デイリー脅威ブリーフィング
2026年3月18〜19日(水曜日)· 14件の記事(4つのソースから)
⚡ 要点まとめ — 知っておくべき5つのこと
- 「DarkSword」iOSエクスプロイトキット — 国家支援アクターが6つの脆弱性チェーンでiPhoneの完全監視を実行
- Cisco FMCゼロデイ(CVE-2026-20131、CVSS 10.0) — Interlockランサムウェアが1月から積極的に悪用中
- GNU telnetd RCE(CVE-2026-32746、CVSS 9.8) — 未パッチ、認証不要のroot権限コード実行
- Ubuntu root権限昇格(CVE-2026-3888) — 24.04以降のデフォルトインストールがsystemdタイミングバグで脆弱
- EU制裁 — 加盟国への国家ハッキング活動を支援する中国・イラン企業に制裁
🔓 データ侵害と情報漏洩
Aura、90万件のマーケティング連絡先が漏洩したデータ侵害を確認
ID保護企業のAuraが、名前とメールアドレスを含む約90万件の顧客記録への不正アクセスを確認しました。ID保護企業が侵害されるという皮肉は、どの企業も免疫ではないことを浮き彫りにしています。
Marquis:ランサムウェア集団が67万2千人のデータを窃取
テキサス州の金融サービスプロバイダーMarquisは、2025年8月の攻撃でランサムウェア集団が67万人以上のデータを窃取し、米国の74の銀行の業務も妨害したことを公表しました。
イランのハッカーがStryker侵害で窃取された認証情報を使用
医療機器大手のStrykerは、イランと関連するHandalaハッキンググループがマルウェアで窃取した認証情報を使用してネットワークに侵入した後、システム復旧を進めています。
🛡️ 重大な脆弱性
Cisco FMCゼロデイ — CVE-2026-20131(CVSS 10.0)
Cisco Secure Firewall Management CenterにおけるJavaバイトストリームの安全でないデシリアライゼーションにより、認証不要のリモート攻撃者がroot権限を取得可能。Interlockランサムウェア集団は2026年1月末からゼロデイとして悪用しています。
KENSAI Impact: Cisco FMCを運用しているすべての組織は直ちにパッチを適用すべきです。これは最高の深刻度評価であり、積極的に武器化されています。
GNU Telnetd RCE — CVE-2026-32746(CVSS 9.8)
GNU InetUtils telnetデーモンのLINEMODE Set処理における境界外書き込みにより、認証不要のリモートコード実行が昇格権限で可能。現在未パッチ — telnetdを実行中の場合は無効化してください。
KENSAI Impact: telnetdをまだ実行しているレガシーインフラは完全に露出しています。即時の緩和策:サービスを無効化するか、ファイアウォールでポート23をブロック。
Ubuntu root権限昇格 — CVE-2026-3888(CVSS 7.8)
snap-confineとsystemd-tmpfiles間のタイミングエクスプロイトにより、非特権のローカル攻撃者がUbuntu Desktop 24.04+で完全なroot権限に昇格可能。10〜30日のタイミングウィンドウが必要ですが、ホストの完全な侵害につながります。
Apple WebKit Same-Originバイパス — CVE-2026-20643
WebKitのNavigation APIにおけるクロスオリジンの問題が、iOS、iPadOS、macOSのSame-Originポリシーをバイパス。Appleは新しい「Background Security Improvements」メカニズムで修正 — この軽量パッチ配信が使用されたのは初めてです。
Zimbra XSS脆弱性 — 積極的悪用中、CISAがパッチ適用を命令
CISAは、Zimbra Collaboration Suiteの積極的に悪用されているXSS脆弱性のパッチ適用を米国連邦機関に命じました。ZCSを使用する政府メールサーバーが危険にさらされています。
ConnectWise ScreenConnect署名検証の欠陥
ConnectWiseは、不正アクセスや権限昇格につながる可能性のあるScreenConnectの暗号署名検証の脆弱性について警告しました。パッチが利用可能です。
9件のIP KVM重大脆弱性 — 認証不要のroot権限アクセス
GL-iNet、Angeet/Yeeso、Sipeed NanoKVM、JetKVMの各デバイスに9つの脆弱性。ファームウェア検証の欠如、ブルートフォース保護なし、アクセス制御の不備、デバッグインターフェースの露出により、BIOSレベルの完全な乗っ取りが可能。
WhatsApp View Onceバイパス第4弾 — Metaは修正せず
研究者がWhatsAppの「一度だけ表示」機能をバイパスする4つ目の方法を公開。Metaは改変クライアントアプリが必要なため修正しないことを確認しました。
💀 ランサムウェアとアクティブな攻撃
「DarkSword」iOSエクスプロイトキット — 国家による監視
6つのiOS脆弱性を標的とする新しいエクスプロイトキットが、監視目的での完全なデバイス侵害を可能にします。国家支援のハッカーと商用スパイウェアベンダーが使用。暗号通貨ウォレットやその他のアプリからデータを窃取。完全なエクスプロイトチェーンであり、単一のバグではありません。
KENSAI Impact: 高価値ターゲット(経営幹部、政府関係者)を持つ組織は、すべてのiOSデバイスを直ちに最新バージョンにする必要があります。
DPRK IT労働者ネットワークがOFACに制裁される
米国財務省は、北朝鮮の偽リモートワーカースキームに関与する6人と2団体を制裁。DPRK工作員は偽のIDで企業に潜入し、兵器プログラムの資金を生み出しています。
EUが中国・イラン企業にハッキング活動支援で制裁
EUは、EU加盟国に対するハッキング活動を支援した中国人2名、中国企業2社、イラン企業1社に制裁を科しました。NIS2コンプライアンスの文脈で重要です。
KENSAI Impact: NIS2対象のEU組織は脅威インテリジェンスフィードを更新すべきです。これらの制裁は、NIS2が対処するために設計された国家支援の脅威モデルを裏付けています。
Nordstromのメールシステムが暗号通貨詐欺に悪用
攻撃者がNordstromの正規メールインフラを悪用し、セント・パトリックス・デーのプロモーションを装った暗号通貨詐欺メッセージを顧客に送信。実際のNordstromアドレスから送信されたため、メール認証をバイパスしました。
🔧 業界とツール
XBOWが10億ドル超の評価額で1億2000万ドルを調達 — 自律型攻撃的セキュリティ
自律型攻撃的セキュリティ企業XBOWが1億2000万ドルの調達でユニコーン入り。AIプラットフォームがソフトウェアの脆弱性を自律的に発見・検証 — KENSAIの自動化ペネトレーションテストと直接競合する領域です。
KENSAI Impact: AI搭載セキュリティテストの市場を検証。XBOWの10億ドル超の評価額は投資家の意欲を証明。KENSAIの主要な差別化要因:XBOWの純粋な脆弱性発見アプローチに対する多言語NIS2コンプライアンス重視。
クラウドセキュリティスタートアップ「Native」がステルスモードから脱出 — 4200万ドルの資金調達
クラウドセキュリティスタートアップのNativeが4200万ドルを調達。元Google Cloud CISOのPhil Venablesが取締役に就任。クラウドネイティブセキュリティに注力。
ManifoldがAI検知・対応で800万ドルを調達
エンドポイント上の自律型AIの保護に特化したManifoldが、AI固有の脅威検知製品開発に800万ドルを調達。
テック大手がオープンソースセキュリティに1250万ドルを投資
Anthropic、AWS、Google、Microsoft、OpenAIがLinux Foundationのオープンソースソフトウェアセキュリティに焦点を当てた長期セキュリティイニシアチブに資金提供。
📡 新興脅威パターン
AIインフラが攻撃対象に — Amazon Bedrock、LangSmith、SGLang
新しい研究により、AIコード実行環境がDNSクエリを介したデータ窃取に悪用可能であることが判明。Amazon Bedrock AgentCoreのサンドボックスは送信DNSを許可しており、攻撃者がインタラクティブシェルに悪用。LangSmithとSGLangも影響を受けています。AIスタックがファーストクラスの攻撃対象になりつつあります。
KENSAI Impact: AIセキュリティはもはや理論的ではなく、アクティブな攻撃対象です。AIセキュリティテストに関するKENSAIのポジショニングを裏付けています。AIエージェントを導入する企業にはセキュリティスキャンが必要です。
CISOの67%がAI利用の可視性が限定的
Penteraの2026年ベンチマークレポートによると、CISOの67%が組織内のAI利用に対する可視性が限定的。完全な可視性を報告した回答者はゼロ。AI導入がセキュリティ制御を上回っています — AIシステムを防御するツールとスキルは過去の時代のものです。
SaaSアプリのシャドーAIが大規模侵害を可能に
SaaSアプリケーションに隠れたシャドーAIが制御されていないデータパスを作成。従業員が既に使用しているツールで自動的に有効化されるエージェントAI機能により、セキュリティチームはどのデータがどこで処理されているか可視性がありません。
ブラウザベースの攻撃がセキュリティ制御を回避
Push Securityのレポートは、AITMフィッシング、ClickFix、悪意のあるOAuthアプリ、セッションハイジャックを、今日最大の侵害を引き起こす攻撃ベクターとして指摘 — すべてブラウザ内で動作し、従来のセキュリティツールの可視性が限定的な領域です。
Magecartが進化:動的ファビコンのEXIFデータにペイロードを隠蔽
新しいMagecart手法が、動的に読み込まれるサードパーティファビコンのEXIFデータ内に悪意のあるペイロードを隠蔽。悪意のあるコードがリポジトリに触れないため、AI搭載のものを含むいかなる静的コードスキャナーも検出できません。クライアントサイドのランタイム監視のみが検出可能です。