今朝のシグナルはかなり明快です。攻撃者は依然としてセッション窃取, 文書系エクスプロイト, 標的型資格情報フィッシング, そしてサプライチェーン依存を通じて成果を上げています。Chrome には良い防御ニュースがありますが, それ以外はアイデンティティとエンドポイント衛生がまだ勝敗を決めていることを示しています。
要点: 有効なブラウザ強化が1件, 実運用中のPDFゼロデイが1件, 高度な侵入キャンペーンが2件, 大規模なAndroid SDK露出が1件, そして境界機器へのパッチ圧力がさらに上がっています。
Google は Windows 向け Chrome 146 で Device Bound Session Credentials (DBSC) を展開しました。この仕組みは短寿命のセッション資格情報をハードウェア保護キーに暗号的に結び付けます。つまりインフォスティーラーが Cookie を盗んでも, 別端末で同じように再利用するのが難しくなります。
これは重要です。Cookie 窃取はパスワードや MFA を回避する最速経路のひとつになっているからです。Chrome は感染そのものを防ぐわけではありませんが, 侵害後のセッション乗っ取りをより高コストにします。
研究者によると, 未知の Adobe Reader ゼロデイ が少なくとも 2025年12月から細工された PDF を通じて悪用されています。サンプルは難読化された JavaScript を実行し, ローカル情報を収集し, リモートサーバーと通信し, 後続のコード実行やサンドボックス回避の足場を用意する可能性があります。
これはかなり厄介です。PDF は企業内で依然として最も信頼されやすい形式のひとつだからです。請求書に見えるファイルにライブエクスプロイトが入っているなら, ユーザー教育だけでは足りません。
Cisco Talos 関連の報告では LucidRook は Lua ベースのモジュラー型マルウェアであり, 台湾の NGO と大学を狙うスピアフィッシングで使用されています。段階的配信, DLL サイドローディング, 強い難読化, 外部 Lua バイトコード取得が特徴です。
注目点はマルウェア名だけではありません。運用の規律です。これは静かな標的型アクセスと収集のために作られた活動に見えます。
Abnormal の調査によると, クローズド型 phishing-as-a-service 基盤 VENOM は C-suite を明確に狙っています。このキットは SharePoint 通知を装い, URL フラグメントに標的情報を隠し, QR で被害者をモバイルへ誘導し, adversary-in-the-middle と device-code フローで認証情報を奪います。
ここは甘く見てはいけません。経営層に対して標準 MFA と緩い条件付きアクセスに依存しているなら, かなり不利です。
Microsoft は修正済みの EngageLab SDK 脆弱性の詳細を公表しました。この問題により悪意あるアプリがアプリ境界の前提を破り, 同じ SDK を使う他アプリの私的データへアクセスできた可能性があります。影響規模は5000万超のインストール, そのうち3000万が暗号資産ウォレットでした。
実際の悪用証拠は公表されていませんが, 教訓は十分です。サードパーティ製モバイル SDK はすでに攻撃面の一部です。
SecurityWeek は Palo Alto Networks と SonicWall の高深刻度パッチにも言及しました。具体的リスクは製品によって異なりますが, パターンは同じです。露出した境界製品は今も管理権限獲得への最短経路のひとつです。
本ブリーフィングで追跡した情報源: 2026年4月9日から10日に公開された BleepingComputer, The Hacker News, SecurityWeek の報道。
油断しないでください。
🗡️ KENSAI Security Team