Security

概要 Interlockランサムウェアグループが、Cisco Secure Firewall Management Center（FMC）ソフトウェアに存在する重大な脆弱性CVE-2026-20131（CVSSスコア: 10.0）を、Ciscoの公式開示より1か月以上前の2026年1月26日からゼロデイとして悪用していたことが明らかになった。Amazon脅威インテリジェンスが2026年3月18日にこの活発なキャンペーンについて公に警告し、その後Ciscoもアドバイザリを更新して悪用の事実を確認した。AmazonのCISOであるCJ Moses氏は「これは単なる脆弱性の悪用ではない。Interlockはゼロデイを手にしており、1週間の先行優位を得ていた」と述べ、パッチが存在しない状態での攻撃に対する防御の困難さを強調した。 脆弱性の技術的詳細 CVE-2026-20131は、Cisco FMCソフトウェアにおけるユーザー提供のJavaバイトストリームの安全でないデシリアライゼーションに起因する脆弱性である。攻撃者は影響を受けるソフトウェアの特定のパスに対して細工されたHTTPリクエストを送信することで、認証なしにリモートから任意のJavaコードをroot権限で実行できる。攻撃の流れとしては、まず悪意のあるHTTPリクエストで任意のJavaコードを実行し、侵害されたシステムが外部サーバーにHTTP PUTリクエストを発行して悪用の成功を確認、その後リモートサーバーからELFバイナリを取得するコマンドが送信される。 Interlockグループの攻撃ツールキット Interlockグループの運用セキュリティ上のミスにより、誤って設定されたインフラストラクチャサーバーからツールキットの全容が明らかになった。グループはUTC+3のタイムゾーンで活動しており、Windows環境列挙用のPowerShellスクリプト、C2通信・シェルアクセス・ファイル転送・SOCKS5プロキシ機能を備えたカスタムJavaScript/Javaリモートアクセス型トロイの木馬、LinuxサーバーをHTTPリバースプロキシとして構成するBashスクリプト、暗号化コマンド実行用のメモリ常駐型Webシェル、ネットワーク検証用の軽量ビーコン、持続的リモートアクセス用のConnectWise ScreenConnect、メモリフォレンジック用のVolatility Framework、Active Directory証明書サービスの誤設定を悪用するCertifyツールなど、多段階攻撃チェーンを構成する包括的なツールセットを保有していた。 対策と今後の見通し 推奨される対策として、パッチの即時適用、侵害の可能性を特定するためのセキュリティ評価の実施、不正なScreenConnectインストールの確認、多層防御戦略の実装が挙げられている。Moses氏は「パッチが存在する前に攻撃者が脆弱性を悪用する場合、どれほど勤勉なパッチ適用プログラムでもその重要な期間に防御することはできない」と指摘した。今回の事例は、ランサムウェアグループが支払い率の低下に伴い戦術を適応させ、初期アクセスの手段としてVPNやファイアウォールの脆弱性を標的にする傾向が強まっているという業界全体の動向とも一致している。

概要 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年3月3日、BroadcomのVMware Aria Operationsに存在するコマンドインジェクション脆弱性（CVE-2026-22719）を、既知の悪用された脆弱性（KEV）カタログに追加した。この脆弱性はCVSSスコア8.1と高い深刻度に分類されており、未認証の攻撃者がサポート支援による製品マイグレーション処理中に任意のコマンドを実行できるというものだ。野外での積極的な悪用が確認されており、連邦文民行政機関（FCEB）には2026年3月24日までにパッチを適用することが義務付けられた。 影響を受ける製品と修正バージョン 影響を受ける製品は、VMware Aria Operations 8.x系、VMware Cloud Foundation 9.x系、およびVMware vSphere Foundation 9.x系の3製品である。それぞれ、Aria Operations 8.18.6、Cloud Foundation 9.0.2.0、vSphere Foundation 9.0.2.0で修正されている。Broadcomは2026年2月下旬にアドバイザリをリリースしており、同時にストアド型クロスサイトスクリプティング脆弱性（CVE-2026-22720）と管理者権限への特権昇格脆弱性（CVE-2026-22721）も修正している。 緩和策と今後の対応 Broadcomは悪用報告について「独自に確認することはできない」としつつも、野外での悪用の可能性を認識していると述べている。即座にパッチを適用できない環境向けには、各Aria Operations仮想アプライアンスノード上でroot権限で実行する回避策シェルスクリプト（aria-ops-rce-workaround.sh）が提供されている。未認証でリモートからコード実行が可能という脆弱性の性質上、該当製品を使用する組織は早急な対応が求められる。

概要 欧州連合（EU）の行政執行機関である欧州委員会は2026年3月27日、同委員会のクラウドストレージシステムを標的としたサイバー攻撃を公式に確認した。ハッカーグループが欧州委員会のAWSアカウントから数百ギガバイト規模のデータを窃取したと主張しており、EUの公式ウェブプラットフォームであるEuropa.euにも影響が及んでいるとされる。欧州委員会はハッカー側のデータ侵害の主張を受けて声明を発表し、攻撃の事実を認めた。 攻撃の影響と背景 今回の攻撃は、欧州委員会が利用するAmazon Web Services（AWS）のクラウドインフラストラクチャが標的となった点が特徴的である。EUの主要機関がクラウド環境で大規模なデータ侵害を受けたことは、政府機関のクラウドセキュリティに対する信頼性に重大な疑問を投げかけるものとなる。Europa.euは欧州委員会の公式ウェブプレゼンスとして、政策文書や規制情報など膨大な公的データを扱っており、流出したデータの具体的な内容や機密性の度合いが今後の焦点となる。 今後の見通し 欧州委員会は現在、攻撃の全容解明と被害範囲の特定を進めているとみられる。EU機関を標的とした大規模なサイバー攻撃は、欧州全体のサイバーセキュリティ政策やクラウドインフラの運用方針に影響を与える可能性がある。EUは近年、NIS2指令をはじめとするサイバーセキュリティ規制の強化を推進してきたが、今回の事案は自らの機関におけるセキュリティ対策の実効性を問われる形となった。