🛡️ セキュリティリサーチブリーフ
2026年3月31日 · CET 04:00 自動生成 · 情報源: BleepingComputer, The Hacker News, SecurityWeek, CyberSecurityNews
⚡ TL;DR — 本日の重要事項
- 3件の重大CVEが活発に悪用中 — Citrix NetScaler、F5 BIG-IP、Fortinet FortiClient EMSがすべて攻撃を受けている
- 欧州委員会に不正アクセス — ShinyHuntersがEuropa.euから350GB以上のデータを窃取したと主張
- 医療データ漏洩 — CareCloudの患者データがネットワーク侵入により窃取
- ロシアAPTの活動 — Star BlizzardがDarkSword iOS エクスプロイトキットを採用、新たなCTRLツールキットがRDPハイジャックを使用
- サプライチェーン攻撃 — 悪意のあるPyPIパッケージがTelnyx SDKユーザーを標的に
- AppleがClickFixに対応 — macOS Tahoe 26.4でターミナルのペースト保護機能を追加
🔓 データ漏洩 & 不正侵入
欧州委員会 — ShinyHuntersによるEuropa.eu侵害
深刻 政府機関 データ窃取欧州委員会は、恐喝グループShinyHuntersが欧州委員会のクラウドシステムから350GB以上の情報を窃取したと主張したことを受け、大規模なデータ漏洩を確認した。この事件は欧州史上最大規模の政府データ窃取事案の一つである。
CareCloud — 医療患者データの窃取
高 医療 PHI医療IT企業CareCloudは、電子健康記録(EHR)環境の一つに関わるサイバーセキュリティインシデントを公表した。約8時間にわたるネットワーク障害中に機密患者データが露出した。保護対象医療情報(PHI)がアクセスされた可能性のある患者数は不明。
FBI長官Kash Patel — 個人メールが侵害
高 政府機関 イランFBIは、イランのハッカーがFBI長官Kash Patelの個人メールアカウントを標的にしたことを確認した。親イラン派ハッキンググループが犯行声明を出し、メールや文書をダウンロード可能にした。米国はハッカーに関する情報に対し1,000万ドルの報奨金を提示している。FBIは漏洩情報が古いものであると述べた。
🚨 重大CVE — 活発に悪用中
CVE-2026-3055 — Citrix NetScaler ADC/Gatewayメモリオーバーリード
CVSS 9.3 ⚠ 活発に悪用中Citrix NetScaler ADCおよびGatewayの重大なメモリオーバーリード脆弱性により、攻撃者は認証済み管理者セッションIDを含む機密情報を漏洩させることが可能。悪用にはアプライアンスがSAML IDプロバイダーとして構成されている必要がある。3月27日以降、活発な悪用が確認されている。
対応: 直ちにパッチを適用。SAML IDP構成を確認すること。
F5 BIG-IP APM — DoSから重大RCEに再分類
重大 RCE ⚠ 活発に悪用中F5はBIG-IP APMの脆弱性を高深刻度のDoSから重大RCEに再分類した。攻撃者は未パッチのデバイスにWebシェルを積極的に展開している。CISAはこれを既知の悪用脆弱性(KEV)カタログに追加した。
対応: 直ちにパッチを適用。BIG-IPインスタンスのWebシェルを監査すること。
CVE-2026-21643 — Fortinet FortiClient EMS SQLインジェクション
深刻 ⚠ 活発に悪用中FortinetのFortiClient Endpoint Management Server(EMS)における重大なSQLインジェクション脆弱性が実環境で活発に悪用されている。脅威アクターはこの脆弱性を企業ネットワークへの初期アクセスに利用している。
対応: FortiClient EMSを直ちにパッチ適用。EMSログで異常なクエリを確認すること。
🔥 その他の注目すべき脆弱性
Grafana 12.4.2 — 2件の重大RCE脆弱性
深刻 モニタリングGrafanaの2件の重大な脆弱性により、完全なリモートコード実行が可能。バージョン12.4.2でセキュリティアップデートがリリースされた。
CVE-2026-33660 — n8nワークフロー自動化RCE
深刻 自動化人気のオープンソースワークフロー自動化プラットフォームn8nの重大なRCE脆弱性により、ホストサーバーがリモートコード実行攻撃にさらされる。
CVE-2026-33634 — Aqua Trivyスキャナー
深刻 DevSecOps ⚠ KEV登録済CISAはAqua SecurityのTrivyスキャナーの重大な脆弱性をKEVカタログに追加した。皮肉なことに、セキュリティスキャナー自体が脆弱性の経路となった。
Vim — 細工されたファイルによる任意コマンド実行
高 開発ツールVimの高深刻度の脆弱性により、攻撃者は細工されたファイルを通じて任意のコマンドを実行可能。Vimを使用する開発者は直ちにアップデートすべきである。
Cisco Secure Firewall Management Center — 未認証RCE
深刻 ネットワークセキュリティCiscoのSecure Firewall Management Center(FMC)ソフトウェアにおける未認証リモートコード実行脆弱性。
Synology DiskStation Manager — リモートコマンド実行
深刻 NAS未認証のリモート攻撃者がSynology DSMデバイス上で任意のコマンドを実行可能。
Jira Work Management — 格納型XSS
中 AtlassianJira Work Managementの格納型XSS脆弱性により、Atlassianエコシステムでアカウント侵害につながる可能性がある。
Claude Chrome拡張機能 — ゼロクリックプロンプトインジェクション
深刻 AIセキュリティAnthropicのClaude Chrome拡張機能のゼロクリック脆弱性により、300万人以上のユーザーがサイレントプロンプトインジェクション攻撃にさらされ、悪意のあるウェブサイトがAIアシスタントをハイジャックすることが可能であった。
🕵️ 脅威アクター & キャンペーン
ロシアAPT Star Blizzard — DarkSword iOSエクスプロイトキット
ロシア APT iOSロシア国家支援グループStar BlizzardがDarkSword iOSエクスプロイトキットを採用し、政府機関、高等教育機関、金融機関、法律事務所、シンクタンクを標的にしている。これは同グループのモバイル攻撃能力の顕著な拡大を示している。
ロシア製CTRLツールキット — FRPトンネル経由のRDPハイジャック
ロシア RAT RDP新たに発見されたロシア発のリモートアクセスツールキットCTRLが、秘密鍵フォルダに偽装した悪意のあるLNKファイルを通じて配布されている。.NETで構築され、認証情報フィッシング(Windows Hello UI)、キーロギング、RDPセッションハイジャック、Fast Reverse Proxy(FRP)経由のリバースプロキシトンネリングを含む。
中国関連APT — 東南アジア政府機関を標的に
中国 スパイ活動 APT3つの中国系脅威クラスター(Mustang Panda、Earth Estries/Crimson Palace、Unfading Sea Haze)が東南アジアの政府機関に対し協調的なキャンペーンを実施した。展開されたマルウェアにはHIUPAN、PUBLOAD、MASOL RAT、PoshRAT、FluffyGh0stなどが含まれ、豊富なリソースを持つ持続的な作戦であることを示している。
イラン — 戦争の文脈におけるサイバー作戦
イラン ハイブリッド戦争イラン関連のハッキンググループが、AI強化による大量・低影響型のサイバー攻撃にシフトしている。病院、インフラ、民間システムが進化する紛争環境の中で標的となっている。
📦 サプライチェーン & マルウェア
TeamPCPサプライチェーン攻撃 — PyPI上のTelnyx SDKが汚染
高 サプライチェーン PyPI人気のTelnyx SDKの悪意のある2つのバージョンがPyPIレジストリにアップロードされ、Windows、macOS、Linuxシステムを標的にした。拡大するTeamPCPサプライチェーン攻撃キャンペーンの一環。
RoadK1ll — 横展開用の新WebSocketインプラント
マルウェア 侵害後活動新たに特定されたRoadK1llというインプラントがWebSocket接続を使用し、侵害されたホストからネットワーク上の他のシステムへの静かな横展開を可能にしている。
Infiniti Stealer — Cloudflareテーマを使ったMac向けClickFix
macOS 情報窃取Cloudflareテーマを使ったClickFix攻撃が、偽のCAPTCHAページ、Bashスクリプト、Nuitkaローダー、Pythonベースの情報窃取ツールを通じてMac上にInfiniti Stealerを投下する。AppleのmacOS Tahoe 26.4には、ClickFix手法に対抗するためのターミナルペースト警告が含まれるようになった。
🛠️ セキュリティツール & 防御策
Apple macOS Tahoe 26.4 — ターミナルペースト保護
防御 macOSAppleは macOS Tahoe 26.4に、ターミナルで潜在的に有害なコマンドの貼り付けと実行をブロックする新しいセキュリティ機能を導入した。これは、ユーザーを騙して悪意のあるコマンドを貼り付けさせるClickFixソーシャルエンジニアリング手法に直接対処するものである。
Huskeys — エッジセキュリティ管理スタートアップ(800万ドル調達)
スタートアップ エッジセキュリティHuskeyが800万ドルの資金調達を経てステルスモードから登場し、エッジセキュリティスタック全体を統合するAIエンジンであるエッジセキュリティ管理(ESM)プラットフォームを構築している。
Googleが2029年量子コンピューティング期限を設定
量子コンピューティング 暗号技術Googleが量子コンピューティング関連のセキュリティ対応について2029年の社内期限を設定し、ポスト量子暗号への移行スケジュールが逼迫していることを示唆している。
📈 新たなパターン & トレンド
LLMによるアクセス制御の侵食
AIリスク IAMSecurityWeekは懸念の高まりを指摘:LLMは複雑なアクセス制御ポリシー(Rego、Cedar)を数秒で生成できるが、条件の一つが欠落したり、ハルシネーションによる属性が一つあるだけで、最小権限のセキュリティモデルが静かに崩壊する可能性がある。AIを使用してアクセスポリシーを作成する組織は、出力を徹底的なレビューが必要な信頼できないコードとして扱うべきである。
従来の対策を回避するブラウザベースの攻撃
ブラウザセキュリティ AITMPush Securityのレポートは、ブラウザベースの攻撃(AITMフィッシング、ClickFix、悪意のあるOAuthアプリ、セッションハイジャック)が既存のセキュリティ対策が検知できないまま大規模な侵害を引き起こしていることを詳述している。ブラウザが主要な攻撃面となりつつある。
ネットワークアプライアンスCVEの急速な大量悪用
パターン エッジデバイス本日のレポートでは、3つの異なるネットワークアプライアンスベンダー(Citrix、F5、Fortinet)の重大CVEが同時に活発に悪用されていることが示されている。公開から悪用までの時間は縮小し続けている。エッジデバイスのパッチ適用は任意ではなく、時間との競争である。
国家支援によるモバイル攻撃の拡大
APT モバイルStar BlizzardによるDarkSword iOSエクスプロイトキットの採用は、ロシアAPTがモバイル攻撃能力を拡大していることを示している。イランのAI強化型攻撃のスケールアップと合わせ、国家支援による攻撃能力は防御範囲よりも速く拡大している。