Security

概要 2026年3月、米国の医療機器大手Stryker（年商約250億ドル、従業員5万6,000人）がイラン系ハクティビストグループHandala（別名：Handala Hack Team）によるサイバー攻撃を受けた。Handalaは攻撃の実行を主張しており、20万台以上のシステム・サーバー・モバイルデバイスからデータを消去したとしている。攻撃が表面化した2026年3月11日以降、受注処理・製造・出荷に支障が生じ、アイルランドの拠点では5,000人以上の従業員が自宅待機を余儀なくされた。Strykerの医療サービスに依存している複数の病院も影響を受け、心臓発作患者の心電図データを病院に転送するための救急通信システム「LifeNet」との接続が切断されるなど、患者ケアへの直接的な影響も発生した。 攻撃手法と技術的詳細 最有力な攻撃シナリオとして、クラウドベースのデバイス管理サービスMicrosoft Intuneを不正に掌握し、リモートワイプコマンドを大量展開したと見られている。Stryker独自の調査では、ランサムウェアやワイパーマルウェアの痕跡は検出されなかったが、攻撃者が独自に展開した悪意あるファイルが1件発見されており、既存のソフトウェアだけに頼らないカスタムツールの利用が示唆された。セキュリティ研究者は、Handalaが高度な攻撃技術を持つグループではなく、情報窃取マルウェア（infostealer）のログから入手した認証情報を侵入経路として利用した可能性が高いと指摘している。流出していた認証情報の多くは数カ月〜数年前のものであり、Stryker側がリセットによって侵害を防ぐ時間的猶予は十分あったとも述べられている。なお、Microsoft Outlookをスマートフォンにインストールしていた従業員の個人端末も消去被害を受けたとされる。 攻撃の背景と動機 Handalaは米国政府によってイランの**情報保安省（MOIS）**と関連するグループ「Void Manticore」の一部として公式に認定されており、司法省（DOJ）がその関係を確認した。攻撃の動機として、Handalaは2026年2月28日に行われた米国によるイランの学校へのミサイル攻撃（子どもを中心に少なくとも175人が死亡）への報復と主張している。またStrykerを「シオニスト系企業」と呼んでいることから、同社が2019年にイスラエル企業OrthoSpaceを買収した事実も背景の一つとして挙げられている。Palo Alto Networksの評価によれば、Handalaの活動は「日和見的で粗雑」であり、イスラエル関連の標的を特に狙う傾向がある。 政府の対応と今後の展望 米国のFBIとCISAはStryker幹部と直接接触し、調査に関与している。また、米国政府はHandalaが使用していた複数のウェブサイトを閉鎖するとともに、FBIがMOIS系脅威アクターの攻撃手法に関するアラートを発出した。今後もイラン・イスラエル・米国間の地政学的対立が続く中、医療インフラを含む重要インフラへのサイバー攻撃リスクは高まると見られており、Intune等のクラウド管理基盤の不正利用を防ぐための認証情報管理と多要素認証の徹底が改めて重要視されている。

攻撃の概要と規模 GlassWormは、開発者のソフトウェアサプライチェーンを標的とした大規模な攻撃キャンペーンである。Socket、Aikido Security、Step Security、OpenSourceMalwareコミュニティなど複数のセキュリティ研究機関が調査を進めており、合計433件以上の侵害されたコンポーネントが確認された。内訳はOpen VSX拡張機能72件以上、GitHubリポジトリ351件（Pythonリポジトリ200件、JavaScript/TypeScriptリポジトリ151件）、npmパッケージ10件以上に及ぶ。キャンペーンの痕跡は2025年10月にKoi Securityが最初に検出しており、その後2025年11月から2026年3月にかけて複数の攻撃波が確認されている。 Solanaブロックチェーンを利用した巧妙なC2メカニズム GlassWormの最大の特徴は、Solanaブロックチェーンをコマンド＆コントロール（C2）インフラとして利用する斬新な手法にある。マルウェアは5秒ごとにブロックチェーンのトランザクションを照会し、トランザクションメモに埋め込まれたペイロードURLから指令を取得する「デッドドロップリゾルバ」方式を採用している。2025年11月から2026年3月の間に約50件のブロックチェーントランザクションでペイロードURLが更新されており、分散型インフラを活用することで従来のドメインベースのテイクダウンを困難にしている。また、Solanaウォレットをローテーションさせることで追跡回避を図っている。 感染手法と難読化技術 攻撃者はVSCode/Open VSXの拡張機能においてextensionPackやextensionDependenciesフィールドを悪用し、一見無害なパッケージが信頼を獲得した後に悪意ある別の拡張機能を取り込む「推移的配信」アプローチを採用している。リンター、フォーマッター、AIツールなどを装った拡張機能が確認されており、angular-studio.ng-angular-extensionやgvotcha.claude-code-extensionなどの具体名が報告されている。GitHubではアカウントを乗っ取って悪意あるコミットをforce-pushする手法が使われ、コミット履歴をLLMで生成したと見られる自然なカバーコミットで偽装する巧妙さも指摘されている。さらに、コードエディタやターミナルでは不可視のUnicode文字を使ってペイロードを隠蔽する難読化技術や、バージョン更新なしにコードを動的に変更できるRemote Dynamic Dependencies（RDD）と呼ばれる手法も用いられている。 窃取される情報と検出方法 マルウェアは開発者環境から認証情報・APIトークン・SSH鍵、環境変数・CI/CD認証情報、暗号資産ウォレットの内容、システムメタデータなど広範なデータを窃取する。コード分析からロシア語話者による攻撃が示唆されており、ロシア語ロケールのシステムでは実行をスキップする挙動が確認されているが、決定的な帰属証拠とは言えないと研究者は指摘している。Step Securityは検出指標として、コードベース内のマーカー変数lzcdrtfxyqiplpd、ホームディレクトリの~/init.json永続化ファイル、予期しないNode.jsインストール、クローンプロジェクト内の不審なi.jsファイル、Gitコミット履歴の異常などを確認するよう推奨している。Open VSXは確認された悪意ある拡張機能を削除済みで、開発者には使用中の拡張機能やnpmパッケージの再確認が求められている。

概要 米連邦通信委員会（FCC）は2026年3月24日、海外で製造された新型コンシューマー向けルーターを「Covered List（対象リスト）」に追加し、新規モデルの輸入・販売承認を全面的に禁止すると発表した。FCC委員長のBrendan Carr氏は「行政府による国家安全保障上の判断を歓迎する」と述べ、海外製ルーターが「米国経済、重要インフラ、国防を混乱させるサプライチェーン上の脆弱性」をもたらし、「深刻なサイバーセキュリティリスク」を構成すると指摘した。既に承認済みのモデルの販売や、現在使用中のルーターには影響しない。 規制の背景となったサイバー脅威 今回の規制強化の直接的な要因として、中国系ハッカー集団による一連の大規模サイバー攻撃が挙げられている。Volt Typhoon、Flax Typhoon、Salt Typhoonといった脅威グループが、海外製ルーターの脆弱性を悪用し、米国の通信、エネルギー、交通、水道などの重要インフラに対する攻撃を実行してきた。また、Storm-0940に帰属するCovertNetwork-1658ボットネット（Quad7）が、侵害したルーターを利用してパスワードスプレー攻撃を大規模に展開していたことも確認されている。ルーターはネットワーク監視、データ窃取、マルウェア配信の侵入口として悪用されるリスクがあり、FCCはこれらの脅威に対する根本的な対策として今回の措置に踏み切った。 市場への影響と実現可能性への疑問 この規制の影響範囲は極めて広い。CiscoやNetgearといった米国ブランドのルーターも含め、事実上ほぼすべてのコンシューマー向けルーターが海外で製造されているためだ。現時点で米国内製造が確認されているのは、テキサス州で生産されるStarlinkの新型Wi-Fiルーター程度に限られる。国防総省（DoD）または国土安全保障省（DHS）による「条件付き承認」を得れば例外的に販売が可能だが、メーカー側はFCCに個別の申請を行う必要がある。米国内でのルーター製造能力の確立には数年を要するとの指摘もあり、短期的には消費者の選択肢が大幅に制限される可能性がある。

概要 米国司法省（DoJ）は2026年3月、FBI主導のもとカナダ・ドイツの法執行機関と連携し、AISURU・Kimwolf・JackSkid・Mossadという4つの主要なIoTボットネットの指令制御（C2）インフラを解体・無効化したと発表した。これらのボットネットは合計で世界中の約300万台のデバイスに感染しており、2025年11月にCloudflareが観測した31.4Tbpsという史上最大規模のDDoS攻撃の実行基盤として機能していた。Akamai・AWS・Cloudflare・Google・Lumen・Oracleなど多数の民間テクノロジー企業も本作戦に協力した。 技術的な詳細 今回摘発されたボットネット群は、DVR・Webカメラ・Wi-Fiルーター・Androidスマートテレビ・セットトップボックスなど多様なIoTデバイスを標的としていた。特にKimwolfは2025年12月にXLabが初めて記録したAISURUの亜種で、200万台以上のAndroidデバイスを侵害した点が際立っている。Kimwolfが開拓した新しい攻撃手法は、**ADB（Android Debug Bridge）**が外部に露出した住宅向けプロキシネットワーク（IPIDEAなど）の脆弱性を悪用し、家庭内ネットワークを経由してローカル保護されたネットワークに侵入するというものだ。JackSkidやMossadはその後この手法を模倣して拡散した。 攻撃の規模感を数字で示すと、AISURUだけでも20万件以上のDDoSコマンドを発行しており、JackSkidは2026年3月初旬に1日あたり平均15万台のデバイスを被害に遭わせ、3月8日には最大25万台に達した。2025年11月の最大攻撃は35秒間しか続かなかったものの、ピーク時140億パケット/秒・3億リクエスト/秒という凄まじいトラフィックを記録した。AWSのTom Scholl氏は「Kimwolfはボットネットの運用とスケーリングの根本的な変革を示した」と評している。 背景と影響 これらのボットネットは「サービスとしてのサイバー犯罪（CaaS）」モデルで運営されており、感染デバイスへのアクセスをDDoS攻撃や恐喝目的で有償提供していた。Cloudflareは今回の攻撃の規模を「英国・ドイツ・スペイン3カ国の人口が同じ1秒間に同時にWebサイトのURLを入力してEnterキーを押すようなもの」と表現している。 調査の過程でジャーナリストのBrian Krebsは、カナダ・オタワ在住の23歳Jacob Butler（オンライン名「Dort」）をKimwolfの管理者として特定した。Butlerは現在の関与を否定し、「Dort」というハンドルネームは2021年以降使用しておらず、アカウントが成りすまされた可能性があると主張している。また、ドイツ在住の15歳の少年も主要容疑者として浮上しているが、現時点で逮捕者は出ていない。 今後の課題 Lumen Black Lotus Labsは約1,000台のC2サーバーをヌルルーティングで無効化したが、ADBを悪用する攻撃手法はすでに複数の競合ボットネットに採用されており、脅威が完全に収束したとは言えない状況だ。Black Lotus LabsのRyan English氏は「脆弱なデバイスが大量に存在するため、Kimwolfは驚くほどの回復力を持ち、さらに複数の新ボットネットが同じ手法を模倣し始めた」と警告している。住宅向けプロキシネットワークにおけるADB露出の脆弱性は引き続き大きなリスクであり、IoTデバイスのセキュリティ強化が業界全体の急務となっている。

脆弱性の概要 Citrix NetScaler ADCおよびNetScaler Gatewayに、CVSSスコア9.3の深刻な脆弱性CVE-2026-3055が発見された。この脆弱性は入力検証の不備に起因するメモリ過剰読み取り（out-of-bounds read）であり、攻撃者がデバイスメモリからアクティブなセッショントークンを抽出できる可能性がある。悪用の条件として、対象アプライアンスがSAML Identity Provider（SAML IDP）として構成されている必要があるが、Rapid7は「シングルサインオンを利用する組織ではSAML IDP構成は非常に一般的」と指摘しており、影響範囲は広いとみられる。 影響を受けるバージョンと修正パッチ 影響を受けるのは以下のバージョンで、いずれもパッチが既に提供されている。 NetScaler ADCおよびNetScaler Gateway 14.1（14.1-66.59より前） NetScaler ADCおよびNetScaler Gateway 13.1（13.1-62.23より前） NetScaler ADC 13.1-FIPSおよび13.1-NDcPP（13.1-37.262より前） この脆弱性はCitrixの社内セキュリティレビューで発見され、2026年3月24日に公開された。Cloud Software GroupのシニアVPであるAnil Shetty氏は「CVE-2026-3055およびCVE-2026-4368について、未修正の環境に対する悪用は現時点で確認していない」と述べている。 野生環境での偵察活動とCitrix Bleedとの類似性 セキュリティ企業Defused CyberおよびwatchTowrの研究者らは、野生環境での積極的な偵察活動を確認している。攻撃者は/cgi/GetAuthMethodsエンドポイントに対してリクエストを送信し、有効な認証フローを列挙することで脆弱な構成を特定しようとしている。Defused Cyberは「NetScaler ADC/Gatewayに対する認証方式のフィンガープリンティング活動を野生環境で観測している」と報告し、watchTowrは「偵察から悪用への移行が進めば、対応の猶予は急速に消滅する」と警告した。 本脆弱性は、過去に大規模な被害をもたらしたCVE-2023-4966（Citrix Bleed）やCVE-2025-5777（Citrix Bleed 2）と類似した手口であり、これらの脆弱性と同様に攻撃者がパッチのリバースエンジニアリングによってエクスプロイトを迅速に開発する可能性が懸念されている。セキュリティ専門家は、SAML IDP構成を使用しているシステムを最優先でパッチ適用するとともに、ネットワークレベルでのアクセス制御を強化することを強く推奨している。

1,250万ドルの大型投資とその背景 Open Source Security Foundation（OpenSSF）は、Anthropic、Amazon Web Services（AWS）、GitHub、Google、Google DeepMind、Microsoft、OpenAIといった主要テクノロジー企業から1,250万ドルの新規資金提供を受けたことを発表した。この投資はAlpha-OmegaプロジェクトとOpenSSFが共同で管理し、持続可能なセキュリティソリューションの構築、脆弱性の修正、そしてAIエコシステムのセキュリティ強化を目的としている。 AI企業であるAnthropicやOpenAI、Google DeepMindが名を連ねていることは、オープンソースソフトウェアのセキュリティがAI開発基盤にとっても不可欠であるという認識の広がりを示している。AIシステムは多数のオープンソースライブラリに依存しており、サプライチェーン全体の安全性確保が業界共通の課題となっている。 サプライチェーン可視化ツール「Kusari Inspector」の無償提供 OpenSSFメンバーであるKusariは、同団体と提携してサプライチェーン可視化ツール「Kusari Inspector」をOpenSSFプロジェクトのメンテナー向けに無償で提供することを発表した。Kusari Inspectorは開発ワークフローに統合され、リアルタイムで依存関係の状況を可視化する。これにより、コードがマージされる前に脆弱性やライセンスの問題を特定することが可能になる。オープンソースプロジェクトのメンテナーにとって、依存関係の管理は大きな負担となっており、こうしたツールの無償提供は実質的な支援となる。 コミュニティ拡大と新たな取り組み OpenSSFはOpen Source SecurityCon Europeにおいて、Helvethink、Spectro Cloud、Quantrexionの3社を新メンバーとして迎え入れたことも発表した。さらに、コミュニティリーダーがセキュアな開発手法の普及やコントリビューターの育成を担うアンバサダープログラムも新たに始動している。 技術面では、SonatypeとRed Hatのコミュニティメンバーが提唱する「Gemara Model」と呼ばれる7層構造のガバナンス・リスク・コンプライアンス（GRC）エンジニアリングフレームワークが紹介された。自動化されたリスク評価を実現するこのモデルは、組織がオープンソースソフトウェアのセキュリティリスクを体系的に管理するための枠組みを提供する。 AI時代のセキュリティ課題と今後の展望 OpenSSFはAIツールによって生成される低品質な脆弱性レポートの急増にも対応を進めている。AIが自動的に大量の脆弱性報告を生成する「氾濫」状態に対し、「人間を介在させる（human in the loop）」アプローチの重要性を強調している。今後は2026年5月にOpen Source Summit North AmericaおよびOpenSSF Community Day North Americaが開催される予定であり、これらの取り組みがさらに具体化していく見通しだ。

概要 Rubyコアチームは2026年3月26日および27日にRuby 3.3.11とRuby 3.2.11をそれぞれリリースした。いずれもバンドルされているzlibジェムに存在するバッファオーバーフロー脆弱性CVE-2026-27820を修正するセキュリティアップデートである。この脆弱性はGzipReaderに関連するもので、メモリ破壊（memory corruption）につながる可能性があり、該当バージョンのユーザーには速やかなアップデートが推奨される。Ruby 3.3.11にはバグフィックスも含まれている。 Ruby 3.3系のサポート移行 Ruby 3.3.11は3.3系の最後の通常メンテナンスリリースとなる。今後1年間（2027年3月まで）はセキュリティパッチおよびクリティカルなビルド問題の修正のみがバックポートされる制限付きサポートフェーズに移行し、2027年3月をもって公式サポートが終了する。 Ruby 3.2系のサポート終了 Ruby 3.2.11は3.2系の最終リリースであり、今後セキュリティ修正を含むいかなるアップデートも提供されない。Ruby 3.2は2022年12月の初回リリースから3年以上にわたりサポートが継続されてきたが、今回のリリースをもって正式にサポートが終了した。 今後の対応 Rubyコアチームは両リリースのアナウンスにおいて、ユーザーに対しRuby 3.4または4.0への移行計画を早期に開始するよう呼びかけている。特にRuby 3.2系を利用しているプロジェクトは、セキュリティサポートが完全に終了したため、早急なアップグレードが必要となる。

事件の概要 オランダ国家警察（Politie）は2026年3月25日、フィッシング攻撃を受けてセキュリティ侵害が発生したことを公表した。同組織のセキュリティオペレーションセンター（SOC）が攻撃を迅速に検知し、攻撃者による侵害済みシステムへのアクセスを即座に遮断したという。警察は「フィッシング攻撃の標的となったが、影響は限定的である。市民データや捜査情報が漏洩した事実はない」と声明を発表している。 ただし、職員データが影響を受けたかどうかについてはまだ明らかにされておらず、現在も調査が継続中である。攻撃の初期侵入がいつ発生したかについても正確な日時は公表されていない。事件を受けて刑事捜査が開始され、システムへのアクセス制限を含む対応措置が講じられている。 過去の侵害事例と対策強化の経緯 今回のインシデントは、オランダ国家警察にとって約18か月間で2度目の重大なセキュリティ事案となる。2024年9月には、国家支援型のサイバー攻撃によって警察官の連絡先情報および一部の個人データが窃取される事件が発生していた。この侵害を受けて、警察は二要素認証の導入やシステムの継続的監視など、セキュリティ対策の強化を実施していた。 しかし、強化された防御策の下でも再びフィッシング攻撃の被害が発生したことは、法執行機関のセキュリティインフラにおける継続的な課題を浮き彫りにしている。フィッシング攻撃は技術的な対策だけでは防ぎきれず、職員一人ひとりのセキュリティ意識向上が不可欠であることを改めて示す事例となった。今回は迅速な検知と対応により被害が限定的に抑えられたが、法執行機関が保有する機密性の高いデータを考慮すると、継続的なセキュリティ対策の見直しと強化が求められる状況である。

2件の判決の概要 米国で今週、ロシア人サイバー犯罪者2名に対する有罪判決が相次いで言い渡された。1人目はTA551ボットネットを共同管理していたIlya Angelov（40歳、ロシア・トリヤッチ出身）で、禁固2年および罰金10万ドルの判決を受けた。2人目は初期アクセスブローカーとして活動していたAleksei Olegovich Volkov（26歳）で、81ヶ月（約6年9ヶ月）の禁固刑が科された。Volkovは2024年1月にイタリアで逮捕・米国へ身柄引き渡しされ、2025年11月に有罪を認めていた。 TA551ボットネットによる大規模攻撃 Angelovが「milan」「okart」のハンドルネームで関与していたTA551グループは、スパムメールを通じてマルウェアを配布するボットネットを構築・運営し、侵入済みコンピュータへのアクセスをランサムウェアグループに販売するビジネスモデルを展開していた。2018年8月から2019年12月にかけてはBitPaymerランサムウェアと提携し、米国企業72社を感染させて1,417万ドル以上の身代金を獲得。2019年後半から2021年8月にかけてはIcedIDとも連携し、マクロ付きドキュメントを使ったフィッシング攻撃でランサムウェアを拡散した。さらに、競合ボットネットが法執行機関に摘発された後はTrickBotオペレーターやLockeanランサムウェアギャングとも協力関係を築いていた。 初期アクセスブローカーVolkovの手口と被害額 Volkovは不正に取得したネットワークアクセスをYanluowangランサムウェアグループなどの犯罪組織に販売する初期アクセスブローカーとして活動していた。購入者はこのアクセスを利用して被害者のデータを暗号化し、暗号通貨での身代金を要求した。要求額は数千万ドルに及ぶケースもあった。実際の被害額は900万ドル超、意図された被害額は2,400万ドル超に達し、Volkovは少なくとも916万7,198ドルの賠償金を支払うことに同意している。なお、関連事件としてBlackCatランサムウェアの身代金交渉役を務めていたAngelo Martino（41歳）も起訴されており、約920万ドルの暗号通貨が押収されている。 米国のサイバー犯罪訴追の動向 今回の2件の判決は、米国司法省がサイバー犯罪の国際的な訴追を強化している流れを反映している。Jerome F. Gorgon Jr.連邦検事は「手口はますます巧妙になっているが、動機は変わらない——我々を搾取し、害を与えることだ」と述べた。国境を越えた逮捕・身柄引き渡しの実績が積み上がる中、ランサムウェアエコシステムにおける初期アクセスブローカーやボットネット運営者といった「インフラ提供者」への取り締まりが一段と厳しくなっている。

概要 親ウクライナのハッカー集団「Bearlyfy」（別名Labubu）が、2025年1月の出現以降、70社以上のロシア企業に対してサイバー攻撃を行っていることがセキュリティベンダーF6の調査で明らかになった。同グループは金銭的恐喝とロシア企業へのサボタージュという二重の目的で活動しており、2026年3月からは独自開発のWindowsランサムウェア「GenieLocker」の使用が確認されている。F6は「わずか1年の間に、このグループはロシアの大企業を含むビジネスにとって真の悪夢へと進化した」と評している。 攻撃手法とツールの変遷 Bearlyfyは当初、LockBit 3（Black）やBabukといった既存のランサムウェアを利用していたが、2025年5月には改変版PolyViceランサムウェアへと移行し、2026年3月に独自開発のGenieLockerを投入するに至った。初期アクセスには外部公開サービスや脆弱なアプリケーションの悪用を行い、リモートアクセスツールとしてMeshAgentを展開する。データの暗号化だけでなく、破壊や改変も行う能力を持つ点が特徴的だ。 GenieLockerの技術的特徴 GenieLockerはVenusおよびTrinityランサムウェアファミリーに触発された暗号化方式を採用したカスタムWindows向けランサムウェアである。他のランサムウェアと異なる特徴として、身代金要求メッセージがマルウェアによる自動生成ではなく、攻撃者が手動で作成している点が挙げられる。これは被害者ごとにカスタマイズされた対応を行っていることを示唆している。 被害状況と他グループとの連携 身代金の要求額は当初8万ユーロ（約92,100ドル）程度だったが、現在は数十万ドル規模にまで拡大しており、被害者の約20%が身代金を支払ったとされる。また、Bearlyfyは2022年からロシア・ベラルーシの組織を標的としているウクライナ系グループ「PhantomCore」との重複が指摘されているほか、「Head Mare」グループとの協力関係も文書化されている。インフラやツールセットの類似性から、これらのグループ間で組織的な連携が行われていると見られており、ロシア企業に対するサイバー脅威は今後もさらに高度化していく可能性がある。