今朝の共通パターンは、信頼されている配管の悪用です。業務ワークフロー製品、Linux カーネル、開発依存関係、正規のクラウドメールは、防御側がチャネル自体を安全だと思い込んだ瞬間に高速な攻撃経路へ変わりました。
要点: Weaver E-cology と Linux カーネルをすぐにパッチし、import された lightning 2.6.3 を除去し、露出した秘密情報をローテーションし、Amazon SES 悪用を単なるメールフィルタ問題ではなくクラウド ID 問題として扱ってください。
BleepingComputer によると、Weaver E-cology の CVE-2026-22679 は 3 月中旬から悪用されています。Vega は、露出したデバッグ API を通じて攻撃者制御パラメータがバックエンド RPC 機能とシステムコマンドに到達する未認証 RCE だったと説明しています。観測された活動には偵察、PowerShell ペイロード投入、繰り返しのファイルレススクリプト取得が含まれていました。
CISA は公表の翌日に CVE-2026-31431、通称 Copy Fail を KEV カタログへ追加しました。この欠陥は algif_aead インターフェースにあり、低権限ローカルユーザーが任意の可読ファイルの page cache に制御バイトを書き込んで root を得られます。Theori は同じ exploit が Ubuntu、Amazon Linux、RHEL、SUSE で安定して成功したと述べています。
PyPI 上の悪意ある lightning 2.6.3 は import 時に Bun を自動取得し、難読化された JavaScript ペイロードを実行しました。報道によれば、そのペイロードはブラウザデータ、.env ファイル、API キー、クラウド認証情報を狙い、任意コマンド実行も可能でした。月間 1100 万超のダウンロードを持つパッケージは、感染が限定的でも大きな信頼障害になります。
Kaspersky は Amazon SES 経由のフィッシング増加を観測しており、その多くは公開リポジトリ、.env ファイル、バックアップ、イメージ、公開 S3 バケットから漏えいした AWS IAM キーによって可能になっています。メールが正規の SES 基盤から送られるため、SPF、DKIM、DMARC を通過しやすく、従来のブロックはかなり効きにくくなります。
結論: 今日の共通失敗は、正規に見えるチャネルを過信したことです。答えは地味ですが明確です。素早くパッチし、秘密情報を即ローテーションし、すべての trusted platform をすでに攻撃経路の一部だと考えて検証してください。
KENSAI は exposed service、弱い identity path、危険な dependency、cloud attack surface を事前に可視化し、trusted infrastructure が incident fuel になる前に止めます。
無料スキャンを開始 →鋭くいてください。
🗡️ KENSAI Security Team