剣 KENSAI
← Back to archive

🛡️ KENSAI セキュリティインテリジェンス

2026年3月10日(火曜日)· デイリー脅威ブリーフィング

エグゼクティブサマリー

  • Ericsson米国法人が侵害 — サービスプロバイダー経由のハッキングで従業員・顧客データが窃取
  • Cisco SD-WANゼロデイ(CVE-2026-20127)が公開PoCにより広範に悪用中
  • CISAがiOSエクスプロイトキットの脆弱性を追加 — CorunaキットがiOS 13〜17.2.1の23件の脆弱性を標的
  • ロシア国家支援ハッカーが政府関係者のSignalおよびWhatsAppアカウントを標的に
  • ShinyHuntersがSalesforce Auraの脆弱性を積極的に悪用しデータを窃取中
  • FBIが調査中 — 機密監視システム上の不審な活動を確認
  • OpenAIがCodex Securityを公開 — AIエージェントが120万コミットをスキャンし、10,500件以上の高深刻度の問題を検出

🔓 データ侵害・インシデント

HIGH IMPACT

Ericsson米国法人、サービスプロバイダー侵害を受けデータ漏洩を公表

Ericsson Inc.(米国子会社)は、サードパーティのサービスプロバイダーが侵害された結果、従業員および顧客データが窃取されたことを確認した。侵害の範囲は未公開。ベンダーリスク管理の不備を浮き彫りにする、新たなサプライチェーン攻撃事例。

CRITICAL

ShinyHuntersがSalesforce Auraを悪用し積極的にデータを窃取中

Salesforceは、Experience Cloudプラットフォームの設定ミスによりゲストユーザーに過剰なデータアクセス権限が付与されている問題について顧客に警告。ShinyHunters恐喝グループは、設定ミスの問題を超えた新たな脆弱性を悪用し、Salesforceインスタンスから積極的にデータを窃取していると主張。

HIGH IMPACT

FBI、機密監視システムの侵害を調査中

FBIは、機密の監視情報を保持するシステムにおける「不審な」サイバー活動を調査中。議会に通知し、範囲と影響の特定に取り組んでいる。詳細は機密扱い。

出典: SecurityWeek
HIGH IMPACT

UNC4899(北朝鮮)、AirDropトロイの木馬で暗号資産企業に侵入

北朝鮮の脅威アクター UNC4899(別名 Jade Sleet/TraderTraitor)が、開発者をソーシャルエンジニアリングでトロイの木馬化されたファイルを業務端末にAirDropさせることで暗号資産組織を侵害。攻撃者はリビング・オフ・ザ・クラウド技法でクラウドインフラに横展開し、数百万ドルの暗号資産を窃取。

🚨 重大CVE・脆弱性情報

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — 活発に悪用されているゼロデイ

Cisco Catalyst SD-WAN ControllerおよびSD-WAN Managerにおける最高深刻度の脆弱性。公開PoCエクスプロイトがリリース済み。WatchTowrが多数のユニークIPからの広範な悪用を報告。認証バイパスおよびroot権限の取得が可能。直ちにパッチを適用してください。

CRITICAL CVE-2026-27944

Nginx UI — 未認証でのバックアップダウンロードおよび復号

Nginx UIの重大な脆弱性により、未認証の攻撃者がシステムの完全バックアップをダウンロード・復号でき、設定ファイル、認証情報、機密データが漏洩する恐れ。

CRITICAL CVE-2026-29058

AVideo Platform — ゼロクリック コマンドインジェクション

オープンソースの動画ホスティングプラットフォーム AVideo における最高深刻度のゼロクリック脆弱性。ユーザー操作なしにストリーミングサーバー上で任意のコマンドを実行可能。

HIGH CVE-2026-25611

MongoDB — 未認証によるサーバークラッシュ

CVSS 7.5の脆弱性により、未認証の攻撃者が最小限の帯域幅で公開されたMongoDBサーバーをクラッシュさせることが可能。Cato CTRLの研究者が発見。

CRITICAL CVE-2026-1492

WordPress メンバーシッププラグイン — 管理者アカウント作成

WordPress用 User Registration & Membership プラグインの脆弱性により、未認証の攻撃者がセキュリティ制御をバイパスし管理者アカウントを作成可能。

CRITICAL iOS EXPLOIT KIT

CISAがCoruna iOSエクスプロイトキットの脆弱性をKEVに追加

国家レベルのiOSエクスプロイトキット「Coruna」がiOS 13〜17.2.1に影響する23件の脆弱性を標的に。CISAは3月5日にこれらをKnown Exploited Vulnerabilities(KEV)カタログに追加。活発な悪用を確認。

出典: SecurityWeek
HIGH

Cisco Secure Firewall Management Center — RCEおよび認証バイパス

Cisco FMCに対する2件の重大アドバイザリ:1件はリモートコード実行(最高深刻度)、もう1件は未認証での認証バイパスを可能にする。

HIGH

ExifToolの脆弱性 — 悪意ある画像がmacOS上でコード実行を引き起こす

Kasperskyの研究者が、悪意ある画像ファイルがExifToolを介してmacOS上でコード実行を引き起こす脆弱性を発見。macOSのマルウェア耐性に関する従来の認識に一石を投じる。

MEDIUM

Google Chrome緊急アップデート — セキュリティ修正10件

GoogleはChrome Stableを145.0.7632.159にアップデートし、重大な問題を含む10件のセキュリティ脆弱性を修正。

🕵️ 脅威アクター・攻撃キャンペーン

RUSSIA APT

ロシア国家支援ハッカーがSignal・WhatsAppアカウントを乗っ取り

オランダ政府が警告を発表:ロシア国家支援ハッカーが、政府関係者、軍関係者、ジャーナリストを標的としたフィッシングキャンペーンを実施し、SignalおよびWhatsAppアカウントを乗っ取り暗号化メッセージへのアクセスを試みている。

CHINA APT

CL-UNK-1068 — アジア重要インフラを標的とした中国のサイバースパイ活動

Palo Alto Unit 42が、南アジア・東南アジア・東アジアの航空、エネルギー、政府、製薬、通信セクターを標的とした数年にわたる中国のサイバースパイキャンペーン(CL-UNK-1068)を解明。カスタムマルウェア、改変されたオープンソースツール、LOLBINsを使用して永続化を維持。

SOCIAL ENGINEERING

Microsoft Teamsフィッシングで A0Backdoor マルウェアを配布

攻撃者が金融・医療機関の従業員にMicrosoft Teams経由で接触し、Quick Assistを通じてリモートアクセスを許可させることで「A0Backdoor」と呼ばれる新種のマルウェアを展開。

PHISHING

ClickFix攻撃がWindows Terminalを利用し検知を回避

偽CAPTCHAフィッシングページの新たな亜種が、従来の「ファイル名を指定して実行」ダイアログではなくWindows Terminalに悪意あるコマンドを貼り付けるよう被害者を誘導し、従来の検知手法を回避。

出典: SecurityWeek
MALWARE

100以上のGitHubリポジトリでBoryptGrabスティーラーが配布

100以上のGitHubリポジトリがBoryptGrab情報窃取マルウェアを配布。ブラウザデータ、暗号資産ウォレット、システム情報、ユーザーファイルを標的に。

出典: SecurityWeek
SUPPLY CHAIN

Chrome拡張機能、所有者移転後に悪意ある動作に変化

2つのChrome拡張機能(QuickLens、ShotBird)が所有者移転後に悪意ある動作に変化し、約7,800ユーザーに対してコードインジェクションおよびデータ窃取を実施。ブラウザ拡張機能エコシステムにおけるサプライチェーンリスクの継続的な脅威を示す。

SUPPLY CHAIN

悪意あるnpmパッケージがRAT(認証情報窃取ツール)を展開

JFrogが、システム認証情報、ブラウザデータ、暗号資産ウォレット、SSH鍵、Apple Keychain、iMessageの履歴を窃取する悪意あるnpmパッケージを発見。SOCKS5プロキシおよびライブブラウザセッションクローニング機能を持つ永続的なRATをインストール。発見前に178回ダウンロード。

ZERO-CLICK

Mail2Shell — FreeScoutヘルプデスクのゼロクリックRCE

オープンソースのヘルプデスクソフトウェア FreeScout の重大なゼロクリック脆弱性により、攻撃者は細工されたメールを送信するだけでメールサーバーを乗っ取ることが可能 — ユーザー操作は一切不要。

🔧 セキュリティツール・業界動向

AI SECURITY

OpenAIがCodex Securityエージェントを公開

OpenAIがCodex Security(AIによるセキュリティエージェント)をリリース。脆弱性の検出・検証・修正提案を行う。プレビュー段階で120万コミットをスキャンし、10,561件の高深刻度の問題を検出。ChatGPT Pro/Enterprise/Business/Eduユーザーが利用可能。初月は無料。

CLOUD SECURITY

Google:クラウド攻撃が脆弱な認証情報から脆弱性悪用にシフト

Googleの2026年上半期クラウド脅威ホライズンレポートによると、攻撃者は脆弱な認証情報だけでなく、新たに開示されたサードパーティソフトウェアの脆弱性をますます悪用してクラウド環境を侵害。悪用までの時間が数週間から数日に短縮。

M&A

サイバーセキュリティM&A:2026年2月に42件の取引

Check Point、Booz Allen、Proofpoint、Sophos、Palo Alto Networks、Zscalerが大型取引を発表。サイバーセキュリティ市場における統合が積極的なペースで継続。

出典: SecurityWeek
FUNDING

ArmorCodeがエクスポージャー管理で1,600万ドルを調達

ArmorCodeは、アプリケーションセキュリティポスチャー管理およびエクスポージャー管理プラットフォームの開発加速のため1,600万ドルを調達。

出典: SecurityWeek
POLICY

トランプ政権のサイバー戦略:敵対勢力、重要インフラ、新興技術

米国の新サイバー戦略は、サイバー敵対勢力に対する抑止力の強化、連邦ネットワークの近代化、重要インフラの保護、AIおよびポスト量子暗号技術への投資を求めている。

出典: SecurityWeek
LEGAL

EU裁判所:銀行はフィッシング被害者に直ちに返金すべき

EU司法裁判所の法務官が、フィッシング関連の不正取引について銀行が被害者に直ちに返金すべきとの正式意見を表明。全EU加盟国に対する拘束力のある判例となる可能性。

📊 新興脅威パターン

今週の主要トレンド

1. サプライチェーン攻撃の加速:悪意あるnpmパッケージ、Chrome拡張機能の所有者移転、サービスプロバイダーの侵害(Ericsson)— 24時間以内に3種類の異なるサプライチェーン攻撃ベクトルが発生。信頼チェーンが新たな攻撃対象領域に。

2. クラウド悪用ウィンドウの短縮化:Googleのレポートにより、攻撃者が新たに開示された脆弱性を数週間ではなく数日以内に悪用していることが確認。クラウド公開サービスのパッチSLAは時間単位で測定する必要あり。

3. 国家によるメッセージングアプリの標的化:ロシアのAPTがSignalとWhatsAppのアカウント乗っ取りを具体的に標的に。暗号化メッセンジャーはスパイ活動の高価値ターゲットであり、安全な避難所ではない。

4. AIセキュリティツールの主流化:OpenAIのCodex Security公開(120万コミットスキャン)は、AIによる脆弱性検出がニッチからDevSecOpsの標準ツールへ移行していることを示す。KENSAIの市場における直接的な競合。

5. Ciscoインフラへの集中攻撃:SD-WANゼロデイ、Firewall Management RCE、認証バイパス — Cisco製品に重大な脆弱性が集中発生。Ciscoインフラを利用する組織は緊急パッチサイクルが必要。