デイリー脅威ブリーフィング
🔓 データ侵害・漏洩
Hightower Holdingデータ侵害 — 13万人に影響
高影響度金融ホールディング会社Hightowerは、ハッカーが同社環境から氏名、社会保障番号、運転免許証番号を窃取したことを公表しました。約13万人が影響を受けています。この侵害は、大規模な個人情報データセットを保有する金融サービス企業への継続的な標的攻撃を浮き彫りにしています。
Ajax Amsterdam FC — ファンデータ流出、チケット乗っ取り
中程度オランダのサッカークラブAFC Ajaxは、ハッカーがITシステムの脆弱性を悪用して数百人のファンの個人情報にアクセスした侵害を公表しました。このアクセスにより、チケット乗っ取りが可能になりました。「非テック」組織でも消費者データを保有している場合、高度な攻撃に直面することを示しています。
LeakBase管理者がロシアで逮捕
法執行ロシア警察は、2021年から運営されていた盗難データベースやハッキングツールの取引を行う大規模サイバー犯罪フォーラムLeakBaseの所有者と見られるタガンログ在住者を逮捕しました。技術機器が押収されました。別件では、RedLineインフォスティーラーの管理者と疑われるHambardzum Minasyanがアルメニアから米国に引き渡され、刑事告訴に直面しています。
🚨 重大CVE・脆弱性
CVE-2026-33017 — Langflow AIフレームワークRCE(CVSS 9.3)
重大 9.3CISAはCVE-2026-33017を既知の悪用脆弱性カタログに追加しました。この脆弱性はLangflow ≤1.8.1(GitHub星数145K)の人気オープンソースAIワークフローフレームワークに影響します。サンドボックス化されていないフロー実行により、単一の細工されたHTTPリクエストで非認証のリモートコード実行が可能です。公開からわずか20時間後に悪用が開始され、公開PoCは存在しませんでした。攻撃者はアドバイザリーのみからエクスプロイトをリバースエンジニアリングしました。自動スキャン→悪用→データ収集(.env、.dbファイル)が24時間以内に発生しました。
PolyShell — Magento/Adobe Commerce非認証RCE
重大PolyShellと呼ばれる新しい脆弱性がMagento Open SourceとAdobe Commerceに影響し、REST API経由で非認証ファイルアップロードからRCEが可能になります。3月19日以降大量悪用されており、50以上のIPがスキャンしています。Sansecは脆弱な店舗の56.7%が攻撃されたと報告しています。WebRTCベースの決済スキマーがこのベクターを通じて展開され、HTTPの代わりにDTLS暗号化UDPチャネルを使用してContent Security Policyを回避しています。パッチはベータ版(2.4.9-beta1)でのみ利用可能です。
BIND DNS — 高深刻度OOM脆弱性
高ISCはBIND DNSリゾルバーの高深刻度脆弱性を修正するアップデートをリリースしました。特別に細工されたドメインがメモリ不足状態を引き起こし、メモリリークや潜在的なサービス拒否につながる可能性があります。DNSインフラストラクチャの運用者は直ちにパッチを適用すべきです。
Cisco IOS — 複数の脆弱性を修正
高Ciscoは、サービス拒否、セキュアブートバイパス、情報漏洩、権限昇格につながる可能性のある脆弱性に対処するIOSソフトウェアの複数のパッチをリリースしました。Cisco IOSを実行しているネットワークインフラは更新すべきです。
Apple iOS/macOS 26.4 — セキュリティパッチ
中程度AppleはiOS/macOS 26.4のセキュリティ修正をリリースし、旧バージョンのバックポートも提供しました:iOS 18.7.7、iPadOS 18.7.7、macOS Sequoia 15.7.5、macOS Sonoma 14.8.5。すべてのAppleデバイスを速やかに更新してください。
☠️ 脅威キャンペーン・マルウェア
Red Menshen(中国)— BPFDoorを介して通信バックボーンに深く潜入
APT国家支援中国関連の脅威アクターRed Menshen(Earth Bluecrow / DecisiveArchitect)は、2021年以降、中東およびアジアの通信ネットワークにカーネルレベルのインプラントとパッシブバックドアを深く埋め込んでいます。Rapid7はこれらを「これまで遭遇した中で最もステルス性の高いデジタルスリーパーセル」と表現しました。BPFDoorインプラントは通信インフラの侵害を通じて政府ネットワークに対する持続的な長期スパイ活動を可能にします。
Sandworm(ロシア)— 海賊版ソフトウェア経由のバックドア
APT国家支援ロシアのAPTグループSandwormは、「Microsoft.Office.2025x64」などの海賊版ソフトウェアを通じてバックドア(Tambur、Sumbur、Kalambur、DemiMur)を配布しています。Telegramを配布ベクターとして使用し、ソフトウェアクラックを求めるウクライナのユーザーを標的としています。DemiMurはOSの信頼ストアに偽造ルート証明書を強制インポートし、持続的な信頼チェーンの操作を可能にします。
Coruna iOSエクスプロイトフレームワーク — Operation Triangulationの進化形
ZERO-CLICKCorunaエクスプロイトキットがOperation Triangulation(2023年のゼロクリックiMessageエクスプロイトによるiPhone攻撃キャンペーン)で使用されたフレームワークの進化形として特定されました。これは洗練されたモバイルエクスプロイト能力の継続的な開発を示しています。
Keenadu — Androidファームウェアレベルのバックドアが拡散
FIRMWARESophosはKeenaduを検出しました。これはAndroidのlibandroid_runtime.soに埋め込まれたファームウェアバックドアで、Zygoteプロセス(すべてのAndroidアプリの親プロセス)に注入され、攻撃者にデバイスの完全な制御を与えます。Allview、BLU、Dcode、DOOGEEなどの主に低価格デバイスで、約50モデルにわたって500台以上の侵害されたデバイスが検出されました。工場出荷時にプリインストールされています。
TeamPCP — エコシステム横断OSSサプライチェーン侵害
サプライチェーン脅威グループTeamPCPはGitHub Actionタグの侵害(当初はTrivy)からNPM、Docker Hub、VS Code Extensions、PyPIへの攻撃に拡大しました。同グループはLapsus$と連携して、複数のパッケージエコシステムにわたるより広範なサプライチェーン攻撃を行っていると報告されています。
TikTok for Business — ボット回避付きフィッシングキャンペーン
PHISHINGTikTok for Businessアカウントを標的とした新しいフィッシングキャンペーンが、セキュリティツールによる悪意のあるページの分析を妨げるアンチボット技術を使用しています。ソーシャルメディアのビジネスアカウントは引き続き認証情報盗取の高価値ターゲットです。
英国がXinbiマーケットプレイスに制裁
制裁英国は、盗難データや衛星インターネット機器を東南アジアの詐欺ネットワークに販売する中国語の暗号通貨マーケットプレイスXinbiに制裁を科しました。「豚の屠殺」詐欺やその他の組織的詐欺活動と関連しています。
🛡️ セキュリティツール・業界動向
RSAC 2026カンファレンス — 2日目の発表
RSAC 2026RSAC 2026が主要ベンダーの発表とともに開催中です。主要テーマはAI駆動のセキュリティオペレーション、ポスト量子暗号への準備、アイデンティティ中心の防御戦略です。
Dell & HP — 耐量子デバイスセキュリティ
PQCDellとHPの両社が、Googleが最近公開した2029年PQC移行タイムラインに沿った、PCとプリンター向けの新しい耐量子セキュリティ機能を発表しました。GoogleはML-DSA(Module-Lattice-Based Digital Signature Algorithm)をAndroid 17のVerified Bootプロセスに統合しています。
GitHub — AI駆動脆弱性検出
AI SECURITYGitHubはGitHub Code SecurityにおけるAI駆動セキュリティ検出を発表しました。CodeQLを補完し、従来の静的解析では見逃される脆弱性を検出します。ハイブリッド検出モデルはプルリクエストワークフロー内で問題と推奨修正を表示します。パブリックプレビューは2026年Q2初頭に予定されています。
Onit Security — エクスポージャー管理に1,100万ドル
資金調達Onit Securityはエクスポージャー管理プラットフォームへの投資と新セクターへの拡大のために1,100万ドルを調達しました。組織が攻撃対象面の継続的な可視化を求める中、エクスポージャー管理分野は引き続き投資を引き付けています。
FCCが外国製消費者向けルーターを禁止
規制FCCは国家安全保障リスクを理由に、米国外で製造された新しい消費者向けルーターを禁止しました。この禁止は、すべての外国製ルーターがセキュリティ上の脅威であるというホワイトハウスの判断に沿ったものです。ネットワーキング業界のサプライチェーンに重大な影響を与えます。
📊 新興パターン
1. AIインフラが新たな攻撃対象面に
CVE-2026-33017(Langflow)が20時間で悪用されました。AIワークフローツールはインターネットに公開され、多くの場合パッチが適用されておらず、APIキーとクラウド認証情報を保持しています。AIの普及に伴い、AI固有のCVEがさらに増えると予想されます。AIツールを導入する組織は、それらを重要インフラとして扱う必要があります。
2. 非HTTPチャネルによるCSPバイパス
WebRTC決済スキマーはパラダイムシフトを示しています:攻撃者がDTLS暗号化UDPデータチャネルを使用して、HTTP中心のセキュリティツールには完全に見えない形でデータを窃取しています。CSPだけではもはや十分ではありません。セキュリティ監視はHTTPを超えてWebRTC、WebSocket、その他のブラウザAPIをカバーする必要があります。
3. サプライチェーン攻撃がエコシステム横断に
TeamPCPのGitHub Actions → NPM → Docker Hub → VS Code → PyPIへの拡大は、攻撃者がOSSエコシステム全体を単一の攻撃対象面として扱っていることを示しています。1つのパッケージマネージャーの侵害が他への足がかりを提供します。SBOMと依存関係監視は今や必須であり、オプションではありません。
4. ポスト量子暗号のタイムラインが明確に
Googleの2029年PQC移行期限 + Dell/HPのハードウェア発表 + Android 17 ML-DSA統合は、PQCが理論から実践に移行していることを示しています。「今保存、後で解読」攻撃により、これは将来の脅威ではなく現在の脅威です。NIS2対象組織はPQC準備評価を開始すべきです。
5. アイデンティティが依然として最も弱い鎖の環
PwCの調査は、AIが攻撃の速度と規模を増幅させている一方で、アイデンティティ盗取が完全なサイバー犯罪サプライチェーンに進化していることを確認しています。RedLine管理者の引き渡しとLeakBaseの閉鎖は、認証情報盗取がいかに産業化されたかを示しています。MFAバイパス技術はAITMフィッシングキットと並行して進化し続けています。
6. 大規模なファームウェアレベルの侵害
50モデルにわたる500台以上のデバイスにプリインストールされて出荷されるKeenaduは、ファームウェアサプライチェーン攻撃が現実かつ広範であることを示しています。低価格デバイスは大量監視のベクターのままです。BYODポリシーを持つ組織は、侵害された消費者向けハードウェアからのリスクが増大しています。