KENSAI Security Intelligence
デイリー脅威ブリーフィング
2026年3月8日(日曜日) — 04:00 CET
3
緊急
5
データ侵害
13
新規 CVE
2
ツールリリース
主要データ侵害
医療ITプロバイダーのTriZetto Provider Solutions(Cognizant子会社)が、医療記録、保険情報、個人識別情報(PII)を含む340万人の患者の機密医療データの流出を公表した。この侵害はTriZettoのソフトウェアプラットフォームを利用する医療保険会社および医療機関に影響を及ぼす。HIPAA通知手続きが進行中。
FBIは、監視令状および盗聴操作の管理に使用されるシステムの侵害について調査中であることを確認した。議会への通知が行われた。範囲と攻撃者の特定は依然調査中であり、法執行機関のデータ流出に関する深刻な国家安全保障上の懸念が生じている。
Transport for London(TfL)は、同社システムのデータ侵害により約1,000万件の顧客記録が影響を受けたことを公表した。Oysterカードのデータや連絡先情報が含まれる。
ガーナ国籍の男がビジネスメール詐欺(BEC)およびロマンス詐欺を通じて米国の被害者から1億ドル以上を窃取した大規模詐欺グループへの関与について有罪を認めた。数年にわたる犯行は企業と個人を標的としていた。
2024年11月に韓国から引き渡されたロシア国籍の Evgenii Ptitsyn は、米国の組織を標的としたランサムウェアインフラの運営について、米国連邦裁判所で有罪を認めた。
重大な CVE と脆弱性
CISA KEV: Coruna エクスプロイトキットが iOS 13〜17.2.1 を標的
CISAは米国連邦機関に対し、Coruna エクスプロイトキットによって積極的に悪用されている3件の iOS 脆弱性へのパッチ適用を命じた。このキットは国家レベルのツールキットであり、iOS 13〜17.2.1にわたる23件の iOS 脆弱性を標的とする。サイバースパイ活動および暗号資産窃取攻撃に使用されている。
Rockwell ICS 脆弱性 — 実環境での悪用を確認
Rockwell Automation の脆弱性(2021年に公開・パッチ済み)がリモート ICS ハッキングを可能にするものとして、実環境で積極的に悪用されていることが確認された。パッチ未適用の Rockwell システムを運用する組織は、産業制御環境に対する即座のリスクに直面している。
OpenAI Codex Security — オープンソースソフトウェアで新規 CVE を発見
OpenAI の Codex Security スキャナーは、120万件のコミットを対象に792件の緊急および10,561件の高深刻度の検出結果を特定した。以下に対して新規 CVE が発行された:
- CVE-2026-24881/82 GnuPG — 暗号実装の欠陥
- CVE-2025-32988/89 GnuTLS — TLS ライブラリの脆弱性
- CVE-2025-64175 GOGS — Git ホスティングサーバーの脆弱性
- CVE-2026-25242 GOGS — 追加のセキュリティ問題
- CVE-2025-35430–36 Thorium — CISAの放射線検出ツールにおける7件の脆弱性
100以上の GitHub リポジトリが BoryptGrab スティーラーを配布
ブラウザデータ、暗号資産ウォレットの認証情報、システム情報、ユーザーファイルを標的とする BoryptGrab スティーラーマルウェアを配布する100以上の悪意あるGitHubリポジトリが発見された。正規のオープンソースプロジェクトを装っている。
ランサムウェア & APT 活動
ランサムウェアグループ「Velvet Tempest」は、ClickFix ソーシャルエンジニアリング手法を用いて Termite ランサムウェアを展開し、正規の Windows ユーティリティを利用して DonutLoader および CastleRAT バックドアをサイドロードしている。ソーシャルエンジニアリングと LOLBins を組み合わせた防御回避を実現。
MOIS傘下のイラン APT グループ MuddyWater(Seedworm)が、米国の銀行、空港、カナダの非営利団体、および防衛・航空宇宙ソフトウェア企業のイスラエル拠点に侵入していた。新たな「Dindoor」バックドアが展開された。米国・イスラエルによるイランへの軍事攻撃を受け、活動が活発化している。
パキスタン系 APT グループ Transparent Tribe が、AIコーディングツールを使用して Nim、Zig、Crystal で使い捨てマルウェアインプラントを大量生産している。C2に Slack、Discord、Supabase、Google Sheets を活用。Bitdefender はこれを「AI支援によるマルウェアの工業化」と呼んでいる — ポリグロットのAI生成バイナリ(「バイブウェア」)で標的を圧倒し、検知を回避する手法。
Securonix は、難読化されたバッチスクリプトを使用して XWorm、AsyncRAT、Xeno RAT を配信する多段階キャンペーンを発見した。埋め込みの Python ランタイムと explorer.exe への Early Bird APC インジェクションを使用し、完全なインメモリ実行を実現。スクリプトベースの配信は正規のユーザー操作を模倣する。
Cisco Talos は、中国関連グループ UAT-9244(FamousSparrow に関連、Salt Typhoon と重複)が2024年以降、南米の通信インフラを標的としていることを追跡している。TernDoor、PeerTime、BruteEntry の3つのインプラントが展開され、Windows、Linux、エッジデバイスを標的としている。
セキュリティツールリリース & 業界動向
OpenAI は Codex Security をリサーチプレビューとしてリリースした。プロジェクトレベルの脅威モデルを構築し、サンドボックス環境で検出結果を検証するエージェント型セキュリティスキャナーである。120万件のコミットをスキャンし、10,561件の高深刻度の問題を発見、従来のイテレーションと比較して偽陽性を50%以上削減した。ChatGPT Pro/Enterprise/Business ユーザーは30日間無料。KENSAI との関連性: AI搭載脆弱性検出の潜在的競合 — ただし、KENSAI のインフラレベルとは異なり、コードレベルで動作する。
Starkiller — 新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム(脅威アラート)
新たな PhaaS プラットフォーム「Starkiller」は、Docker コンテナ内のヘッドレス Chrome を使用して実際のログインページ(Apple、Google、Microsoft 等)を動的にプロキシし、認証情報と MFA トークンをリアルタイムで窃取する。URL の「@」トリックを使用した視覚的偽装(例:login.microsoft.com@malicious.ru)を行う。Abnormal AI が分析。従来の静的フィッシング検知を回避する。
資金調達ラウンド:ArmorCode(1,600万ドル)& Evervault(シリーズB 2,500万ドル)
ArmorCode はエクスポージャー管理プラットフォームのために1,600万ドルを調達。Evervault は開発者向け暗号化およびデータオーケストレーションのためにシリーズBで2,500万ドル(累計4,600万ドル)を調達。両社はAppSecおよびデータセキュリティツールへの投資家の継続的な関心を示している。
新興脅威パターン
AIの兵器化が臨界点に到達
Microsoft はハッカーがサイバー攻撃の「あらゆる段階」でAIを悪用していると警告した — 偵察からペイロード生成、ポストエクスプロイトまで。Transparent Tribe の「バイブウェア」(AI大量生産マルウェア)や偽の Claude Code InstallFix 攻撃と合わせて、3つの収束するパターンが見られる:
1. 大規模なAI生成マルウェア — APT がAIツールを使用してエキゾチックな言語で大量の使い捨てインプラントを生産
2. AIツールのなりすまし — Claude Code、Codex 等のAI CLIの偽インストールガイドがインフォスティーラーを配信
3. AI搭載防御 — OpenAI Codex Security がAIセキュリティエージェントとして市場参入
1. 大規模なAI生成マルウェア — APT がAIツールを使用してエキゾチックな言語で大量の使い捨てインプラントを生産
2. AIツールのなりすまし — Claude Code、Codex 等のAI CLIの偽インストールガイドがインフォスティーラーを配信
3. AI搭載防御 — OpenAI Codex Security がAIセキュリティエージェントとして市場参入
Google:2025年のゼロデイ90件のうち半数が企業を標的
Google の年次ゼロデイ分析によると、2025年に悪用された90件のゼロデイのうち45件が(消費者ではなく)企業向け製品を標的としていた。スパイウェアベンダーと中国の国家関与アクターが帰属の中心である。企業標的化への移行は加速し続けており、ネットワークアプライアンス、セキュリティツール、コラボレーションプラットフォームが主要な標的となっている。
トランプ政権下の米国サイバー戦略の刷新
新たな米国サイバー戦略は、サイバー敵対者に対するより強力な抑止力、連邦ネットワークの近代化、重要インフラ保護の義務化、AIおよびポスト量子暗号への投資を求めている。新たな国防総省 CISO に James "Aaron" Bishop が任命され、David McKeown の後任となった。
🎯 KENSAI アクションアイテム
- ClickFix/InstallFix 検知: Termite ランサムウェアと偽AI CLIインストールガイドの両方が ClickFix の亜種を使用 — 検知シグネチャを更新し、このトレンドについてブログを執筆
- 競合インテリジェンス: OpenAI Codex Security が稼働開始 — マーケティング資料で KENSAI のインフラレベルスキャンと Codex のコードレベルアプローチを差別化
- NIS2 の観点: TriZetto 医療データ侵害(340万件)は NIS2 医療コンプライアンスコンテンツの最適なケーススタディ
- ICS/OT: Rockwell の悪用確認は、パッチ未適用のレガシー ICS システムが引き続き高価値の標的であることを裏付け — KENSAI のインフラスキャン機能に関連
- サプライチェーン: 100以上の悪意ある GitHub リポジトリ(BoryptGrab)は SBOM および依存関係スキャンの必要性を強化 — KENSAI の機能拡張の機会