FortiGate資格情報窃取、KadNapボットネットが1.4万台のルーターに感染、Microsoftが2件のゼロデイを修正
1. FortiGateファイアウォールがAD資格情報窃取に悪用
🚨 重大 — 医療・政府を標的とした活発なキャンペーン
脅威アクターがFortiGate次世代ファイアウォール(NGFW)アプライアンスを侵入口として被害者ネットワークに侵入しています。このキャンペーンは医療、政府、マネージドサービスプロバイダー環境を標的とし、サービスアカウント資格情報とネットワークトポロジーデータを含む設定ファイルを抽出します。
SentinelOneによると、攻撃者は最近公開された脆弱性——CVE-2025-59718、CVE-2025-59719、CVE-2026-24858——または弱い資格情報を悪用してFortiGateデバイスを侵害しています。これらのデバイスはロールベースのポリシー適用のためにActive DirectoryやLDAPに接続していることが多いため、侵害されたアプライアンスは認証インフラ全体の鍵を攻撃者に渡すことになります。
文書化されたインシデントでは、攻撃者は「support」という名前の不正なローカル管理者アカウントを作成し、4つの許可的なファイアウォールポリシーを設定し、後に設定ファイルを復号してLDAPサービスアカウントの平文資格情報を抽出しました。その後、Active Directoryに不正なワークステーションを登録し、検出されました。
必要な対策:FortiGateアプライアンスを最新ファームウェアに直ちに更新。FortiGateに接続されたすべてのサービスアカウント資格情報をローテーション。すべての管理インターフェースでMFAを有効化。不正なアカウント作成とファイアウォールポリシー変更を監視。
2. KadNapボットネットが14,000台以上のASUSルーターを乗っ取り
🚨 重大 — 14,000台以上のデバイスが侵害、60%が米国
KadNapという新しいマルウェアが14,000台以上のエッジネットワーキングデバイス(主にASUSルーター)に感染し、ステルスプロキシボットネットを駆動しています。被害者の60%以上が米国に所在しています。
LumenのBlack Lotus Labsによって発見されたKadNapは、Kademlia分散ハッシュテーブル(DHT)プロトコルのカスタムバージョンを使用して、コマンド&コントロールインフラをP2Pネットワーク内に隠蔽し、テイクダウンの試みに対して高い耐性を持たせています。
侵害されたデバイスはDoppelgänger(Facelessプロキシネットワークのリブランド)というプロキシサービスに組み込まれ、50カ国以上で「100%匿名」のレジデンシャルプロキシを販売しています。マルウェアはARMとMIPSプロセッサの両方を標的とし、cronジョブで永続性を確立し、修復を防ぐためにポート22のSSHアクセスを積極的に閉鎖します。
| 詳細 | 情報 |
|---|---|
| 感染デバイス数 | 14,000台以上 |
| 主な標的 | ASUSルーター |
| 米国の被害者 | 60%以上 |
| C2プロトコル | カスタムKademlia DHT(P2P) |
| プロキシサービス | Doppelgänger(Facelessリブランド) |
| 活動開始 | 2025年8月 |
必要な対策:ASUSルーターのファームウェアを直ちに更新。不正なcronジョブと未知のプロセスを確認。侵害されている場合は工場出荷時の状態にリセット。既知のC2 IP 212.104.141.140をブロック。
3. Microsoft 2026年3月Patch Tuesday:2件のゼロデイ、79件の脆弱性
⚠️ 今すぐパッチ適用 — 2件の公開済みゼロデイ
Microsoft 2026年3月のPatch Tuesdayは79件のセキュリティ脆弱性を修正し、2件の公開済みゼロデイ脆弱性と3件の重大評価の問題を含みます。2つの重大なリモートコード実行バグがMicrosoft Officeに影響し、プレビューペインから悪用可能です。
今月のパッチサイクルのハイライト:
- SQL Server権限昇格ゼロデイ:不適切なアクセス制御がネットワーク経由でSQLAdmin権限を付与
- .NET DoSゼロデイ:範囲外読み取りがネットワーク経由で不正なサービス拒否を許可
- CVE-2026-26110およびCVE-2026-26113:プレビューペインから悪用可能な重大なOffice RCEバグ
- CVE-2026-26144:Microsoft Copilot経由でデータを外部送信できるExcel情報漏洩脆弱性——AIエージェントモードによるゼロクリックデータ窃取
Copilot関連の脆弱性(CVE-2026-26144)は特に注目に値します——これはAIアシスタントがユーザーの操作なしにデータを窃取するために武器化される新しい攻撃ベクトルを表しています。これは組織が直面するAI対応の攻撃面の前兆です。
必要な対策:2026年3月のすべてのパッチを直ちに展開。プレビューペインの悪用のため、Officeの更新を優先。Copilotエージェントの権限を確認し、ネットワークエグレス機能を制限。
4. BlackSanta EDRキラーが人事部門を標的に
⚠️ 活発なキャンペーン — ロシア語話者の脅威アクター
1年以上にわたって実行されている高度なキャンペーンが、履歴書に偽装した悪意のあるISOファイルを含むスピアフィッシングメールで、人事部門にBlackSantaという新しいEDRキラーを配信しています。
攻撃チェーンは高度に回避的です:ISOファイルにはPDFに偽装したWindowsショートカット、PowerShellスクリプト、およびステガノグラフィーで悪意のあるコードを隠した画像が含まれています。抽出されたコードは正規のSumatraPDF実行ファイルを介したDLLサイドローディングを使用し、広範なサンドボックスおよびVM検出を実行してからBlackSantaを展開します。
BlackSantaは体系的にエンドポイント検出を無効化します:
.dlsおよび.sysファイルのMicrosoft Defender除外を追加- Microsoftクラウドへのテレメトリと自動サンプル送信を削減
- ユーザーへのアラートを回避するためWindowsの通知を抑制
- プロセスホローイングを使用して正規プロセス内でペイロードを実行
必要な対策:履歴書テーマのフィッシング攻撃についてHRチームに注意喚起。メールゲートウェイでISOファイル添付をブロック。不正なDefender除外変更を監視。アプリケーションホワイトリストを実装。
5. HPE重大AOS-CX認証バイパス
🚨 重大 — 認証なしで管理者パスワードリセット
HPEはCVE-2026-23813を修正しました。これはAruba Networking AOS-CXオペレーティングシステムの重大な認証バイパス脆弱性で、認証されていないリモート攻撃者がCXシリーズのキャンパスおよびデータセンタースイッチの管理者パスワードをリセットすることを可能にします。
この脆弱性はWebベースの管理インターフェースに存在し、低複雑度の攻撃で悪用可能です。管理インターフェースが公開されたHPE AOS-CXスイッチを運用している組織は直接的なリスクにさらされています。
パッチ適用が遅れる場合の緩和策:
- 管理インターフェースを専用VLANに分離
- レイヤー3以上で管理トラフィックの厳格なアクセス制御を実装
- 管理アクセスが不要なSVIおよびルーテッドポートでHTTP(S)インターフェースを無効化
- REST/HTTP管理エンドポイントにコントロールプレーンACLを適用
6. APT28がウクライナ軍に対してBEARDSHELLとCOVENANTを展開
ロシアのAPT28(Fancy Bear / GRU第26165部隊)はウクライナに対するサイバースパイ活動を継続し、2024年4月以降、ウクライナ軍関係者の長期監視のために2つのインプラント——BEARDSHELLとCOVENANT——を展開しています。
ESETは、その兵器庫にはキーロギング、スクリーンショットキャプチャ、クリップボードデータ収集が可能なSLIMAGENTも含まれていると報告しています。このキャンペーンは、ロシア・ウクライナ紛争の継続的なサイバー次元と軍事通信への持続的な標的を浮き彫りにしています。
7. Zombie ZIP技術がセキュリティツールを回避
「Zombie ZIP」と名付けられた新しい技術により、攻撃者はアンチウイルスやEDR検出をバイパスする特別に作成された圧縮ファイルに悪意のあるペイロードを隠すことができます。この技術は、セキュリティツールと正規のアーカイブソフトウェアがZIPファイルを解析する方法の違いを悪用し、マルウェアが通過できるブラインドスポットを作り出します。
必要な対策:セキュリティツールがネストされた不正形式のアーカイブ形式を検査できることを確認。エンドユーザーへの配信前にすべての圧縮ファイル添付をサンドボックス処理することを検討。
8. CISA:Ivanti EPMの脆弱性が活発に悪用中
CISAは野外での活発な悪用を確認後、最近パッチが適用されたIvanti Endpoint Manager (EPM)の脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。Ivanti EPMを運用している組織は直ちにパッチ適用を優先する必要があります。
Ivantiの脆弱性が迅速に武器化されるパターンが続いています——これは公開から悪用まで数日で進む一連の重大なIvanti脆弱性の最新のものです。
9. BeatBanker AndroidマルウェアがStarlinkアプリに偽装
BeatBankerという新しいAndroidバンキングトロイの木馬が、偽のGoogle Playストアウェブサイトを通じて配布され、Starlinkアプリケーションを装っています。インストール後、マルウェアはデバイスを乗っ取り、銀行の資格情報と金融取引を傍受します。
必要な対策:公式Google Playストアからのみアプリをインストール。Google Play Protectを有効化。偽のアプリストアについてユーザーを教育。
10. Microsoft Entra PasskeyがWindowsに対応
良いニュースとして、MicrosoftはWindowsデバイスでMicrosoft Entraのパスキーサポートを展開し、Windows Helloを通じたフィッシング耐性のあるパスワードレス認証を可能にしています。これはパスワードベースの攻撃を排除する重要な一歩です——組織はEntraパスキーの展開計画を開始すべきです。
その他のヘッドライン
| 事件 | 影響 |
|---|---|
| 北朝鮮UNC4899が暗号通貨企業を侵害 | トロイの木馬化されたAirDropファイル + クラウドネイティブ技術で数百万ドルの暗号通貨を窃取 |
| Windows 10 KB5078885 ESUリリース | Windows 10拡張セキュリティ更新が3月Patch Tuesdayの脆弱性(2件のゼロデイ含む)に対処 |
| 悪意のあるnpmパッケージがOpenClawを偽装 | パッケージがRATを展開し、macOSの資格情報、SSHキー、暗号ウォレット、iMessage履歴を窃取 |
KENSAIがお客様を守る方法
✅ エッジデバイス監視 — 攻撃者がさらに深く侵入する前に、侵害されたFortiGate、ASUS、HPEデバイスを検出
✅ パッチインテリジェンス — Microsoft、Ivanti、ネットワークインフラの公開後数時間以内の優先CVE追跡
✅ EDR整合性チェック — BlackSantaスタイルのエンドポイントセキュリティ設定改ざんを特定
✅ AIセキュリティ態勢 — CopilotとAIエージェントの権限を監視し、CVE-2026-26144のようなデータ窃取ベクトルを防止
推奨アクション
- 即時:FortiGateを最新ファームウェアに更新。Microsoft 2026年3月パッチを展開。HPE AOS-CXスイッチを更新。
- 本日:ASUSルーターのKadNap指標を確認。FortiGate接続のすべてのサービスアカウント資格情報をローテーション。Copilotエージェントのネットワークエグレス設定を確認。
- 今週:メールゲートウェイでISO添付をブロック。Ivanti EPMの展開を監査。Entraパスキーの展開を計画。
- 継続的:EDR改ざんパターンを監視。履歴書テーマのフィッシングについてHRチームにブリーフィング。ネットワークアプライアンス管理にゼロトラストを実装。
安全を保ちましょう。警戒を怠らずに。
🗡️ KENSAIセキュリティチーム