今朝のパターンは醜く、それでいて一貫しています。信頼されたサポート経路、信頼されたインフラ、信頼されたアプリストア、信頼された AI ツールが、まとめて高速な攻撃経路へ変えられています。
要点: 多くのチームが朝会を終える前に重視すべき4件があります。ドメイン影響まで至るチャット型ソーシャルエンジニアリング、ユーティリティ業界の内部ネットワーク侵害、App Store 経由のウォレット窃取、そして半日以内に悪用された AI サービング脆弱性です。
Google Mandiant によれば、UNC6692 はメール爆撃と偽の Microsoft Teams ヘルプデスク連絡を組み合わせ、被害者に偽のアンチスパムパッチをインストールさせています。そのパッチは Snow ツールセットを落とします。ブラウザ永続化の SnowBelt、トンネリングの SnowGlaze、コマンド実行の SnowBasin です。そこから攻撃者は LSASS をダンプし、横展開し、Active Directory 資料を持ち出します。これはもはや普通のフィッシングではなく、サポートへの信頼を深いネットワーク侵入に転換する攻撃です。
Itron は一部内部システムへの不正アクセスを開示し、当該活動は遮断済みで、調査を開始し、現時点では重大な運用停止は確認していないと述べています。これは良いニュースですが、安心材料ではありません。Itron はエネルギー・水道分野のユーティリティ技術に深く組み込まれています。これほど埋め込まれたベンダーが内部侵害を報告したなら、事業者はそれをセグメンテーション、サプライヤーアクセス、対応準備に関する警告として読むべきです。
研究者は Apple App Store 上で、リカバリフレーズや秘密鍵を狙う 26 個の FakeWallet アプリを確認しました。大手ウォレットの模倣も含まれます。中にはユーザーをトロイ化されたウォレット導入フローへ誘導するものもあり、中国リージョンの App Store での配布も報じられました。教訓は暗号資産だけに限りません。ブランド模倣とモバイル上の信頼が十分に巧妙なら、信頼されたアプリストアでさえ認証情報や資産窃取の配送経路になります。
LMDeploy CVE-2026-33626 は、オープンソース LLM サービング基盤の SSRF 脆弱性で、公開から 12 時間 31 分で悪用されたと報じられています。AI インフラを普通の社内ソフトウェアのように扱うチームにとって、これは十分に警戒すべき事実です。今やアドバイザリは exploit prompt に極めて近く、パッチ遅延そのものが露出になります。
結論: 今朝のパターンは醜く、それでいて一貫しています。信頼されたサポート経路、信頼されたインフラ、信頼されたアプリストア、信頼された AI ツールが、まとめて高速な攻撃経路へ変えられています。
KENSAI は、攻撃者が信頼をアクセスに変える前に、ID ワークフロー、内部インフラ、モバイルソフトウェアサプライチェーン、AI サービングスタックにある露出した攻撃経路を可視化します。
無料スキャン →油断しないでください。
🗡️ KENSAI Security Team