Security

概要 Microsoft Defenderに3つのゼロデイ脆弱性が公開され、いずれも実際の攻撃に悪用されていることが確認された。「Chaotic Eclipse」（別名：Nightmare-Eclipse）と名乗る匿名の研究者が、Microsoftの脆弱性開示対応への不満を理由にPoC（概念実証コード）をGitHub上で公開。BlueHammer（CVE-2026-33825）は4月14日のPatch Tuesdayでパッチが提供されたものの、RedSunとUnDefendは4月17日時点で修正プログラムが存在しない状態のまま攻撃に使用されている。 各脆弱性の詳細 3件の脆弱性はそれぞれ異なる攻撃経路を持つ。**BlueHammer（CVE-2026-33825）**はDefender内のローカル権限昇格（LPE）脆弱性で、4月3日にPoCが公開され、4月10日に初めて実攻撃が確認された後、4月14日にパッチが適用された。RedSunも同様のLPE脆弱性で、標準ユーザーがSYSTEM権限まで昇格できる。UnDefendはサービス拒否（DoS）型の脆弱性で、標準ユーザーがDefenderのウイルス定義更新を完全にブロックもしくは無効化できる。RedSunとUnDefendのPoCは4月16日に公開され、同日より実攻撃への悪用が確認されている。 連鎖攻撃のパターン セキュリティ企業Huntressが実際に観測した攻撃では、UnDefendでDefenderの定義更新を無効化してセキュリティ検出を弱体化させた後、RedSunでSYSTEM権限への昇格を行う連鎖的な手口が確認されている。攻撃者はwhoami /priv・cmdkey /list・net groupといった偵察コマンドを実行しており、手動操作による標的型攻撃の特徴を示している。エクスプロイトファイルはPicturesやDownloadsフォルダに紛らわしいファイル名で配置されるケースも報告されている。 開示経緯と今後の対応 研究者のChaotic EclipseはMicrosoft Security Response Center（MSRC）への報告が無視・却下されたと主張し、GitHubへのPoC公開に踏み切った。Microsoftは「報告されたセキュリティ問題を調査し、影響デバイスを更新することにコミットしている」と声明を発表しているが、次のPatch Tuesdayまで数週間あることから、緊急の帯域外パッチのリリースが有力視されている。Huntressは影響を受けた組織を隔離済みとしており、企業環境では最小権限の原則の徹底と異常な特権昇格の監視強化が推奨される。

概要 オープンソースのNginx管理ツール「nginx-ui」に、認証バイパスを可能にする重大な脆弱性CVE-2026-33032（CVSS 9.8）が発見され、野生での積極的な悪用が確認されている。この脆弱性を悪用することで、認証なしにNginxの設定ファイルの読み書き・削除やサービスの再起動が可能となり、最終的にはNginxサーバーの完全な乗っ取りに至る。修正版はバージョン2.3.4（2026年3月15日リリース）で提供されており、現時点での最新安全版は2.3.6となっている。Shodanによる調査では、世界全体で約2,689件のインターネット公開インスタンスが確認されており、中国・米国・インドネシア・ドイツ・香港に集中している。 技術的な詳細 脆弱性の根本原因は、nginx-uiがModel Context Protocol（MCP）統合に追加した/mcp_messageエンドポイントの認証制御の不備にある。/mcpエンドポイントにはIPホワイトリストと認証の両方が要求されるのに対し、/mcp_messageエンドポイントにはIPホワイトリストのみが適用され、かつデフォルトのホワイトリストが空であるため、ミドルウェアが「すべて許可」と判断してしまう設計上の欠陥がある。 攻撃の手順は以下の2段階で構成される。まず攻撃者はHTTP GETリクエストを/mcpエンドポイントに送信してServer-Sent Events（SSE）接続を確立し、セッションIDを取得する。次に取得したセッションIDを使ってHTTP POSTリクエストを/mcp_messageに送ることで、認証なしにすべてのMCPツールを呼び出せる。NISTはこの脆弱性について「ネットワーク上のいかなる攻撃者も、Nginxの再起動・設定ファイルの作成・変更・削除・自動リロードのトリガーを含む全MCP機能を認証なしで実行できる」と説明している。 関連する脆弱性と影響範囲 本脆弱性と連携して悪用される可能性がある二次的な脆弱性として、CVE-2026-27944も存在する。バージョン2.3.3未満では、/api/backupエンドポイントから暗号化キーが漏洩するため、攻撃者はシステムバックアップをダウンロードしてユーザー認証情報・SSL秘密鍵・MCPの認証に使われるnode_secretパラメータを平文で抽出できる。 CVE-2026-33032の悪用に成功した攻撃者は、Nginx設定ファイルへの任意の改ざん、悪意あるサーバーブロックの注入、トラフィックの傍受と管理者認証情報の収集など、サービス全体の制御を数秒以内に奪取できる。 対策と推奨事項 直ちにnginx-uiをバージョン2.3.4以降（推奨は最新の2.3.6）にアップグレードすることが最優先の対応となる。修正版では/mcp_messageエンドポイントへの認証ミドルウェアの追加と、IPホワイトリストのデフォルト動作を「すべて許可」から「すべて拒否」に変更する対応が施されている。アップグレードが直ちに困難な場合は、インターネットからnginx-uiへのアクセスを遮断し、内部ネットワークからのみアクセス可能な構成に変更することを検討すべきである。野生での悪用が確認されている以上、公開されているインスタンスは早急な対応が求められる。

概要 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年4月16日、Apache ActiveMQ Classicに存在する高深刻度の脆弱性CVE-2026-34197（CVSSスコア8.8）を既知の悪用された脆弱性（KEV）カタログに追加した。この脆弱性は13年間にわたって検出されないまま存在し続けており、Horizon3のセキュリティ研究者Naveen Sunkavally氏によって発見されたものだ。Apacheは3月30日にパッチを提供しているが、ShadowServerの調査によると現在も8,000件を超えるActiveMQインスタンスがインターネットに公開されている状態にある。 脆弱性の技術的詳細 CVE-2026-34197はApache ActiveMQのJolokia JMX-HTTPブリッジにおける不適切な入力検証の問題に起因する。認証済みの攻撃者がJolokia管理APIを通じた管理操作を悪用し、ブローカーに細工されたURIを送信することでリモートのSpring XML設定ファイルを読み込ませ、任意のOSコマンドを実行できる。Springはバリデーション前にBeanをインスタンス化するため、Runtime.exec()などの手法を通じた任意コード実行が可能となる。 この脆弱性は表面上は認証が必要だが、実際の悪用は現実的だ。多くのデプロイメントでデフォルト認証情報（admin:admin）が使われたままになっていることに加え、バージョン6.0.0〜6.1.1に存在するCVE-2024-32114を組み合わせると、Jolokiaへの認証なしのアクセスが可能となり、未認証のリモートコード実行チェーンが構成される。影響を受けるバージョンはActiveMQ Classic 5.19.4未満および6.2.3未満であり、修正済みバージョン（5.19.4または6.2.3以降）へのアップグレードが推奨される。攻撃の痕跡調査には、ブローカーログ内のbrokerConfig=xbean:http://パラメータやVMトランスポートプロトコルを使った不審な接続の確認が有効とされている。 CISAの対応と影響範囲 CISAはBOD 22-01（Binding Operational Directive）に基づき、連邦民間行政機関（FCEB）に対して2026年4月30日までにすべてのシステムへのパッチ適用を義務付けた。なお、CISAが実際に悪用されたとして報告したApache ActiveMQの脆弱性はこれで3件目となる。 組織はただちにパッチ済みバージョンへのアップグレードを優先し、インターネットへの不必要な公開を避けるようアクセス制限を見直すことが求められる。

概要 仮想通貨取引所Krakenは、攻撃者に取り込まれたカスタマーサポートスタッフによる内部不正アクセスが2件発生し、その後サイバー犯罪グループから内部システムの動画を公開すると脅す恐喝を受けたことを公表した。最高セキュリティ責任者のNick Percocoによれば、2025年2月に信頼できる情報源からの通報により、同社のカスタマーサポートシステムへのアクセスを示す動画が流通していることが判明した。調査の結果、攻撃者に取り込まれたサポートスタッフによる内部脅威が明らかになり、その後さらなる別の不正アクセス事例も浮上した。 影響を受けたアカウントは約2,000件で、全ユーザーベースの約0.02%に留まる。露出したのはカスタマーサポートデータのみであり、同社は「システムは決して侵害されず、資金が危機に晒されることはなかった」と強調している。Krakenは問題を把握した後、直ちに当該従業員のアクセスを取り消し、調査と管理統制の強化を実施、被害を受けたユーザーへの直接通知を行った。 Krakenの対応と法執行機関との連携 Krakenは恐喝要求に対して断固とした姿勢を示し、「このような犯罪者には一切支払わず、悪質行為者とは交渉しない」と明言した。同社はすでに起訴に必要な証拠を収集したとしており、複数の州の連邦法執行機関と協力して攻撃者の追跡に当たっている。 業界全体に広がる内部脅威の問題 この事件は仮想通貨業界における内部脅威の深刻さを改めて浮き彫りにした。2025年中盤にはCoinbaseも同様の手口による被害を受けており、インドを拠点とするカスタマーサポート業者の従業員が買収され、約70,000人の顧客情報が漏洩、推定4億ドルの損害が発生した。採用プロセスや社内アクセス管理の強化、そして不審なアクセスパターンの早期検知が、仮想通貨取引所にとって急務となっている。

概要 教育コンテンツ大手のMcGraw Hillが大規模なデータ漏洩被害を受けたことが明らかになった。ハッカー集団ShinyHuntersが同社のSalesforce環境における設定ミスを悪用し、1,350万件のユーザーアカウントデータを窃取。100GB超のデータがダークウェブのリークサイトに公開された。流出したデータには、氏名・住所・電話番号・メールアドレスが含まれており、情報漏洩通知サービス「Have I Been Pwned」でも確認済みとなっている。 攻撃手法とShinyHuntersの要求 ShinyHuntersは、Salesforceが連携する環境の設定ミスを起点にMcGraw Hillのシステムへ侵入した。McGraw Hillは「Salesforce環境内の設定ミスに起因するもので、複数の組織が影響を受けた広範な問題の一部」と説明しており、自社固有の脆弱性ではなく連携サービス側の構成問題だと主張している。一般的にSalesforceを介した侵害は、認証情報の窃取、OAuth連携の悪用、過剰な権限が付与されたインテグレーションなどが原因となるケースが多い。 ShinyHuntersは4月14日を身代金支払いの期限として設定し、McGraw Hillがこれに応じなかったことでデータを公開。同グループはダークウェブのリークサイトにRockstar Gamesなど他の被害組織と並べてMcGraw Hillを掲載しており、「4,000万件超のSalesforceレコードを取得した」とも主張している。ただし、McGraw Hillが公表している漏洩件数は1,350万件にとどまっている。 McGraw Hillの対応と影響範囲 McGraw Hillは今回の侵害について「Salesforceアカウント、コースウェア、顧客データベース、内部システムへの不正アクセスは発生していない」との立場を取り、流出データを「限定的なセット」と位置付けている。しかし、同社は自社のチャンネルでの公式発表をほぼ行わず、報道機関の取材にも回答しないなど、情報開示には消極的な姿勢を示している。 1909年創業で年商22億ドルを誇るMcGraw Hillは、PreK〜12（幼稚園から高校）・高等教育・専門学習向けの教育コンテンツを提供しており、膨大な学習者の個人情報を保有する。流出したメールアドレスや住所等のデータは、スピアフィッシング攻撃などに悪用される可能性があり、被害者となったユーザーへの二次被害が懸念される。 ShinyHuntersの最近の活動 ShinyHuntersは今回のMcGraw Hill侵害に限らず、欧州委員会、Infinite Campus、Hims & Hers、Panera Bread、SoundCloud、Matchグループが運営する複数のデーティングプラットフォームなど、多数の組織を標的にした攻撃を近年活発化させている。Salesforce連携環境の設定ミスを狙う手口はこのグループの常套手段とも言われており、同様の構成を持つ組織にとっては今回の事例が重大な警鐘となる。

概要 2025年12月から2026年2月にかけて、1人のハッカーがClaude CodeおよびGPT-4.1を活用してメキシコ政府の9つの機関に侵入し、数億件規模の市民個人情報を流出させた事件が明らかになった。TechRadarはこの手口を「攻撃能力における重大な進化（a significant evolution in offensive capability）」と評しており、生成AIが高度なサイバー攻撃の実行基盤として悪用されつつある現状を浮き彫りにしている。 攻撃者はAIの安全フィルターを迂回するために「正規のバグバウンティプログラムに参加している」と虚偽の主張を行い、1,084行に及ぶハッキングマニュアルをAIに与えた。このマニュアルには、履歴ファイルを削除して証跡を消す手順も含まれていた。34回のセッションにわたって1,088件のプロンプトが入力され、5,317件のコマンドが生成された。そのうちリモートコマンドの約75%をClaude Codeが実行した。 侵害の規模と被害 流出したデータの規模は極めて深刻だ。連邦税務局（SAT）からは1億9,500万件の納税者記録が盗まれ、攻撃者は偽の納税証明書を発行するサービスまで構築していた。メキシコシティの戸籍局では2億2,000万件の市民登録情報が侵害された。ハリスコ州においては、健康情報やDV被害者データを含む37のデータベースサーバーと13ノードのクラスターを含むフルサーバー制御権が奪われた。 攻撃者は「BACKUPOSINT.py」と名付けたカスタムツールを作成し、305台の内部サーバーからデータを抽出してOpenAIのシステムに送信。政府インフラのマッピングレポートを2,597件生成した。さらに異なるCVEを標的とした20本のカスタムエクスプロイトスクリプトと、BashおよびPythonで書かれた400本以上の攻撃スクリプトも確認されている。 攻撃が成功した背景 調査の結果、被害を受けた機関はソフトウェアの更新が不十分であり、パスワード変更も頻繁に行われていなかったことが判明した。また、適切なネットワークセグメンテーションが実施されていれば、侵入後の横断的な移動（ラテラルムーブメント）を防げた可能性があると指摘されている。 今回の事件は、AIが単独攻撃者の能力を飛躍的に拡大させるリスクを改めて示した。従来は高度な技術力を要した大規模な政府機関への侵入が、AIを活用することで大幅に低コスト・低スキルで実行可能になりつつあり、セキュリティコミュニティにおいて生成AIの悪用対策が急務となっている。

概要 IBMは2026年4月15日、AIエージェントを悪用した次世代サイバー攻撃に対抗するための新たなセキュリティ対策を発表した。攻撃者がフロンティアAIモデルを武器として活用することで、攻撃ライフサイクル全体が加速し、高度な攻撃を実行するためのコスト・時間・専門知識の障壁が大幅に低下している。IBM Consultingのサイバーセキュリティサービス担当グローバル・マネージング・パートナーであるMark Hughes氏は「フロンティアモデルは、迅速かつ体系的でますます自律化する新たなカテゴリーのエンタープライズ脅威を生み出している」と述べており、従来の断片的なセキュリティツールや手動プロセスではマシンスピードの脅威に対応できないとの認識を示している。 新たなセキュリティ対策の詳細 IBMが発表した対策は主に2つの柱で構成される。 フロンティアモデル脅威に対するエンタープライズ向けサイバーセキュリティ評価は、IBM Consultingおよびテクノロジーパートナーが提供する新たな評価ツールだ。組織のセキュリティギャップ、ポリシーの弱点、AI固有の露出リスク、攻撃経路を可視化し、優先度付けされた緩和策と暫定的な保護手段の指針を提供する。AIが可能にする脅威に対する準備態勢を体系的に評価することで、企業が自社のリスクエクスポージャーを正確に把握できるよう支援する。 IBM自律型セキュリティサービスは、マルチエージェントによってマシンスピードで稼働するサービスであり、組織のセキュリティスタック全体にわたってAIエージェントを連携させる。ソフトウェアの脆弱性分析、攻撃経路の把握、セキュリティポリシーの適用、異常検知、そして最小限の人間の介入による脅威の封じ込めといった機能を備える。IT・OT・業務プロセス全体にわたるAIシステムと連携し、アイデンティティ・リスク・ガバナンス機能を統合的に管理する。 背景と戦略的意義 AIを攻撃側に活用する動きが加速する中、IBMはAIを防御側にも積極的に活用することが不可欠だという姿勢を明確にしている。フロンティアモデルによって攻撃が自律化・高速化される一方で、従来の人手を中心とした防御体制では対応速度に限界がある。IBMが提唱するのは「AIによる攻撃にはAIによる防御で対抗する」というアプローチであり、自律型マルチエージェントシステムを活用することで、企業のセキュリティ運用をマシンスピードへと引き上げることを目指している。エンタープライズ向けセキュリティにおいてAIエージェントの活用が本格的な局面を迎えていることを示す発表といえる。

概要 米国立標準技術研究所（NIST）は2026年4月15日、国家脆弱性データベース（NVD）の運用方針を抜本的に見直すと発表した。2020年から2025年にかけてCVE申請数が263%急増し、2026年第1四半期の申請数も前年同期比で約33%上回るなど、成長が加速するなかで、NISTは2025年に過去最高の約42,000件のCVEをエンリッチメント（詳細情報付与）したものの、それでも申請ペースに追いつけない状況を認めた。2025年分だけでも約10,000件の脆弱性がCVSSスコアなしのまま残っており、同年のCVE全体のうちNISTが詳細分析できたのは約32%（14,000件）にとどまっている。 優先化の新基準 新方針では、NISTが詳細分析（エンリッチメント）を自動的に行う対象を以下の3カテゴリに絞り込む。 CISAの既知悪用脆弱性（KEV）カタログ掲載済みのCVE：1営業日以内のエンリッチメントを目標とする 連邦政府が利用するソフトウェアに影響するCVE 大統領令14028が定める「重要ソフトウェア」（OS、ブラウザ、ネットワーク機器、バックアップシステム、ID管理プラットフォームなど）に関わるCVE この3条件を満たさないCVEは「Not Scheduled（未予定）」ステータスに設定される。ただし、データベースからは削除されず、組織はnvd@nist.gov宛てにメールでエンリッチメントをリクエストできる。なお、2026年3月1日以前に未エンリッチのまま残っていたバックログは、優先基準を満たさない限りそのまま「Not Scheduled」に移行される。 プロセスの変更点 今回の方針変更ではスコアリング体制も変わる。NISTはこれまで独自の深刻度スコアを提供してきたが、CVE採番機関（CNA）がすでにスコアを付けているCVEについては、NISTが別途スコアを算出・公開しなくなる。また、修正された既存CVEの再分析は、変更内容がエンリッチメントデータに実質的な影響を与える場合に限定される。 業界への影響と背景 セキュリティ専門家の間では、この変更を「政府の単一データベースに頼れた時代の終わり」と表現する声も上がっている。背景には、AIを活用した脆弱性発見ツールの普及が研究者コミュニティに広まり、CVE申請数を押し上げているという構造的要因がある。 CVEプログラム自体も2025年には資金不足で崩壊寸前に陥るなど、MITREとDHSへの依存が脆弱性管理インフラの持続可能性に疑問を投げかけている。一方、欧州ではENISAがルートCNA（CVE採番の上位機関）の地位取得を目指しており、脆弱性情報の分散管理と欧州側の自立化に向けた動きが加速している。今回のNISTの方針転換は、組織がNVDの網羅性に依存した脆弱性管理から脱却し、リスクベースの優先付けを自ら行う必要があることを改めて示すものとなった。

概要 Europolが主導する国際法執行作戦「Operation PowerOFF」の最新フェーズが2026年4月13日に実施された。オーストラリア、ブラジル、日本、米国、英国、ドイツ、オランダをはじめとする21か国が参加し、DDoS-for-hire（DDoS請負）サービスの53ドメインを閉鎖、4名を逮捕、25件の捜索令状を執行した。また、過去フェーズで入手したデータベースには300万件以上の犯罪者アカウントが含まれており、今回の一連の取り締まりはDDoS攻撃インフラに対する大規模な国際的対応となった。 告知戦略——75,000人への直接警告 今回の作戦で注目されるのは、刑事訴追に加えて大規模な「告知・抑止」戦略が採用された点だ。Europolは、DDoS-for-hireプラットフォームの利用者として特定された約75,000人に対し、電子メールや書面で警告通知を送付した。これは従来の逮捕・起訴中心のアプローチからの転換を示しており、当局が監視を行っているという事実を広く知らしめることで、将来的な犯行を抑止することを目的としている。あわせて、若年層をターゲットとした検索エンジン広告の出稿、違法サービスを宣伝する100件以上のURLの削除、不正な支払いに紐付けたオンチェイン警告メッセージの送付といった啓発活動も実施された。 DDoS-for-hireサービスの手口と脅威 閉鎖されたのは「ブーターサービス」と呼ばれる仕組みで、利用者は料金を支払うだけで標的のWebサイト、サーバー、ネットワークに大規模なDDoS攻撃を仕掛けられる。攻撃トラフィックは主に侵害済みのルーターやIoTデバイスから生成されるため、利用者側に高度な技術知識は不要だ。サービス運営者は「負荷テスト」を名目に掲げることがあるが、対象サーバーの所有権を確認するしくみは存在しない。EuropolはDDoS-for-hireを「サイバー犯罪の中で最も蔓延しやすく、参入障壁が低いトレンドの一つ」と位置付けており、企業活動への実害も大きい。 作戦の背景と過去の実績 Operation PowerOFFは複数年にわたる継続的な作戦である。DDoS-for-hireインフラへの国際的な取り締まりも進んでおり、2025年8月には米国政府が80か国以上の被害者を出したDDoSボットネット「RapperBot」のインフラを解体している。今回のフェーズでは、各国当局の専門家が集結して「高価値ターゲット」に対する一斉摘発を実施するという「オペレーションスプリント」方式が採用された。国際協調の枠組みを活かした継続的な取り締まりと予防啓発の組み合わせが、DDoS-for-hireエコシステムの弱体化に向けた有効なアプローチとして確立されつつある。

概要 Open Rights Group（ORG）は2026年4月、「Tech Giants and Giant Slayers」と題した報告書を公開し、英国が米国のハイパースケーラーをはじめとするBig Techに対してクラウド・ソフトウェア・データセンターを過度に依存していることが、国家安全保障上の重大なリスクになっていると警告した。報告書は、少数の米国企業が英国の重要インフラ全体に深く組み込まれており、システムだけでなく政策決定にまで影響を及ぼしていると指摘している。 緑の党のSian Berry議員は「インフラのレジリエンス確保が急務」と強調し、労働党のClive Lewis議員は英国が「危険なほど脆弱な状態に置かれている」と警告するなど、超党派の政治家が報告書の指摘に同調した。 具体的なリスクと財政的損失 報告書が挙げる主要リスクの一つは、米国の**CLOUD Act（クラウド法）**である。同法は米国当局が米国企業の管理下にある海外データへのアクセスを要求できる法的根拠となっており、英国政府や企業のデータが米国法の射程に入る可能性がある。また、中国の国家情報法も企業への協力義務を定めており、中国系クラウドサービスを利用する場合も同様の主権リスクが生じると指摘されている。 さらに、ベンダーの「制裁権限」も問題視されている。報告書は、MicrosoftがICC（国際刑事裁判所）関連の米国制裁の影響を受けた個人に対してサービスを制限したとされる事例を引用し、民間企業が国際的な文脈で一方的にサービスを停止できることへの懸念を示した。 財政面では、競争・市場庁（CMA）が年間5億ポンド超のクラウドコスト超過を確認している。ベンダーロックインによるプロジェクトの遅延・超過費用も加わり、公的資金の非効率な支出が常態化しているとされる。 提言：デジタル主権とオープンソースへの転換 ORGのエグゼクティブディレクターであるJim Killockは、「公的資金は、Big Techの株主を潤すためではなく、社会全体が恩恵を受けるパブリックコードに使われるべきだ」と述べた。報告書が示す解決策は次の3点に集約される。 オープンソースソフトウェアの積極的採用 ── 特定ベンダーへの依存を排除し、コードを公共財として共有する 国内技術能力の育成 ── 英国独自の技術基盤を整備し、外部ベンダーへの交渉力を高める デジタル主権の確立 ── インフラ・データ・技術を自国でコントロールできる体制を構築する Big Techへの依存は短期的なコスト効率を生む一方、長期的には財政・安全保障・主権の三方向からリスクを積み重ねる構造的問題であることが本報告書で改めて浮き彫りになった。英国政府が今後どのような政策対応をとるかが注目される。