← ブログに戻る
Security Briefing4分で読めます2026-04-26

セキュリティブリーフィング 2026年4月26日:Teams経由のSnowマルウェア、ADTのShinyHunters侵害、そしてLMDeployの13時間エクスプロイト窗口

今日のパターンは明快です。攻撃者は、信頼されたチャット、信頼されたSaaS ID、そして信頼されたAIインフラを、多くのチームがパッチや検証を終えるより速く悪用しています。


要点: 今朝すぐ注目すべき話は3つあります。Microsoft Teams経由のソーシャルエンジニアリング連鎖によるドメイン侵害、ADTで起きた実際のvishing→SaaS侵入、そして半日もたたずに探査されたAI-servingのSSRF脆弱性です。


1. UNC6692はMicrosoft Teamsのヘルプデスク信頼を完全なSnowマルウェアチェーンに変えている

Google Mandiantによると、UNC6692はメール爆撃とMicrosoft Teamsでのなりすましを使い、従業員に偽の迷惑メール対策パッチを入れさせています。実際に起動されるのはSnowツールセット、つまりSnowBeltブラウザ拡張、SnowGlazeトンネラー、SnowBasin Pythonバックドアです。その後、攻撃者はLSASSをダンプし、ラテラルムーブメントを行い、ドメインコントローラに到達してActive Directoryのデータを持ち出します。これは単なるフィッシングメールではなく、社内サポートに見せかけたチャットネイティブの侵入経路です。


2. ADTは、ShinyHuntersがOkta連携社員アカウントをvishingで侵害したとされる後に漏えいを認めた

ADTによれば、攻撃者は顧客および見込み顧客の情報を盗み、氏名、電話番号、住所、さらに一部では生年月日やSSNまたは税IDの下4桁も含まれていました。ShinyHuntersはBleepingComputerに対し、侵入は社員のOkta SSOアカウントへのvishingから始まり、その後Salesforceへ拡大したと主張しています。攻撃者の主張がすべて正しいかどうかに関係なく、運用上の教訓は明白です。信頼されたSaaS IDが落ちれば、接続された業務プラットフォーム全体が被害半径になります。


3. LMDeployはAIのエクスプロイト窗口が数時間単位まで縮んだことを示している

LMDeployのSSRF脆弱性CVE-2026-33626は、公開から12時間31分以内に悪用されたと報じられています。攻撃者はvision-language image loaderを使ってAWSメタデータ、Redis、MySQL、ローカル管理面、外部コールバック先を探査しました。これは重要です。LMDeployは、チームが素早く導入し、十分にレビューしない典型的なLLM servingコンポーネントだからです。アドバイザリが根本原因と影響コードパスを渡してしまえば、攻撃者はあなたの次のsprintを待ちません。


セキュリティチームが今日やるべきこと

  1. Teamsベースのサポートフローを締め直し、最近のリモート支援イベントを再検証してください。
  2. Okta、Salesforce、または同様の高信頼コネクタに依存しているなら、SaaS IDインシデントレビューを走らせてください。
  3. 露出または到達可能なAI-servingコンポーネントを棚卸しし、次のスキャン波より前にLMDeployを修正してください。
  4. 今朝閉じるべきなのはチケットではなく信頼の穴です。

情報源


結論: 今日のパターンは明快です。攻撃者は、信頼されたチャット、信頼されたSaaS ID、そして信頼されたAIインフラを、多くのチームがパッチや検証を終えるより速く悪用しています。

インシデントになる前に信頼の切れ目を見つける

KENSAIは、攻撃者が通常の業務上の信頼を侵害アクセスへ変える前に、IDワークフロー、SaaSプラットフォーム、コラボレーションツール、AIインフラにまたがる露出攻撃経路を可視化します。

無料スキャン →

鋭くいてください。

🗡️ KENSAI Security Team