剣 KENSAI
← Back to archive
🛡️ KENSAI THREAT INTELLIGENCE

デイリーセキュリティリサーチ

2026-03-22 · 3月21日(土)→ 3月22日(日)· CET 04:00 自動生成

⚡ TL;DR — 本日の重要事項

  • Trivyサプライチェーン攻撃が進化 — 新たな自己増殖型「CanisterWorm」がブロックチェーンベースのC2を使用して47のnpmパッケージに感染
  • Oracle緊急パッチ — CVE-2026-21992(CVSS 9.8)がIdentity Managerで未認証RCEを可能に
  • FBIがロシアのSignal/WhatsAppフィッシングを警告 — 数千のアカウントがすでに侵害
  • DoJが記録的なDDoSボットネットを摘発 — 300万台以上のデバイス、31.4 Tbps攻撃を阻止
  • CISA期限は本日 — 最大深刻度のCisco FMC脆弱性CVE-2026-20131は3月22日までにパッチ適用が必要
  • Langflow RCEが20時間以内に悪用 — CVE-2026-33017(CVSS 9.3)が積極的に標的に
  • Naviaの情報漏洩が270万人に影響 — 個人情報および健康保険データが窃取
🔗 サプライチェーン攻撃

Trivyスキャナーが侵害 — CanisterWormが47のnpmパッケージに拡散

サプライチェーン 緊急

Aqua SecurityのTrivy脆弱性スキャナーが1ヶ月で2度目の侵害を受けた。脅威グループTeamPCPaquasecurity/trivy-actionaquasecurity/setup-trivyにわたる75のGitHub Actionタグをハイジャックし、CI/CDパイプラインに認証情報窃取マルウェアを注入した。後続の攻撃ではCanisterWorm(自己増殖型ワーム)が展開され、@EmilGroup、@opengovおよびその他のスコープにわたる47のnpmパッケージに感染した。このワームはInternet Computer Protocol(ICP)ブロックチェーンキャニスターをdead-drop C2リゾルバーとして使用する — この手法の文書化された最初の事例 — ため、テイクダウンが極めて困難。PostgreSQLツールに偽装したsystemdサービスによる永続化。

情報源: The Hacker News · BleepingComputer

Magento PolyShell — REST API経由の未認証アップロード&RCE

緊急

SansecがMagentoのREST APIに重大な脆弱性を発見。未認証の攻撃者が画像に偽装した任意の実行ファイルをアップロードし、リモートコード実行およびアカウント乗っ取りを達成できる。PolyShellと名付けられたこの攻撃は、画像ファイル処理を悪用する。公開された悪用事例はまだないが、2月27日に始まった別の大規模改ざんキャンペーンにより、すでに数千のMagentoサイトが被害を受けている。

情報源: The Hacker News · SecurityWeek

🚨 緊急CVE&パッチ

CVE-2026-21992 — Oracle Identity Manager未認証RCE

緊急 CVSS 9.8

OracleはIdentity ManagerおよびWeb Services Managerにおける重大な未認証リモートコード実行脆弱性に対して、臨時の緊急パッチを発行した。悪用に認証は不要。Oracleは即時パッチ適用を強く推奨。

情報源: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center(最大深刻度)

緊急 CVSS 10.0

CISAは全連邦機関に対し、この最大深刻度のCisco FMC脆弱性を本日3月22日までにパッチ適用するよう命令した。詳細は完全なシステム侵害を可能にすることを示している。CISAの既知の悪用脆弱性カタログに追加された。

情報源: BleepingComputer

CVE-2026-33017 — Langflow未認証RCE(20時間で悪用)

緊急 CVSS 9.3

Langflow(人気のAIワークフロービルダー)における認証欠如+コードインジェクションの重大な脆弱性。脅威アクターは公開から20時間以内POST /api/v1エンドポイントを通じて脆弱性を兵器化した。パッチ展開のための時間枠が縮小していることを浮き彫りにしている。

情報源: The Hacker News

CISAがApple、Craft CMS、Laravel LivewireをKEVカタログに追加

積極的悪用中

CISAのKEVカタログに5つの追加脆弱性が追加され、パッチ期限は2026年4月3日CVE-2025-31277(Apple、CVSS 8.8)およびCraft CMSとLaravel Livewireの脆弱性を含む。すべて積極的悪用が確認されている。

情報源: The Hacker News

CVE-2025-32975 — 教育セクターにおけるQuest KACEの悪用

緊急

Quest KACEシステム管理アプライアンスの重大な脆弱性が教育セクターのターゲットに対して悪用された可能性がある。Quest KACEを使用している組織は即時パッチ適用が必要。

情報源: SecurityWeek

🎯 国家支援型攻撃&スパイ活動

FBI/CISA: ロシア情報機関がSignal&WhatsAppを大規模に標的

国家支援型 高影響度

FBIとCISAはロシア情報機関がSignalおよびWhatsAppユーザーに対して大規模なフィッシングキャンペーンを展開しているとの共同警告を発表した。標的には現職・元米政府高官、軍関係者、政治家、ジャーナリストが含まれる。数千のアカウントがすでに侵害されている。アクセス取得後、攻撃者はメッセージを閲覧し、連絡先を窃取し、被害者を偽装し、信頼されたIDからさらなるフィッシングを連鎖させる。FBI長官Kash PatelがXでキャンペーンを確認した。

情報源: The Hacker News · BleepingComputer

米国がHandalaとイラン政府の関連を確認

国家支援型

米国政府はHandalaが使用していた複数のドメインを押収し、イラン政府との関連を確認した。このグループはサイバー支援の心理作戦を実施していた。協調的な取り組みでドメインが閉鎖された。

情報源: SecurityWeek

AIハードウェアの中国への密輸で3名起訴

輸出規制

米国で組み立てられた大量の高性能AIサーバーを中国に転用する計画を企てた米国輸出管理法違反で3名が起訴された。

情報源: SecurityWeek

🤖 ボットネット&DDoS

DoJが300万台のIoTボットネットを摘発 — 記録的31.4 Tbps DDoS

緊急

米国DoJはカナダおよびドイツの当局とともに、AISURU、Kimwolf、JackSkidおよびMossadボットネットのC2インフラを破壊した — これらは合計で300万台以上の感染IoTデバイス(DVR、スマートTV、セットトップボックス)を制御していた。これらのボットネットは31.4 Tbpsに達する記録的なDDoS攻撃を実行した。大規模な民間セクター連合(Akamai、AWS、Cloudflare、Google、Oracle、PayPalなど)が支援した。容疑者にはカナダの23歳とドイツの15歳が含まれる。逮捕は発表されていない。

情報源: The Hacker News

💀 データ漏洩

Naviaデータ漏洩 — 270万人が影響

大規模

2025年12月末から2026年1月中旬にかけて、ハッカーがNaviaの環境から個人情報および健康保険プランデータを窃取し、270万人に影響を与えた。医療・福利厚生データが侵害された。

情報源: SecurityWeek

数千のMagentoサイトが進行中の改ざんキャンペーンの被害に

Web攻撃

2月27日に始まった大規模改ざんキャンペーンにより、数千のMagentoベースのECサイトが被害を受け、グローバルブランドや政府サービスまでもが標的となった。新たなPolyShell脆弱性と合わせ、Magento運営者は深刻な脅威環境に直面している。

情報源: SecurityWeek

🎣 フィッシング&ソーシャルエンジニアリング

Microsoft Azure Monitorアラートがコールバックフィッシングに悪用

フィッシング

攻撃者がMicrosoft Azure Monitorアラートを悪用し、Microsoft Security Teamを偽装したコールバックフィッシングメールを送信している。メールは不正な請求を警告し、被害者を攻撃者が管理する電話番号に誘導する。

情報源: BleepingComputer

📱 プラットフォーム&ツールアップデート

Google Android「Advanced Flow」— 24時間サイドローディング待機期間

android

GoogleはAndroid向けの新しいサイドローディングメカニズムを発表:未検証の開発者によるアプリはインストール前に24時間の必須待機期間が必要になる。マルウェアや詐欺アプリの配布を削減するための開発者検証義務の一環。

情報源: The Hacker News

Operation Alice — 373,000のダークWebサイトを閉鎖

法執行

国際的な法執行機関のオペレーションにより、偽の違法素材パッケージを提供していた373,000以上のダークWebサイトが閉鎖された。

情報源: BleepingComputer

英国がサイバーインシデント報告要件を強化

規制

英国は組織に対するサイバーインシデント報告義務を強化し、EUのNIS2による厳格な侵害開示要件の傾向に合流している。

情報源: SecurityWeek

💰 セキュリティ業界の資金調達

Oasis Security — エージェント型アクセス管理に1億2,000万ドル

AIフレームワークのアクセス管理およびGo-to-Marketスケーリングのための研究開発拡大。

Cape — セルラーセキュリティに1億ドル

消費者、企業、政府向けのプライバシー重視MVNO。

Eclypsium — デバイスサプライチェーンセキュリティに2,500万ドル

ファームウェアおよびサプライチェーンセキュリティプラットフォーム機能の拡張。

1stProtect — エンドポイントセキュリティに2,000万ドル(ステルス・エグジット)

行動監視とユーザー意図検証によりリアルタイムで攻撃を阻止。

Allure Security — オンラインブランド保護に1,700万ドル

デジタルブランド保護プラットフォームの拡張。

📊 新興脅威パターン

今週の主要トレンド

1. サプライチェーン攻撃が加速:Trivy/CanisterWormは、攻撃者がサプライチェーンの侵害を連鎖させ、一つの侵害がエコシステム全体に自己増殖するワームにつながることを示している。ブロックチェーンベースのC2(ICP canisters)がテイクダウンをほぼ不可能にしている。

2. 悪用までの時間が崩壊:Langflow CVE-2026-33017は公開から20時間以内に悪用された。インターネット接続サービスのパッチ適用期間は事実上ゼロ。

3. AI対応フィッシングの高度化が進行:AIがレガシー検知を回避する個人化されたフィッシングを生成する中、行動分析が不可欠になっている。ブラウザベースのAITM攻撃とClickFix手法が大規模な侵害を引き起こしている。

4. 国家支援型のメッセージングアプリ標的:ロシア情報機関が暗号化メッセージング(Signal、WhatsApp)に対して産業規模のキャンペーンを展開。信頼チェーンが悪用され、侵害されたアカウントが連絡先のフィッシングに使用される。

5. IoTボットネットの規模がインフラレベルに到達:侵害された消費者デバイスからの31.4 Tbps DDoS能力。テイクダウン後も感染デバイス集団は存続する。

6. 規制強化が継続:英国がNIS2型の報告義務に参加。EU/英国の組織にとってコンプライアンス負担が増加。

🇪🇺 NIS2&KENSAI関連性

KENSAIのお客様への影響

サプライチェーン監視:Trivy/npmの侵害は、継続的な依存関係スキャンの重要性を改めて示している。KENSAIのSBOM分析と依存関係チェックはまさにこれらのパターンを検出する。

パッチ管理の緊急性:CVE悪用期間が数時間に縮小(Langflow)し、CISAが当日パッチを義務化(Cisco)する中、自動化された脆弱性スキャンはもはやオプションではなく、生存に不可欠。

NIS2報告:英国の強化された報告規則はNIS2第23条を反映。DACH地域の組織も同様の義務に直面。KENSAIのコンプライアンス報告機能がこのニーズに直接対応。

メッセージングセキュリティ:ロシアのSignal/WhatsAppキャンペーンは、機密通信にコンシューマー向けメッセージングに依存するすべての組織への警鐘。