🛡️ デイリーセキュリティリサーチブリーフ
2026年3月28日(土) — 04:00 CET · OSINTソースから自動生成
TL;DR: TeamPCPが猛威を振るい続けている — 今度はTelnyx PyPIパッケージのサプライチェーン侵害を通じてイランを標的とする破壊的ワイパーを展開。EU委員会がAWSクラウド侵害を受けた。CISAはLangflow(CVE-2026-33017)の積極的な悪用について警告。中国関連のRed Menshenが通信バックボーンインフラの深部に潜伏していることが判明。DOJが4つの大規模IoTボットネットを解体。LangChain/LangGraphの脆弱性が企業のAI機密を露出。RSAC 2026ではDellとHPが耐量子ハードウェアを発表。
脅威レベル:高 — アクティブなサプライチェーン攻撃と国家支援による作戦が進行中
🔴 サプライチェーン攻撃とマルウェア
TeamPCPがTelnyx PyPIパッケージを侵害 — WAVファイルにスティーラーを隠蔽
TeamPCP脅威グループ — 以前Trivy、KICS、litellmへのサプライチェーン攻撃を行った — が、PyPI上の公式telnyx Pythonパッケージを侵害した。悪意のあるバージョン4.87.1および4.87.2は、ステガノグラフィーを使用して.WAV音声ファイル内に認証情報窃取コードを隠蔽している。攻撃チェーンはWindows、Linux、macOSを標的とし、インポート時にtelnyx/_client.pyを通じてマルウェアを注入する。パッケージは現在隔離されている。
対応: バージョン4.87.0に直ちにダウングレードすること。3月27日以降にtelnyxをインポートしたすべてのシステムを監査すること。
ソース: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity
TeamPCPがイランを標的にCanisterWormワイパーを展開
TeamPCPは金融犯罪から地政学的破壊活動に転換した。Trivyサプライチェーン攻撃で使用されたインフラと同一のものが、システムのタイムゾーンがイランに一致するか、ファルシ語がデフォルト言語の場合に起動するCanisterWormというワイパーペイロードを展開している。Kubernetesクラスタ上では全ノードのデータを破壊し、それ以外ではローカルマシンをワイプする。このワームは公開されたDocker API、Kubernetesクラスタ、Redisサーバー、およびReact2Shell脆弱性を通じて拡散する。
対応: 公開されたクラウドコントロールプレーンを監査すること。Flareの報告によると、Azure(61%)とAWS(36%)がTeamPCP侵害の97%を占めている。
ソース: KrebsOnSecurity, Aikido
GitHub上の偽VS Codeセキュリティアラートがマルウェアを拡散
大規模なキャンペーンが、さまざまなプロジェクトのGitHub Discussionsに投稿された偽のVisual Studio Codeセキュリティアラートを通じて開発者を標的にしている。このアラートはユーザーを騙し、セキュリティパッチを装ったマルウェアをダウンロードさせる。
対応: VS Codeのセキュリティアラートは公式チャネルのみで確認すること。不審なGitHub Discussionsを報告すること。
ソース: BleepingComputer
🏛️ 主要な侵害事案
欧州委員会のAWSクラウド環境が侵害される
欧州委員会は、脅威アクターがAmazonクラウド環境へのアクセスを獲得した後、セキュリティ侵害を調査している。EUの主要行政機関はインシデントを確認し、範囲と影響を評価中である。
ソース: BleepingComputer
オランダ国家警察がフィッシングにより侵害される
オランダ国家警察(Politie)は、フィッシング攻撃の成功によるセキュリティ侵害を公表した。当局は影響は限定的であり、市民のデータは影響を受けていないと述べている。
ソース: BleepingComputer
Hightower Holdingsの侵害で13万人に影響
金融持株会社は、ハッカーが自社環境から氏名、社会保障番号、運転免許証番号を窃取したことを確認し、約13万人に影響が及んでいる。
ソース: SecurityWeek
親イラン派グループがFBI長官Kash Patelのアカウントハッキングを主張
親イラン派のハッキンググループが、FBI長官Kash Patelの個人アカウントを侵害したと主張し、メールや文書をダウンロード可能にしている。
ソース: SecurityWeek
⚠️ 重大な脆弱性
CVE-2026-33017 — Langflow RCE(CISA KEV)
CISAはCVE-2026-33017をKnown Exploited Vulnerabilities(既知の悪用脆弱性)カタログに追加した。AIエージェント構築フレームワークLangflowの重大な脆弱性が、AIワークフローの乗っ取りに実環境で積極的に悪用されている。即時のパッチ適用が必要。
ソース: BleepingComputer, CISA
LangChain & LangGraph — 3つの脆弱性が企業データを露出
LangChainとLangGraphの3つのセキュリティ脆弱性により、ファイルシステムのファイル、環境シークレット、会話履歴が露出する。PyPIでの週間ダウンロード数が合計8,400万を超えるため、影響範囲は甚大である。各脆弱性が独立したデータ窃取経路を提供する。
ソース: The Hacker News, Cyera
CVE-2026-4681 — PTC Windchill重大脆弱性(ドイツ警察が警告)
CISAはPTC Windchillの重大な脆弱性をフラグ付けし、ドイツ警察が影響を受ける組織に直接通知するほど深刻なものであった。詳細は製造業およびエンジニアリング環境への重大なリスクを示唆している。
ソース: SecurityWeek, CISA
Cisco IOSおよびTP-Linkルーターのパッチ
CiscoはIOSソフトウェアにおけるDoS、セキュアブートバイパス、情報漏洩、権限昇格に関する複数の高/中深刻度の脆弱性を修正した。TP-Linkは認証バイパス、任意コマンド実行、設定ファイル復号を可能にする高深刻度のルーター脆弱性を修正した。
ソース: SecurityWeek
BINDの高深刻度脆弱性が修正
BIND DNSリゾルバのアップデートにより、特別に細工されたドメインがメモリ不足状態やメモリリークを引き起こす可能性のある高深刻度の脆弱性が修正された。
ソース: SecurityWeek
Coruna iOSエクスプロイトキット — Operation Triangulationの最新版
「Coruna」と名付けられた新しいiOSエクスプロイトキットには、3年前のOperation Triangulationで使用されたカーネルエクスプロイトの更新版が含まれており、高度なモバイル監視機能の継続的な開発を示唆している。
ソース: SecurityWeek
🕵️ 脅威アクターの活動
Red Menshen(Earth Bluecrow) — 通信バックボーンの深部に潜伏
中国関連の脅威アクターRed Menshenが、カーネルレベルのインプラント、パッシブバックドア(BPFDoor)、認証情報窃取ユーティリティ、クロスプラットフォームコマンドフレームワークを使用して、通信ネットワークインフラの深部に埋め込まれていることが判明した。Rapid7はこれらを通信業界で「これまでに遭遇した中で最もステルス性の高いデジタルスリーパーセル」と表現している。このキャンペーンは2021年以降、中東およびアジアの通信プロバイダーを通じた政府スパイ活動を標的としている。
ソース: The Hacker News, SecurityWeek, Rapid7
DOJが4つのIoTボットネットを解体 — 300万台以上のデバイスが侵害
米国DOJは、カナダおよびドイツの当局と共に、4つの主要ボットネットを摘発した:Aisuru(20万件以上の攻撃コマンド)、JackSkid(9万件以上の攻撃)、Kimwolf(2万5千件以上の攻撃)、Mossad(約1千件の攻撃)。合計でルーターやウェブカメラを含む300万台以上のIoTデバイスを侵害し、DoD(国防総省)インフラを含む標的に対して記録的なDDoS攻撃を実行した。
ソース: KrebsOnSecurity, DOJ
RedLineマルウェア管理者が米国に身柄引き渡し
アルメニアのHambardzum Minasyanは、RedLineインフォスティーラーマルウェアの開発および管理に関与した疑いで、起訴に直面するため米国に身柄が引き渡された。
ソース: SecurityWeek
🔧 ツールと防御策
OpenAIが悪用・安全性バグバウンティプログラムを開始
OpenAIは、AIシステムによる重大な被害につながる可能性のある設計または実装上の問題の報告に対して報奨金を支払う、悪用および安全性リスクに特化した新しいバグバウンティプログラムを開始した。
ソース: SecurityWeek
DellとHPが耐量子デバイスセキュリティを出荷
DellとHPの両社がRSAC 2026でPCおよびプリンター向けの新しい耐量子セキュリティ機能を発表し、ポスト量子暗号への移行に先手を打った。Googleは2029年を量子対応の期限として設定している。
ソース: SecurityWeek
Windows 11 KB5079391 — Smart App Controlの改善
MicrosoftはWindows 11 24H2/25H2向けのプレビュー累積アップデートをリリースし、Smart App Controlセキュリティ機能の改善を含む29の変更が含まれている。
ソース: BleepingComputer
📊 新たなパターン
今週の主要トレンド
🎯 AIインフラが攻撃下に: Langflowが積極的に悪用(CVE-2026-33017)、LangChain/LangGraphの脆弱性が企業データを露出、AIツールチェーンを標的としたサプライチェーン攻撃。AIフレームワークで構築する組織が今や主要な標的となっている。
🔗 サプライチェーン攻撃の産業化: TeamPCPは、既知の攻撃手法をクラウド規模で「産業化」する新種の脅威アクターを代表している。金融恐喝から地政学的ワイパー(対イランCanisterWorm)への転換は、サプライチェーン侵害のエスカレーションポテンシャルを示している。
📡 諜報プラットフォームとしての通信事業者: Red Menshenの長年にわたる通信バックボーンインフラへの潜伏は、国家アクターが通信事業者を戦略的情報収集拠点として見続けていることを裏付けている。
🛡️ ポスト量子軍拡競争: Dell、HP、Googleが耐量子セキュリティのタイムラインを設定し、業界が研究段階から実装段階に移行していることを示唆している。
🤖 IoTボットネットのいたちごっこ: 4つの主要ボットネット(300万台以上のデバイス)の摘発にもかかわらず、露出したIoTデバイスの根本的な問題は未解決のままである。