KENSAI セキュリティリサーチ
🔴 重大な脆弱性
Chrome 146が悪用された2件のZero-Dayを修正(CVE-2026-3909 & CVE-2026-3910)
Googleは、実際に悪用されている2件の深刻度の高いZero-Day脆弱性に対する緊急パッチをリリースしました。CVE-2026-3909(CVSS 8.8)はSkia 2Dグラフィックスライブラリにおける境界外書き込み、CVE-2026-3910はV8 JavaScriptエンジンを標的としています。両方とも細工されたHTMLページを介したリモートコード実行を可能にします。Chromeを直ちに更新してください。
HPE AOS-CXの重大な脆弱性により管理者パスワードのリセットが可能
HPE Aruba AOS-CXネットワークスイッチの重大な脆弱性により、認証されていないリモート攻撃者が認証制御を回避し、管理者パスワードをリセットできます。HPE AOS-CXを運用している組織は緊急にパッチを適用すべきです — 悪用にユーザーの操作は不要です。
Linux AppArmorに9件の「CrackArmor」脆弱性 — Root昇格とコンテナ脱出
Qualys TRUがLinuxカーネルのAppArmorモジュールにおける9件のconfused deputy脆弱性を公開しました。非特権ユーザーがrootに昇格し、コンテナ分離を破ることが可能です。これらの脆弱性はLinuxの基本的なセキュリティ保証を損なうものです。すべての主要ディストリビューションが今週カーネルパッチをリリースする見込みです。
WordPress「Ally」プラグインのSQLiが20万以上のサイトを危険に
人気のAlly WordPressプラグイン(20万件以上のインストール)のSQLインジェクション脆弱性により、攻撃者がクエリを注入し、機密データベースコンテンツを抽出できます。公開時点でパッチは利用不可。サイト管理者は修正がリリースされるまでプラグインを無効化すべきです。
💀 データ漏洩と攻撃
Starbucks従業員データがフィッシングキャンペーンにより漏洩
Starbucksは、内部従業員ポータルを標的としたフィッシング攻撃後、従業員データに影響するデータ侵害を確認しました。数百人の従業員が影響を受け、個人情報が流出しました。認証情報の窃取が主な攻撃ベクトルでした。
イラン関連の攻撃がStrykerの製造を妨害
イランの脅威アクターが医療機器メーカーStrykerを攻撃し、製造・出荷業務を妨害しました。攻撃者は従来のマルウェアではなく、既存のエンドポイント管理ツール(Living off the Land)を使用してデバイスをワイプしました。医療セクターのサプライチェーンへの重大な影響です。
ポーランドの原子力研究センターがサイバー攻撃の標的に
ポーランド国立原子力研究センター(NCBJ)がIT基盤を標的としたサイバー攻撃を報告しました。攻撃は影響を及ぼす前に検出・遮断されましたが、原子力研究機関の標的化はヨーロッパにおける地政学的サイバー作戦の激化を示しています。
🕷️ 脅威キャンペーンとマルウェア
中国APT CL-STA-1087が東南アジアの軍を標的に
Palo Alto Unit 42が2020年以降、東南アジアの軍事組織を標的とする中国関連のAPTキャンペーンを発見しました。カスタムマルウェア(AppleChris、MemFun)を使用し、軍事能力と西側軍事協力に関する特定のファイルを収集していました。「戦略的作戦忍耐」— 大量窃取ではなく、高度に標的を絞った情報収集を示しています。
Storm-2561: SEOポイズニングによるトロイの木馬化されたエンタープライズVPNクライアント
MicrosoftがStorm-2561のキャンペーンを公開。Ivanti、Cisco、FortinetのVPNクライアントを模した偽アプリをSEOポイズニングで配布しています。正規のエンタープライズVPNソフトウェアを検索するユーザーが、VPN認証情報を窃取するデジタル署名されたトロイの木馬を配信する攻撃者管理サイトにリダイレクトされます。すべてのエンタープライズVPN管理者はダウンロードソースに関する注意喚起を発行すべきです。
GlassWormが拡大:72の悪意あるOpen VSX拡張機能
GlassWormサプライチェーンキャンペーンの大幅なエスカレーションにより、Open VSXレジストリのextensionPackとextensionDependenciesを悪用して、72の拡張機能にわたる推移的感染チェーンが作成されています。Open VSXを使用するVS Code代替製品を使用している開発者は、インストール済みの拡張機能を直ちに監査すべきです。
AppsFlyer SDKが暗号資産窃取サプライチェーン攻撃に悪用
AppsFlyer Web SDKが暗号資産を窃取するために設計された悪意のあるJavaScriptコードで一時的に侵害されました。このサプライチェーン攻撃は、人気のマーケティング分析SDKを統合しているサイトに影響しました。悪意のあるコードは削除されましたが、SDKをキャッシュしているサイトはまだ配信している可能性があります。
⚖️ 法執行機関の活動
INTERPOL シナジーIII作戦:45,000のIPをシンクホール化、94人逮捕
INTERPOLの史上最大のサイバー犯罪摘発作戦は72か国が参加し、45,000の悪意あるIPをシンクホール化し、212台のサーバーを押収しました。94人が逮捕され、さらに110人が捜査中です。標的にはフィッシング、マルウェア配布、ランサムウェアのインフラが含まれていました。バングラデシュだけで40人の逮捕と134台のデバイスが押収されました。
SocksEscortプロキシボットネット解体 — 163か国369,000台のデバイス
裁判所が承認した国際的な作戦により、2020年以降369,000台の家庭用ルーターをAVreconマルウェアに感染させた犯罪プロキシボットネットSocksEscortが解体されました。このサービスは詐欺操作のために侵害された家庭用ルーターへのアクセスを販売しており、約8,000のアクティブノードのうち2,500台が米国に所在していました。
FBIがSteamゲームを介したマルウェア拡散を捜査
FBIは、マルウェアを含む8つの悪意あるゲームをSteamでインストールした被害者を探しています。捜査はゲーミングプラットフォームをマルウェア配布ベクトルとして使用したキャンペーンを対象としています。最近数週間で不明なタイトルをインストールしたゲーマーはシステムをスキャンすべきです。
🛡️ セキュリティツールと業界
Bold Securityがステルスモードから登場 — 4,000万ドル調達
Bold Securityが4,000万ドルの資金調達で設立され、AIを使用してエンドポイントをユーザー行動を理解しリアルタイム保護を提供するアクティブセキュリティエージェントに変換します。自律的なAI駆動エンドポイントセキュリティへの業界の継続的なシフトを表しています。
Onyx Security設立 — AIエージェント監視に4,000万ドル
Onyx Securityが4,000万ドルの資金調達で設立され、自律的なAIエージェントを監視するためのコントロールプレーンを構築します。新興のAIガバナンス市場に直接関連 — 組織がセキュリティコントロールを維持しながらAIエージェントを安全に導入することを支援します。
Google、2025年にバグバウンティ報奨金1,700万ドルを支払い
Googleの2025年バグバウンティプログラムは合計1,700万ドルを支払い — Chromeの脆弱性に370万ドル、クラウドセキュリティの欠陥に350万ドル。市場における脆弱性研究の価値(とボリューム)の成長を示しています。
📌 注目のニュース
MetaがInstagramのE2E暗号化チャットを終了(2026年5月)
Metaは2026年5月8日以降、Instagramのダイレクトメッセージのエンドツーエンド暗号化を廃止します。数百万人のユーザーに影響する重大なプライバシーの後退です。メディアとメッセージは期限前にダウンロードすべきです。
イラン関連ハッカーが米国への標的を拡大
親イランのハッカーが中東を超えて、米国の防衛請負業者、発電所、浄水場へと標的を拡大しています。戦時下の状況でのエスカレーションは、米国の重要インフラ運用者のリスクプロファイルを高めています。
Microsoft、Windows 11 RRAS RCEの帯域外ホットパッチをリリース
MicrosoftがWindows 11 EnterpriseのRouting and Remote Access Service(RRAS)のセキュリティ脆弱性を修正する帯域外アップデートをリリースしました。ホットパッチ対応のEnterprise環境のみが影響を受けます。
Apple、旧バージョンiOSをCoruna Exploitsに対しパッチ適用
AppleがiOS 16.7.15と15.8.7をリリースし、旧デバイスのCoruna Exploitsを修正しました。米国の防衛請負業者がCorunaエクスプロイトチェーンの背後にいるとされています。まだ使用中の旧iPhoneおよびiPadは直ちに更新すべきです。
🎯 KENSAIの関連性と推奨アクション
- サプライチェーン攻撃が支配的:GlassWorm(VSX)、AppsFlyer SDK、Steamマルウェア — KENSAIのSBOMスキャンと依存関係分析は直接関連するコンテンツの切り口
- CrackArmor Linuxの脆弱性:コンテナ脱出の脆弱性はクラウドホストアプリに影響 — DevOpsチーム向けのKENSAIインフラスキャンコンテンツの強力な切り口
- 2つの新AIセキュリティスタートアップ(合計8,000万ドル):Bold SecurityとOnyx SecurityがAIセキュリティ市場を検証。KENSAIはコンテンツ戦略でこれらに対してポジショニングすべき
- イランAPTのエスカレーション:米国重要インフラの標的化 + DACHマーケットコンテンツ向けNIS2コンプライアンスの切り口(エネルギー、水道、防衛請負業者)
- WordPress SQLi(20万サイト):KENSAI無料スキャンプロモーションの良い候補 — 「あなたのWordPressサイトは脆弱ですか?」
- VPN認証情報窃取(Storm-2561):エンタープライズセキュリティ衛生コンテンツの機会 — 認証情報の監視、ダウンロード検証