🛡️ セキュリティリサーチブリーフ
要約: イラン系ハッカーがFBI長官の個人メールを侵害し、Strykerにワイパー攻撃を実行。Citrix NetScaler(CVSS 9.3)およびF5 BIG-IPの重大なCVEが活発に悪用されている。TeamPCPによる大規模サプライチェーン攻撃では、WAVファイル内のステガノグラフィーを用いてTelnyx PyPIパッケージが侵害された。中国のRed Menshenが通信事業者のバックボーンインフラに深く潜伏していたことが判明。欧州委員会はAWSアカウント侵害を調査中。複数のiOSエクスプロイトキットが流通しており、Appleは古いデバイスにロック画面警告を送信開始した。
🔓 データ侵害 & インシデント
FBI長官カシュ・パテルの個人メールがイラン系グループに侵害される
緊急国家支援型親イランのHandala Hack TeamがFBI長官カシュ・パテルの個人メールアカウントの侵害に成功した。同グループは写真や文書をオンラインで公開した。さらに、防衛・医療技術大手Strykerへのワイパー攻撃も主張している。
欧州委員会がAWSクラウドアカウント侵害を調査中
緊急クラウド欧州委員会は、脅威アクターがAmazonクラウド環境にアクセスしたセキュリティ侵害を調査中。侵害の範囲はまだ評価中である。
Hightower Holdingのデータ侵害が13万人に影響
高個人情報Hightower Holdingは、ハッカーが氏名、社会保障番号、運転免許証番号を窃取し、13万人に影響を及ぼしたことを公表した。
オランダ警察がフィッシング攻撃後のセキュリティ侵害を公表
フィッシングオランダ国家警察(Politie)がフィッシング攻撃によるセキュリティ侵害を報告した。影響は限定的で、市民データへの被害はないとされている。
Ajaxフットボールクラブのハッキングでファンデータが流出、チケット乗っ取りが可能に
データ侵害Ajax Amsterdamのシステムが侵害され、ファンデータが流出し、チケットの乗っ取りが可能になった。
🚨 重大な脆弱性
CVE-2026-3055 — Citrix NetScaler メモリオーバーリード (CVSS 9.3)
緊急活発な偵察Citrix NetScaler ADCおよびGatewayの重大なメモリオーバーリード脆弱性が活発に偵察されている。不十分な入力検証により、攻撃者がメモリから機密情報を漏洩させることが可能。パッチ公開済み — 直ちに適用すること。
CVE-2025-53521 — F5 BIG-IP APM RCEがCISA KEVに追加 (CVSS 9.3)
緊急活発な悪用CISAがこのF5 BIG-IP Access Policy ManagerのRCE脆弱性を既知の悪用される脆弱性(KEV)カタログに追加した。実際の攻撃での活発な悪用が確認されている。直ちにパッチを適用すること。
CVE-2026-4681 — PTC Windchill重大な脆弱性(ドイツ警察が動員)
緊急ICS/OTCISAがPTC Windchillの重大な脆弱性を警告。深刻度が非常に高く、ドイツ警察が組織を直接訪問して警告する事態となった。産業・製造環境が危険にさらされている。
LangChain & LangGraphの脆弱性でファイル、シークレット、データベースが露出
高AI/ML広く利用されているAIフレームワークLangChainおよびLangGraph(週間5,200万以上のダウンロード)に3つの脆弱性が発見され、独立した攻撃経路を通じてファイルシステムデータ、環境シークレット、会話履歴が露出する。
TP-Linkの高深刻度ルーター脆弱性が修正
高ネットワークTP-Linkがルーターにおける認証バイパス、任意のコマンド実行、設定ファイル復号を可能にする欠陥を修正した。
BIND DNSリゾルバの高深刻度脆弱性
高DNS特別に細工されたドメインにより、BINDリゾルバでメモリ不足状態やメモリリークが発生する可能性がある。アップデート公開済み。
Cisco IOSの複数の脆弱性
高ネットワークCisco IOSの複数の高〜中深刻度の脆弱性により、DoS、セキュアブートバイパス、情報漏洩、権限昇格が発生する可能性がある。
🎯 脅威アクター & キャンペーン
中国系Red Menshenが通信バックボーンに潜伏
APT中国緊急Rapid7の調査により、中国の国家支援型グループRed Menshen(Earth Bluecrow / DecisiveArchitect)がBPFDoorカーネルインプラント、パッシブバックドア、クロスプラットフォームコマンドフレームワークを使用して、通信ネットワーク内に長期的なステルスアクセスを維持していたことが判明。通信事業者で発見された「最もステルス性の高いデジタルスリーパーセル」と評されている。標的: 中東およびアジアの通信事業者。
ロシアのTA446がスピアフィッシングでDarkSword iOSエクスプロイトキットを展開
APTロシアロシアの国家支援型グループTA446(Callisto)が、標的型メールキャンペーンを通じてiOSデバイスを狙うDarkSwordエクスプロイトキットを活用している。別途、Coruna iOSエクスプロイトキットは2023年のOperation Triangulationカーネルエクスプロイトの更新版と見られている。
AitMフィッシングキャンペーンがTikTokビジネスアカウントを標的に
フィッシングソーシャルメディアCloudflare Turnstile回避を使用した中間者(AitM)フィッシングページが、TikTok for Businessアカウントの乗っ取りに使用されている。侵害されたアカウントはマルバタイジングやマルウェア配布に悪用されている。
Infinity Stealer — ClickFixを利用した新たなmacOS情報窃取マルウェア
マルウェアMACOSmacOSを標的とする新たな情報窃取マルウェアが、Cloudflareテーマの偽CAPTCHAページ、Bashスクリプト、Nuitkaコンパイルローダー、Pythonベースのペイロードを使用。ClickFixソーシャルエンジニアリングの手法で配布されている。
GitHubの偽VS Codeセキュリティアラートがマルウェアを拡散
サプライチェーン開発者大規模なキャンペーンがGitHub Discussionsセクションに偽のVS Codeセキュリティアラートを投稿し、開発者を騙してマルウェアをダウンロードさせている。別途、Open VSXのバグにより悪意のあるVS Code拡張機能が事前公開スキャンをバイパスできる状態だった。
RedLineマルウェア管理者が米国に身柄引き渡し
法執行アルメニアのハンバルズム・ミナスヤン(RedLine情報窃取マルウェアの管理者とされる人物)が米国に身柄を引き渡され、起訴されることとなった。
📦 サプライチェーン攻撃
TeamPCPがTelnyx PyPIパッケージを侵害 — WAVファイルに情報窃取マルウェアを隠蔽
サプライチェーン緊急脅威アクターTeamPCP(過去にTrivy、KICS、litellmを侵害)が悪意のあるTelnyxバージョン4.87.1および4.87.2をPyPIにプッシュした。攻撃は3段階のチェーンを使用:音声ステガノグラフィー(WAVファイルに認証情報を隠蔽)による配信、メモリ内実行、そしてデータ窃取。Windows、Linux、macOSが標的。直ちに4.87.0にダウングレードすること。PyPIプロジェクトは隔離済み。
🔧 セキュリティツール & 発表
OpenAIが悪用・安全性リスク向けバグバウンティプログラムを開始
AIセキュリティOpenAIがバグバウンティプログラムを拡大し、重大な被害につながる設計上または実装上の問題をカバー。特にAIシステムにおける悪用や安全性リスクを対象としている。
Appleが古いiOSデバイスにロック画面警告を送信
防御モバイルAppleが古いiOS/iPadOSバージョンを使用しているiPhoneおよびiPadにロック画面通知をプッシュ配信し、アクティブなWebベースのエクスプロイトについて警告、即座のアップデートを促している。
Windows 11 KB5079391 — Smart App Control機能の改善
防御WINDOWSMicrosoftがWindows 11 24H2/25H2のプレビューアップデートをリリース。Smart App Controlセキュリティ機能の改善を含む29の変更が含まれている。
RSAC 2026カンファレンス発表(3〜4日目)
業界RSAC 2026カンファレンスの3日目と4日目のベンダー発表が続々と発表され、複数のセキュリティ製品のリリースやプラットフォームアップデートが行われている。
📊 新たなトレンド
今週の主要トレンド
1. iOSが包囲下に: 複数のiOSエクスプロイトキットが同時に活動中 — DarkSword(ロシア/TA446)、Coruna(Operation Triangulationの後継)、さらにアクティブなWebベースのエクスプロイトがAppleの前例のないロック画面警告を引き起こしている。iOSはもはや「安全な」モバイルプラットフォームではない。
2. サプライチェーンにおけるステガノグラフィー: TeamPCPがPyPIパッケージ内で認証情報窃取マルウェアを隠蔽するためにWAV音声ステガノグラフィーを使用。サプライチェーン攻撃の高度化を示している。メディアファイルベースのペイロード隠蔽がさらに増加すると予想される。
3. 攻撃対象としての開発者ツール: VS Code、Open VSX、GitHub Discussions、PyPI — 開発者エコシステムが体系的に標的にされている。偽のセキュリティアラートやスキャンパイプラインのバイパスは、攻撃者が開発者の信頼モデルを理解していることを示している。
4. 国家による通信事業者への持続的侵入: Red MenshenのBPFDoorインプラントは通信バックボーンインフラに潜伏し、「デジタルスリーパーセル」と評された。中国による通信インフラへのスパイ活動の深さを浮き彫りにしている。
5. ネットワークアプライアンスCVEの急増: Citrix NetScaler、F5 BIG-IP、TP-Linkルーター、Cisco IOSの重大なCVEが同一サイクルで発生。ネットワーク境界デバイスは依然として初期アクセスベクターの第1位である。