今朝のシグナルは醜く、しかも見慣れています。信頼されたツール、露出した産業制御システム、盗まれたセッション、そしてほぼ即時の武器化です。唯一の明るい材料は、デフォルトで安全なメールがようやくモバイルでも少し現実的になってきたことです。
Top line: 1つのソフトウェアサプライチェーン侵害、1つの OT 露出警告、1つの給与窃取キャンペーン、10時間未満で悪用された開発ツール RCE、そして Google からの防御面の良いニュースが1つ。
攻撃者は約6時間にわたり CPUID の二次 API を侵害し、公式ダウンロードリンクを書き換えて CPU-Z と HWMonitor の利用者をトロイ化された HWiNFO インストーラーへ誘導しました。研究者によれば、このマルウェアは多段構成で強く難読化され、情報窃取を主目的としている可能性が高いとのことです。CPUID は署名済みのオリジナルバイナリ自体は改変されていないと述べていますが、信頼境界はすでに破られており、そこが本質です。
連邦当局は、イラン関連のアクターが3月以降 Rockwell Automation と Allen-Bradley の PLC を標的にし、業務妨害や HMI、SCADA 表示の改ざんを引き起こしていると警告しました。続いて Censys は、世界で 5,219 台の露出ホスト、そのうち 3,891 台が米国にあると集計しました。これは単なる悪い指標ではありません。常設の招待状です。
Microsoft によると、Storm-2755 は adversary-in-the-middle 型の Microsoft 365 フィッシングページ、セッションクッキー窃取、隠し受信ルール、そして口座振込変更のソーシャルエンジニアリングを使って、カナダの従業員の給与を迂回させました。教訓は明快です。攻撃者が認証済みセッションを盗めば、従来型 MFA では防げません。
Sysdig は、Marimo の pre-auth RCE が公開から 9 時間 41 分以内に悪用されたことを観測しました。問題は /terminal/ws WebSocket エンドポイントにあり、認証をスキップして露出インスタンス上の攻撃者に対話型シェルを与えていました。これが新しい常態です。公開から悪用までの猶予は崩れています。
Google は、enterprise ユーザー向けに Gmail のエンドツーエンド暗号化が Android と iOS で利用可能になったと述べています。これにより、追加ツールなしでモバイル上から保護されたメッセージの閲覧と作成が可能になります。アイデンティティ侵害や端末窃取を解決するものではありませんが、安全なメールは実運用に不便すぎるという言い訳を一つ減らします。
Sources tracked for this briefing: このブリーフィングで追跡した情報源: BleepingComputer、The Hacker News、および 2026年4月10日から11日に公開された連邦機関またはベンダーの報告。
KENSAI は、露出したインターネット接続システム、弱いアイデンティティフロー、危険なソフトウェアサプライチェーンのギャップを、事故になる前に見つける手助けをします。
無料スキャンを開始 →鋭くいこう。
🗡️ KENSAI Security Team