🛡️ デイリーセキュリティインテリジェンスブリーフ
⚡ 要約 — 本日の重要事項
- Microsoft Patch Tuesday:2件のゼロデイを含む79〜83件の脆弱性を修正 — 直ちにパッチ適用を
- FortiGateキャンペーン:脅威アクターがFortiGate NGFWを悪用し、医療・政府機関のAD/LDAP認証情報を窃取
- KadNapボットネット:カスタムKademlia DHTを使用し、14,000台以上のASUSルーターがステルスプロキシネットワークに侵害
- APT28(Fancy Bear):ウクライナ軍の長期監視のための新型BEARDSHELL・COVENANTインプラント
- Ivanti EPM積極的悪用:CISAがSolarWinds・Workspace Oneの欠陥とともにKEVに追加
- Salesforce Experience Cloud:誤設定されたゲストユーザー権限を標的とした大規模スキャンキャンペーン
- Ericssonデータ侵害:サードパーティベンダーの侵害により数千人が影響
🔴 重大な脆弱性とPatch Tuesday
Microsoft 2026年3月Patch Tuesday — ゼロデイ2件、79件の脆弱性
Microsoftは公開されたゼロデイ脆弱性2件を含む79件の脆弱性の修正をリリースしました。このアップデートでは、一部デバイスのシャットダウンを妨げる問題も修正されています。Windows 10拡張セキュリティアップデートKB5078885およびWindows 11 KB5079473/KB5078883累積アップデートが利用可能です。
ゼロデイ 直ちにパッチ適用 Windows 10/11Adobe、8製品で80件の脆弱性を修正
AdobeはCommerce、Illustrator、Acrobat Reader、Premiere Proおよび他4製品で80件の脆弱性のパッチを配布しました。複数のクリティカルなコード実行の欠陥が含まれています。
高 Acrobat CommerceSAP、FS-QUOおよびNetWeaverの重大な脆弱性を修正
FS-QUOのコードインジェクションバグとNetWeaverの安全でないデシリアライゼーションの欠陥により、企業のSAPシステムで任意のコード実行が可能になる恐れがあります。パッチ優先度:クリティカル。
クリティカル RCE エンタープライズHPEのAOS-CX重大な欠陥 — 管理者パスワードリセット
Hewlett Packard EnterpriseはAruba Networking AOS-CXオペレーティングシステムの複数の脆弱性を修正しました。管理者パスワードリセットを可能にする認証バイパスの欠陥やコード実行の問題が含まれます。
クリティカル 認証バイパス ネットワークインフラCISA、Ivanti EPM・SolarWinds・Workspace Oneを積極的悪用として指定
CISAの既知の悪用された脆弱性カタログに3件の脆弱性が追加:Ivanti Endpoint Managerの高重大度認証バイパス、SolarWindsの欠陥、CVE-2021-22054(VMware/Omnissa Workspace One UEMのSSRF、CVSS 7.5)。すべて実環境での悪用が確認済み。
積極的悪用 KEV Ivanti「LeakyLooker」— Google Looker Studioの9件のクロステナント脆弱性
Tenableは、Google Looker Studioの9件のクロステナント脆弱性を公開しました。攻撃者が被害者のデータベースで任意のSQLクエリを実行し、Google Cloud環境内の機密データを窃取できた可能性があります。実環境での悪用の証拠はありません。
高 クラウド クロステナント🟠 アクティブな脅威とキャンペーン
FortiGate NGFWキャンペーン — 医療・政府機関からの認証情報窃取
脅威アクターがFortiGate次世代ファイアウォールをネットワーク侵入のエントリーポイントとして悪用しています。キャンペーンではAD/LDAPサービスアカウント認証情報とネットワークトポロジを含む構成ファイルが抽出されます。標的には医療、政府機関、マネージドサービスプロバイダーが含まれます。
クリティカル 医療 政府機関 認証情報窃取ロシアのAPT28がウクライナ軍に対しBEARDSHELL + COVENANTを展開
GRU関連のAPT28が、2024年4月以降ウクライナ軍人の長期監視のために新型インプラントBEARDSHELLとCOVENANTを使用していることが観測されました。SLIMAGENT(キーロガー、スクリーンショットキャプチャ、クリップボード窃取)も展開しています。このキャンペーンはロシアのサイバースパイ活動の継続的なエスカレーションを示しています。
国家支援型 スパイ活動 ロシアKadNapボットネット — 14,000台以上のASUSルーターが侵害
新型マルウェアKadNapがASUSルーターやエッジデバイスを標的とし、悪意あるトラフィックのプロキシ用に14,000ノード以上のボットネットを構築しています。C2インフラを隠すためにカスタムKademlia DHTプロトコルを使用。被害者の60%以上が米国に所在し、台湾、香港、英国、オーストラリア、ブラジル、フランス、イタリア、スペインにもグローバルに拡散。2025年8月から活動中。
高 ボットネット IoT 14KデバイスSalesforce Experience Cloud大規模スキャンキャンペーン
脅威アクターが改変されたAuraInspectorツールを使用してSalesforce Experience Cloudサイトを大規模にスキャンしています。過度に緩いゲストユーザー設定を悪用して機密データにアクセス。数百の顧客が標的になったとされています。
高 SaaS 設定ミス北朝鮮の攻撃者がトロイの木馬化されたAirDropファイルで暗号資産企業を侵害
UNC4899(Jade Sleet / TraderTraitor)がソーシャルエンジニアリング+トロイの木馬化されたAirDropファイル転送で暗号資産組織を侵害。Living-off-the-Cloud(LOTC)技術を使用してクラウドにピボットし、DevOpsワークフローを悪用して認証情報を収集、コンテナからの脱出、Cloud SQLデータベースの改ざんによる暗号資産窃取を行いました。
APT 暗号資産 サプライチェーン🟡 新型マルウェアと回避技術
「BlackSanta」EDRキラーが人事部門を標的に
ロシア語話者の脅威アクターが1年以上にわたり人事部門を標的とし、新型EDRキラー(Endpoint Detection & Response)BlackSantaを配布するマルウェアを使用しています。キャンペーンではHRワークフローに合わせたソーシャルエンジニアリングが使用されています。
高 EDR回避 HR標的「BeatBanker」AndroidマルウェアがStarlinkアプリに偽装
新型AndroidマルウェアBeatBankerが偽のGoogle Play StoreウェブサイトでStarlinkアプリに偽装。インストール後にデバイスの完全な乗っ取りが可能。
中 Android バンキングトロイ「Zombie ZIP」— セキュリティスキャナーを回避する新技術
「Zombie ZIP」と呼ばれる新しい回避技術が、ウイルス対策ソフトやEDR検出を回避するように特別に作られた圧縮ファイルに悪意のあるペイロードを隠します。セキュリティツールがZIPアーカイブを解析する際の不整合を悪用しています。
回避 新技術ジオメトリベースのサンドボックス回避 — 「新しいチューリングテスト」
Picus Red Report 2026は、主要な攻撃者技術の80%が回避と永続化に重点を置いていることを明らかにしました。マルウェアはジオメトリベースのカーソル移動テストとCPUタイミングチェックをますます使用して、サンドボックス環境を検出し、ペイロード実行前に「人間性」を証明しています。
リサーチ サンドボックス回避悪意のあるnpmパッケージ「GhostClaw」がmacOS開発者を標的に
悪意のあるnpmパッケージ(@openclaw-ai/openclawai)が認証情報、ブラウザデータ、暗号資産ウォレット、SSHキー、Apple Keychain、iMessage履歴を窃取するRATを展開。永続C2、SOCKS5プロキシ、ライブブラウザセッションクローニングを含みます。3月3日以降178ダウンロード。
🔵 データ侵害
Ericssonデータ侵害 — 数千人が影響
通信大手Ericssonは数千人に影響するデータ侵害を確認しました。同社はインシデントをサードパーティベンダーの侵害に帰しています。流出したデータの範囲はまだ完全には明らかになっていません。
通信 サードパーティリスク🟢 セキュリティツールリリースと業界資金調達
Kevin MandiaのArmadin、1.9億ドルの資金調達でローンチ
元Mandiant CEOのKevin MandiaがArmadinをローンチ。自律的に弱点を発見・悪用するAI駆動のレッドチーミングプラットフォーム。1.9億ドルの資金調達に裏打ちされています。自動化された攻撃的セキュリティの重要な新競合。
スタートアップ 1.9億ドル Red TeamingKai — ITとOTセキュリティを橋渡しするAIプラットフォームに1.25億ドル
Clarotyの共同創業者が設立したKaiがEvolution Equity PartnersとN47から1.25億ドルの資金調達でステルスモードを脱出。焦点:AI駆動のITとOT(オペレーショナルテクノロジー)セキュリティの統合。
スタートアップ 1.25億ドル IT/OTJazz — AI駆動のデータ損失防止に6,100万ドル
JazzがAI駆動のDLP(Data Loss Prevention)のため6,100万ドルの資金調達でステルスモードを脱出。従来のDLPツールを超えた意図、コンテキスト、リスクの可視化を約束。
スタートアップ 6,100万ドル DLPEscape、ペネトレーションテスト自動化のため1,800万ドルを調達
Escapeが自動化されたペネトレーションテストのAIエージェント機能を深化し、エンジニアリングおよびgo-to-marketチームを拡大するため1,800万ドルを確保。
スタートアップ 1,800万ドル ペンテストOpenAI、Codex Security脆弱性スキャナーをリリース
OpenAIがCodex Security(旧Aardvark)をローンチ。AI駆動の脆弱性スキャナーで、先月テストしたソフトウェアで数百の重大な脆弱性を発見しています。
AIセキュリティ 脆弱性スキャナーMicrosoft Entra Passkeys — フィッシング耐性のあるWindowsサインイン
MicrosoftがWindows上のEntra向けパスキーサポートを展開し、Windows Helloによるフィッシング耐性のあるパスワードレス認証を実現。パスワードベースの攻撃排除に向けた重要な一歩。
アイデンティティ パスキー フィッシング対策📊 新たな脅威パターン
今サイクルで観測された主要トレンド
過去24時間の分析により、いくつかの収束パターンが明らかになりました:
1. エッジデバイスの大規模悪用 — KadNap(14Kルーター)、FortiGateキャンペーン、Ivanti EPM悪用のすべてがネットワークエッジインフラを標的としています。攻撃者はネットワークを保護するはずのデバイスの侵害をますます好んでいます。
2. EDR/サンドボックス回避の軍拡競争 — BlackSanta EDRキラー、Zombie ZIPアーカイブ回避、ジオメトリベースのサンドボックス検出は、エンドポイントセキュリティの回避への攻撃者の大規模投資を示しています。
3. 継続するサプライチェーン汚染 — 悪意のあるnpmパッケージ(GhostClaw)、トロイの木馬化されたAirDropファイル(UNC4899)、改変されたオープンソースツール(AuraInspector)が持続的なサプライチェーン攻撃ベクターを実証しています。
4. 大規模なベンダーパッチサイクル — Microsoft(79)、Adobe(80)、SAP(クリティカル)、HPE(クリティカル)= 1日で162件以上の脆弱性。パッチ管理はセキュリティチームにとって依然として最大の運用負担です。
5. AIセキュリティ投資の急増 — 4つのスタートアップ(Armadin、Kai、Jazz、Escape)に3.76億ドルの新規資金調達、さらにOpenAIの脆弱性スキャンへの参入。AIセキュリティ市場は急速に加速しています。