Security

概要 ロシア内務省（MVD）は2026年3月25日〜26日、南部タガンログ市において33歳の男を、サイバー犯罪フォーラム「LeakBase」の管理者として逮捕した。内務省報道官イリーナ・ボルク氏が発表したもので、当初フォーラム名は明かされなかったが、タス通信が法執行機関の情報源をもとにLeakBaseと特定した。被疑者はオンライン上で「Chucky」「beakdaz」「Chuckies」「Sqlrip」などのハンドルネームを使用していたとされ、セキュリティ企業KELAおよびTriTrace Investigationsによる独立調査がすでにこれらのエイリアスをタガンログ在住の同人物と紐付けていた。 LeakBaseとは LeakBaseは2021年に開設されたサブスクリプション型のサイバー犯罪マーケットプレイスで、登録ユーザー数は14万2,000〜14万7,000人以上、メンバー間のメッセージ数は21万5,000件以上に達していた。「世界最大級のサイバー犯罪ハブのひとつ」と評され、数億件の盗まれたアカウント認証情報、銀行情報、ユーザー名・パスワード、不正入手した企業文書などが取引されていた。これらのデータはアカウント乗っ取り攻撃や不正取引に広く悪用された。プレミアム会員は数百ドルのサブスクリプション料を支払うことでより広範なデータにアクセスできる仕組みだった。 国際的な摘発との連携 今回の逮捕に先立ち、2026年3月にはFBIとユーロポールが主導する国際共同作戦が実施された。12カ国以上で45人を対象に100件以上の法執行措置が取られ、オランダおよびマレーシアのホスティングインフラのサーバー停止やドメイン押収が行われた。摘発後、サイト「leakbase[.]bz」はDDoS-Guardの保護を利用して一時復活したが、その後ロシア当局によって恒久的に閉鎖された。なお、ロシア当局が西側法執行機関と今回の作戦を事前に調整していたかは不明で、2022年のウクライナ侵攻後にユーロポールがロシアとの協力を停止している背景もある。 ロシアが自国民を逮捕した背景 ロシアは従来、自国に拠点を置くサイバー犯罪者の国外引き渡しに消極的な姿勢を見せてきた。今回の逮捕が注目されるのは、ロシア当局が自ら動いた点にある。ユーロポールの報告によると、LeakBaseの内部規則ではロシア関連データの販売・公開を明示的に禁止していたとされており、この規定が当局の逮捕判断に影響した可能性が指摘されている。自国利益を侵害しない範囲で運営されているサイバー犯罪組織への対応姿勢の変化とも解釈でき、今後の国際的なサイバー犯罪対策との関係において注目すべき事例となっている。

脆弱性の概要 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年3月16日、Wing FTPサーバーに存在する情報漏洩の脆弱性CVE-2025-47813を既知悪用脆弱性（KEV）カタログに追加した。この脆弱性はCVSSスコア4.3の中程度の深刻度と評価されているが、実際に悪用が確認されたことから、連邦政府機関に対して3月30日までのパッチ適用が義務付けられている。 影響を受けるのはWing FTPサーバーのバージョン7.4.3以前のすべてのバージョンで、修正版となるバージョン7.4.4は2025年5月にリリース済みである。 技術的な詳細 この脆弱性は、Wing FTPサーバーの「/loginok.html」エンドポイントにおけるUIDセッションCookieの検証不備に起因する。攻撃者がUIDクッキーにOSの最大パスサイズを超える長大な値を送信すると、エラーメッセージにサーバーのローカルインストールパスが含まれてしまう。CISAは「UIDクッキーに長い値を使用した際に、機密情報を含むエラーメッセージが生成される脆弱性」と説明している。 この脆弱性を発見したのはセキュリティ研究者のJulien Ahrens氏（RCE Security）で、責任ある開示プロセスを通じて報告された。 重大なRCE脆弱性との関連性 CVE-2025-47813が特に警戒を要する理由は、同じバージョン7.4.4で修正されたもう一つの脆弱性CVE-2025-47812との関連にある。CVE-2025-47812はCVSSスコア10.0の最高深刻度を持つリモートコード実行（RCE）脆弱性であり、2025年7月以降、実際に悪用が確認されている。脆弱性を発見したAhrens氏は「この脆弱性の悪用に成功すると、認証済みの攻撃者がアプリケーションのローカルサーバーパスを取得でき、CVE-2025-47812のような脆弱性の悪用に役立つ可能性がある」と述べている。ただし、現時点ではこの脆弱性が実際にどのように悪用されているか、またCVE-2025-47812と併用されているかどうかの詳細は明らかになっていない。 単体では中程度の深刻度に過ぎない情報漏洩の脆弱性が、致命的なRCE脆弱性と組み合わさることで深刻な脅威となる典型的なケースであり、Wing FTPサーバーの管理者は速やかにバージョン7.4.4以降へのアップデートを実施すべきである。

概要 Googleは2026年3月、Chrome安定版をバージョン146.0.7680.75/.76へ更新し、実際の攻撃で悪用が確認されていた2件のゼロデイ脆弱性を修正した。いずれもCVSSスコア8.8の高深刻度と評価されており、Googleは「CVE-2026-3909およびCVE-2026-3910のエクスプロイトが野外に存在する」と確認している。修正版はWindows（146.0.7680.75）、macOS（146.0.7680.76）、Linux（146.0.7680.75）向けに提供されている。 脆弱性の技術的詳細 1件目のCVE-2026-3909は、Chromeが描画処理に使用する2DグラフィックライブラリSkiaにおける境界外書き込み（out-of-bounds write）の脆弱性である。細工されたHTMLページを通じて境界外メモリアクセスが可能となり、ブラウザのクラッシュやコード実行につながる恐れがある。 2件目のCVE-2026-3910は、V8 JavaScriptおよびWebAssemblyエンジンにおける不適切な実装（inappropriate implementation）の脆弱性で、細工されたHTMLページを介してサンドボックス内での任意コード実行を許す可能性がある。 両脆弱性ともGoogleが3月10日に発見・報告し、報告からわずか3日後の3月13日に緊急パッチが公開された。Googleはパッチの普及を優先するため、脆弱性の詳細な技術情報やエクスプロイトの手法については「ユーザーの大多数がアップデートを適用するまで制限する」方針をとっており、特にサードパーティライブラリが関与するケースでは慎重な対応を取っている。 2026年のChromeゼロデイ動向と対応状況 今回の修正により、2026年に入ってからGoogleが対処したChromeの悪用済みゼロデイは合計3件となった。2月にはCSSFontFeatureValuesMapにおけるイテレータ無効化に起因するuse-after-freeの脆弱性（CVE-2026-2441、CVSS 8.8）が修正されている。なお、2025年通年ではChromeのゼロデイは8件が修正されており、2026年は3か月で既にその約4割に達するペースとなっている。 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は3月13日、両脆弱性を既知の悪用済み脆弱性カタログ（KEV）に追加し、連邦文民行政機関（FCEB）に対して3月27日までの修正適用を義務付けた。一般ユーザーもChromeの「ヘルプ > Google Chromeについて」から最新版への更新を速やかに行うことが強く推奨される。

事件の概要 2026年3月24日、攻撃グループ「TeamPCP」がAIエージェント向けLLMプロキシライブラリ「LiteLLM」のPyPIパッケージにバックドアを埋め込む攻撃が発覚した。LiteLLMは複数の大規模言語モデルを統一的なインターフェースで切り替えられるライブラリで、月間約9,500万ダウンロードを誇る人気パッケージだ。攻撃者はLiteLLMのCI/CDパイプラインで使用されていたセキュリティスキャナー「Trivy」の侵害を足がかりにして、悪意あるバージョン1.82.7および1.82.8をPyPIに公開した。悪意あるパッケージは10:39 UTCから16:00 UTC（約5時間20分）の間にPyPI上で公開されており、バージョンを固定せずにインストールしたユーザーが影響を受けた可能性がある。FutureSearchの研究者Callum McMahon氏が自身のマシンでペイロードを実行してしまったことで異常に気づき、コミュニティに警告を発したのが発見のきっかけとなった。 攻撃の技術的詳細 攻撃は3段階の巧妙な構成で行われた。バージョン1.82.7ではlitellm/proxy/proxy_server.pyに悪意あるコードが埋め込まれ、モジュールのインポート時に実行される仕組みだった。さらに攻撃をエスカレートさせたバージョン1.82.8では、litellm_init.pthファイルがパッケージのルートに追加され、LiteLLMをインポートしなくてもPython起動時に自動的にマルウェアが実行されるようになっていた。 マルウェアのペイロードは以下の3つのコンポーネントで構成されていた。第1に、SSHキー、クラウドプロバイダー（AWS、GCP、Azure）の認証情報、Kubernetesシークレット、暗号通貨ウォレット、.envファイルなどを標的とする認証情報ハーベスター。第2に、クラスタノードに特権PodをデプロイするKubernetes横展開ツールキット。第3に、50分ごとにcheckmarx[.]zone/rawからコマンドを取得する永続的なsystemdバックドア（sysmon.service）だ。窃取されたデータは暗号化・圧縮されてtpcp.tar.gzにまとめられ、models.litellm[.]cloud（LiteLLMとは無関係の不正ドメイン）へHTTPS POSTで送信されていた。 TeamPCPの広範な攻撃キャンペーン 今回の攻撃は孤立した事件ではなく、TeamPCPによる大規模なサプライチェーン攻撃キャンペーンの一環だ。時系列を追うと、3月1日に最初のサプライチェーン攻撃が公表され、3月19日にAqua SecurityのTrivyセキュリティスキャナーが侵害、3月23日にはCheckMarxのVS Code拡張機能やGitHub Actionsが侵害された。TeamPCPはGitHub Actions、Docker Hub、npm、Open VSX、PyPIの5つのエコシステムにまたがって攻撃を展開しており、侵害した各環境の認証情報を次の標的への踏み台にするという連鎖的な手法を用いている。npmパッケージにPythonバックドアや自己伝播型ワームを埋め込んだ事例や、イランに位置するターゲットに対してKubernetesノードやローカルマシンのワイパーマルウェアを展開した事例も報告されている。 対応と推奨される対策 LiteLLMチームは悪意あるパッケージをPyPIから削除し、認証情報のローテーションを実施するとともに、Google Mandiantにフォレンジック調査を依頼した。v1.78.0からv1.82.6までの全リリースについてGitコミットとの整合性を検証し、これらのバージョンの安全性が確認されている。なお、公式のDockerプロキシイメージは依存関係がバージョン固定されていたため影響を受けなかった。 影響を受けた可能性のあるユーザーに対しては、すべてのシークレット（APIキー、データベースパスワード、SSHキー、トークン）のローテーション、site-packages内のlitellm_init.pthの有無の確認と削除、Kubernetesクラスタにおける不正なPodの確認、models.litellm[.]cloudやcheckmarx[.]zoneへの通信ログの調査、CI/CDパイプラインでのTrivy/KICS使用の監査、そしてLiteLLMをv1.82.6以前にピン留めすることが推奨されている。LLMライブラリはAPIキーや環境変数など機密性の高い設定データにアクセスすることが多いため、今回の攻撃はAI/MLサプライチェーンの脆弱性を浮き彫りにしたといえる。

脆弱性の概要 Googleは2026年3月のAndroidセキュリティ情報において、Qualcommのオープンソースのグラフィックスコンポーネントに存在する脆弱性CVE-2026-21385が「限定的な標的型攻撃で悪用されている兆候がある」ことを公式に確認した。この脆弱性はCVSSスコア7.8（高深刻度）と評価されており、整数オーバーフローに起因するバッファオーバーリードの問題である。Qualcommのアドバイザリによれば、「利用可能なバッファ領域を確認せずにユーザー提供のデータを追加する際にメモリ破壊が発生する」と説明されている。 発見から修正までの経緯 この脆弱性は2025年12月18日にGoogleのAndroidセキュリティチームによってQualcommに報告された。その後、Qualcommは2026年2月2日に顧客（端末メーカー等）への通知を行い、Googleは2026年3月2日に公開したセキュリティ情報（パッチレベル2026-03-01および2026-03-05）で修正を提供した。さらに、米サイバーセキュリティ・インフラセキュリティ庁（CISA）は3月3日にこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加し、連邦政府機関に対して3月24日までの修正適用を義務付けた。 3月のセキュリティ更新全体の状況 今回の3月セキュリティ情報にはCVE-2026-21385を含め、合計129件の脆弱性が修正されている。中でも注目すべきは、Systemコンポーネントにおけるリモートコード実行（RCE）の脆弱性CVE-2026-0006（重大度：Critical）や、Frameworkにおける権限昇格の脆弱性CVE-2026-0047、Systemにおけるサービス拒否（DoS）の脆弱性CVE-2025-48631、さらにカーネルレベルの権限昇格に関する7件の脆弱性が含まれている。Androidデバイスを利用するユーザーや組織は、端末メーカーから提供されるセキュリティアップデートを速やかに適用することが強く推奨される。

概要 2026年3月、米国の医療機器大手Stryker（年商約250億ドル、従業員5万6,000人）がイラン系ハクティビストグループHandala（別名：Handala Hack Team）によるサイバー攻撃を受けた。Handalaは攻撃の実行を主張しており、20万台以上のシステム・サーバー・モバイルデバイスからデータを消去したとしている。攻撃が表面化した2026年3月11日以降、受注処理・製造・出荷に支障が生じ、アイルランドの拠点では5,000人以上の従業員が自宅待機を余儀なくされた。Strykerの医療サービスに依存している複数の病院も影響を受け、心臓発作患者の心電図データを病院に転送するための救急通信システム「LifeNet」との接続が切断されるなど、患者ケアへの直接的な影響も発生した。 攻撃手法と技術的詳細 最有力な攻撃シナリオとして、クラウドベースのデバイス管理サービスMicrosoft Intuneを不正に掌握し、リモートワイプコマンドを大量展開したと見られている。Stryker独自の調査では、ランサムウェアやワイパーマルウェアの痕跡は検出されなかったが、攻撃者が独自に展開した悪意あるファイルが1件発見されており、既存のソフトウェアだけに頼らないカスタムツールの利用が示唆された。セキュリティ研究者は、Handalaが高度な攻撃技術を持つグループではなく、情報窃取マルウェア（infostealer）のログから入手した認証情報を侵入経路として利用した可能性が高いと指摘している。流出していた認証情報の多くは数カ月〜数年前のものであり、Stryker側がリセットによって侵害を防ぐ時間的猶予は十分あったとも述べられている。なお、Microsoft Outlookをスマートフォンにインストールしていた従業員の個人端末も消去被害を受けたとされる。 攻撃の背景と動機 Handalaは米国政府によってイランの**情報保安省（MOIS）**と関連するグループ「Void Manticore」の一部として公式に認定されており、司法省（DOJ）がその関係を確認した。攻撃の動機として、Handalaは2026年2月28日に行われた米国によるイランの学校へのミサイル攻撃（子どもを中心に少なくとも175人が死亡）への報復と主張している。またStrykerを「シオニスト系企業」と呼んでいることから、同社が2019年にイスラエル企業OrthoSpaceを買収した事実も背景の一つとして挙げられている。Palo Alto Networksの評価によれば、Handalaの活動は「日和見的で粗雑」であり、イスラエル関連の標的を特に狙う傾向がある。 政府の対応と今後の展望 米国のFBIとCISAはStryker幹部と直接接触し、調査に関与している。また、米国政府はHandalaが使用していた複数のウェブサイトを閉鎖するとともに、FBIがMOIS系脅威アクターの攻撃手法に関するアラートを発出した。今後もイラン・イスラエル・米国間の地政学的対立が続く中、医療インフラを含む重要インフラへのサイバー攻撃リスクは高まると見られており、Intune等のクラウド管理基盤の不正利用を防ぐための認証情報管理と多要素認証の徹底が改めて重要視されている。

攻撃の概要と規模 GlassWormは、開発者のソフトウェアサプライチェーンを標的とした大規模な攻撃キャンペーンである。Socket、Aikido Security、Step Security、OpenSourceMalwareコミュニティなど複数のセキュリティ研究機関が調査を進めており、合計433件以上の侵害されたコンポーネントが確認された。内訳はOpen VSX拡張機能72件以上、GitHubリポジトリ351件（Pythonリポジトリ200件、JavaScript/TypeScriptリポジトリ151件）、npmパッケージ10件以上に及ぶ。キャンペーンの痕跡は2025年10月にKoi Securityが最初に検出しており、その後2025年11月から2026年3月にかけて複数の攻撃波が確認されている。 Solanaブロックチェーンを利用した巧妙なC2メカニズム GlassWormの最大の特徴は、Solanaブロックチェーンをコマンド＆コントロール（C2）インフラとして利用する斬新な手法にある。マルウェアは5秒ごとにブロックチェーンのトランザクションを照会し、トランザクションメモに埋め込まれたペイロードURLから指令を取得する「デッドドロップリゾルバ」方式を採用している。2025年11月から2026年3月の間に約50件のブロックチェーントランザクションでペイロードURLが更新されており、分散型インフラを活用することで従来のドメインベースのテイクダウンを困難にしている。また、Solanaウォレットをローテーションさせることで追跡回避を図っている。 感染手法と難読化技術 攻撃者はVSCode/Open VSXの拡張機能においてextensionPackやextensionDependenciesフィールドを悪用し、一見無害なパッケージが信頼を獲得した後に悪意ある別の拡張機能を取り込む「推移的配信」アプローチを採用している。リンター、フォーマッター、AIツールなどを装った拡張機能が確認されており、angular-studio.ng-angular-extensionやgvotcha.claude-code-extensionなどの具体名が報告されている。GitHubではアカウントを乗っ取って悪意あるコミットをforce-pushする手法が使われ、コミット履歴をLLMで生成したと見られる自然なカバーコミットで偽装する巧妙さも指摘されている。さらに、コードエディタやターミナルでは不可視のUnicode文字を使ってペイロードを隠蔽する難読化技術や、バージョン更新なしにコードを動的に変更できるRemote Dynamic Dependencies（RDD）と呼ばれる手法も用いられている。 窃取される情報と検出方法 マルウェアは開発者環境から認証情報・APIトークン・SSH鍵、環境変数・CI/CD認証情報、暗号資産ウォレットの内容、システムメタデータなど広範なデータを窃取する。コード分析からロシア語話者による攻撃が示唆されており、ロシア語ロケールのシステムでは実行をスキップする挙動が確認されているが、決定的な帰属証拠とは言えないと研究者は指摘している。Step Securityは検出指標として、コードベース内のマーカー変数lzcdrtfxyqiplpd、ホームディレクトリの~/init.json永続化ファイル、予期しないNode.jsインストール、クローンプロジェクト内の不審なi.jsファイル、Gitコミット履歴の異常などを確認するよう推奨している。Open VSXは確認された悪意ある拡張機能を削除済みで、開発者には使用中の拡張機能やnpmパッケージの再確認が求められている。

概要 米連邦通信委員会（FCC）は2026年3月24日、海外で製造された新型コンシューマー向けルーターを「Covered List（対象リスト）」に追加し、新規モデルの輸入・販売承認を全面的に禁止すると発表した。FCC委員長のBrendan Carr氏は「行政府による国家安全保障上の判断を歓迎する」と述べ、海外製ルーターが「米国経済、重要インフラ、国防を混乱させるサプライチェーン上の脆弱性」をもたらし、「深刻なサイバーセキュリティリスク」を構成すると指摘した。既に承認済みのモデルの販売や、現在使用中のルーターには影響しない。 規制の背景となったサイバー脅威 今回の規制強化の直接的な要因として、中国系ハッカー集団による一連の大規模サイバー攻撃が挙げられている。Volt Typhoon、Flax Typhoon、Salt Typhoonといった脅威グループが、海外製ルーターの脆弱性を悪用し、米国の通信、エネルギー、交通、水道などの重要インフラに対する攻撃を実行してきた。また、Storm-0940に帰属するCovertNetwork-1658ボットネット（Quad7）が、侵害したルーターを利用してパスワードスプレー攻撃を大規模に展開していたことも確認されている。ルーターはネットワーク監視、データ窃取、マルウェア配信の侵入口として悪用されるリスクがあり、FCCはこれらの脅威に対する根本的な対策として今回の措置に踏み切った。 市場への影響と実現可能性への疑問 この規制の影響範囲は極めて広い。CiscoやNetgearといった米国ブランドのルーターも含め、事実上ほぼすべてのコンシューマー向けルーターが海外で製造されているためだ。現時点で米国内製造が確認されているのは、テキサス州で生産されるStarlinkの新型Wi-Fiルーター程度に限られる。国防総省（DoD）または国土安全保障省（DHS）による「条件付き承認」を得れば例外的に販売が可能だが、メーカー側はFCCに個別の申請を行う必要がある。米国内でのルーター製造能力の確立には数年を要するとの指摘もあり、短期的には消費者の選択肢が大幅に制限される可能性がある。

概要 米国司法省（DoJ）は2026年3月、FBI主導のもとカナダ・ドイツの法執行機関と連携し、AISURU・Kimwolf・JackSkid・Mossadという4つの主要なIoTボットネットの指令制御（C2）インフラを解体・無効化したと発表した。これらのボットネットは合計で世界中の約300万台のデバイスに感染しており、2025年11月にCloudflareが観測した31.4Tbpsという史上最大規模のDDoS攻撃の実行基盤として機能していた。Akamai・AWS・Cloudflare・Google・Lumen・Oracleなど多数の民間テクノロジー企業も本作戦に協力した。 技術的な詳細 今回摘発されたボットネット群は、DVR・Webカメラ・Wi-Fiルーター・Androidスマートテレビ・セットトップボックスなど多様なIoTデバイスを標的としていた。特にKimwolfは2025年12月にXLabが初めて記録したAISURUの亜種で、200万台以上のAndroidデバイスを侵害した点が際立っている。Kimwolfが開拓した新しい攻撃手法は、**ADB（Android Debug Bridge）**が外部に露出した住宅向けプロキシネットワーク（IPIDEAなど）の脆弱性を悪用し、家庭内ネットワークを経由してローカル保護されたネットワークに侵入するというものだ。JackSkidやMossadはその後この手法を模倣して拡散した。 攻撃の規模感を数字で示すと、AISURUだけでも20万件以上のDDoSコマンドを発行しており、JackSkidは2026年3月初旬に1日あたり平均15万台のデバイスを被害に遭わせ、3月8日には最大25万台に達した。2025年11月の最大攻撃は35秒間しか続かなかったものの、ピーク時140億パケット/秒・3億リクエスト/秒という凄まじいトラフィックを記録した。AWSのTom Scholl氏は「Kimwolfはボットネットの運用とスケーリングの根本的な変革を示した」と評している。 背景と影響 これらのボットネットは「サービスとしてのサイバー犯罪（CaaS）」モデルで運営されており、感染デバイスへのアクセスをDDoS攻撃や恐喝目的で有償提供していた。Cloudflareは今回の攻撃の規模を「英国・ドイツ・スペイン3カ国の人口が同じ1秒間に同時にWebサイトのURLを入力してEnterキーを押すようなもの」と表現している。 調査の過程でジャーナリストのBrian Krebsは、カナダ・オタワ在住の23歳Jacob Butler（オンライン名「Dort」）をKimwolfの管理者として特定した。Butlerは現在の関与を否定し、「Dort」というハンドルネームは2021年以降使用しておらず、アカウントが成りすまされた可能性があると主張している。また、ドイツ在住の15歳の少年も主要容疑者として浮上しているが、現時点で逮捕者は出ていない。 今後の課題 Lumen Black Lotus Labsは約1,000台のC2サーバーをヌルルーティングで無効化したが、ADBを悪用する攻撃手法はすでに複数の競合ボットネットに採用されており、脅威が完全に収束したとは言えない状況だ。Black Lotus LabsのRyan English氏は「脆弱なデバイスが大量に存在するため、Kimwolfは驚くほどの回復力を持ち、さらに複数の新ボットネットが同じ手法を模倣し始めた」と警告している。住宅向けプロキシネットワークにおけるADB露出の脆弱性は引き続き大きなリスクであり、IoTデバイスのセキュリティ強化が業界全体の急務となっている。

脆弱性の概要 Citrix NetScaler ADCおよびNetScaler Gatewayに、CVSSスコア9.3の深刻な脆弱性CVE-2026-3055が発見された。この脆弱性は入力検証の不備に起因するメモリ過剰読み取り（out-of-bounds read）であり、攻撃者がデバイスメモリからアクティブなセッショントークンを抽出できる可能性がある。悪用の条件として、対象アプライアンスがSAML Identity Provider（SAML IDP）として構成されている必要があるが、Rapid7は「シングルサインオンを利用する組織ではSAML IDP構成は非常に一般的」と指摘しており、影響範囲は広いとみられる。 影響を受けるバージョンと修正パッチ 影響を受けるのは以下のバージョンで、いずれもパッチが既に提供されている。 NetScaler ADCおよびNetScaler Gateway 14.1（14.1-66.59より前） NetScaler ADCおよびNetScaler Gateway 13.1（13.1-62.23より前） NetScaler ADC 13.1-FIPSおよび13.1-NDcPP（13.1-37.262より前） この脆弱性はCitrixの社内セキュリティレビューで発見され、2026年3月24日に公開された。Cloud Software GroupのシニアVPであるAnil Shetty氏は「CVE-2026-3055およびCVE-2026-4368について、未修正の環境に対する悪用は現時点で確認していない」と述べている。 野生環境での偵察活動とCitrix Bleedとの類似性 セキュリティ企業Defused CyberおよびwatchTowrの研究者らは、野生環境での積極的な偵察活動を確認している。攻撃者は/cgi/GetAuthMethodsエンドポイントに対してリクエストを送信し、有効な認証フローを列挙することで脆弱な構成を特定しようとしている。Defused Cyberは「NetScaler ADC/Gatewayに対する認証方式のフィンガープリンティング活動を野生環境で観測している」と報告し、watchTowrは「偵察から悪用への移行が進めば、対応の猶予は急速に消滅する」と警告した。 本脆弱性は、過去に大規模な被害をもたらしたCVE-2023-4966（Citrix Bleed）やCVE-2025-5777（Citrix Bleed 2）と類似した手口であり、これらの脆弱性と同様に攻撃者がパッチのリバースエンジニアリングによってエクスプロイトを迅速に開発する可能性が懸念されている。セキュリティ専門家は、SAML IDP構成を使用しているシステムを最優先でパッチ適用するとともに、ネットワークレベルでのアクセス制御を強化することを強く推奨している。