セキュリティブリーフィング
⚡ TL;DR — 本日の重要事項
- DarkSword iOSエクスプロイトキット — 1ヶ月で2番目のフルチェーンiOSキット、3件のzero-day、ロシアのスパイグループUNC6353がウクライナを標的に。iOS 18.4〜18.7が影響。
- HaktivistグループHandalaがStrykerの80,000台のデバイスを消去 — Microsoft Intune経由。FBIがリークサイトを押収。CISAがIntune強化ガイダンスを発行。
- PolyShell RCE — すべてのMagento/Adobe Commerce v2に影響。ポリグロットファイルアップロードによる未認証コード実行。本番パッチはまだなし。
- Cisco FMC zero-day — 1月からInterlock ランサムウェアに悪用。Amazonがロシアとの関連を発見。
- Navia侵害 — 270万人に影響。機密の福利厚生データが流出。
- APT28(ロシア)がZimbra CSSサニタイゼーションの脆弱性を悪用してウクライナ政府を攻撃。
- 9件の重大なIP KVM脆弱性 — 4ベンダーにまたがる。BIOSレベルでの未認証ルートアクセス。
データ侵害
Navia Benefit Solutions — 270万件の記録が流出
福利厚生管理会社Naviaが、約270万人に影響する侵害を公表。攻撃者は福利厚生データ、社会保障番号、財務記録を含む機密個人情報にアクセス。同社は影響を受けた個人にクレジットモニタリングサービスを提供している。
Aura Security — フィッシングにより90万件の記録が流出
皮肉なことに、ID保護企業Auraが90万件の記録に影響する侵害を公表。従業員が標的型電話フィッシング(ビッシング)攻撃の被害に遭い、攻撃者が顧客データを含むマーケティングツールにアクセスした。
Marquis データ侵害 — 672,000人を確認
当初の推定160万人から下方修正され、Marquis侵害は672,000人の影響を確認。データの種類と攻撃ベクトルの詳細は引き続き調査中。
重大な脆弱性
DarkSword iOSエクスプロイトキット — 6件の脆弱性、3件のZero-Day
Google Threat Intelligence、iVerify、Lookoutが共同で「DarkSword」を公表 — iOS 18.4〜18.7を標的とするフルチェーンiOSエクスプロイトキット。3件のzero-day(CVE-2026-20700、CVE-2025-43529、CVE-2025-14174)を含む6件の脆弱性を悪用。ロシアのグループUNC6353、商用監視ベンダー、ウクライナ、サウジアラビア、トルコ、マレーシアを標的とする国家支援アクターが使用。数秒でデータを窃取する「ヒットアンドラン」方式を採用。Corunaに続き1ヶ月以内に発見された2番目のiOSエクスプロイトキット。
PolyShell — すべてのMagento/Adobe Commerce v2で未認証RCE
SansecがMagentoのREST APIファイルアップロード処理における脆弱性「PolyShell」を発見。攻撃者はポリグロットファイル(画像とスクリプトの両方として有効)をアップロードし、未認証のリモートコード実行またはストアドXSSによるアカウント乗っ取りを実現。すべてのMagento Open SourceおよびAdobe Commerce v2本番環境に影響。パッチはアルファ版2.4.9でのみ利用可能 — 本番修正はまだなし。エクスプロイト手法はすでに流通中。
Ubiquiti UniFi — 最高深刻度のアカウント乗っ取り
UbiquitiがUniFi Network Applicationの2件の脆弱性を修正。アカウント乗っ取りを可能にする最高深刻度の脆弱性を含む。管理者は直ちにアップデートすべき。
ScreenConnect — 重大なマシンキー漏洩
ConnectWiseがマシンキーを漏洩させるScreenConnectの重大な脆弱性を修正。不正なリモートアクセスを許可する可能性があった。最新バージョンではキー保護のための暗号化ストレージと管理機能を追加。
SharePoint RCE (CVE-2026-20963) — 活発な悪用
CISAがMicrosoft SharePoint CVE-2026-20963をKnown Exploited Vulnerabilitiesカタログに追加。1月のPatch Tuesdayで修正されたRCE脆弱性が、実環境での悪用が確認された。
9件の重大なIP KVM脆弱性 — 未認証ルートアクセス
Eclypsiumが4つのIP KVM製品(GL-iNet Comet RM-1、Angeet/Yeeso ES3、Sipeed NanoKVM、JetKVM)にまたがる9件の脆弱性を発見。ファームウェア署名検証の欠如、ブルートフォース保護なし、アクセス制御の不備、デバッグインターフェースの露出。攻撃者はBIOS/UEFIレベルでルートアクセスを取得可能 — すべてのOSレベルのセキュリティをバイパス。
ランサムウェアと主要攻撃
HaktivistグループHandalaがMicrosoft Intune経由でStrykerの80,000台のデバイスを消去
HaktivistグループHandalaが、医療技術大手Strykerに対し壊滅的な破壊攻撃を実施。Microsoft Intuneエンドポイント管理を武器化し、約80,000台のデバイスを消去。FBIはHandalaが運営する2つのデータリークサイトを押収。CISAはその後、すべての米国組織に対しMicrosoft Intune展開の強化に関する緊急ガイダンスを発行。
Cisco FMC Zero-DayがInterlock ランサムウェアに悪用
Amazonが、Cisco Firewall Management Center (FMC)の脆弱性が1月下旬からInterlock ランサムウェアグループによりzero-dayとして悪用されていることを発見。ロシアとの関連を示す証拠あり。Ciscoの最近の脆弱性の連続は、ファイアウォールとSD-WANの脆弱性が活発に悪用されている憂慮すべきパターンを示している。
Bitrefillが北朝鮮Lazarus/Bluenoroffによる攻撃と特定
暗号ギフトカードプラットフォームBitrefillが、3月初旬のサイバー攻撃が北朝鮮のBluenoroffグループ(Lazarusサブグループ)によるものである可能性が高いと公表。北朝鮮が収益獲得のために暗号通貨・フィンテックプラットフォームを標的にするパターンの継続。
ノースカロライナ州内部犯行 — 250万ドルの身代金
ノースカロライナ州の技術者が、ワシントンの技術企業に対する内部犯行で有罪判決を受け、250万ドルの身代金を得ていた。内部脅威リスクの根強さを浮き彫りにしている。
国家支援型・APT活動
APT28(ロシア/GRU)がZimbraを悪用してウクライナを攻撃
ロシア軍事情報機関に関連するAPT28が、ウクライナ政府機関への攻撃においてZimbra Collaboration Suiteの脆弱性を活発に悪用中。この脆弱性はHTMLメールにおけるCSS サニタイゼーション不足に関するもので、ブラウザでメッセージを開くとインラインスクリプトが実行される。
イランのサイバーインフラ構築が判明
分析により、米国に拠点を置くシェルカンパニーを含むイラン関連サイバーインフラの6ヶ月にわたる構築が明らかに。グローバルなハッキング活動の回復力を確保し、潜在的な物理攻撃に耐えるよう設計。Stryker事件を受け、連邦当局はイランのサイバー攻撃に対する警戒を強化。
The Gentlemen RaaS — FortiGate特化の攻撃活動
Group-IBが「The Gentlemen」を詳報 — FortiGateファイアウォールの脆弱性を特に悪用する約20名規模の新興Ransomware-as-a-Service活動。初期アクセスにエッジデバイスを悪用するトレンドの継続。
セキュリティツールと業界動向
Oasis Security — AIエージェントアクセス管理に1億2000万ドル
Oasis Securityがエージェント型アクセス管理プラットフォームの拡大のため1億2000万ドルを調達。R&D、AIフレームワーク製品の拡充、Go-to-Marketの拡大に注力。AIエージェントセキュリティ制御への投資家の関心の高まりを示す。
Cloaked プライバシープラットフォーム — 3億7500万ドルの資金調達
プライバシープラットフォームCloakedがエンタープライズ市場への拡大のため3億7500万ドルを調達。ユーザーに代わってプライバシー設定とセキュリティ態勢を監視・管理・実施するAIエージェントの導入を計画。
1stProtect — ステルスから2000万ドルで登場
エンドポイントセキュリティスタートアップ1stProtectが2000万ドルを得てステルスから登場。ユーザーの行動を監視し意図を検証することでリアルタイムに攻撃を阻止するプラットフォーム — エンドポイント保護への新しいアプローチ。
Raven — ランタイム異常検知に2000万ドル
Ravenが2000万ドルを得てステルスから登場。ランタイム時にアプリケーションを観察し、異常な挙動を検出してサイバー攻撃を防止するプラットフォーム — 静的解析と実際の悪用の間のギャップを標的にしている。
Ceros — Claude Code向けAIトラストレイヤー
Beyond IdentityがCerosを発表 — Claude Codeエージェント操作に対するリアルタイムの可視性、ランタイムポリシー実施、暗号化監査証跡を提供する「AIトラストレイヤー」。既存のセキュリティ制御の外で完全な開発者権限で動作するAIコーディングエージェントの新たなリスクに対処。
新興脅威パターン
iOSエクスプロイトの拡散
2つのフルチェーンiOSエクスプロイトキット(CorunaとDarkSword)が1ヶ月以内に発見され、国家アクターと商用監視ベンダーの両方が使用。金銭目的のグループでさえ国家レベルのモバイルエクスプロイトを入手できる活発な二次市場の存在を示す。数時間ではなく数秒でデータを窃取する「ヒットアンドラン」方式により、フォレンジック検出が極めて困難に。
エッジデバイスの悪用が継続
FortiGate(The Gentlemen RaaS)、Cisco FMC(Interlock ランサムウェア)、Ubiquiti UniFi、Zimbra、IP KVMデバイス — パターンは明確。攻撃者はネットワークエッジインフラを体系的に標的にしている。新しいIP KVM研究は、安価でセキュリティの不十分なハードウェアを通じてBIOSレベルのアクセスさえリスクにさらされていることを示す。組織はすべてのエッジデバイスを重要な攻撃面として扱う必要がある。
Microsoft Intuneが攻撃ベクトルに
HandalaがMicrosoft Intuneを武器化してStrykerの80,000台のデバイスを消去したことは警鐘となる。デバイスを保護するために設計されたエンドポイント管理ツールが、侵害された場合に大量破壊の武器になり得る。CISAの対応ガイダンスは、これが企業が防御すべき認知された攻撃パターンとなったことを示す。
AIエージェントセキュリティがカテゴリーとして確立
複数のスタートアップ(今週だけで5億3500万ドル以上の資金調達)がAIエージェントセキュリティに特化した製品を構築 — アクセス管理、ランタイム監視、プライバシー実施。Ceros(Claude Code向け)、Oasis(エージェントアクセス)、Cloaked(AIプライバシーエージェント)は、AIエージェントの保護が独自のセキュリティ分野になりつつあることを示す。KENSAIのロードマップに関連。