剣 KENSAI
← Back to archive

デイリー脅威ブリーフィング

2026-03-17 · 火曜日 · 04:00 CET
24時間セキュリティ情勢の自動分析
4
侵害事案
3
重大な脆弱性
2
APT キャンペーン
3
新ツール

⚡ 要点まとめ — 本日の注目事項

  • Stryker ワイパー攻撃: イラン系のHandalaがIntuneのリモートワイプを利用し約80,000台のデバイスを消去 — マルウェア不要、盗まれたグローバル管理者アカウントのみで実行
  • GlassWorm サプライチェーン攻撃の拡大: 盗まれたGitHubトークンを使用し、数百のPythonリポジトリ(Django、ML、PyPIパッケージ)にマルウェアを強制プッシュ
  • Chrome ゼロデイ修正: CVE-2026-3909(Skia)およびCVE-2026-3910(V8)が実際に悪用されている — 直ちにアップデートを
  • Oracle EBS 侵害: 主要4社(Broadcom、Bechtel、Estée Lauder、Abbott)のみが影響について未回答
  • DRILLAPP バックドア: ロシア系アクターがEdgeブラウザのデバッグ機能を悪用しウクライナを標的に — マイクおよびウェブカメラへのアクセスが可能
  • Betterleaks リリース: Gitleaks開発者による新しいオープンソース機密情報スキャナー — より高速、よりスマート、MITライセンス

🔓 侵害・インシデント

Stryker:イラン系ワイパー攻撃で約80,000台のデバイスに被害

📅 3月16日 🏢 Stryker(医療機器) 🌍 グローバル

イラン系ハクティビスト集団Handalaが、Strykerの管理者アカウントを侵害し、Microsoft Entra IDに新たなグローバル管理者を作成。Intuneのリモートワイプコマンドを利用して、3月11日のUTC 5:00〜8:00の間に約80,000台のデバイスを消去した。マルウェアは使用されず、攻撃者は正規のMDM機能を武器化した。BYODデバイスを企業ネットワークに登録していた従業員の一部が個人データを喪失。電子発注システムはオフラインのままだが、医療機器の安全性は確認済み。Microsoft DARTとPalo Alto Unit 42が調査中。

KENSAI の視点: この攻撃は重大な盲点を浮き彫りにしている — IntuneのようなMDMプラットフォームはマルウェアなしで破壊に利用される可能性がある。NIS2第21条はサプライチェーンおよび管理者アクセス制御を義務付けている。組織はすべてのグローバル管理者アカウントにフィッシング耐性のあるMFAを適用し、緊急用アカウントの監視を実装すべきである。
重大 ワイパー MDM 悪用 イラン

Oracle EBS 侵害:大手4社がいまだ沈黙

📅 3月16日 🏢 Broadcom、Bechtel、Estée Lauder、Abbott

Oracle E-Business Suiteの侵害事案は引き続き展開中。Broadcom、Bechtel、Estée Lauder、Abbott Technologiesのみが、潜在的な影響について公式声明を出していない主要企業である。初期の侵入経路と範囲の詳細は調査継続中のため非公開のままである。

ERP データ侵害

Starbucks 従業員データ漏洩 — フィッシング経由

📅 3月16日 🏢 Starbucks

Starbucksは、従業員ポータルを標的としたフィッシング攻撃により数百人の従業員に影響するデータ漏洩を確認した。個人の従業員情報が流出。このインシデントは、社内人事システムに対する認証情報ベースの攻撃リスクが継続していることを示している。

フィッシング 従業員データ

Loblaw 顧客データ漏洩

📅 3月16日 🏢 Loblaw Companies 🌍 カナダ

カナダの小売大手Loblawは、ハッカーが顧客の個人情報(氏名、メールアドレス、電話番号を含む)にアクセスしたことを公表した。侵害の範囲と攻撃経路は完全には開示されていない。

小売 個人情報

英国 Companies House のセキュリティ欠陥 — 2025年10月から事業データが露出

📅 3月16日 🏢 UK Companies House 🌍 英国

英国政府機関のWebFilingサービスが、2025年10月から企業情報を露出させていたセキュリティ欠陥の発見を受け、金曜日にオフラインとなった — 約5ヶ月間未検出のまま露出していた。修正が適用され、サービスは復旧済み。

政府 データ露出

🛡️ 重大な脆弱性

Chrome ゼロデイ:CVE-2026-3909 & CVE-2026-3910(実際に悪用確認済み)

📅 3月16日 ⚠️ CVSS: 高 🔴 実環境で悪用中

CVE-2026-3909: Skia 2Dグラフィックスライブラリにおける境界外書き込み。CVE-2026-3910: V8 JavaScript/WebAssemblyエンジンにおける不適切な実装により境界外アクセスが発生。両方とも実際に悪用されている。Googleはパッチをリリース済み — 直ちにChromeをアップデートすること。

KENSAI の視点: ブラウザの脆弱性はクライアントサイド攻撃ベクターの第1位であり続けている。KENSAIのDASTスキャンは、ヘッダー分析とバージョン検出を通じて、ブラウザ更新ポリシーの適用状況を検証できる。
重大 ゼロデイ Chrome 実環境悪用

Wing FTP Server — CISAが実際の悪用を警告

📅 3月16日 ⚠️ KEV リスト掲載 🔴 実環境で悪用中

CISAはWing FTP Serverの脆弱性をKnown Exploited Vulnerabilitiesカタログに追加し、他の脆弱性と組み合わせてリモートコード実行に悪用されていると警告した。連邦機関はBOD 22-01の期限内にパッチを適用する必要がある。

重大 RCE CISA KEV

HPE AOS-CX:未認証での管理者パスワードリセット

📅 3月16日 ⚠️ CVSS: 重大

HPE Aruba AOS-CXネットワークスイッチの重大な脆弱性により、リモートの未認証の攻撃者が管理者パスワードをリセットでき、既存の認証制御を完全にバイパスできる。直ちにパッチを適用すること — コアネットワークインフラストラクチャに影響する。

重大 ネットワークインフラ 認証バイパス

n8n ワークフロー自動化の脆弱性が悪用される

📅 3月16日 🔴 実環境で悪用中

人気のワークフロー自動化プラットフォームn8nの脆弱性が実際に悪用されている。SecurityWeekの週間まとめで報告。セルフホストのn8nインスタンスを運用している組織は、直ちにアップデートを確認しアクセス制御を見直すべきである。

自動化 悪用確認

🐛 サプライチェーン & マルウェア

GlassWorm ForceMemo:盗まれたGitHubトークンによるPythonリポジトリへのマルウェア注入

📅 3月17日 ⚠️ 活動中のキャンペーン 🌍 グローバル

GlassWormキャンペーンは劇的に拡大している。攻撃者は以前のVS Code拡張機能攻撃で盗まれたGitHubトークンを使用し、難読化されたマルウェアを数百のPythonリポジトリ(Djangoアプリ、ML研究コード、Streamlitダッシュボード、PyPIパッケージ)に注入している。「ForceMemo」と名付けられたこの手法は、悪意あるコミットを正規のコミットにリベースし、元の作者情報とコミットメッセージを保持して検出を回避する。侵害されたリポジトリからpip installを実行するとマルウェアが起動する。注入は3月8日から確認されている。

KENSAI の視点: これはまさにNIS2第21条(2)(d)が対象とする典型的なサプライチェーン攻撃である。組織はPythonの依存関係を監査し、コミット署名を検証し、侵害の痕跡をスキャンすべきである。KENSAIのSBOMおよび依存関係分析機能は侵害されたパッケージを検出できる。
重大 サプライチェーン Python GitHub

ClickFix キャンペーンがMacSync macOS情報窃取マルウェアを配布

📅 3月16日 🍎 macOS

3つの異なるClickFixキャンペーンが、偽のAIツールインストーラー(偽の「OpenAI Atlas」ブラウザを含む)を通じてMacSync情報窃取マルウェアを配布している。攻撃は完全にユーザー操作に依存しており、被害者は難読化されたターミナルコマンドをコピーして実行する。Googleのスポンサード検索結果から偽のGoogle Sitesページへ誘導される。Sophosの研究者が2025年11月以降の攻撃チェーン全体を文書化した。

macOS 情報窃取 ソーシャルエンジニアリング

Storm-2561:偽VPNクライアントによる認証情報窃取

📅 3月16日 ⚠️ 活動中のキャンペーン

脅威アクターStorm-2561は、SEOポイズニングを通じてトロイの木馬化されたVPNクライアントを配布し、正規のVPNソフトウェアを検索する無警戒なユーザーからログイン認証情報を窃取している。

VPN SEOポイズニング 認証情報窃取

Slopoly マルウェアが出現

📅 3月16日

「Slopoly」と名付けられた新しいマルウェアファミリーがSecurityWeekの週間まとめで報告された。詳細はまだ明らかになっていないが、今週の注目すべき脅威として記載されている。

新規 マルウェア

🎯 APT & 国家支援活動

DRILLAPP:ロシア系バックドアがEdgeデバッグ機能を悪用しウクライナを標的に

📅 3月16日 🏴 Laundry Bear / UAC-0190 🎯 ウクライナ

JavaScriptベースの新しいバックドア「DRILLAPP」は、Microsoft Edgeのリモートデバッグ機能を悪用し、ウクライナの組織に対するステルス諜報活動を行っている。このマルウェアはブラウザのネイティブ機能を通じて、ファイルのアップロード・ダウンロード、マイクへのアクセス、ウェブカメラ画像のキャプチャが可能。司法および慈善団体をテーマにしたLNKファイル付きの誘導メールで配信される。ロシア系脅威グループLaundry Bear(Void Blizzard)に帰属。2026年2月から活動が確認されている。

重大 APT ロシア 諜報活動

CL-STA-1087:中国が東南アジアの軍事組織を標的に

📅 3月13日 🏴 CL-STA-1087 🎯 東南アジア軍事

Palo Alto Unit 42は、2020年から活動する中国系の忍耐強い諜報作戦を公開した。東南アジアの軍事組織をカスタムマルウェアAppleChrisおよびMemFunで標的としている。攻撃者は「戦略的な作戦上の忍耐」を示し、大量データの窃取ではなく、高度に特定された軍事能力に関する文書に焦点を当てていた。

APT 中国 軍事

イラン系ハッカーが標的を米国インフラに拡大

📅 3月16日 🏴 親イラン系グループ 🎯 米国、中東

親イラン系ハッカーが中東の標的を超えて米国へ活動を拡大しており、地域紛争が続く中、防衛関連企業、発電所、水処理施設へのリスクが高まっている。

イラン 重要インフラ ICS/OT

ポーランドの原子力研究センター:ハッキング未遂(イランの可能性)

📅 3月16日 🎯 ポーランド

ポーランドの原子力研究センターでハッキング未遂が報告された。初期の証拠はイランを示唆しているが、偽旗作戦の可能性も当局は認めている。調査は継続中。

原子力 重要インフラ

🔧 セキュリティツール & リリース

Betterleaks:オープンソース機密情報スキャナー(Gitleaks 後継)

📅 3月15日 📦 MITライセンス 🔗 GitHub

Zach Rice(Gitleaksのオリジナル開発者、現Aikido SecurityのHead of Secrets Scanning)が開発したBetterleaksは、ゼロからの書き直しで大幅に改善されている:CELベースのルール検証、98.6%の再現率を実現するBPEトークン化(エントロピーベースの70.4%に対して)、純粋なGo実装、多重エンコードされた機密情報の自動処理、並列化されたGitスキャン、拡張されたプロバイダールールセット。今後の機能にはLLM支援による分類と自動的な機密情報の無効化が含まれる。

新リリース 機密情報スキャン オープンソース

Bold Security:4,000万ドルのステルスローンチ — AIデバイスエージェント

📅 3月16日 💰 4,000万ドルの資金調達

Bold Securityが4,000万ドルの資金調達でステルスから登場した。アプローチは、デバイスをユーザーの行動を理解しリアルタイム保護を提供するAIエージェントに変えるというもの。AIセキュリティ分野の潜在的な競合/パートナーとして注目に値する。

新規 AIセキュリティ スタートアップ

Android 17:マルウェア対策のアクセシビリティAPI制限

📅 3月16日 📱 Android

GoogleはAndroid 17 Beta 2でセキュリティ機能をテストしている。Advanced Protection Mode下でアクセシビリティ以外のアプリがAccessibility Services APIを使用することをブロックする。これはAndroidバンキング型トロイの木馬やスパイウェアの主要な攻撃ベクターを直接標的としている。

新規 Android モバイルセキュリティ

📊 新たなパターン

今週の主要トレンド

注目すべき複数のパターンが収束している:

1. 武器としてのMDM: Stryker攻撃は、正規の管理ツール(Intune、SCCM、Jamf)が今や第一級の攻撃面であることを証明した。マルウェア不要 — 管理者認証情報とワイプコマンドだけで十分。模倣犯が出ることが予想される。

2. サプライチェーンの連鎖反応(GlassWorm → ForceMemo): 単一のサプライチェーン侵害(VS Code拡張機能)が、Pythonリポジトリへの二次攻撃に連鎖している。ある攻撃で盗まれた認証情報が次の攻撃の燃料となるこの連鎖反応パターンは加速している。

3. ClickFixのクロスプラットフォーム展開: ClickFixのソーシャルエンジニアリング手法(ユーザーにターミナルコマンドを実行させる)が、偽のAIツールインストーラーを通じてWindowsからmacOSへ展開された。AIの誇大広告が新たなフィッシングの餌になっている。

4. C2としてのブラウザ: DRILLAPP(Edgeデバッグ)とChrome ゼロデイの両方が、ブラウザが依然として最も価値ある攻撃面であることを実証している。「ブラウジング」と「侵害された」の境界線はますます薄くなっている。

5. イランのエスカレーション: 24時間以内にイラン関連の記事が3件 — Strykerワイパー、米国インフラ標的、ポーランド原子力施設。地政学的緊張がサイバー作戦に直接反映されている。

KENSAI の視点: 今週の複数の記事はNIS2コンプライアンス要件に直接対応している:サプライチェーンセキュリティ(第21条2項d)、インシデント対応(第21条2項b)、アクセス制御(第21条2項i)。これはまさにKENSAIが対処するために構築された脅威情勢である。

📌 その他の注目事項

短信

Microsoft Exchange Online 障害 — メールボックス/カレンダーアクセスをブロックする継続中の問題(3月16日)
Googleが2025年にバグバウンティで1,700万ドルを支払い — Chromeだけで370万ドル、クラウドセキュリティに350万ドル
シャドーAIガバナンス — Nudge Securityが企業全体で監視されていないAIツール導入の増加を報告
セキュリティ企業幹部が標的に — DKIM署名メール、信頼されたリダイレクト、Cloudflare保護のフィッシングページを使用した高度なフィッシング
Interpol サイバー犯罪取り締まり — 週間まとめで多国籍作戦が報告
Telus Digital データ漏洩 — カナダの通信子会社が影響を受ける
Linux AppArmor 脆弱性 — root権限昇格を可能にする欠陥