剣 KENSAI
← Back to archive

デイリー脅威インテリジェンス

2026年3月24日 火曜日 — 04:00 CET
重大CVE 2件 サプライチェーン攻撃 iOS 0-Dayチェーン 国家支援型活動 大規模フィッシング
3
データ侵害
4
重大CVE
1
ランサムウェア
5
国家支援型

⛓️ サプライチェーン攻撃 — Trivyスキャナーが侵害

Trivy脆弱性スキャナーにバックドア — DockerおよびGitHub経由で拡散

サプライチェーン 活発な悪用

ハッキンググループTeamPCPが、Aqua Securityが開発する広く利用されているオープンソースの脆弱性スキャナーTrivyを侵害しました。情報窃取マルウェアを含む悪意のあるバージョン(0.69.4〜0.69.6)がDocker Hubにプッシュされました。攻撃はDockerにとどまらず、TeamPCPはAqua SecurityのGitHub組織を乗っ取り、数十のリポジトリを改ざんしました。最後の安全なリリースは0.69.3です。悪意のあるイメージは削除されましたが、開発環境全体への影響範囲は依然として深刻です。

KENSAIとの関連性

これはまさにKENSAIのSBOM分析と依存関係スキャンが検出できるタイプのサプライチェーン侵害です。CI/CDが侵害期間中にTrivyイメージを取得していた場合、即座の監査が必要です。KENSAIの継続的監視を利用している組織であれば、予期しないバイナリ変更に対してアラートが発生していたでしょう。

出典: BleepingComputer, The Hacker News, SecurityWeek — 3月23日

TeamPCPがイラン標的のKubernetesワイパーを展開

ハクティビスト ワイパー

Trivy侵害の背後にいる同じTeamPCPグループが、破壊的なワイパーでKubernetesクラスターも標的にしています。悪意のあるスクリプトはシステムがイランベースのインフラストラクチャ向けに構成されているかを検出し、条件が一致した場合にすべてのマシンを消去します。これはコンテナ化環境におけるデータ窃取から完全な破壊能力への大幅なエスカレーションを意味します。

出典: BleepingComputer — 3月23日

🔴 重大な脆弱性

CVE-2026-21992 — Oracle Identity Manager RCE(緊急パッチ)

重大CVE 悪用の可能性あり

OracleはCVE-2026-21992に対する緊急の帯域外パッチをリリースしました。これはOracle Identity Managerの重大な脆弱性です。この欠陥は認証なしのリモートコード実行を可能にし、すでに実環境で悪用されている可能性があります。Oracle Identity Managerを運用している組織は直ちにパッチを適用すべきです — これはID管理システムに対する認証前RCEであり、攻撃者にとって極めて価値の高い標的です。

出典: SecurityWeek — 3月23日

CVE-2025-32975(CVSS 10.0)— Quest KACE SMAが活発に攻撃を受ける

CVSS 10.0 活発な悪用

Quest KACE Systems Management Applianceの最大深刻度の脆弱性が、特に教育分野を標的として活発に悪用されています。Arctic Wolfは、インターネットに公開された未パッチのSMAシステムに対する3月9日の週からの悪用活動を観測しました。CVSS 10.0のスコアと確認された悪用を踏まえ、即座のパッチ適用が必要です。

出典: The Hacker News, SecurityWeek — 3月23日

DarkSword iOSエクスプロイトチェーン — CISA KEVに追加

6件のCVEチェーン 活発な悪用 国家支援型

CISAは3つのDarkSword脆弱性(CVE-2025-31277、CVE-2025-43510、CVE-2025-43520)をKnown Exploited Vulnerabilitiesカタログに追加しました。DarkSwordは6つの脆弱性を連鎖させてiPhone(iOS 18.4〜18.7)でサンドボックス脱出、権限昇格、RCEを実現する高度なiOSエクスプロイトキットです。トルコの商用監視ベンダーPARS Defense(UNC6748)およびロシアのスパイグループUNC6353と関連しています。3つのマルウェアファミリーが展開されています: GhostBlade、GhostKnife、GhostSaber。連邦機関のパッチ期限は4月3日です。

出典: BleepingComputer, CISA — 3月23日

QNAPがPwn2Ownの4つの脆弱性を修正

Pwn2Own

QNAPはPwn2Ownで実証された4つの脆弱性を修正し、NASデバイスでの情報漏洩、コード実行、予期しない動作を防止しました。QNAPはランサムウェアの標的となった履歴があるため、速やかなパッチ適用が不可欠です。

出典: SecurityWeek — 3月23日

💾 データ侵害

Crunchyrollが侵害を調査中 — 680万ユーザーの窃取を主張

データ侵害

人気アニメストリーミングプラットフォームCrunchyroll(Sony傘下)が、ハッカーが約680万ユーザーの個人データを窃取したと主張したことを受け、調査を進めています。侵害は現在も調査中であり、範囲と真偽はまだ確認中です。

出典: BleepingComputer — 3月23日

Mazdaが従業員およびパートナーのデータ侵害を公表

データ侵害

マツダは2025年12月に最初に検出されたセキュリティインシデントを確認し、従業員およびビジネスパートナーのデータが流出したことを公表しました。公表は2026年3月に行われ、自動車業界における検出から公開までの継続的なギャップを浮き彫りにしています。

出典: BleepingComputer — 3月23日

Trio-Tech半導体子会社がランサムウェア被害

ランサムウェア データ侵害

チップサービス企業Trio-Tech Internationalは、シンガポールの子会社がファイル暗号化ランサムウェアの被害を受けたことを公表しました。半導体サプライチェーンは引き続き標的とされており、製造およびチップサービス企業へのランサムウェア圧力が増大しています。

出典: SecurityWeek — 3月23日

🕵️ 国家支援型およびAPT活動

FBI/CISA: ロシアのハッカーがSignalとWhatsAppユーザーを大規模フィッシング

ロシア / 情報機関 大規模フィッシング

FBIとCISAは、ロシア情報機関が高価値の個人 — 政府高官、軍関係者、政治家、ジャーナリスト — を標的としたSignalおよびWhatsAppアカウントへの大規模フィッシングキャンペーンを実施しているとの共同警告を発しました。世界中で数千のアカウントが侵害されています。侵入後、攻撃者はメッセージを閲覧し、連絡先を窃取し、信頼されたアイデンティティからさらなるフィッシングを行います。

出典: The Hacker News, FBI — 3月21〜23日

FBIがイランのHandalaハッカーによるTelegramを利用したマルウェア配布を警告

イラン / MOIS

FBIは、イラン情報安全保障省(MOIS)に関連するハッカー — Handalaとして知られる — がTelegramを利用してマルウェアを配布していると警告しました。米国はHandalaとイラン政府との関連を確認し、サイバー心理作戦に使用されていた複数のドメインを押収しました。

出典: BleepingComputer, SecurityWeek — 3月23日

北朝鮮のハッカーがVS Codeを悪用してStoatWaffleマルウェアを配布

北朝鮮 / WaterPlum

Contagious Interview脅威アクター(WaterPlum)が、悪意のあるVS Codeプロジェクトを通じてStoatWaffleマルウェアを配布しています。この攻撃はVS Codeのtasks.json自動実行機能を悪用しており — 2025年12月以降に採用された比較的新しい手法です。一見正当なVS Codeプロジェクトを開いた開発者を標的とし、マルウェアを自動的に実行します。

出典: The Hacker News — 3月23日

🎣 フィッシングとソーシャルエンジニアリング

Tycoon2FA PhaaS プラットフォームが警察の妨害後に完全復活

Phishing-as-a-Service

Europolが3月4日に妨害したTycoon2FAフィッシングプラットフォームが、すでに妨害前の活動レベルに復帰しています。攻撃量と手法は変わらず、法執行機関のテイクダウンに対するサイバー犯罪インフラの耐性を実証しています。このプラットフォームは二要素認証の回避を専門としています。

出典: BleepingComputer, SecurityWeek — 3月23日

Microsoft: IRS確定申告シーズンのフィッシングが29,000ユーザーに影響

フィッシングキャンペーン

Microsoftは、米国の確定申告シーズンの緊急性を悪用した大規模フィッシングキャンペーンについて警告しました。偽のIRS還付通知、給与書類、申告リマインダーで29,000人以上のユーザーが標的とされました。キャンペーンはRemote Monitoring & Management(RMM)マルウェアを展開し、PhaaS プラットフォームを活用しています。個人と機密性の高い財務データにアクセスできる税務専門家の両方が標的です。

出典: The Hacker News, Microsoft — 3月23日

📊 新たなトレンドと調査研究

M-Trends 2026: 初期アクセスのハンドオフが22秒に短縮

調査研究 / Mandiant

50万時間以上のインシデント対応に基づくMandiantのM-Trends 2026レポートによると、初期アクセスブローカーによる侵害からランサムウェアオペレーターへのハンドオフ時間が、数時間からわずか22秒に短縮されました。これにより、ランサムウェア展開前に侵入を検出・対応するための防御側の時間枠が劇的に縮小しています。

KENSAIとの関連性

22秒のハンドオフ時間は、手動SOCトリアージがもはや初期アクセス検出に有効でないことを意味します。KENSAIのアプローチのような自動化された継続的スキャンが唯一の現実的な防御手段となります。自動応答能力を持たない組織は、この攻撃速度に対して事実上無防備です。

出典: SecurityWeek / Mandiant — 3月23日

AWS Bedrockで8つの攻撃ベクターを発見

AIセキュリティ研究

XM Cyberの脅威研究チームが、AWS Bedrock AIプラットフォームにおける8つの検証済み攻撃ベクターをマッピングしました: ログ操作、ナレッジベース侵害、エージェントハイジャック、フローインジェクション、ガードレール劣化、プロンプトポイズニング。AIエージェントが企業データ(Salesforce、Lambda、SharePoint)へのアクセスを獲得するにつれ、重要な資産への権限と到達可能性を持つ高価値の攻撃対象となっています。

KENSAIとの関連性

AIインフラセキュリティは新たなフロンティアです。企業がAIエージェントを本番システムに接続するにつれ、攻撃対象領域は劇的に拡大します。これはKENSAIのAIセキュリティにおけるポジショニング — AIシステムを支えるインフラのスキャンとセキュリティ確保 — と合致しています。

出典: The Hacker News / XM Cyber — 3月23日

ブラウザベースの攻撃が従来のセキュリティ制御を回避

調査研究 / Push Security

Push Securityの新しいレポートは、ブラウザベースの攻撃 — AITMフィッシング、ClickFix、悪意のあるOAuthアプリ、セッションハイジャック — が今日最大の侵害を引き起こし、従来のセキュリティ制御を回避していることを文書化しています。ブラウザがますます主要な攻撃対象となっています。

出典: BleepingComputer / Push Security — 3月23日

💰 業界と資金調達

Capeがセルラーセキュリティに1億ドルを調達

資金調達

プライバシー重視のモバイル仮想ネットワークオペレーター(MVNO)であるCapeが、セルラーセキュリティの脅威からの保護のために1億ドルを調達しました — 消費者、企業、政府顧客にサービスを提供します。

出典: SecurityWeek — 3月23日

Eclypsiumがデバイスサプライチェーンセキュリティに2,500万ドルを調達

資金調達

Eclypsiumはデバイスサプライチェーンセキュリティプラットフォームの拡大とチャネルパートナーシップの成長のために2,500万ドルを確保しました。今日のニュースを支配するTrivyサプライチェーン攻撃を考えると、タイムリーな動きです。

出典: SecurityWeek — 3月23日

AIハードウェアの中国への密輸で3名が起訴

輸出管理

3名が米国の輸出管理規制に違反し、米国で組み立てられた大量の高性能AIサーバーを中国に転用した共謀の罪で起訴されました。AIハードウェアアクセスをめぐる地政学的緊張の継続を反映しています。

出典: SecurityWeek — 3月23日

📋 コンプライアンスと規制

英国がサイバー報告要件を強化

規制

英国がサイバーインシデントの義務的報告要件を強化しています。EU全体でNIS2の施行が本格化する中、組織はますます複雑な報告義務に直面しています。KENSAIの差別化要因である自動化されたコンプライアンス報告がますます不可欠になっています。

出典: SecurityWeek — 3月23日