今日のセキュリティブリーフィングは、Microsoftの4月Patch Tuesday、100件超の悪意あるChrome拡張キャンペーン、そしてKrakenとMcGraw-Hillのアクセスガバナンス失敗の3件を追います。
Top line: 今朝いちばん重要なシグナルは、特定のランサムウェア名ではありません。同じコントロールギャップが複数の事案で繰り返し現れていることです。緊急パッチ、ブラウザセッション窃取、そして本来終わっているはずのアクセス権です。
Microsoftは2026年4月に167件の脆弱性を修正し、その中には2件のゼロデイが含まれていました。そのうち1件のSharePoint Server spoofing脆弱性は、すでに実際の攻撃で悪用されていました。さらにMicrosoftは、Officeの重大なリモートコード実行脆弱性と、Defenderの権限昇格問題も修正しています。
Socketの研究者は、Chrome Web Store上の100件を超える悪意ある拡張を1つの協調キャンペーンに結び付けました。これらの拡張は、Google OAuth2 bearer tokenの窃取、アカウント情報の収集、Telegram Webセッションの乗っ取り、バックグラウンドでのリモートコマンド取得を行っていたとされています。これは単なるアドオンリスクではありません。すでに認証済みの環境内で起きる、ID、セッション、信頼の悪用です。
Krakenは、サポート従業員による不適切なアクセスで約2,000件のアカウントに関わる限定的な顧客サポートデータが露出した後、恐喝グループが内部システムの動画公開を脅していると述べました。McGraw-Hillも別件で、Salesforce上でホストされたWebページの設定不備を通じて限定的な内部データにアクセスされたと説明し、ShinyHuntersはさらに大きな流出を主張しました。正確な影響範囲は異なっても、パターンは同じです。サポート業務とホスト型業務システムは、チームが思う以上に強い信頼を保持しがちです。
Bottom line: 今日の話題はすべて同じ運用上の真実を指しています。攻撃者は、名目上のコントロールと検証済みコントロールの差、"パッチ済み"と本当に修正済みの差、"ログイン済み"と本当に信頼できる状態の差、"一時アクセス"と残留権限の差を突いています。
KENSAIは、露出した信頼経路、実際のパッチ適用範囲、そしてインターネットに見えているセキュリティ現実を検証し、ドリフトが攻撃者の武器になる前に止めます。
無料スキャンを開始 →鋭くいこう。
🗡️ KENSAI Security Team