🛡️ KENSAI デイリーセキュリティリサーチ
目次
- 01主要なデータ侵害
- 02重大な脆弱性
- 03ランサムウェア攻撃
- 04セキュリティツールリリース
- 05新たな脅威パターン
🔓 主要なデータ侵害
Navia の侵害で HackerOne 従業員データが流出
HackerOne は、福利厚生プロバイダー Navia を標的とした侵害により、数百名の従業員の個人情報が窃取されたことを確認した。氏名、住所、福利厚生データを含む機密個人情報が流出。バグバウンティプラットフォームの従業員がサードパーティの侵害に巻き込まれるという皮肉は、サプライチェーンリスクの深刻さを浮き彫りにしている。
セキュリティファーストの企業でさえ、ベンダーチェーンを通じてリスクに晒されている。NIS2 第21条はサプライチェーンのセキュリティ評価を明確に義務付けている。KENSAI のサードパーティリスクスキャンでこれらのギャップを検出可能。
LeakBase 管理者がロシアで逮捕 — 14万7千ユーザー、数億件のレコード
ロシアの法執行機関が、サイバー犯罪フォーラム LeakBase の管理者をタガンログで逮捕した。このプラットフォームには数億件の盗まれたユーザーアカウント、銀行情報、ユーザー名、パスワード、企業文書がホストされていた。2021年以降、14万7千人以上の登録ユーザーがこれらのデータを売買していた。
オランダ財務省がサイバー侵害を調査中
オランダ財務省が内部システムに影響を与えたサイバー侵害を調査中。詳細は限られているが、侵害は重要な政府インフラに及んだ。同時に、Crunchyroll(アニメ配信)がカスタマーサービスチケットデータの窃取を、Kaplan(教育)が23万人以上に影響する侵害をそれぞれ公表した。
EU 政府機関の侵害は NIS2 の施行スケジュールを加速させている。DACH の組織は、これを2026年の規制強化の予兆として捉えるべきである。
🚨 重大な脆弱性
Citrix NetScaler — CitrixBleed3 の到来
Citrix が NetScaler ADC および NetScaler Gateway の2つの脆弱性を緊急パッチした。1つの欠陥は、ゼロデイとして悪用された悪名高い CitrixBleed および CitrixBleed2 の脆弱性と「非常に類似」している。Citrix は即時パッチ適用を強く推奨 — 数日以内に PoC エクスプロイトが公開される見込み。
CitrixBleed は2023〜2024年の最大級の侵害を引き起こした。NetScaler を運用している組織は今すぐパッチを適用すべき。KENSAI の外部スキャンで公開された NetScaler インスタンスとバージョンフィンガープリントを検出可能。
TP-Link Archer NX — 重大な認証バイパス
TP-Link が Archer NX ルーターシリーズの重大な認証バイパスの脆弱性を修正。攻撃者が認証を完全にバイパスし、悪意のあるファームウェアをアップロードする可能性がある。FCC の外国製ルーター禁止令と相まって、ルーターのサプライチェーンセキュリティへの懸念がさらに高まっている。
PolyShell — Magento/Adobe Commerce の大規模悪用
「PolyShell」脆弱性の積極的な悪用が進行中で、脆弱な Magento Open Source および Adobe Commerce ストアの56%が影響を受けている。攻撃者は大規模にウェブシェルを展開中。Magento 2 を運用するEコマース事業者は、サイト全体の侵害や決済データの窃取を防ぐため、直ちにパッチを適用する必要がある。
Apple iOS/macOS 26.4 — エコシステム全体のセキュリティパッチ
Apple が iOS、macOS、iPadOS 全体にわたるセキュリティ修正をリリース。旧デバイス向けパッチ(iOS 18.7.7、macOS Sequoia 15.7.5、macOS Sonoma 14.8.5)も含む。複数の WebKit およびカーネルの脆弱性が対処された。
💀 ランサムウェア攻撃
ビーゴ港(スペイン)— 港湾業務が停止
ランサムウェア攻撃により、スペインのビーゴ港はシステムを切断し、手動での貨物管理に切り替えることを余儀なくされた。攻撃は火曜日早朝に検知され、サーバーがロックされ身代金が要求された。港湾長は「絶対的な安全が保証されるまで接続を復旧しない」と述べた。犯行声明を出したグループはない。船舶の運航は継続しているが、物流調整は機能不全に陥っている。
港湾への攻撃が加速している — 名古屋(2023年)、そしてビーゴ(2026年)。NIS2 では港湾は「重要エンティティ」に分類され、24時間以内のインシデント報告が義務付けられている。EU の港湾当局には継続的なセキュリティ監視が必要。
Stryker(医療機器)— マルウェア攻撃後に生産ライン復旧
医療機器メーカー Stryker は、生産ラインを停止させた最近のサイバー攻撃にマルウェアが関与していたことを確認した。現在、業務は再開されつつある。この攻撃は、ヘルスケア・医療機器製造サプライチェーンが引き続き標的にされていることを浮き彫りにしている。
ロシアのランサムウェア運用者が米国で有罪判決
Ilya Angelov(TA551/Shathak) — ランサムウェアキャンペーンで使用されたボットネットの管理で懲役2年+罰金10万ドル(2017〜2021年)。Aleksei Volkov — Yanluowang ランサムウェア攻撃のアクセスブローカーとしての役割で懲役81ヶ月(6.75年)。米国司法省はロシアのサイバー犯罪者を域外管轄権で追及し続けている。
🔧 セキュリティツールリリース
Kali Linux 2026.1 — 新ツール8種 + BackTrack モード
今年初のリリースでは、8つの新しいセキュリティツール、ビジュアルテーマの刷新、Kali-Undercover 用の新「BackTrack モード」が搭載。ノスタルジーと実用的なペンテストツールの更新が融合。
GitHub — AI を活用したコードセキュリティスキャン
GitHub が CodeQL を超えて AI ベースの脆弱性検出でコードセキュリティツールを拡張中。新しいスキャンはより多くの言語とフレームワークをカバーし、セキュリティ意識の高い開発の敷居を下げている。これにより SAST が主流の開発者ワークフローに近づいている。
AI を活用した SAST は標準装備になりつつある。KENSAI の競争優位性:SAST と DAST、外部スキャン、NIS2 コンプライアンスを単一プラットフォームで統合 — コードレベルの検出だけではない。
Onit Security — 露出管理で1,100万ドルを調達
Onit Security が露出管理プラットフォームの構築のために1,100万ドルを調達。投資は製品開発と新分野への GTM 拡大に充てられる。市場統合が進む中でも、アタックサーフェス管理への VC の関心が継続していることを示している。
⚡ 新たな脅威パターン
サプライチェーン侵害の拡大 — TeamPCP が LiteLLM、Docker Hub、VS Code、PyPI を攻撃
TeamPCP 脅威アクター(Trivy/KICS 侵害の背後にいるグループ)が、CI/CD パイプラインの侵害を通じて LiteLLM バージョン 1.82.7〜1.82.8 にバックドアを仕込んだ。ペイロードは3段階攻撃:認証情報の収集(SSH キー、クラウド認証情報、K8s シークレット)、ラテラルムーブメントツールキット、永続的バックドア。Docker Hub、VS Code マーケットプレイス、NPM にも侵入 — 現在 Lapsus$ との協力が報告されている。
2026年最大のOSSサプライチェーン攻撃。CI/CD パイプラインの侵害 → 大規模なパッケージ汚染。組織はパッケージの整合性を検証し、バージョンを固定する必要がある。SBOM スキャンはもはや任意ではない。
デバイスコードフィッシング — 340以上の Microsoft 365 組織が侵害
大規模なデバイスコードフィッシングキャンペーンが、米国、カナダ、オーストラリア、ニュージーランド、ドイツの340以上の組織の M365 アイデンティティを標的にしている。Cloudflare Workers + Railway PaaS を認証情報の収集に使用。OAuth デバイス認証フローを悪用し、パスワードリセット後も有効なトークンを窃取。影響を受けたセクター:建設、ヘルスケア、法律、政府、金融サービス。
ドイツが明確にターゲット国としてリストされている。M365 を運用する DACH の組織は、OAuth デバイスコードポリシーを直ちに監査すべき。条件付きアクセスポリシーで、不要な場合はデバイスコードフローをブロックすべき。
GlassWorm — Solana ブロックチェーンを C2 デッドドロップとして悪用
GlassWorm キャンペーンは現在、Solana ブロックチェーンのメモを C2 通信のデッドドロップリゾルバとして使用。Google Docs Offline を装った Chrome 拡張機能を展開し、キーストロークの記録、Cookie/セッションのダンプ、スクリーンショットのキャプチャ、728以上の暗号ウォレットの標的化を行う。npm、PyPI、GitHub、VS Code マーケットプレイスの汚染パッケージを通じて拡散。
AI エージェントが攻撃対象に —「キルチェーンは時代遅れ」
セキュリティ研究者は、システムアクセス権を持つ AI エージェントが根本的に新しい脅威モデルを提示すると警告している。攻撃者が段階的にアクセスを獲得する従来のキルチェーンとは異なり、侵害された AI エージェントはすでに権限、アクセス、システムを横断する正当な理由を持っている。PwC と SANS はいずれも、AI が攻撃の速度と規模を加速させていることを確認。アイデンティティ盗用は「サイバー犯罪サプライチェーン」へと進化し、盗まれたプレミアム AI アカウントがアンダーグラウンド市場で高値で取引されている。
SecurityWeek が OpenClaw を引用してエージェント型AIガバナンスに関する記事を公開した。AI を攻撃対象とする論調は KENSAI のコンテンツ機会 — DACH 市場でこの議論を主導すべき。
📋 注目の政策・規制動向
FCC が外国製コンシューマールーターを禁止
FCC が国家安全保障上のリスクを理由に、米国外で製造されたすべての新しいコンシューマールーターを禁止した。ホワイトハウスによる、すべての外国製ルーターが許容できない脅威をもたらすとの判断に沿った措置。TP-Link、Huawei、その他の外国メーカーに大きな影響。
CISA 長官代理:政府閉鎖がサイバーリスクを増大、離職を招く
CISA の長官代理は、政府閉鎖の影響がサイバーセキュリティリスクを増大させ、人材確保に問題を引き起こしていると警告した。経験豊富な人材が離職する中、米国政府のサイバーセキュリティ態勢は引き続き低下している。
英国 NCSC:「バイブコーディング」が SaaS 業界にセキュリティリスクをもたらす可能性
英国国家サイバーセキュリティセンター(NCSC)は、AI を使用してアプリケーション全体を生成する「バイブコーディング」のトレンドが、SaaS を変革する一方で重大なセキュリティリスクをもたらす可能性があると警告した。AI 生成コードには適切な入力検証、認証チェック、セキュアなデフォルト設定が欠けていることが多い。