セキュリティリサーチ
⚡ 要約 — 本日の重要事項
- Trivyサプライチェーン攻撃が拡大: CanisterWorm自己増殖型マルウェアが、侵害されたGitHub Actionsを通じて47以上のnpmパッケージに感染
- Oracle緊急パッチ: CVE-2026-21992(CVSS 9.8)— Identity Managerにおける未認証RCE、直ちにパッチ適用が必要
- 米司法省が過去最大のDDoSボットネットを摘発: 4つのIoTボットネットにわたる300万台以上のデバイスを無力化(ピーク攻撃31.4 Tbps)
- FBIがロシアによるSignal/WhatsAppフィッシングを警告: 政府・軍関係者を標的に、すでに数千のアカウントが侵害
- Langflow CVE-2026-33017が20時間以内に悪用: AIパイプラインツールにおけるCVSS 9.3の未認証RCE
- Navia情報漏洩で270万件の記録が流出: 2025年12月〜2026年1月にかけて個人情報と健康保険データが窃取
Trivyスキャナーの侵害によりCanisterWormが拡散 — 47のnpmパッケージが感染
重大脅威グループTeamPCPによるTrivy脆弱性スキャナーのサプライチェーン攻撃が劇的にエスカレートしました。攻撃者はGitHub Actionsのaquasecurity/trivy-actionとaquasecurity/setup-trivyを侵害し、75のタグをハイジャックしてCI/CDシークレットを窃取しました。後続の攻撃では、ICP Canister(改ざん不可能なスマートコントラクト)を使用する自己増殖型ワームCanisterWormが展開され、47のnpmパッケージに拡散し、封じ込めが極めて困難になっています。
VoidStealerがデバッガー手法でChromeのアプリケーションバウンド暗号化を回避
高VoidStealerと呼ばれる新型インフォスティーラーが、ChromeのApplication-Bound Encryption(ABE)を回避し、ブラウザのマスターキーを抽出する独自の手法を使用しています。これにより、保存されたすべてのパスワード、Cookie、機密データの復号が可能になります。デバッガーベースのアプローチは、Chromeの最新の保護機能を迂回する認証情報窃取技術の進化を示しています。
CVE-2026-21992 — Oracle Identity Manager 未認証RCE(CVSS 9.8)
重大Oracleは、Identity ManagerおよびWeb Services Managerにおける重大な未認証リモートコード実行脆弱性に対する緊急パッチを臨時リリースしました。この脆弱性は認証不要でリモートから悪用可能です。Oracle Identity Managerを運用する組織は直ちにパッチを適用してください — これは通常の四半期サイクル外の緊急リリースです。
CVE-2026-33017 — Langflow 未認証RCE、公開から20時間以内に悪用
重大人気のAIパイプラインツールLangflowの重大な脆弱性(CVSS 9.3)が、公開からわずか20時間以内に実環境で悪用されました。この脆弱性は認証の欠如とコードインジェクションを組み合わせ、POST /api/v1エンドポイントを通じてリモートコード実行を実現します。実環境での悪用が確認されています — 直ちにパッチ適用またはオフラインにしてください。
CVE-2026-20131 — Cisco Secure Firewall Management Center(最大深刻度)
重大CISAは、Cisco Secure Firewall Management Center(FMC)における最大深刻度の脆弱性について、連邦機関に3月22日までのパッチ適用を命じました。悪用が確認されたことを示すKEVカタログに追加されています。Cisco FMCを運用する組織は直ちにパッチ適用状況を確認してください。
CISAがApple、Craft CMS、Laravel Livewireの脆弱性をKEVに追加
高CISAは、積極的に悪用されている5つの脆弱性をKnown Exploited Vulnerabilitiesカタログに追加しました:CVE-2025-31277(Apple、CVSS 8.8)およびCraft CMSとLaravel Livewireの脆弱性です。連邦機関は2026年4月3日までにパッチを適用する必要があります。いずれも実環境での悪用が確認されています。
Magento PolyShell — REST API画像アップロードを介した未認証RCE
重大Sansecが「PolyShell」を公開しました。MagentoのREST APIにおける重大な脆弱性で、未認証の攻撃者が画像に偽装した任意の実行ファイルをアップロードし、コード実行とアカウント乗っ取りを実現できます。2月27日以降、ECプラットフォームとグローバルブランドを標的とした改ざんキャンペーンにより、数千のMagentoサイトがすでに攻撃を受けています。
Quest KACEの脆弱性が教育セクターへの攻撃に悪用
高Quest KACEの重大な脆弱性(CVE-2025-32975)が、教育セクターを標的とした攻撃に悪用されている可能性があります。Quest KACEは、学校や大学でシステム管理およびエンドポイントセキュリティに広く使用されています。
Naviaデータ漏洩 — 270万件の記録が窃取
高福利厚生管理会社Naviaが、270万人に影響する情報漏洩を公表しました。2025年12月下旬から2026年1月中旬にかけて、ハッカーが個人情報と健康保険データを窃取しました。これは2026年第1四半期に報告された医療関連の情報漏洩としては最大規模のひとつです。
FBI:ロシア情報機関がSignalとWhatsAppを大規模フィッシングで標的に
高FBIとCISAは、ロシア情報機関と関連する脅威アクターがSignalとWhatsAppユーザーに対するフィッシングキャンペーンを実施しているとの共同警告を発しました。標的には現職・元米国政府関係者、軍関係者、政治家、ジャーナリストが含まれます。すでに数千のアカウントが侵害されています。攻撃者はメッセージと連絡先への完全なアクセスを取得し、信頼されたIDからのさらなるフィッシングに利用しています。
Azure Monitorアラートがコールバックフィッシングに悪用
中Microsoft Azure Monitorのアラート機能が、Microsoftセキュリティチームを装った正規に見えるコールバックフィッシングメールの送信に悪用されています。メールは「不正な課金」について警告し、Azureインフラストラクチャの信頼性を利用してメールセキュリティフィルターを回避しています。
米国がHandalaとイラン政府の関係を確認、ドメインを押収
中米国は、ハッキンググループHandalaがイラン政府のために活動していることを公式に確認し、サイバーを利用した心理作戦に使用されていた複数のドメインを押収しました。
AIハードウェアの中国への密輸で3名が起訴
情報3名が、米国から中国へ大量の高性能AIサーバーを転用する計画で米国輸出管理法違反の罪で起訴されました。AI技術移転をめぐる緊張の継続を浮き彫りにしています。
米司法省が4つのIoTボットネットを摘発 — 300万台のデバイス、過去最大の31.4 Tbps DDoS
情報米司法省はカナダ、ドイツと協力し、AISURU、Kimwolf、JackSkid、MossadボットネットのC2インフラストラクチャを無力化しました。これらのボットネットは300万台以上のIoTデバイス(DVR、カメラ、ルーター、スマートTV)を支配下に置き、31.4 Tbpsに達する過去最大のDDoS攻撃を実行していました。民間パートナーにはAkamai、AWS、Cloudflare、Googleなどが含まれます。Kimwolfの管理者はオタワ在住の23歳、ドイツの15歳の関与も疑われています。逮捕者はまだ発表されていません。
アリス作戦 — 373,000のダークウェブサイトを閉鎖
情報国際法執行機関による「アリス作戦」により、373,000以上のダークウェブサイトが閉鎖されました。これは違法なダークウェブインフラストラクチャの協調的な摘発として過去最大規模のひとつです。
セキュリティスタートアップが今週2億8200万ドル以上を調達
情報今週の主要なセキュリティ資金調達ラウンド:
- Oasis Security — エージェント型アクセス管理で1億2000万ドル
- Cape — セルラーセキュリティ/プライバシー重視のMVNOで1億ドル
- Eclypsium — デバイスサプライチェーンセキュリティで2500万ドル
- 1stProtect — エンドポイント行動監視で2000万ドル(ステルス)
- Allure Security — オンラインブランド保護で1700万ドル
今週の主要トレンド
分析1. サプライチェーン攻撃の加速: Trivy侵害 + CanisterWormは新たなパラダイムを示しています — ブロックチェーンベースのC2を使用するパッケージエコシステム内の自己増殖型ワームです。CI/CDパイプラインは現在、主要な攻撃対象領域となっています。
2. 悪用までの時間の短縮: Langflow CVE-2026-33017は公開から20時間以内に武器化されました。防御側は重大な脆弱性の公開に対応する時間が1日もありません — 自動パッチ適用はもはや選択肢ではなく必須です。
3. AIツールの攻撃対象領域の拡大: Langflow(AIパイプラインツール)とAIハードウェア密輸の起訴は、AIインフラストラクチャ — ツールとハードウェアの両方 — が主要な標的になっていることを示しています。
4. 国家によるメッセージングアプリの標的化: ロシア情報機関によるSignal/WhatsAppの大規模標的化は、メールから暗号化メッセージングアプリへの攻撃対象の移行を示しており、「Signalを使えば安全」というセキュリティアドバイスの信頼性を損なっています。
5. エージェント型セキュリティの台頭: Oasis Securityの「エージェント型アクセス管理」への1億2000万ドルの調達と、AI駆動型セキュリティツールへの幅広いトレンドは、業界が自律型防御能力に大きく賭けていることを反映しています。
今週のKENSAIビジネスチャンス
- Magento PolyShell: 数千のECサイトが影響を受ける → KENSAIはDASTスキャンでこれを検出可能。DACH ECマーケット向けのコンテンツ機会。
- サプライチェーン攻撃: Trivy/CanisterWormはKENSAIのSBOM/依存関係スキャンの価値提案を実証。NIS2はサプライチェーンリスク管理を要求。
- 20時間の悪用ウィンドウ: KENSAIの継続スキャンの訴求力として最適 —「あなたのセキュリティチームは20時間以内にパッチを適用できますか?」
- Oasisの1億2000万ドル調達: 自律型セキュリティツールへの市場の需要を実証 — KENSAIの自律型ペンテストのポジショニングはトレンドに合致。
- Oracle/Ciscoの重大パッチ: NIS2コンプライアンスコンテンツで強調 — 指令に基づく必須パッチ適用要件。