剣 KENSAI
← Back to archive

デイリー脅威ブリーフィング

2026-03-27 · 金曜日 · 第13週
BleepingComputer、The Hacker News、SecurityWeek等から収集
4
重大CVE
3
データ侵害
2
アクティブな攻撃
6
脅威キャンペーン

🔓 データ侵害・漏洩

Hightower Holdingデータ侵害 — 13万人に影響

3月26日SecurityWeek
高影響度

金融ホールディング会社Hightowerは、ハッカーが同社環境から氏名、社会保障番号、運転免許証番号を窃取したことを公表しました。約13万人が影響を受けています。この侵害は、大規模な個人情報データセットを保有する金融サービス企業への継続的な標的攻撃を浮き彫りにしています。

KENSAI Take:金融サービスは引き続き主要な攻撃対象です。大規模な個人情報を扱う企業には継続的な脆弱性監視が必要です — まさにKENSAIの自動スキャンが提供するものです。

securityweek.com

Ajax Amsterdam FC — ファンデータ流出、チケット乗っ取り

3月26日BleepingComputer
中程度

オランダのサッカークラブAFC Ajaxは、ハッカーがITシステムの脆弱性を悪用して数百人のファンの個人情報にアクセスした侵害を公表しました。このアクセスにより、チケット乗っ取りが可能になりました。「非テック」組織でも消費者データを保有している場合、高度な攻撃に直面することを示しています。

bleepingcomputer.com

LeakBase管理者がロシアで逮捕

3月25〜26日複数の情報源
法執行

ロシア警察は、2021年から運営されていた盗難データベースやハッキングツールの取引を行う大規模サイバー犯罪フォーラムLeakBaseの所有者と見られるタガンログ在住者を逮捕しました。技術機器が押収されました。別件では、RedLineインフォスティーラーの管理者と疑われるHambardzum Minasyanがアルメニアから米国に引き渡され、刑事告訴に直面しています。

thehackernews.com

🚨 重大CVE・脆弱性

CVE-2026-33017 — Langflow AIフレームワークRCE(CVSS 9.3)

活発に悪用中CISA KEV
重大 9.3

CISAはCVE-2026-33017を既知の悪用脆弱性カタログに追加しました。この脆弱性はLangflow ≤1.8.1(GitHub星数145K)の人気オープンソースAIワークフローフレームワークに影響します。サンドボックス化されていないフロー実行により、単一の細工されたHTTPリクエストで非認証のリモートコード実行が可能です。公開からわずか20時間後に悪用が開始され、公開PoCは存在しませんでした。攻撃者はアドバイザリーのみからエクスプロイトをリバースエンジニアリングしました。自動スキャン→悪用→データ収集(.env、.dbファイル)が24時間以内に発生しました。

KENSAI Take:AIインフラストラクチャが主要な攻撃対象面になりつつあります。20時間の悪用タイムラインは、組織が四半期ごとのペネトレーションテストではなく、継続的な自動スキャンを必要としていることを意味します。これがKENSAIの核心的価値提案です。

bleepingcomputer.com

PolyShell — Magento/Adobe Commerce非認証RCE

大量悪用中脆弱な店舗の56.7%
重大

PolyShellと呼ばれる新しい脆弱性がMagento Open SourceとAdobe Commerceに影響し、REST API経由で非認証ファイルアップロードからRCEが可能になります。3月19日以降大量悪用されており、50以上のIPがスキャンしています。Sansecは脆弱な店舗の56.7%が攻撃されたと報告しています。WebRTCベースの決済スキマーがこのベクターを通じて展開され、HTTPの代わりにDTLS暗号化UDPチャネルを使用してContent Security Policyを回避しています。パッチはベータ版(2.4.9-beta1)でのみ利用可能です。

KENSAI Take:ECプラットフォームは企業にとって重要インフラです。WebRTC窃取技術は従来のCSPを回避します — HTTPのみを監視するDASTツールはこれを完全に見逃します。KENSAIのマルチベクターアプローチは、レガシースキャナーが見逃すものを検出します。

thehackernews.com

BIND DNS — 高深刻度OOM脆弱性

3月26日SecurityWeek

ISCはBIND DNSリゾルバーの高深刻度脆弱性を修正するアップデートをリリースしました。特別に細工されたドメインがメモリ不足状態を引き起こし、メモリリークや潜在的なサービス拒否につながる可能性があります。DNSインフラストラクチャの運用者は直ちにパッチを適用すべきです。

securityweek.com

Cisco IOS — 複数の脆弱性を修正

3月26日SecurityWeek

Ciscoは、サービス拒否、セキュアブートバイパス、情報漏洩、権限昇格につながる可能性のある脆弱性に対処するIOSソフトウェアの複数のパッチをリリースしました。Cisco IOSを実行しているネットワークインフラは更新すべきです。

securityweek.com

Apple iOS/macOS 26.4 — セキュリティパッチ

3月26日SecurityWeek
中程度

AppleはiOS/macOS 26.4のセキュリティ修正をリリースし、旧バージョンのバックポートも提供しました:iOS 18.7.7、iPadOS 18.7.7、macOS Sequoia 15.7.5、macOS Sonoma 14.8.5。すべてのAppleデバイスを速やかに更新してください。

securityweek.com

☠️ 脅威キャンペーン・マルウェア

Red Menshen(中国)— BPFDoorを介して通信バックボーンに深く潜入

3月26日The Hacker News / Rapid7
APT国家支援

中国関連の脅威アクターRed Menshen(Earth Bluecrow / DecisiveArchitect)は、2021年以降、中東およびアジアの通信ネットワークにカーネルレベルのインプラントとパッシブバックドアを深く埋め込んでいます。Rapid7はこれらを「これまで遭遇した中で最もステルス性の高いデジタルスリーパーセル」と表現しました。BPFDoorインプラントは通信インフラの侵害を通じて政府ネットワークに対する持続的な長期スパイ活動を可能にします。

KENSAI Take:国家支援アクターが通信バックボーンでカーネルレベルで活動 — NIS2コンプライアンスは、組織がまさにこのようなサプライチェーンリスクを考慮することを要求しています。DACH地域の通信事業者は自社のエクスポージャーを評価すべきです。

thehackernews.com

Sandworm(ロシア)— 海賊版ソフトウェア経由のバックドア

3月26日The Hacker News
APT国家支援

ロシアのAPTグループSandwormは、「Microsoft.Office.2025x64」などの海賊版ソフトウェアを通じてバックドア(Tambur、Sumbur、Kalambur、DemiMur)を配布しています。Telegramを配布ベクターとして使用し、ソフトウェアクラックを求めるウクライナのユーザーを標的としています。DemiMurはOSの信頼ストアに偽造ルート証明書を強制インポートし、持続的な信頼チェーンの操作を可能にします。

thehackernews.com

Coruna iOSエクスプロイトフレームワーク — Operation Triangulationの進化形

3月26日BleepingComputer
ZERO-CLICK

CorunaエクスプロイトキットがOperation Triangulation(2023年のゼロクリックiMessageエクスプロイトによるiPhone攻撃キャンペーン)で使用されたフレームワークの進化形として特定されました。これは洗練されたモバイルエクスプロイト能力の継続的な開発を示しています。

bleepingcomputer.com

Keenadu — Androidファームウェアレベルのバックドアが拡散

3月26日Sophos / The Hacker News
FIRMWARE

SophosはKeenaduを検出しました。これはAndroidのlibandroid_runtime.soに埋め込まれたファームウェアバックドアで、Zygoteプロセス(すべてのAndroidアプリの親プロセス)に注入され、攻撃者にデバイスの完全な制御を与えます。Allview、BLU、Dcode、DOOGEEなどの主に低価格デバイスで、約50モデルにわたって500台以上の侵害されたデバイスが検出されました。工場出荷時にプリインストールされています。

thehackernews.com

TeamPCP — エコシステム横断OSSサプライチェーン侵害

3月26日SecurityWeek
サプライチェーン

脅威グループTeamPCPはGitHub Actionタグの侵害(当初はTrivy)からNPM、Docker Hub、VS Code Extensions、PyPIへの攻撃に拡大しました。同グループはLapsus$と連携して、複数のパッケージエコシステムにわたるより広範なサプライチェーン攻撃を行っていると報告されています。

securityweek.com

TikTok for Business — ボット回避付きフィッシングキャンペーン

3月26日BleepingComputer
PHISHING

TikTok for Businessアカウントを標的とした新しいフィッシングキャンペーンが、セキュリティツールによる悪意のあるページの分析を妨げるアンチボット技術を使用しています。ソーシャルメディアのビジネスアカウントは引き続き認証情報盗取の高価値ターゲットです。

bleepingcomputer.com

英国がXinbiマーケットプレイスに制裁

3月26日BleepingComputer
制裁

英国は、盗難データや衛星インターネット機器を東南アジアの詐欺ネットワークに販売する中国語の暗号通貨マーケットプレイスXinbiに制裁を科しました。「豚の屠殺」詐欺やその他の組織的詐欺活動と関連しています。

bleepingcomputer.com

🛡️ セキュリティツール・業界動向

RSAC 2026カンファレンス — 2日目の発表

3月26日SecurityWeek
RSAC 2026

RSAC 2026が主要ベンダーの発表とともに開催中です。主要テーマはAI駆動のセキュリティオペレーション、ポスト量子暗号への準備、アイデンティティ中心の防御戦略です。

securityweek.com

Dell & HP — 耐量子デバイスセキュリティ

3月26日SecurityWeek
PQC

DellとHPの両社が、Googleが最近公開した2029年PQC移行タイムラインに沿った、PCとプリンター向けの新しい耐量子セキュリティ機能を発表しました。GoogleはML-DSA(Module-Lattice-Based Digital Signature Algorithm)をAndroid 17のVerified Bootプロセスに統合しています。

securityweek.com

GitHub — AI駆動脆弱性検出

3月26日The Hacker News
AI SECURITY

GitHubはGitHub Code SecurityにおけるAI駆動セキュリティ検出を発表しました。CodeQLを補完し、従来の静的解析では見逃される脆弱性を検出します。ハイブリッド検出モデルはプルリクエストワークフロー内で問題と推奨修正を表示します。パブリックプレビューは2026年Q2初頭に予定されています。

thehackernews.com

Onit Security — エクスポージャー管理に1,100万ドル

3月26日SecurityWeek
資金調達

Onit Securityはエクスポージャー管理プラットフォームへの投資と新セクターへの拡大のために1,100万ドルを調達しました。組織が攻撃対象面の継続的な可視化を求める中、エクスポージャー管理分野は引き続き投資を引き付けています。

securityweek.com

FCCが外国製消費者向けルーターを禁止

3月26日SecurityWeek
規制

FCCは国家安全保障リスクを理由に、米国外で製造された新しい消費者向けルーターを禁止しました。この禁止は、すべての外国製ルーターがセキュリティ上の脅威であるというホワイトハウスの判断に沿ったものです。ネットワーキング業界のサプライチェーンに重大な影響を与えます。

securityweek.com

📊 新興パターン

1. AIインフラが新たな攻撃対象面に

CVE-2026-33017(Langflow)が20時間で悪用されました。AIワークフローツールはインターネットに公開され、多くの場合パッチが適用されておらず、APIキーとクラウド認証情報を保持しています。AIの普及に伴い、AI固有のCVEがさらに増えると予想されます。AIツールを導入する組織は、それらを重要インフラとして扱う必要があります。

2. 非HTTPチャネルによるCSPバイパス

WebRTC決済スキマーはパラダイムシフトを示しています:攻撃者がDTLS暗号化UDPデータチャネルを使用して、HTTP中心のセキュリティツールには完全に見えない形でデータを窃取しています。CSPだけではもはや十分ではありません。セキュリティ監視はHTTPを超えてWebRTC、WebSocket、その他のブラウザAPIをカバーする必要があります。

3. サプライチェーン攻撃がエコシステム横断に

TeamPCPのGitHub Actions → NPM → Docker Hub → VS Code → PyPIへの拡大は、攻撃者がOSSエコシステム全体を単一の攻撃対象面として扱っていることを示しています。1つのパッケージマネージャーの侵害が他への足がかりを提供します。SBOMと依存関係監視は今や必須であり、オプションではありません。

4. ポスト量子暗号のタイムラインが明確に

Googleの2029年PQC移行期限 + Dell/HPのハードウェア発表 + Android 17 ML-DSA統合は、PQCが理論から実践に移行していることを示しています。「今保存、後で解読」攻撃により、これは将来の脅威ではなく現在の脅威です。NIS2対象組織はPQC準備評価を開始すべきです。

5. アイデンティティが依然として最も弱い鎖の環

PwCの調査は、AIが攻撃の速度と規模を増幅させている一方で、アイデンティティ盗取が完全なサイバー犯罪サプライチェーンに進化していることを確認しています。RedLine管理者の引き渡しとLeakBaseの閉鎖は、認証情報盗取がいかに産業化されたかを示しています。MFAバイパス技術はAITMフィッシングキットと並行して進化し続けています。

6. 大規模なファームウェアレベルの侵害

50モデルにわたる500台以上のデバイスにプリインストールされて出荷されるKeenaduは、ファームウェアサプライチェーン攻撃が現実かつ広範であることを示しています。低価格デバイスは大量監視のベクターのままです。BYODポリシーを持つ組織は、侵害された消費者向けハードウェアからのリスクが増大しています。