成功率が22パーセント、US East1とEurope West1では49パーセントと、地域によってばらつきがあります。削除されたGemini APIキーでも、削除後5秒間は認証が通り、攻撃者が機密ファイルのダウンロードやGemini会話データの流出を実行できる危険性があります。Google Cloudの結果整合性設計が原因と見られていますが、攻撃者による悪用ウィンドウが存在することは大きなリスクです。

GitHubリポジトリ大規模侵害と5,561個の「Megalodon」感染

先週、GitHubのエコシステムで重大な侵害事案が2件報告されました。

1つ目は、SafeDepの研究者による発見で、5,561個のGitHubリポジトリがCI/CD認証情報盗難マルウェア「Megalodon」に感染していたことが明らかになりました。このマルウェアは30以上の秘密正規表現パターンを使用して、AWSシークレットキー、Google Cloudアクセストークン、SSHキー、Dockerレジストリ認証情報など、機密データを自動抽出します。感染リポジトリには、規模が大きくダウンロード数が多いオープンソースプロジェクトが多数含まれていました。

2つ目は、Googleの従業員が悪意あるVS Code拡張機能をインストールした結果、約3,800個のGitHub内部リポジトリが侵害されたという報告です。TeamPCP脅威グループが関与しており、ソースコードと内部ビジネス情報が盗み出されました。GitHubは確認した侵害後、関連トークンを61,000以上無効化しましたが、既に流出した情報による被害は計り知れません。

Drupal CVE-2026-9082 SQLインジェクション悪用開始

Drupalの開発チームが5月20日に極めて重大なセキュリティ脆弱性CVE-2026-9082について警告を発しました。NIST標準スコアで20点中20点という最高深刻度に分類されたこの脆弱性は、認証不要でPostgreSQLを使用しているDrupalサイトにSQLインジェクション攻撃を可能にします。パッチ発表からわずか数時間から数日以内に、攻撃者による悪用が開始されました。セキュリティ企業Impervaは、15,000件以上の攻撃試行、79カ国の6,000以上のサイトを標的にした活動を観測しています。現在は偵察と脆弱性確認段階が主流ですが、今後成功した攻撃が急速に増加する可能性が高いと警告されています。

Kali365 - OAuthをバイパスするフィッシング・アズ・ア・サービス

FBIが新しいフィッシング・アズ・ア・サービス（PhaaS）プラットフォーム「Kali365」について重大な警告を発表しました。このツールはMicrosoft 365ユーザーを標的にしており、OAuthデバイスコード認可フローを悪用して多要素認証を完全にバイパスします。

攻撃の流れは以下の通りです。まず、攻撃者がAI生成フィッシングメールで被害者にMicrosoft 365ポータルになりすましたページへ誘導します。被害者が認可要求をクリックすると、デバイスコードが取得されます。攻撃者はこのコードを使用してMicrosoft 365アカウントへ不正アクセスし、永続的なトークンを獲得します。多要素認証がバイパスされるため、被害者のアカウントが完全に制御されてしまいます。Telegramの犯罪フォーラムでは、月額250ドルまたは年間2,000ドルでこのツールが販売されており、すでに多くのアフィリエイト登録者が確認されています。

Microsoft Defender 2つのゼロデイ脆弱性が野生で悪用中

Microsoftが2つの重大なDefender脆弱性にパッチを提供しました。CVE-2026-41091（CVSS 7.8）は権限昇格脆弱性で、ローカル攻撃者がSYSTEM権限を取得できます。CVE-2026-45498（CVSS 4.0）はローカルサービス拒否脆弱性です。

重要なのは、これらの脆弱性が既に野生で悪用されていることです。CISAが2つの脆弱性を既知の悪用脆弱性カタログに追加し、連邦機関に対して2026年6月3日までのパッチ適用を命じています。パッチはMalware Protection Engine 1.1.26040.8以降、Antimalware Platform 4.18.26040.7以降に含まれており、Windows Updateの自動配信を通じて展開されています。Defenderが無効化されているシステムは保護の対象外となるため、特に注意が必要です。

欧州法執行機関がFirst VPN摘発 - ランサムウェア指定インフラ破壊

フランスとオランダの法執行機関がサイバー犯罪組織向けVPNサービス「First VPN」を解体しました。5月19日から20日の協調作戦により、33台のサーバーが押収され、複数のドメインが当局に奪取されました。ウクライナを拠点とする管理者が逮捕されています。

First VPNは2014年から運用されていた長期的なサービスで、27国の32ノードを備えていました。25のランサムウェアグループがこのインフラを活用してい　ました。攻撃者たちは月額料金を支払うことで、ロシア語ダークウェブで広告された高度な匿名性を得ていました。506人のユーザー情報が当局に共有され、IPアドレスはスキャン活動、ボットネット運用、DDoS攻撃、その他のサイバー犯罪に使用されていたと報告されています。

DDoS-for-hire「Kimwolf」管理者が国際逮捕

カナダを拠点とする23歳のジェイコブ・バトラー（オンライン名「Dort」）がKimwolfボットネット運営容疑で逮捕・起訴されました。同容疑者は200万台以上のデバイスを感染させ、最大31.4テラビットのDDoS攻撃を実行、25,000件以上の攻撃コマンドを発行していました。

Kimwolfはスケーラブルなボットネットで、Telegramを通じて「DDoS-for-hire」サービスを提供していました。被害者の損害額は多くの事例で100万ドルを超えています。捜査当局はIPアドレス重複、Google Accountメールアドレス共有、オンライン取引記録などを利用して容疑者を特定しました。米国・カナダの共同捜査により逮捕が実現し、コンピュータ侵害幇助罪で最大10年の懲役に直面しています。

カテゴリ別まとめ

脆弱性と悪用

先週は複数の重大脆弱性の悪用が報告されました。Cisco Secure Workloadの認証不備脆弱性CVE-2026-20223はCVSS最大スコアの10.0に分類され、認証なしでサイト管理者権限を取得可能です。Ubiquitiの複数UniFi OS脆弱性も同様にCVSS 10.0で、認証なしアクセス制御不備とコマンドインジェクションを許可します。これらは数日以内にエクスプロイトコードが開発される可能性が高い状況です。

クラウドとAPI

GoogleのAPIキー削除遅延問題は、クラウドセキュリティの重要な問題を浮き彫りにしました。ユーザーが削除を要求しても、バックエンド同期の遅延により、15～23分間の悪用ウィンドウが存在します。この間、攻撃者は機密データへのアクセス、莫大なクラウド料金の発生を実行できます。組織はAPIキーの削除後も即座には信頼できないと認識する必要があります。

オープンソースセキュリティ

オープンソースのサプライチェーン攻撃が深刻化しています。Laravel-Lang、art-template、Megalodonの感染は、数百万のダウンロードを持つ人気パッケージを含み、広範な被害が発生しています。npm、PyPI、Composerなど複数のパッケージマネージャーが同時に標的にされており、組織的で高度な攻撃が示唆されます。

フィッシングと詐欺

AI生成フィッシングの精度向上が報告されています。Kali365はOAuth認可を悪用してMFAを完全にバイパスし、Google Gemini・Claude Code詐称キャンペーンはSEOポイズニングで信頼度を獲得しています。従来のメールベースのフィッシングに加えて、社会工学的要素が強化されており、検出と対応が難しくなっています。

インフラストラクチャ

F5 BIG-IPの侵害報告では、初期アクセスから段階的なネットワーク侵入までのプロセスが観測されました。Nmap、Kerbrute、Responderなどのツールで偵察が実行され、Active Directoryまで標的が広がっています。企業VPN機器の侵害は、内部ネットワーク全体へのアクセスを許すため、特に危険です。

今週の注目ポイント

脆弱性悪用時間の短縮化

先週のDrupal CVE-2026-9082パッチから数時間で悪用開始された事例から、脆弱性の発見から野生での悪用までの時間がさらに短縮されていることが明らかになりました。以前は数週間から数ヶ月かかった期間が、現在は数日から数時間に圧縮されています。これはAI駆動のエクスプロイト開発と自動化されたスキャンツールが普及していることを意味します。

APIキー管理の再考

GoogleのAPIキー削除遅延問題は、業界全体のシークレット管理戦略の見直しを促しています。ユーザーや企業は削除後すぐに無効化されるという想定に依存できず、複数の追加対策（アクセス制限、監視アラート、無期限トークン化の回避）を実装する必要があります。

マルチテナント環境の境界侵害

Cisco Secure Workloadなどのマルチテナント環境で発見された脆弱性は、複数のビジネスユニット間の境界が破られるリスクを示しています。クラウドプロバイダーと顧客間の責任分界線が曖昧化しており、組織は単独での対策に限界を感じています。

クロージング

先週も企業とユーザーのセキュリティに影響する重大なニュースが相次ぎました。脆弱性悪用の高速化、サプライチェーン攻撃の深刻化、クラウドサービスの新しいリスク。これらの課題に対応するには、従来の防御戦略だけでは不十分です。組織と個人は、継続的な監視、素早い対応、複数層の防御を同時に実装することが求められています。

セキュリティは技術だけでなく、プロセスとタイミングの競争です。今週も安全なIT運用を心がけ、自組織および周囲の脅威情報を常に把握してください。東京セキュリティブリーフィングでした。また来週お会いしましょう。