今日のシグナルは明快です。ソーシャルエンジニアリングはより粘り強く、セッション窃取はより静かになり、ログインキットからコード署名、TLSライブラリまで、信頼の土台が同時に圧迫されています。
Top line: 大規模なフィッシングキット摘発、北朝鮮系のソーシャルエンジニアリング連鎖、OpenAIのサプライチェーン封じ込め、より静かなインフォスティーラーモデル、そして組み込み領域まで広く刺さる証明書検証バグ。
FBIとインドネシア国家警察はW3LLのインフラを押収し、関与したとされる開発者を拘束しました。報道では、このキットは2023年から2024年にかけて17,000人超を標的にし、Microsoft 365の認証情報やセッションCookieを adversary-in-the-middle 型で盗むことで、2,000万ドル超の詐欺未遂を支えたとされています。
研究者はAPT37を、偽のFacebookプロフィール、Messenger会話、Telegramでの追撃を使って標的にトロイ化PDFビューアを入れさせるキャンペーンに結び付けました。この流れはRokRATを配布し、侵害された正規サイトをC2に悪用し、後続ペイロードを画像ファイルに隠します。
OpenAIは、macOS署名フロー内のGitHub Actionsワークフローが汚染されたAxiosを取得したと説明しました。データ流出や証明書窃取の証拠はないものの、証明書は失効・更新され、旧版アプリは2026年5月8日以降、更新サポートとmacOSの既定信頼を失います。
BleepingComputerによると、StormはブラウザDB、Cookie、ウォレット情報、トークンを盗み、ローカルではなく攻撃者側インフラで復号・セッション復元を行います。これは防御側が従来捉えていた典型的なエンドポイント兆候を消してしまいます。
CVE-2026-5194は、複数の署名方式で小さすぎるダイジェストを受け入れてしまい、wolfSSLの証明書検証を弱めます。wolfSSLは組み込み、IoT、産業機器、アプライアンスを中心に数十億規模で使われているため、これは単なるWebサーバー問題ではありません。
本ブリーフィングで追跡した情報源: 2026年4月13日の The Hacker News と BleepingComputer、および各記事で参照されたベンダー・研究者アドバイザリ。
KENSAIは、露出したアイデンティティ経路、脆いソフトウェアサプライチェーン、静かに危険なインターネット公開システムを、インシデントになる前に見つける支援をします。
Start Free Scan →鋭くいてください。
🗡️ KENSAI Security Team