🛡️ 日次セキュリティブリーフィング
要約:FBIが自機関の監視・通信傍受システムへの侵害を調査中。CISAがCorunaエクスプロイトキットのiOSゼロデイをKEVカタログに追加。中国系APT UAT-9244が南米の通信事業者を3つの新型インプラントで攻撃。イランのMuddyWaterが米国の重要インフラに侵入。大規模な医療データ侵害で340万件の患者記録が流出。AI生成マルウェアが脅威アクターのオペレーションを産業化。
🔓 データ侵害・不正侵入
FBI、監視・通信傍受システムへの侵害を調査中
FBIは、監視令状および通信傍受令状を管理するシステム上で「不審なサイバー活動」を調査していることを確認した。CNNが最初に報じたこの侵害は、裁判所が承認した通信傍受と外国情報監視を処理するネットワークに影響を与えた。FBIは事案が「対処済み」と述べているが、範囲は依然不明。2024年に米国の通信事業者を侵害したSalt Typhoonキャンペーンとの関連が調査されている。
Cognizant TriZettoのデータ侵害で340万件の患者記録が流出
Cognizant傘下の医療ITシステム企業TriZetto Provider Solutionsが、340万人以上の患者の機密医療データが流出するデータ侵害を公表した。流出データには個人識別情報(PII)および保護対象医療情報(PHI)が含まれる。2026年に報告された医療分野最大級のデータ侵害の一つである。
イランAPT MuddyWater、米国の空港・銀行・ソフトウェア企業に侵入
SymantecおよびCarbon Blackの研究者が、イランMOIS系列のAPT MuddyWater(Seedworm)が新型バックドア「Dindoor」を使用し、銀行、空港、非営利団体を含む複数の米国組織に持続的アクセスを確立していたことを発見した。活動は2026年2月に始まり、米国/イスラエルによるイランへの攻撃後にエスカレート。防衛・航空宇宙業界向けソフトウェア企業も、イスラエル拠点を通じて標的とされた。
サイバー犯罪フォーラムLeakBase閉鎖、容疑者逮捕
2021年から14万2,000人のユーザーを抱えて活動していた窃取認証情報マーケットプレイスLeakBaseが法執行機関により押収され、容疑者が逮捕された。同フォーラムは流出した認証情報および個人データの取引を専門としていた。
🐛 重大CVE・悪用された脆弱性
CISA、CorunaエクスプロイトキットのiOS脆弱性23件をKEVに追加
CISAは連邦政府機関に対し、Corunaエクスプロイトキットにより悪用されるiOS脆弱性のパッチ適用を命令した。同キットはiOS 13から17.2.1にわたる23件の脆弱性を対象とする国家レベルのツールキットである。これらの脆弱性はサイバースパイ活動および暗号通貨窃盗に使用されてきた。モバイル端末を標的とする攻撃の重大なエスカレーションである。
Cisco Catalyst SD-WANの脆弱性が実環境で悪用(CVE-2026-20128 & CVE-2026-20122)
Ciscoは最近パッチを適用したCatalyst SD-WANの脆弱性2件を実環境での悪用リストに追加した。CVE-2026-20128およびCVE-2026-20122が積極的に標的にされている。Catalyst SD-WANを使用する組織は直ちにパッチを適用すべきである。
Rockwell ICSの脆弱性が攻撃で悪用開始
2021年に開示・緩和されたRockwell Automationの脆弱性が、産業制御システム(ICS)を標的とする攻撃で積極的に悪用されている。この脆弱性はICS環境のリモートハッキングを可能にし、重要インフラにリスクをもたらす。
Google:2025年の90件のゼロデイの半数が企業を標的
Googleの年次ゼロデイ分析によると、2025年に実環境で悪用されたゼロデイ脆弱性は90件に上り、そのほぼ半数が企業向け製品を標的としていた。スパイウェアベンダーと中国の国家アクターが最も多く特定された脅威グループだった。企業を標的とするゼロデイへの移行は、攻撃者が高価値ターゲットへの投資を増やしていることを示している。
🌐 国家関与キャンペーン・諜報活動
中国系APT UAT-9244、南米通信事業者を3つの新型インプラントで攻撃
Cisco Talosが、中国関連APT(UAT-9244、FamousSparrowと関連)が2024年から南米の通信インフラを標的としていることを特定した。未文書化の3つのインプラントが展開された:TernDoor(Windows)、PeerTime/angrypeer(Linux)、BruteEntry(エッジデバイス)。同クラスターはSalt Typhoonとの戦術的重複を示すが、確定的な関連は確立されていない。
Transparent Tribe、AIを利用しポリグロットマルウェアを大量生産
パキスタン系のTransparent Tribeが、AI支援コーディングツールを採用し、Nim、Zig、Crystalで書かれた「使い捨てポリグロットバイナリ」を大量生成している。インプラントは信頼されたサービス(Slack、Discord、Supabase、Google Sheets)をC2チャネルとして利用。Bitdefenderの研究者はこれを「AI支援マルウェアの産業化」——洗練さから量への移行——と表現した。標的:インド。
💀 マルウェア・ランサムウェア
ロシアのランサムウェア運営者、米国で有罪を認める
2024年11月に韓国から引き渡されたロシア国籍のEvgenii Ptitsynが、米国の裁判所でランサムウェア関連の罪状について有罪を認めた。具体的なランサムウェアの亜種や被害者数の詳細は完全には開示されていないが、この事件はランサムウェア運営者に対する国際協力の継続を強調している。
VOID#GEIST:XWorm、AsyncRAT、Xeno RATを配信する多段階キャンペーン
Securonixの研究者が、難読化されたバッチスクリプトを使用し、正規のPythonランタイムとexplorer.exeへのEarly Bird APCインジェクションにより暗号化されたRATペイロード(XWorm、AsyncRAT、Xeno RAT)を展開するステルス型多段階キャンペーンを文書化した。この手法は正規のユーザー活動を精巧に模倣し検知を回避する。
偽のClaude Codeインストールガイドがインフォスティーラーを配布(「InstallFix」)
「InstallFix」と名付けられた新しいソーシャルエンジニアリング手法が、Claude CodeなどのCLIツールのインストールを装い、悪意のあるコマンドを実行させる。このClickFix派生手法は、AI開発ツールの人気を利用して情報窃取型マルウェアを配布する。
Wikipediaが自己増殖型JavaScriptワームの被害に
Wikimedia Foundationが、ページを改ざんしプラットフォーム全体に拡散する自己増殖型JavaScriptワームによるセキュリティインシデントを受けた。従来型のマルウェア攻撃ではないが、信頼されたプラットフォームが創造的な攻撃ベクトルに対して依然脆弱であることを示している。
🏢 セキュリティ業界・資金調達
ArmorCode、エクスポージャー管理プラットフォームに1,600万ドルを調達
ArmorCodeがASPM(Application Security Posture Management)およびエクスポージャー管理プラットフォームの加速のため1,600万ドルを確保した。投資はプロダクトイノベーションと市場展開に充てられる。
Evervault、開発者向け暗号化プラットフォームにシリーズBで2,500万ドルを調達
データセキュリティ企業Evervaultがシリーズ Bラウンドで2,500万ドルを調達し、累計調達額は4,600万ドルとなった。開発者向けプラットフォームは暗号化およびデータオーケストレーション機能を提供する。
Reclaim Security、修復加速に2,000万ドルを調達
Reclaim Securityがエンジニアリングチームの拡大、インテグレーションの深化、および修復重視のセキュリティプラットフォームの市場投入加速のため2,000万ドルを調達した。
📊 新興脅威パターン
AI支援によるマルウェアの産業化
今週の複数の報告により、脅威アクターがAIコーディングツールを武器化していることが確認された——洗練さのためではなく量のためである。Transparent Tribeの「バイブウェア」アプローチは使い捨てのポリグロットバイナリでターゲットを圧倒する。InstallFixキャンペーンはAIツールの人気をソーシャルエンジニアリングに悪用。Bing AIがインフォスティーラーを含む偽のOpenClawリポジトリを宣伝していた。トレンドは明確:AIがマルウェアと囮の大量生産の障壁を下げている。
通信インフラへの持続的APT圧力
中国系APTは引き続きグローバルな通信インフラを積極的に攻撃している。UAT-9244の新ツールセット(TernDoor、PeerTime、BruteEntry)はSalt Typhoonの以前のキャンペーンに加わるものである。FBIが自機関の通信傍受システムへの侵害を調査する中、通信インフラと監視インフラの融合が国家安全保障に対する複合的リスクを生み出している。
エンタープライズ向けゼロデイがコンシューマー標的を上回る
Googleの2025年ゼロデイレポートは構造的変化を確認:悪用された90件のゼロデイの半数がエンタープライズ製品を標的としていた(ブラウザ/モバイルではない)。スパイウェアベンダーと国家アクターがエンタープライズの攻撃面——VPN、SD-WANアプライアンス、ICSシステム——への投資を増やしている。これらの領域では検知が弱く影響がより大きい。