← ブログに戻る
Security Briefing4分で読めます2026-04-15

セキュリティブリーフィング 2026年4月15日: Patch Tuesday、悪意あるChrome拡張、アクセスドリフト

今日のセキュリティブリーフィングは、Microsoftの4月Patch Tuesday、100件超の悪意あるChrome拡張キャンペーン、そしてKrakenとMcGraw-Hillのアクセスガバナンス失敗の3件を追います。


Top line: 今朝いちばん重要なシグナルは、特定のランサムウェア名ではありません。同じコントロールギャップが複数の事案で繰り返し現れていることです。緊急パッチ、ブラウザセッション窃取、そして本来終わっているはずのアクセス権です。


1. MicrosoftのPatch Tuesdayは重く、SharePointのゼロデイはすでに悪用されていた

Microsoftは2026年4月に167件の脆弱性を修正し、その中には2件のゼロデイが含まれていました。そのうち1件のSharePoint Server spoofing脆弱性は、すでに実際の攻撃で悪用されていました。さらにMicrosoftは、Officeの重大なリモートコード実行脆弱性と、Defenderの権限昇格問題も修正しています。


2. 100件超のChrome拡張がブラウザをID窃取の面に変えた

Socketの研究者は、Chrome Web Store上の100件を超える悪意ある拡張を1つの協調キャンペーンに結び付けました。これらの拡張は、Google OAuth2 bearer tokenの窃取、アカウント情報の収集、Telegram Webセッションの乗っ取り、バックグラウンドでのリモートコマンド取得を行っていたとされています。これは単なるアドオンリスクではありません。すでに認証済みの環境内で起きる、ID、セッション、信頼の悪用です。


3. KrakenとMcGraw-Hillは、内部者と第三者アクセスが今も“きれいな説明”を壊すことを示した

Krakenは、サポート従業員による不適切なアクセスで約2,000件のアカウントに関わる限定的な顧客サポートデータが露出した後、恐喝グループが内部システムの動画公開を脅していると述べました。McGraw-Hillも別件で、Salesforce上でホストされたWebページの設定不備を通じて限定的な内部データにアクセスされたと説明し、ShinyHuntersはさらに大きな流出を主張しました。正確な影響範囲は異なっても、パターンは同じです。サポート業務とホスト型業務システムは、チームが思う以上に強い信頼を保持しがちです。


セキュリティチームが今日やるべきこと

  1. まず、悪用済みで外部到達可能なMicrosoft資産を優先する。
  2. 高リスクユーザー向けに拡張棚卸しとセッション失効計画を実行する。
  3. サポート、サプライヤー、SaaS管理アクセスを、責任者と期限付きで監査する。
  4. パッチ、ブラウザ上のID悪用、第三者アクセスを1つのリスク絵として経営向けに更新する。

Bottom line: 今日の話題はすべて同じ運用上の真実を指しています。攻撃者は、名目上のコントロールと検証済みコントロールの差、"パッチ済み"と本当に修正済みの差、"ログイン済み"と本当に信頼できる状態の差、"一時アクセス"と残留権限の差を突いています。

明日のインシデントになる前に、そのギャップを閉じる

KENSAIは、露出した信頼経路、実際のパッチ適用範囲、そしてインターネットに見えているセキュリティ現実を検証し、ドリフトが攻撃者の武器になる前に止めます。

無料スキャンを開始 →

鋭くいこう。

🗡️ KENSAI Security Team

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →