Security

概要 Docker Engineに高深刻度の認可バイパス脆弱性（CVE-2026-34040、CVSSスコア8.8）が発見され、2026年4月8日に公開された。本脆弱性はDocker Engineの認証プラグイン（AuthZ）フレームワークに存在し、攻撃者がセキュリティ制御を回避してホストシステムへのフルアクセスを取得できる。修正済みバージョンはDocker Engine 29.3.1で、影響を受けるユーザーへの早急なアップデートが推奨されている。 技術的な詳細 本脆弱性の根本原因は、2024年7月に公開された既知の脆弱性CVE-2024-41110に対するパッチが不完全であったことにある。攻撃メカニズムは、1MBを超えるリクエストボディを持つAPIリクエストを細工して送信することで、AuthZプラグインによる検査が実行される前にリクエストボディが除去（drop）され、Dockerデーモンがそのまま処理してしまうというものだ。これにより、攻撃者はrootファイルシステムへのアクセス権を持つ特権コンテナを作成できる。本脆弱性はCyera Research LabsのVladimir Tokarevらによって発見された。 影響範囲 本脆弱性を悪用することで、攻撃者はAWSキー・SSH認証情報・Kubernetes設定などの機密情報を窃取し、クラウドアカウントの侵害につなげることが可能だ。また、コンテナ化されたAIコーディングエージェントへのプロンプトインジェクション攻撃を経由した自律的な悪用も想定されており、影響範囲はホストシステム全体に及ぶ。 緩和策とアップデート 根本的な解決策はDocker Engine 29.3.1へのアップデートだ。即時のアップデートが困難な場合の緩和策として、以下が推奨されている。 ボディ検査のみに依存するAuthZプラグインの使用を避ける 最小権限の原則によるDocker APIアクセスの制限 Dockerをrootlessモードで運用し、特権「root」をホストの非特権UIDにマッピングする フルrootless展開が困難な場合は --userns-remap オプションを使用する

概要 2026年4月6日（月）夜、ロシアの国営通信大手Rostelecomのネットワークに対して「大規模な」分散型サービス拒否（DDoS）攻撃が行われ、全国約30都市でインターネットサービスが一時的に停止した。影響を受けたサービスは広範にわたり、オンラインバンキング、政府サービスポータルの「Gosuslugi」、動画プラットフォームの「Rutube」、ゲームプラットフォームの「Steam」、さらに各種銀行サービスが利用不能となった。 Rostelecomは国営メディアに対し、攻撃は迅速に封じ込められたと説明。サービス中断はDDoS攻撃を緩和するために導入した緊急フィルタリング措置の副産物であると述べた。一部のユーザーは、政府が承認した「ホワイトリスト」に登録されたサービスのみにアクセスできる状態だったと地元メディアに報告しており、インターネット遮断時に生じるロシア独自の制限的なネット環境が改めて浮き彫りとなった。 背景と影響 今回の攻撃は、ロシアが国内インターネットインフラの「主権化」を推進している文脈で発生した。ロシアは「Runet（ルーネット）」と呼ばれる独自のインターネット基盤の整備を進めており、グローバルなウェブから独立して国内ネットワークを運用できる体制の構築を目指している。今回のDDoS攻撃によるサービス停止はその脆弱性を露わにした形となった。 また、今回の事態は先週発生した別の障害の直後に起きたものでもある。先週の障害ではモスクワを含む複数地域でカード決済・ATM利用・モバイルバンキングが数時間にわたって利用不能となった。その原因についてはいまだ不明であり、一部メディアはIPアドレスフィルタリングを含む政府のネットブロック施策との関連を示唆し、別の報道ではロシア最大手銀行Sberbankの内部障害の可能性も指摘している。火曜日の時点でも一部の政府系ウェブサイトへのアクセス障害が続いていることが、ロシアのインターネット監視サービスによって確認されている。

概要 Anthropicは2026年4月7日、サイバーセキュリティ分野で卓越した能力を発揮する新AIモデル「Claude Mythos Preview」のプレビュー版を発表した。同モデルは同社の新サイバーセキュリティイニシアティブ「Project Glasswing」の一環として開発されたものだが、その能力の高さゆえに悪意ある攻撃者に利用された場合の危険性を考慮し、Apple・Google・Microsoft・Nvidia・AWSといった限られたハイプロファイルな企業パートナーへの提供にとどめている。一般公開は当面見送られた。 高いサイバーセキュリティ能力と悪用リスク Claude Mythos Previewは「防御的なサイバーセキュリティ業務」を主な用途として設計されており、既存のモデルを大きく上回る脆弱性検出・解析能力を持つとされる。Anthropicは同モデルのハッキング能力が非常に強力であると認めており、もし悪用されれば大規模なサイバー攻撃を可能にするリスクがあると説明している。このような判断から、同社は一般向けのリリースを控え、信頼できるセキュリティ研究パートナーに限定した形でのプレビュー提供という慎重なアプローチを選択した。 Project Glasswingとサイバーセキュリティへの取り組み Project Glasswingは、AIを活用したサイバーセキュリティ研究の加速を目的としたAnthropicの取り組みである。ソフトウェアの脆弱性を自動的に発見・分析することで、企業や研究機関がセキュリティ上の問題を攻撃者より先に修正できるよう支援することが狙いだ。限定パートナーにはApple・Google・Microsoft・Nvidia・AWSのほか、Broadcom・Cisco・CrowdStrike・Palo Alto Networksなど計12社が名を連ね、さらに約40の組織にもアクセスが提供されている。各パートナーはMythosを活用した防御的セキュリティ研究の実施が期待されている。 今後の展望 Anthropicは今後、Mythos Previewで得られた知見やフィードバックをもとに安全策を強化しつつ、提供範囲の段階的な拡大を検討するとみられる。AIの能力が高度化するなかで、強力なモデルをいかに安全かつ責任ある形で展開するかという課題は、業界全体にとって重要な問いとなっている。同社の慎重な姿勢は、AIの安全性を優先するAnthropicの基本方針を改めて示すものといえる。

概要 AIエージェント構築プラットフォーム「Flowise」において、CVSSスコア10.0（最高深刻度）のリモートコード実行（RCE）脆弱性CVE-2025-59528が実際の攻撃で悪用されていることが確認された。2025年9月にパッチが公開されてから6か月以上が経過しているにもかかわらず、2026年4月時点でも多数のインスタンスが脆弱なバージョンのまま運用されており、インターネット上に公開された1万2000〜1万5000件のインスタンスがリスクにさらされている状態だ。攻撃はVulnCheckのCanaryネットワークによって検出され、単一のStarlinkのIPアドレスから発信されていることが確認されている。 脆弱性の技術的詳細 この脆弱性は、Flowiseの「CustomMCP」ノードにおけるコードインジェクションの欠陥に起因する。攻撃者はmcpServerConfig入力値を適切な検証なしに評価・実行する処理を悪用し、サーバー上で任意のJavaScriptコードを実行できる。Node.jsの危険なモジュール—child_processによるOSコマンドの実行やfsモジュールによるファイルシステムへの無制限アクセス—が利用可能となるため、機密データの窃取やシステムの完全な乗っ取りが可能となる。攻撃にはAPIトークンのみが必要であり、特別な権限を持つアカウントは不要だ。脆弱なバージョンはFlowise 3.0.6未満のすべてのバージョンであり、修正版は同年9月にリリースされた3.0.6、そして最新の推奨バージョンは3.1.1となっている。 攻撃の背景と連鎖するリスク CVE-2025-59528はFlowiseにおいて実際に悪用が確認された3件目の脆弱性となる。すでにCVE-2025-8943（CVSS 9.8）とCVE-2025-26319（CVSS 8.9）も攻撃に利用されており、このプラットフォームが継続的な標的となっていることを示している。Flowiseはローカルまたはクラウド上にセルフホストされるオープンソースツールのため、企業のセキュリティポリシーが行き届かないまま個人や小規模チームが公開インターネット上に展開しているケースが多い。パッチリリースから長期間が経過しても多数のインスタンスが未更新のまま残っている現状は、AIツールのセキュリティアップデート管理に組織的な課題があることを浮き彫りにしている。 推奨される対応 Flowiseを利用している組織は、直ちにバージョン3.1.1（最低でも3.0.6）へのアップデートを実施することが最優先事項となる。業務上の必要がない場合はインスタンスをインターネットに直接公開しないよう構成を見直し、不審なJavaScript実行パターンやアクセスログを確認して侵害の痕跡がないかを調査することも重要だ。併せて、CVE-2025-8943およびCVE-2025-26319への対応状況も確認し、使用中のAPIトークンの棚卸しと不要なトークンの無効化も推奨される。

概要 QilinおよびWarlockという2つのランサムウェアグループが、BYOVD（Bring Your Own Vulnerable Driver）と呼ばれる手法を用いて、標的環境に存在する300以上のEDR（エンドポイント検知・応答）ツールを無効化していることが判明した。Cisco TalosはQilinの攻撃手法を、Trend MicroはWarlock（「Water Manaul」とも追跡）の活動をそれぞれ調査・公開した。BYOVDはWindowsカーネルレベル（Ring-0）で動作する正規署名済みの脆弱なドライバーを悪用する手法であり、ユーザーモードで動作するセキュリティ製品では検知・阻止が困難な点が問題視されている。 現在、Qilinは最も活発なランサムウェアグループの一つとなっており、2025年に日本国内で発生した134件のランサムウェア事案のうち22件（約16.4%）に関与しているとされる。また、初期侵害から暗号化実行までの潜伏期間は平均約6日間とされており、防御側に対応の余地はあるものの、その間に検知できなければ甚大な被害が生じるリスクがある。 Qilinの攻撃チェーン Cisco TalosのTakahiro TakedaとHolger Unterbrinkによると、Qilinの攻撃はDLLサイドローディングを起点とする多段階の手法を採用している。まずmsimg32.dllという悪意のあるDLLが展開され、これが第1ステージのPEローダーとして機能する。このローダーは実行環境を整え、暗号化された第2ステージのペイロードを内包しており、すべてインメモリで動作することで検知を回避する。 具体的には以下の順序で処理が進む。 EDR製品が利用するユーザーモードフックを無効化し、APIコールの監視を妨害する Windowsのイベントトレーシング（ETW）によるログ生成を抑制する EDRキラーコンポーネントがEDRの監視コールバックを登録解除し、プロセス終了を妨げられない状態を作る 脆弱なドライバーrwdrv.sys（ThrottleStop.sys のリネーム版）とhlpdrv.sysをロードし、300以上のEDRドライバーに関連するプロセスを強制終了する ランサムウェアの本体をインメモリで実行する なお、rwdrv.sysとhlpdrv.sysは以前AkiraおよびMakopランサムウェアのBYOVD攻撃でも使用された実績があり、複数の脅威アクター間でツールやインフラが共有されている可能性を示唆している。 Warlock（Water Manaul）の攻撃手法と更新されたツールキット Trend Microが追跡するWarlockは、パッチ未適用のMicrosoft SharePointサーバーを初期侵入経路として使用する点が特徴的だ。2026年1月にはツールキットが更新され、従来使用していたBYOVDドライバーgoogleApiUtil64.sysがNSecKrnl.sys（NSec製）に置き換えられた。このドライバーはカーネルレベルでセキュリティ製品を終了させるために使用される。 Warlockの攻撃で観測されたツールキットには以下が含まれる。 TightVNC — 永続的なリモートコントロール PsExec — ラテラルムーブメント（横移動） RDP Patcher — 複数同時RDPセッションの有効化 Velociraptor — C2通信 Visual Studio Code + Cloudflareトンネル — C2通信のトンネリング Yuze — イントラネット侵入・リバースプロキシ Rclone — データ窃取 推奨される対策と今後の展望 Trend MicroはBYOVD攻撃への対策として、「基本的なエンドポイント保護から、厳格なドライバー管理とカーネルレベル活動のリアルタイム監視への移行が不可欠」と強調している。具体的な推奨策としては、信頼できる発行元のドライバーのみに限定したインストールポリシーの適用、ドライバーインストールイベントのリアルタイム監視、SharePointなど公開サーバーへの迅速なパッチ適用、カーネル整合性の監視などが挙げられる。 BYOVDはランサムウェアグループ間でのツール共有と組み合わさって急速に普及しており、企業のセキュリティ検知基盤そのものを無力化するアプローチが標準的な攻撃戦術として確立されつつある。防御側には、エンドポイント保護のレイヤーをカーネル監視・ドライバーガバナンスまで拡張する取り組みが求められている。

概要 「Chaotic Eclipse」（別名「Nightmare-Eclipse」）として知られるセキュリティ研究者が2026年4月3日、Windowsのローカル権限昇格（LPE）ゼロデイ脆弱性「BlueHammer」の概念実証（PoC）コードをGitHub上で公開した。公開の動機はMicrosoftセキュリティレスポンスセンター（MSRC）の脆弱性報告への対応に対する強い不満であると研究者自身が述べている。Microsoftは現時点で公式パッチを提供していないため、未パッチのまま脆弱性が野ざらしになる危険な状況が生じている。 技術的な詳細 BlueHammerはTOCTOU（Time-of-Check to Time-of-Use）競合状態とパス混乱（Path Confusion）を組み合わせた手法によるLPE脆弱性だ。攻撃に成功すると、SYSTEM権限または管理者権限の取得、SAM（Security Account Manager）データベースへのアクセス、さらにはシステムの完全掌握が可能になる。ローカルアクセスを持つ攻撃者が前提条件であり、リモートからの単独悪用には適さないが、侵害済み環境での権限昇格ステップとして非常に有効な攻撃手法となる。 セキュリティアナリストのWill Dormannはエクスプロイトの動作を実際に検証した。Windows Serverプラットフォームでは完全なSYSTEMアクセスではなく非管理者から管理者への昇格にとどまるなど信頼性に課題があると指摘したが、一般的なWindowsシステムでは権限昇格に成功することを確認している。 Microsoftの対応と緩和策 Microsoftは「協調的な脆弱性開示（Coordinated Vulnerability Disclosure）を支持する」とコメントするにとどまり、パッチリリースの具体的な時期は明らかにしていない。研究者は「Microsoftをはったりで脅したのではない、私はまたやっている（公開する）」と述べており、開示プロセスへの不信感を露わにしている。 公式パッチが提供されるまでの緩和策として、セキュリティ専門家はローカルアクセスの厳格な監視と、認証情報の適切な管理（クレデンシャルハイジーン）の徹底を推奨している。組織は最小権限の原則を再確認し、不審なローカルプロセスの実行を検知できる体制を整えることが重要となる。

概要 Grafana Labsは2026年3月25日、深刻度CriticalのCVE-2026-27876とHighのCVE-2026-27880を修正したセキュリティアップデートをリリースした。対象となる修正済みバージョンはGrafana 11.6.14、12.1.10、12.2.8、12.3.6、12.4.2で、これらのいずれかへの速やかなアップグレードが強く推奨されている。Grafana Cloud、Amazon Managed Grafana、Azure Managed Grafanaについてはすでにパッチ適用済みとなっている。 CVE-2026-27876：SQL ExpressionsによるRCE（Critical / CVSS 9.1） CVE-2026-27876はGrafanaのSQL Expressions機能（sqlExpressionsフィーチャートグル）に存在する任意ファイル書き込みの脆弱性であり、最終的にリモートコード実行（RCE）へとエスカレートする可能性がある。攻撃者はSqlyzeドライバーの上書きやAWSデータソースの設定ファイルの細工といった複数の攻撃ベクトルを連鎖させることで、ホストへのSSHアクセスを取得できる。バグバウンティプログラム経由の責任ある開示によって発見された。 悪用には2つの条件が同時に満たされる必要がある。1つはGrafanaインスタンスでsqlExpressionsフィーチャートグルが有効化されていること、もう1つは攻撃者がViewer権限以上を持っていることだ。ネットワーク経由・認証あり・ユーザーインタラクション不要という攻撃特性のため、権限を持つ内部ユーザーや侵害されたアカウントからの悪用リスクが高い。影響を受けるバージョンはGrafana 11.6.0〜11.6.13、12.0.0〜12.4.1（各系列の最終パッチバージョン未満）である。 CVE-2026-27880：OpenFeature経由の認証なしDoS（High / CVSS 7.5） CVE-2026-27880はGrafanaのOpenFeatureフィーチャーフラグ検証エンドポイントに存在する認証バイパスの脆弱性で、Grafana Labsのセキュリティチームが内部で発見した。エンドポイントが認証を要求せず無制限のユーザー入力を受け付けるため、攻撃者が大量の巨大ペイロードを送信することでサーバーのメモリを急速に枯渇させ、アプリケーションをクラッシュさせて持続的なDoS状態を引き起こすことができる。影響を受けるのはGrafana 12.1.0以降である。 対応と緩和策 即時のアップグレードが困難な場合、CVE-2026-27876に対する暫定的な緩和策としてsqlExpressionsフィーチャートグルの無効化が有効である。加えて、GrafanaへのネットワークアクセスおよびViewer権限の付与を最小限に制限すること、ログ監視とネットワークアクティビティの継続的な監視が推奨される。現時点でEPSSスコアは0.00105と低く、CISAのKEVリストへの掲載もないが、CriticalのCVSSスコアを持つRCE脆弱性であることから、可能な限り早期のパッチ適用が不可欠だ。

概要 2026年4月6日、ドイツ連邦刑事局（BKA）は、壊滅したREvilランサムウェアグループ（別名Sodinokibi）の中心人物2名を公式に特定・公開した。身元を明かされたのはダニイル・マクシモヴィチ・シュチュキン（31歳、ロシア・クラスノダール在住）と、アナトリー・セルゲエヴィチ・クラフチュク（43歳、ウクライナ・マキイウカ出身のロシア国籍）の2名。両者は2019年初頭から2021年7月にかけてREvilを運営し、ドイツ国内で130件以上のサイバー攻撃に関与したとされる。被害総額はドイツ国内だけで3,540万ユーロ（約4,080万ドル）を超え、うち24〜25件で実際に身代金が支払われ、その総額は約190万ユーロに上る。 特定された人物の詳細 シュチュキンは「UNKN」「UNKNOWN」などのエイリアスで知られ、GandCrabおよびREvilグループのリーダーを務めた人物だ。2007年以前からサイバー犯罪に従事しており、2010〜2011年には「Ger0in」名義でボットネット運営者として活動した記録もある。XSSサイバー犯罪フォーラムでグループの活動を宣伝し、自身のインタビューでは「子供のころはゴミ山をあさっていた。今は百万長者だ」と語ったとされる。BKAはShchukinに関連する暗号資産ウォレットから317,000ドル超を押収済みだ。一方、クラフチュクはREvilの主要開発者として技術的な中核を担っていた。両名は現在も逃亡中であり、BKAは国際的な指名手配データベースに登録して各国当局と情報を共有している。 REvilグループの歴史と活動 REvilは2019年5月に「累計20億ドル超の身代金を獲得した」と宣言して活動を停止したGandCrabの後継として即座に登場し、ランサムウェア・アズ・ア・サービス（RaaS）モデルで約60のアフィリエイトを抱える世界最大級のサイバー犯罪組織へと成長した。年収1億ドル超の企業やサイバー保険加入企業を標的に選び、「暗号化による業務停止＋データ公開脅迫」という二重恐喝手法を先駆的に実施した。2021年7月には1,500社以上に影響を与えたKaseya社への大規模攻撃を行い、その後まもなく活動を停止。2022年1月にはロシアのFSBがメンバー数名を逮捕し、2024年にはウクライナ人アフィリエイトのYaroslav Vasinskyiが13年超の禁固刑、ロシア人メンバー4名が4.5〜6年の禁固刑を言い渡された。 法執行機関の取り組みと今後の展望 今回のBKAによる公開は、ロシアが犯人引き渡しに協力しないなかで国際的な法執行機関が採る「名指し・追い詰め戦略」の一環だ。両名の短期的な逮捕は困難な見通しだが、過去の事例が示すように、逃亡中であっても長期的な国際的圧力が最終的に訴追に結びつく可能性はある。今回の発表はREvilの壊滅から数年を経てもなお続く捜査の継続を示しており、組織犯罪としてのランサムウェアに対する欧州当局の追跡能力の高さを改めて示した。

概要 Microsoftは、中国を拠点とする金銭目的のサイバー犯罪グループ「Storm-1175」がMedusaランサムウェアのアフィリエイトとして活動していることを特定した。このグループは既知の脆弱性（nデイ）とゼロデイ脆弱性を組み合わせた高速攻撃を展開しており、初期侵入からデータ窃取・ランサムウェア展開までを24時間以内に完了させるケースも確認されている。標的はオーストラリア、英国、米国における医療・教育・専門サービス・金融分野に及ぶ。 Microsoftは同グループを「境界面の公開資産の特定において高い作戦テンポと習熟度を持つ」と評価している。CISAも2025年3月に、Medusaランサムウェア攻撃が米国内300以上の重要インフラ組織に影響を与えたと報告しており、Storm-1175の活動はその一端を担っているとみられる。 技術的な詳細 Storm-1175は10製品にわたる16以上の脆弱性を悪用しており、主な対象はGoAnywhere MFT（CVE-2025-10035、パッチ公開1週間前に悪用）、SmarterMail（CVE-2026-23760、認証バイパスのゼロデイ）、Microsoft Exchange（CVE-2023-21529）、Ivanti Connect/Policy Secure（CVE-2023-46805、CVE-2024-21887）、ConnectWise ScreenConnect（CVE-2024-1709、CVE-2024-1708）、JetBrains TeamCity（CVE-2024-27198、CVE-2024-27199）、SimpleHelp（CVE-2024-57726〜57728）、CrushFTP（CVE-2025-31161）、BeyondTrust（CVE-2026-1731）などである。 攻撃チェーンは、まず境界面に公開されたサービスへの侵入から始まり、その後に永続的なユーザーアカウントの作成、リモート監視・管理（RMM）ツールの展開、資格情報の収集、セキュリティソフトの無効化、そしてMedusaランサムウェアの展開とデータ窃取という順序で進行する。 背景と影響 Storm-1175は2024年7月にもBlack BastaおよびAkiraランサムウェアの展開においてVMware ESXiの認証バイパス脆弱性を悪用したことでMicrosoftに注目されていた。ゼロデイ悪用（パッチが存在しない段階での攻撃）能力を持つことは、グループが内部的なエクスプロイト開発リソースを持つか、エクスプロイトブローカーへのアクセスを有している可能性を示唆する。 防御側にとっては、24時間以内という極めて短い対応ウィンドウが大きな課題となる。攻撃チェーンの特徴から、境界面サービスのパッチ適用の優先化、新規アカウント作成やRMMツール展開の監視、短い滞在時間を想定したインシデント対応計画が重要となる。

概要 Fortinet FortiGuard Labsの調査により、北朝鮮に関連する脅威アクターがGitHubのリポジトリをC2（コマンド＆コントロール）インフラとして悪用し、韓国の組織を標的にした多段階攻撃を展開していることが判明した。攻撃はフィッシングメールに添付された難読化済みWindowsショートカット（LNK）ファイルを起点としており、実行すると囮のPDFを表示しながら裏でPowerShellスクリプトを密かに起動する仕組みになっている。 セキュリティ研究者のCara Lin氏は、攻撃者が「PEファイルの展開を最小化し、Windowsネイティブツールを積極的に活用することで、検出率を下げながら標的の範囲を広げている」と指摘している。 技術的な詳細 PowerShellスクリプトには、仮想マシン・デバッグツール・フォレンジック解析ソフトウェアを検出する環境チェック機能が組み込まれており、分析環境と判断した場合は即座に実行を終了する。チェックを通過すると、Visual Basicスクリプトをドロップし、PowerShellペイロードを30分おきに隠しウィンドウで起動するWindowsスケジュールタスクを登録することで持続性を確立する。 収集したシステム情報はハードコードされたアクセストークンを使用してGitHubリポジトリへ送信される。攻撃に使用されたGitHubアカウントとして「motoralis」「God0808RAMA」「Pigresy80」が確認されている。攻撃者はGitHubリポジトリ上の特定ファイルを解析して追加モジュールや指令を取得する手法を採用しており、GitHubの信頼性が高いドメインを利用することでネットワーク監視による検出を回避している。 帰属と過去の活動 ENKIおよびTrellix社はいずれも、GitHub C2を利用した類似の攻撃をKimsuky（北朝鮮国家支援の脅威グループ）に帰属させている。以前のキャンペーンではLNKファイルを介してXeno RATやMoonPeakが配布されており、AhnLabも同様のLNK感染チェーンを記録している。このチェーンではDropboxを経由したPythonベースのバックドアが使用されている。また、別の北朝鮮系脅威グループであるScarCruftも、従来のLNKベースの攻撃チェーンからHWP OLEベースのドロッパーへと手法を移行し、ScarCruft専用のリモートアクセス型トロイの木馬「RokRAT」を展開していることが報告されている。GitHubのような広く信頼されたサービスをC2インフラとして悪用する手口は、従来のセキュリティ対策をかいくぐるための巧妙な戦術として今後も続く可能性が高い。