← Back to Blog
セキュリティブリーフィング 4 min read 2026-04-11

セキュリティブリーフィング 2026年4月11日: CPUID サプライチェーン攻撃、露出した Rockwell PLC、給与乗っ取り、Marimo RCE、そしてモバイル Gmail E2EE

今朝のシグナルは醜く、しかも見慣れています。信頼されたツール、露出した産業制御システム、盗まれたセッション、そしてほぼ即時の武器化です。唯一の明るい材料は、デフォルトで安全なメールがようやくモバイルでも少し現実的になってきたことです。


Top line: 1つのソフトウェアサプライチェーン侵害、1つの OT 露出警告、1つの給与窃取キャンペーン、10時間未満で悪用された開発ツール RCE、そして Google からの防御面の良いニュースが1つ。


1. CPUID のダウンロード経路が汚染された

攻撃者は約6時間にわたり CPUID の二次 API を侵害し、公式ダウンロードリンクを書き換えて CPU-Z と HWMonitor の利用者をトロイ化された HWiNFO インストーラーへ誘導しました。研究者によれば、このマルウェアは多段構成で強く難読化され、情報窃取を主目的としている可能性が高いとのことです。CPUID は署名済みのオリジナルバイナリ自体は改変されていないと述べていますが、信頼境界はすでに破られており、そこが本質です。


2. 米国の Rockwell PLC 約4,000台が依然としてインターネットに露出

連邦当局は、イラン関連のアクターが3月以降 Rockwell Automation と Allen-Bradley の PLC を標的にし、業務妨害や HMI、SCADA 表示の改ざんを引き起こしていると警告しました。続いて Censys は、世界で 5,219 台の露出ホスト、そのうち 3,891 台が米国にあると集計しました。これは単なる悪い指標ではありません。常設の招待状です。


3. Storm-2755 は受信箱だけでなく給与も盗む

Microsoft によると、Storm-2755 は adversary-in-the-middle 型の Microsoft 365 フィッシングページ、セッションクッキー窃取、隠し受信ルール、そして口座振込変更のソーシャルエンジニアリングを使って、カナダの従業員の給与を迂回させました。教訓は明快です。攻撃者が認証済みセッションを盗めば、従来型 MFA では防げません。


4. Marimo CVE-2026-39987 はほぼ即座に悪用された

Sysdig は、Marimo の pre-auth RCE が公開から 9 時間 41 分以内に悪用されたことを観測しました。問題は /terminal/ws WebSocket エンドポイントにあり、認証をスキップして露出インスタンス上の攻撃者に対話型シェルを与えていました。これが新しい常態です。公開から悪用までの猶予は崩れています。


5. Gmail のエンドツーエンド暗号化がついにモバイルへ

Google は、enterprise ユーザー向けに Gmail のエンドツーエンド暗号化が Android と iOS で利用可能になったと述べています。これにより、追加ツールなしでモバイル上から保護されたメッセージの閲覧と作成が可能になります。アイデンティティ侵害や端末窃取を解決するものではありませんが、安全なメールは実運用に不便すぎるという言い訳を一つ減らします。


セキュリティチームが今日やるべきこと

  1. 信頼されたソフトウェア配布経路を監査する。
  2. インターネット露出した OT 資産を隔離または撤去する。
  3. 給与と人事のアイデンティティフローを強化する。
  4. インターネット公開の開発ツールを disclosure 当日に修正する。
  5. 機密性の高いチーム向けに安全なモバイルメッセージングを拡大する。

Sources tracked for this briefing: このブリーフィングで追跡した情報源: BleepingComputer、The Hacker News、および 2026年4月10日から11日に公開された連邦機関またはベンダーの報告。

攻撃者が頼りにする時間を削れ

KENSAI は、露出したインターネット接続システム、弱いアイデンティティフロー、危険なソフトウェアサプライチェーンのギャップを、事故になる前に見つける手助けをします。

無料スキャンを開始 →

鋭くいこう。

🗡️ KENSAI Security Team

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →