Security

概要 2026年3月31日（UTC）、週間ダウンロード数が約8,300万〜1億に上る人気JavaScriptライブラリ「axios」のnpmパッケージが、サプライチェーン攻撃を受けた。攻撃者はメインメンテナーである Jason Saayman 氏のGitHubおよびnpmアカウントを乗っ取り、ProtonMailアドレスにメールを変更してアカウントから正規オーナーをロックアウト。その後、バックドアを仕込んだバージョン axios@1.14.1（latestタグ）と axios@0.30.4（legacyタグ）を立て続けに公開した。悪意あるバージョンが最初に公開されてからわずか89秒でmacOS環境での初感染が検出され、約3時間の露出ウィンドウの間に少なくとも135のエンドポイントが攻撃者のC2インフラと接続したことが確認されている。 攻撃の帰属についてはGoogle Threat Intelligence Groupが北朝鮮国家支援脅威アクター「UNC1069（BlueNoroff）」と結論付けた。動機は金銭目的ではなく、スパイ活動・APTと疑われており、仮想通貨採掘やランサムウェアのコンポーネントは含まれていなかった。 攻撃の手口と技術的詳細 axiosのソースコード自体は改ざんされておらず、悪意ある依存関係 plain-crypto-js@4.2.1 が真のドロッパーとして機能した。攻撃者は前日（3月30日 05:57 UTC）に無害な plain-crypto-js@4.2.0 を公開して事前にスキャン検出を回避するよう偽装し、直前に差し替えるという周到な手法を採った。npm install axios@1.14.1 を実行するとnpmが依存関係ツリーを解析してこのパッケージを自動インストールし、postinstall スクリプト（setup.js）がC2サーバーに接続して段階的ペイロードを配信する仕組みになっていた。 RATはmacOS・Windows・Linuxの3プラットフォームに対応したペイロードを持ち、それぞれ以下の方法で動作した。 macOS：AppleScriptが sfrclak.com:8000 からバイナリを取得し /Library/Caches/com.apple.act.mond に保存・実行 Windows：PowerShellが %PROGRAMDATA%\wt.exe にバイナリをコピーし、VBScriptでペイロードを取得。レジストリのRunキーで永続化 Linux：Pythonスクリプトを /tmp/ld.py に取得し nohup で実行 RATの主な機能はシステム偵察・フィンガープリンティング、60秒ごとのC2へのビーコン送信、任意コマンド実行、ファイルシステム列挙、インメモリバイナリインジェクション（Windows）など。さらに実行後は package.json をクリーンな状態に置き換えてフォレンジック検出を回避し、この全工程が約15秒で完了するという高い完成度を示した。 影響範囲と緊急対応 悪意あるバージョンの稼働時間は 1.14.1 で約2時間53分、0.30.4 で約2時間15分にとどまったが、axiosがクラウドおよびコード環境の約80%に存在するという普及率から、その影響は広範に及んだ可能性がある。影響を受けた環境の約3%でRAT実行が確認されている。 影響を受けた可能性のあるシステムに対しては、以下の緊急対応が推奨されている。 axios@1.14.0 または axios@0.30.3 へのダウングレード plain-crypto-js を node_modules から削除し、package.json に overrides ブロックを追加 CI/CDパイプラインのログを確認し、sfrclak[.]com や 142.11.206.73 へのアウトバウンドトラフィックをブロック RATアーティファクト（macOS: /Library/Caches/com.apple.act.mond、Windows: %PROGRAMDATA%\wt.exe）が発見された場合はシステムを既知の状態から再構築（その場でのクリーンアップは非推奨） npmトークン、AWS/GCP/Azure認証情報、SSH秘密鍵、CI/CDシークレット、.env ファイルの値などすべての認証情報をローテーション CI/CDパイプラインでは --ignore-scripts フラグを用いて postinstall フックの実行を防止 また、npm エコシステム全体のセキュリティとして、GitHub Actions OIDC Trusted Publishing を設定済みでも長期有効な NPM_TOKEN が残存していたことが今回の侵害を可能にしたと分析されている。Trusted Publishing への完全移行と古いトークンの削除が強く推奨される。 ...

概要 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年3月20日、実際の攻撃への悪用が確認されたセキュリティ脆弱性5件を「既知悪用脆弱性（KEV）カタログ」に追加した。対象はApple WebKit・Appleカーネル（各1件・2件）、Craft CMS、Laravel Livewireで、連邦政府機関に対して2026年4月3日までのパッチ適用を義務付けている。特にCraft CMS（CVSSスコア10.0）とLaravel Livewire（CVSSスコア9.8）はCritical評価であり、国家支援型ハッカーグループや犯罪グループによる悪用が確認されている。 脆弱性の詳細 今回追加された5件の脆弱性の内訳は以下のとおりだ。 CVE-2025-31277（Apple WebKit / CVSS 8.8）: 悪意ある Webコンテンツを処理する際のメモリ破損により任意コードが実行される可能性がある。 CVE-2025-43510（Appleカーネル / CVSS 7.8）: 共有プロセスメモリへの予期しない変更を可能にするメモリ破損。 CVE-2025-43520（Appleカーネル / CVSS 8.8）: システム停止またはカーネルメモリへの書き込みを可能にするメモリ破損。 CVE-2025-32432（Craft CMS / CVSS 10.0）: コードインジェクションによる任意コード実行。2025年2月からゼロデイとして積極的に悪用されていた。 CVE-2025-54068（Laravel Livewire / CVSS 9.8）: 認証不要でリモートからコマンドを実行できるコードインジェクション脆弱性。 Appleの各脆弱性は2025年7月・12月にパッチが提供されており、Craft CMSは2025年4月、Laravel Livewireは2025年7月に修正済みだ。 悪用主体と攻撃キャンペーン 各脆弱性の悪用には異なる脅威アクターが関与している。AppleのWebKit・カーネル脆弱性はiOSエクスプロイトキット「DarkSword」と関連付けられており、GHOSTBLADE・GHOSTKNIFE・GHOSTSABERといったマルウェアファミリーの展開に利用され、主な目的はデータ窃取とされる。 Craft CMSのCVE-2025-32432は「Mimo」と呼ばれる侵害グループが悪用しており、暗号通貨マイニングや不正プロキシの展開に利用されている。Laravel LivewireのCVE-2025-54068はイランの国家支援型ハッカーグループ「MuddyWater」が中東の外交機関や重要インフラを標的にしたキャンペーンで使用している。 対応と推奨事項 CISAのKEVカタログへの追加は、連邦政府機関（FCEB機関）に対してパッチ適用を法的に義務付けるものだが、民間企業や組織に対しても速やかなアップデートが強く推奨される。CVSSスコアが9.8・10.0と最高水準に近いCraft CMSおよびLaravel Livewireの脆弱性は特に優先度が高く、これらのフレームワークを使用している組織は直ちに最新バージョンへの更新を検討すべきだ。国家支援グループによる悪用が継続する可能性があるため、パッチ適用後もネットワーク監視や侵害痕跡（IoC）の確認を行うことが重要だ。

概要 Ciscoは2026年3月、エンタープライズ向けWAN管理プラットフォームであるCatalyst SD-WAN Manager（旧vManage）において、2件の脆弱性が実環境で積極的に悪用されていることを公式に確認した。対象となる脆弱性はCVE-2026-20122（CVSS 7.1）とCVE-2026-20128（CVSS 5.5）で、いずれも認証済みの攻撃者を前提とするが、侵害済みの認証情報を持つ攻撃者によって組み合わせて悪用される可能性がある。CiscoはPSIRT（製品セキュリティ インシデント レスポンス チーム）を通じて顧客に修正済みバージョンへの早急なアップグレードを強く求めている。 脆弱性の詳細 CVE-2026-20122（CVSS 7.1、高）は、Catalyst SD-WAN Manager APIに存在する任意ファイル上書き脆弱性だ。読み取り専用のAPI認証情報を持つリモート攻撃者が、ローカルファイルシステム上の任意ファイルを上書きできる。権限昇格への踏み台となるため、実害が大きい。 CVE-2026-20128（CVSS 5.5、中）は、Data Collection Agent（DCA）機能に起因する情報開示・権限昇格の脆弱性だ。有効なvManage認証情報を持つローカルの認証済み攻撃者が、DCAユーザー権限を取得できる。 なお、今回の公開と同時に、認証バイパスが可能なCVE-2026-20127（CVSS 10.0）の修正も行われた。この脆弱性は2023年以降ゼロデイとして悪用されており、攻撃者がコントローラーを侵害し不正なピアをネットワークに追加できるものだ。今回の2件と組み合わせた攻撃チェーンへの警戒が必要である。 影響を受けるバージョンと修正版 修正済みバージョンは以下のとおり。 リリースライン 修正バージョン 20.9.x 20.9.8.2 20.11.x 20.12.6.1 20.13〜20.15 20.15.4.2 20.12.x 20.12.5.3 / 20.12.6.1 20.16〜20.18 20.18.2.1 上記より古いバージョンは修正済みリリースへの移行が必要となる。 推奨される対策 Ciscoは修正済みバージョンへのアップグレードを最優先とした上で、以下の追加緩和策を推奨している。 管理ポータルへのHTTPアクセス無効化およびファイアウォールによる保護 不要なサービス（HTTP/FTP）の無効化 認証情報のローテーション ネットワークトラフィックの継続的な監視 米国CISAも連邦政府機関向けに緊急指令を発行し、影響対象システムのインベントリ化、フォレンジック情報の収集、期限内のパッチ適用を義務付けた。SD-WAN Managerは広範な企業ネットワークの中核を担う重要インフラであり、侵害が確認された場合の影響範囲は甚大になることから、未対応の組織は直ちに対処することが求められる。

概要 Google Cloudは2026年上半期版「Threat Horizons」レポートを公開し、クラウドセキュリティの脅威動向における重大な変化を報告した。2021年のレポートシリーズ開始以来初めて、サードパーティソフトウェアの脆弱性がクラウド侵害の最大の初期侵入経路となった。2025年下半期のインシデントでは、ソフトウェアの脆弱性に起因するものが**44.5%**に達し、脆弱または未設定の認証情報（27.2%）を大きく上回った。これは2025年上半期に同指標が2.9%だったことと比較すると、わずか半年で劇的な変化が起きたことを示している。 主要な脅威動向 今回のレポートで特に注目されるのは、脆弱性の悪用スピードの加速だ。2025年下半期には、脆弱性の公開から実際の攻撃に悪用されるまでの時間が、従来の「数週間」から「数日」に短縮されている。組織がパッチを適用する前に攻撃が始まる状況が常態化しており、人手による対応の限界が浮き彫りになっている。 また、全インシデントの83%にアイデンティティの侵害が関与していることも判明した。攻撃者はランサムウェアや恐喝の一環としてクラウドリソースを意図的に破壊し、被害者が独立して復旧できないよう妨害する手法を採用している。さらに、国家支援型グループを含む主要なランサムウェアグループのほぼすべてが、ログ、コアダンプ、スナップショットなどのフォレンジック証跡を削除するなど、フォレンジック機能への干渉を行っていることも報告されている。北朝鮮系の脅威アクターによるKubernetesの特権コンテナを悪用した暗号資産窃取キャンペーンも確認されている。 推奨対策と今後の展望 Google Cloudは本レポートで、こうした脅威に対応するために組織がより自動化された防御へ移行することを強く推奨している。具体的には、CIEM（クラウドインフラストラクチャ権限管理）やWorkload Identity Federationを活用した非人間アイデンティティの自動ガバナンスへのシフトが求められる。人間中心の認証管理から脱却し、機械的・自動的なアイデンティティ管理が今後の重要課題となる。 AIを活用した標的プロービングの増加も確認されており、攻撃者側のAI活用が進む中、防御側も多層防御戦略（アイデンティティセキュリティの強化、堅牢なリカバリ機構、ソーシャルエンジニアリング対策、サプライチェーンの完全性確保）を組み合わせた体系的な対応が不可欠だ。ソフトウェアサプライチェーンへの攻撃が主要な侵入経路となった現在、パッチ管理の自動化と脆弱性の早期検知がクラウドセキュリティの最前線課題となっている。

概要 オープンソースのKubernetesセキュリティプラットフォーム「Kubescape」がバージョン4.0に達し、一般提供（GA）を開始した。KubeCon + CloudNativeCon Europe 2026での発表に合わせたリリースで、ランタイム脅威検知エンジンとAIエージェント（KAgent）向けセキュリティスキャンが主要な新機能として加わった。コアメンテナーのBen Hirschberg氏は、ランタイム検知エンジンについて「大規模環境で厳密にテストされ、安定性が実証済みだ」と述べている。Kubescapeは2025年1月にCNCFサンドボックスからインキュベーティング層へ昇格しており、ARMO社がメンテナンスをリードしている。 ランタイム脅威検知とアーキテクチャの刷新 新しいランタイム検知エンジンはCommon Expression Language（CEL）ルールを使ってプロセス、Linuxケーパビリティ、システムコール、ネットワークイベント、ファイルアクティビティをリアルタイムで監視する。検知ルールはKubernetesのカスタムリソース定義（CRD）として管理され、アラートをAlertManager・SIEM・Syslog・Webhookにルーティングできる。また「Kubescape Storage」もGAとなり、セキュリティメタデータを標準のetcdインスタンスから分離してKubernetes Aggregated APIで保持する設計を採用し、大規模・高密度クラスターへの対応を強化した。 アーキテクチャ面では、従来の侵襲的なhost-sensor DaemonSetとhost-agentを廃止し、単一のnode-agentにその機能を統合した。Direct API接続への移行により安定性と監査性が向上している。 AIエージェントセキュリティへの対応 Kubescape 4.0の注目点は、急増するAIエージェントのインフラ管理への対応だ。KAgentネイティブプラグインを導入し、AIアシスタントがKubernetesのセキュリティポスチャ（脆弱性・RBAC設定・コンテナの振る舞いパターン）を直接クエリできるようにした。さらに、KAgentのCRDにおけるセキュリティ上重要な42の設定ポイントをカバーする15の新OPA Regoベースコントロールを追加した。空のセキュリティコンテキスト、NetworkPolicyの欠如、過剰な権限でのネームスペース監視といった脆弱性への対処が含まれる。開発チームは「AIエージェントの自律性が高まる中、高リスクなアクションを実行されないよう堅牢なセキュリティガードレールが不可欠だ」と強調している。 コンプライアンス対応 コンプライアンス面では、CISベンチマークのバージョン1.12（バニラKubernetes）とバージョン1.8（EKS/AKS）のサポートが追加された。既存のNSA-CISAおよびMITRE ATT&CKフレームワークへの対応と合わせ、企業が求めるセキュリティ標準への準拠をさらに充実させている。CVEノイズを95%以上削減できるとされており、セキュリティ運用の効率化に貢献する。

概要 Microsoftは2026年3月のPatch Tuesdayにおいて、79件のセキュリティ脆弱性を修正するアップデートをリリースした。深刻度別の内訳はCritical（緊急）が3件、Important（重要）が76件で、うち2件は既に公開されていたゼロデイ脆弱性だ。種別では権限昇格（EoP）が46件と最多で、リモートコード実行（RCE）が18件、情報漏洩が10件、サービス拒否（DoS）が4件、なりすましが4件、セキュリティ機能バイパスが2件と続く。 2件の公開済みゼロデイ 今回のリリースで最も注目されるのは、積極的な悪用こそ確認されていないものの、既に詳細が公開されていた2件のゼロデイ脆弱性だ。 CVE-2026-21262（SQL Server 権限昇格）は、Microsoft SQL Serverにおける不適切なアクセス制御の問題だ。認証済みの攻撃者がネットワーク越しにシステム管理者（sysadmin）レベルまで権限昇格できる。この脆弱性はErland Sommarskogが「ストアドプロシージャにおける権限のパッケージ化」に関する論文の中で元々開示したものであり、セキュリティ研究コミュニティには以前から知られていた。 CVE-2026-26127（.NET サービス拒否）は、.NETプラットフォームの境界外読み取り（out-of-bounds read）に起因する欠陥で、未認証の攻撃者がネットワーク越しにサービスをクラッシュさせることが可能だ。発見者は匿名の研究者とされている。 注目の重大（Critical）脆弱性 今月のアップデートで特に深刻度が高いのはCVE-2026-21536（CVSS 9.8）で、Microsoft Devices Pricing ProgramにおけるRCEの欠陥だ。CVSSスコアが最高レベルに近く、悪用されれば重大な被害につながる恐れがある。 Officeユーザーにとって注意が必要なのがCVE-2026-26110とCVE-2026-26113だ。どちらもMicrosoft Officeに存在するRCE脆弱性で、プレビューペインを開くだけで悪用されうる点が特に危険視される。また、CVE-2026-26144はMicrosoft ExcelとMicrosoft Copilotを組み合わせた環境で機密データが漏洩するリスクがある情報漏洩の欠陥だ。クラウド環境ではCVE-2026-23651をはじめとするAzure Compute Galleryの複数の脆弱性も修正対象となっており、Azure利用組織は速やかな対応が求められる。 影響範囲と推奨対応 修正対象のソフトウェアはSQL Server、SharePoint、Officeアプリケーション、Windowsコンポーネント（NTFS、SMB）、Active Directory、Kerberos認証、各種Azureサービスと幅広い。Hackreadはパッチ適用の優先順位として、インターネット公開されたSQL ServerやNTFS・SMBなどのネットワークサービスを最優先とし、次いでActive DirectoryやKerberosなどの認証インフラ、公開向けAPIの順で対処するよう推奨している。 Patch Tuesdayの公開後は攻撃者が修正内容を解析し、新たな悪用コードを開発する動きが活発化する傾向にある。今回の2件のゼロデイは現時点で攻撃には使われていないが、技術詳細が公開されている以上、悪用が始まるまでの時間は短い可能性がある。セキュリティチームはWindowsおよび関連製品へのパッチ適用を速やかに完了させることが強く推奨される。

概要 Ciscoは、Trivyサプライチェーン攻撃によって盗まれた認証情報を利用した脅威アクターによる開発環境への侵入被害を受けた。攻撃者は悪意のあるGitHub Actionプラグインを介してCiscoのビルド・開発インフラに侵入し、300以上のGitHubリポジトリからプロプライエタリなソースコードを窃取した。被害を受けたデバイスは開発者ワークステーションやラボ環境を含む数十台に及ぶ。 この攻撃は、GitHub・PyPI・npm・Dockerを標的に広範なサプライチェーン攻撃を展開するTeamPCPグループによるものとされている。同グループは独自の「TeamPCP Cloud Stealer」と呼ばれる情報窃取マルウェアを使用しており、複数の脅威アクターが異なる関与度で参加していたことも報告されている。 被害の詳細 窃取されたデータの中には、CiscoのAIアシスタントや「AI Defense」などのAI製品のソースコードに加え、未公開製品のコードも含まれている。さらに深刻なのは、盗まれたリポジトリの一部が銀行・BPO・米国政府機関などの法人顧客に属するものであったとされる点だ。これにより、Cisco自体だけでなく、その顧客企業にも影響が及ぶ可能性がある。 侵入の過程では複数のAWSキーも窃取されており、クラウドインフラへの不正アクセスリスクも生じた。攻撃者はまず、Trivyサプライチェーン攻撃で事前に収集した認証情報を起点に、Ciscoの開発パイプラインへ侵入する足がかりを築いた。 攻撃の拡大とサプライチェーンへの波及 TeamPCPは今回のCisco侵害に留まらず、同様の手口でLiteLLM（PyPI経由）やCheckmarx KICSプロジェクトへの攻撃も展開した。GitHub・PyPI・npm・Dockerといった主要なソフトウェアサプライチェーンのエコシステム全体に悪意のあるパッケージを流通させ、広範な開発者環境を標的にしている。このような攻撃手法は、依存関係やCI/CDパイプラインを悪用して企業内部への侵入口を拡大する「サプライチェーン侵害」の典型例といえる。 Ciscoの対応と今後の課題 Ciscoは今回の侵害を受け、影響を受けたシステムの隔離と再イメージングを開始し、大規模な認証情報のローテーションを実施した。初期の侵害は封じ込められたとしているものの、匿名の情報筋によれば「引き続き余波が続くことが予想される」とされており（Ciscoは本件に関してコメントを発表していない）、完全な影響範囲の把握には時間を要する見通しだ。サプライチェーン攻撃による認証情報の流出が大企業の開発環境侵害へとつながる今回の事例は、CI/CDパイプラインのセキュリティ強化と依存コンポーネントの継続的な監視の重要性を改めて示している。

概要 セキュリティ研究者のReliaQuestが、新たなマルウェアローダー「DeepLoad」を発見した。このマルウェアは、ソーシャルエンジニアリング手法「ClickFix」を入口として配布され、感染したシステムに保存されたブラウザの認証情報を盗み出すことを主な目的としている。ReliaQuestは「非常に新しい」マルウェアとして警戒を呼びかけており、感染の広がりが懸念される。 攻撃の起点となるClickFixは、偽のページや通知でユーザーを騙し、Windowsの「ファイル名を指定して実行」ダイアログからPowerShellコマンドを手動で実行させる手法だ。これによりmshta.exeが起動し、難読化されたPowerShellローダーがダウンロード・実行される。 技術的な詳細 DeepLoadは、検知を回避するために複数の高度な技術を組み合わせている。ペイロードは「AIを利用した難読化」によって大量の無意味な変数代入の中に隠蔽されており、静的解析を困難にしている。さらに、自身を正規のWindowsロック画面プロセスLockAppHost.exeに偽装し、PowerShellのコマンド履歴を無効化することで活動の痕跡を消す。 プロセス注入には非同期プロシージャコール（APC）インジェクションを採用し、デコードされたペイロードをディスクに書き込まずに信頼されたプロセス内で実行する。また、PowerShellのAdd-Type機能でランダムなファイル名の一時DLLを生成するなど、セキュリティツールの監視フックを回避するネイティブWindows関数を直接呼び出す手法も用いる。 認証情報の窃取では、ブラウザに保存されたパスワードを直接抽出するほか、悪意のあるブラウザ拡張機能を投下してログイン時の認証情報をリアルタイムにインターセプトする。この拡張機能は明示的に削除しない限りセッションをまたいで持続する。 永続化と拡散 DeepLoadの特徴の一つが、WMI（Windows Management Instrumentation）を悪用した永続化メカニズムだ。初回感染から3日後、ユーザーの操作なしにシステムを再感染させる。WMIを用いることで、多くのセキュリティ製品が検知の手がかりとする親子プロセスの連鎖が断ち切られ、発見が難しくなる。 さらに、USBデバイスの接続を自動検出して感染を広げる機能も持つ。USBドライブ上にChromeSetup.lnkやFirefox Installer.lnkといった正規のインストーラーに見せかけた不正なショートカットを配置し、他のシステムへの横展開を図る。インフラ構成からはMaaS（Malware-as-a-Service）型の運営が示唆されているが、現時点では未確認とされている。

概要 SentinelOneの研究者が、FortiGate次世代ファイアウォールを起点とした組織的な侵害キャンペーンを確認した。攻撃者は医療機関・政府機関・マネージドサービスプロバイダー（MSP）を主な標的とし、FortiGateの設定ファイルからサービスアカウントの認証情報とネットワーク構成情報を抽出することで、ActiveDirectory（AD）環境へのアクセス権を獲得している。 初期侵入には、最近公開された3件の脆弱性（CVE-2025-59718、CVE-2025-59719、CVE-2026-24858）の悪用や、デフォルト・弱い認証情報の利用、ファイアウォール設定ミスが使われている。侵害後は「support」という名前のローカル管理者アカウントを作成し、ゾーン間を制限なく通過できるファイアウォールポリシーを複数設定するケースも確認されており、初期アクセスブローカーとして後続の攻撃グループに足がかりを販売する行動パターンと一致している。 技術的な手口 FortiGateは機能上、ADやLDAPなどの認証基盤と深く統合されているため、一度デバイスが侵害されると組織全体への影響が大きい。攻撃者はFortiGateの暗号化された設定ファイルを復号し、「fortidcagent」をはじめとするLDAPサービスアカウントの認証情報を平文で取り出す。取得した認証情報を使ってADに接続し、不正なワークステーションを登録することで、ネットワーク内部への横断的移動（ラテラルムーブメント）を実現している。 別の侵害事例では、攻撃者がPulsewayやMeshAgentといったリモートアクセスツールを展開した後、PowerShellを使ってAWSインフラからJavaマルウェアをダウンロードする手法も確認されている。このマルウェアはDLLサイドローディングで起動し、ADデータベースファイル（NTDS.dit）およびSYSTEMレジストリハイブを外部サーバーへ送信する。 推奨される対策 SentinelOneは以下の対策を推奨している。 開示された脆弱性へのパッチを迅速に適用する FortiGateのすべてのログをSIEMへ転送し、最低14日間のログ保持期間を確保する 不審な管理者アカウントの作成を継続的に監視する FortiGateの設定ミスや弱い認証情報を修正する FortiGateデバイスは多くの組織で境界防御の中核を担っているだけに、デバイス自体が攻撃の起点となるリスクを改めて認識し、パッチ管理と構成管理を徹底することが急務となっている。

概要 Oracleは2026年3月、Oracle Identity ManagerおよびOracle Web Services Managerに影響する深刻な脆弱性CVE-2026-21992を修正するセキュリティアップデートをリリースした。この脆弱性はCVSSスコア9.8（Critical）と評価されており、認証なしでHTTP経由からリモートコード実行（RCE）が可能なため、特にインターネットに公開されたインスタンスでは危険度が極めて高い。Oracleは現時点での野生での悪用（in-the-wild exploitation）は確認されていないとしながらも、ユーザーに対して即時のパッチ適用を強く推奨している。 技術的な詳細 CVE-2026-21992は、ネットワーク経由のHTTPリクエストを利用して悪用される脆弱性であり、事前の認証や特権、ユーザー操作をいっさい必要としない。攻撃者はネットワークアクセスさえ確保できれば、対象システムを完全に侵害・乗っ取ることが可能だ。 影響を受けるバージョンは以下の通り： Oracle Identity Manager 12.2.1.4.0 Oracle Identity Manager 14.1.2.1.0 Oracle Web Services Manager 12.2.1.4.0 Oracle Web Services Manager 14.1.2.1.0 修正はOracleが提供する公式セキュリティアドバイザリに従ってパッチを適用することで対処できる。 背景と継続するリスク Oracle Identity Managerは以前にも同様の脆弱性が問題となっており、2025年11月には同製品に影響するCVSSスコア9.8の脆弱性CVE-2025-61757がCISAによって野生での積極的な悪用が記録されていた。今回のCVE-2026-21992はその後継となる深刻な脆弱性であり、同製品が継続的な攻撃ターゲットとなっていることを示している。 過去の悪用事例を踏まえると、現時点で悪用が確認されていないとはいえ、パッチ未適用の環境はランサムウェアや不正アクセスのリスクに晒される可能性が高い。セキュリティチームは優先的にパッチ適用状況を確認し、インターネットに露出したOracle Identity Managerのインスタンスがある場合は特に緊急対応が求められる。