ちらりんブログ ロゴ ちらりんブログ
NEWS · セキュリティ · AI

セキュリティ・AI・テクノロジー 週次ニュースまとめ(2026年4月6日)

はじめに 今週は国家レベルの攻撃者による長期潜伏型侵害、広く使われるOSSエコシステムを狙ったサプライチェーン攻撃、そしてエンタープライズ製品の緊急脆弱性と、守備範囲の異なる3つの脅威が同時に顕在化した週でした。特に攻撃の「準備期間の長さ」と「インフラへの深い潜り込み方」に、従来 …

news 2026-04-06 46 min read by ちらりん
cover · 1024×1024

はじめに

今週は国家レベルの攻撃者による長期潜伏型侵害、広く使われるOSSエコシステムを狙ったサプライチェーン攻撃、そしてエンタープライズ製品の緊急脆弱性と、守備範囲の異なる3つの脅威が同時に顕在化した週でした。特に攻撃の「準備期間の長さ」と「インフラへの深い潜り込み方」に、従来の対策が追いつけていない現実が見えています。

今週の注目ポイント:

  • 🇰🇵 DPRK による Drift への2億8500万ドル窃取 ── 6ヶ月にわたる潜伏と周到なソーシャルエンジニアリングで実行された国家主導の金融攻撃
  • 🚨 FortiClient EMS に緊急脆弱性(CVE-2026-35616) ── 週末に異例の緊急パッチが公開されるほど深刻な悪用が確認、即時対応が必要
  • 📦 npm に悪意あるパッケージ36件 ── Redis・PostgreSQL のインフラに永続インプラントを仕込むサプライチェーン攻撃が発覚

今週の注目ニュース3選

北朝鮮が6ヶ月かけて仕込んだ2億8500万ドル暗号資産窃取の全貌(原題: $285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation)

概要 Solanaベースの分散型取引所「Drift」は、2026年4月1日に発生した2億8500万ドル相当の暗号資産窃取が、北朝鮮(DPRK)による6ヶ月以上にわたるソーシャルエンジニアリング工作の結果であると公表しました。攻撃者は2025年秋から標的を定めて潜入工作を開始し、4月の実行日に向けて段階的に準備を進めていました。Drift社はこの攻撃を「6ヶ月越しの精密作戦」と表現しており、単発の侵害ではなく組織的・長期的な作戦であったことを強調しています。

注目ポイント 本件でとりわけ重要なのは、攻撃の「時間軸」です。DeFiプロトコルへの攻撃というと技術的な脆弱性の悪用が注目されがちですが、今回の主戦場はコードではなく「人」でした。北朝鮮系攻撃グループは半年という長期間をかけて関係者に接触し、信頼関係を構築したうえで内部情報や権限へのアクセスを引き出したとみられます。また、攻撃実行日が4月1日という点も見逃せません。エイプリルフールによる初動対応の遅れや混乱を狙った可能性を排除できず、攻撃タイミングの選定まで計算された作戦設計であることがうかがえます。

押さえておきたい理由 DeFiやWeb3に関わるエンジニア・セキュリティ担当者はもちろん、一般的なWeb系サービスの開発・運用チームにも直接関わる教訓です。今回の攻撃では、コードの脆弱性パッチやスマートコントラクト監査といった技術的防御だけでは防げなかった点が重要です。採用候補者・外部コントリビューター・パートナー企業経由での接触など、「関係者になりすます」経路からの長期潜入を前提とした対策、具体的には権限の最小化・定期的なアクセス棚卸し・内部関係者による異常行動の検知体制が必要になります。北朝鮮系グループによるIT従事者へのなりすまし工作は2024〜2025年にかけて急増しており、本件はその延長線上にある事例として、採用・外注プロセスのセキュリティ見直しを検討する具体的な契機となります。

参照 The Hacker News

FortiClient EMSに未修正の重大脆弱性、悪用確認を受けて緊急パッチが公開(原題: New FortiClient EMS flaw exploited in attacks, emergency patch released)

概要 Fortinetは、企業向けエンドポイント管理製品「FortiClient Enterprise Management Server(EMS)」に存在する新たな重大な脆弱性(CVE-2026-35616)を修正する緊急セキュリティアップデートを週末に公開しました。この脆弱性はすでに実際の攻撃に悪用されていることが確認されており、Fortinetは通常のリリーススケジュールを前倒しして対応しました。現時点で攻撃の規模や具体的な被害範囲の詳細は明らかにされていません。

注目ポイント 週末に緊急パッチを投入するという対応は、Fortinetが脅威の深刻度を高く判断した裏付けです。FortiClient EMSは企業内のエンドポイントを一元管理するサーバーであるため、この製品が侵害された場合、管理下にある多数のクライアント端末へ横断的にアクセスされるリスクがあります。また、Fortinetはここしばらくの間、複数の製品で重大脆弱性の悪用報告が続いており、攻撃者がFortinet製品を標的として継続的にリサーチしている傾向が読み取れます。

押さえておきたい理由 FortiClient EMSを導入している組織は、今すぐバージョンを確認し、Fortinetが提供する修正済みバージョンへの更新を最優先で実施する必要があります。「週明けに対応しよう」という判断が許されない状況です。加えて、パッチ適用前後にEMSサーバーへの不審なアクセスログを精査し、侵害の痕跡(IoC)が残っていないかを確認することが不可欠です。Fortinet製品を社内で複数運用している場合は、この機会に他製品の適用済みパッチ状況も横断的に棚卸しすることを強く推奨します。

参照 Bleeping Computer

Strapi CMS偽装の悪意あるnpmパッケージ36件、RedisとPostgreSQLを踏み台に永続的バックドアを設置(原題: 36 Malicious npm Packages Exploited Redis, PostgreSQL to Deploy Persistent Implants)

概要 セキュリティ研究者がnpmレジストリ上で、Strapi CMSプラグインを装った悪意あるパッケージを36件発見しました。これらのパッケージはpackage.jsonindex.jspostinstall.jsの3ファイルで構成されており、インストール直後にpostinstall.jsが自動実行される仕組みになっています。実行されると、RedisやPostgreSQLへの不正アクセス、リバースシェルの起動、認証情報の窃取、そして再起動後も消えない永続的インプラントの設置という複数の攻撃を段階的に行います。

注目ポイント この攻撃の構造には3つの特徴的な工夫があります。第一に、実在するStrapi CMSという開発者になじみのある名前を使うことで、インストールへの心理的ハードルを下げています。第二に、postinstallフックを悪用しているため、npm installを実行するだけで追加操作なしに攻撃コードが走ります。第三に、RedisとPostgreSQLという本番環境で広く使われるミドルウェアを攻撃対象としており、開発環境から本番データへの横展開を想定した設計です。また「説明なし・リポジトリなし」という品質の低さが共通しているにもかかわらず、パッケージ名の信頼性だけでインストールが行われるという、エコシステムの盲点を突いています。

押さえておきたい理由 npmを使う開発者・DevOpsエンジニアは今すぐpackage.jsonの依存関係とpostinstallスクリプトの有無を棚卸しする必要があります。特にCI/CDパイプラインで自動的にnpm installが走る環境では、人の目を介さずにこの攻撃が成立します。対策として、npm install --ignore-scriptsオプションの導入、Socket.devやSnykなどのサプライチェーン監視ツールによるパッケージ審査の自動化、そして社内で利用可能なパッケージをホワイトリスト管理するプライベートレジストリの整備が具体的な防御策として挙げられます。今回のケースは「有名なOSSの周辺エコシステム(プラグイン)」が攻撃の入口になっており、コアライブラリだけを監視していても検知できない点に注意が必要です。

参照 The Hacker News

カテゴリ別まとめ

セキュリティ

npmパッケージ「Axios」が北朝鮮系の標的型攻撃を受けた経緯と手口(原題: Axios npm hack used fake Teams error fix to hijack maintainer account)

概要 人気のHTTPクライアントライブラリ「Axios」のメンテナーチームが、北朝鮮系の脅威アクターと見られる攻撃者によるソーシャルエンジニアリング攻撃を受け、開発者1名のnpmアカウントが乗っ取られたことを詳細なポストモーテムとして公開しました。攻撃者はMicrosoft Teamsのエラー修正を装った偽の手順を開発者に実行させることで、アカウントを掌握する足がかりを得ました。

実務的な示唆 今回の攻撃で注目すべきは、著名なOSSライブラリのメンテナーが「業務上ありえる文脈(Teamsのエラー対応)」を悪用した手口で騙された点です。攻撃者はマルウェアの直接送付ではなく、メンテナーに自発的にコマンドを実行させる形を取ったため、技術的に高度な開発者でも疑いを持ちにくい状況が作られていました。

現場での対策として、以下の3点が直ちに検討できます。

  • npmアカウントへのMFA強制化: アカウント奪取後にパッケージを改ざんされるリスクを下げるために、パブリッシュ権限を持つすべてのアカウントでハードウェアキーやTOTPによるMFAを有効化する
  • 「エラー修正手順」のソース検証を徹底する: Teamsやメール経由で届いたコマンド実行指示は、公式ドキュメントや社内チャンネルでの二次確認を義務付けるルールを設ける
  • 依存パッケージの整合性チェックをCIに組み込む: npm auditやSBOM(ソフトウェア部品表)の自動検証を導入し、Axiosのような広く使われているライブラリのハッシュ値が変化した場合にビルドを止める仕組みを作る

OSSのサプライチェーン攻撃は、直接の攻撃対象である開発者1人の被害にとどまらず、そのパッケージを利用する何万ものプロジェクトへの波及を意図しています。メンテナー個人のセキュリティ意識だけに依存するのではなく、パッケージレジストリ側のアクセス制御と、利用者側の検証プロセスを両輪で整備することが求められます。

参照 Bleeping Computer

テクノロジー / 開発

ランサムウェア「REvil」「GandCrab」を率いた人物をドイツ当局が特定・公開(原題: Germany Doxes “UNKN,” Head of RU Ransomware Gangs REvil, GandCrab)

概要 ドイツ当局は、「UNKN」というハンドルネームで活動し、ロシア系ランサムウェアグループ「GandCrab」および「REvil」を主導していた人物が、31歳のロシア人ダニール・マクシモヴィチ・シチュキン(Daniil Maksimovich Shchukin)であると特定し、その氏名と顔写真を公開しました。同人物は2019年から2021年にかけて、ドイツ国内の被害者に対して少なくとも130件のサイバー破壊・恐喝行為に関与したとされています。

開発者・技術者への示唆 RaaSモデル(Ransomware-as-a-Service)の実態が改めて浮き彫りになった事例です。GandCrabおよびREvilはいずれも「アフィリエイト型」の運営構造を取っており、中核の開発者・運営者が直接攻撃を行わず、多数の実行役に攻撃ツールを提供する形態でした。今回の特定は、長期にわたる国際的な捜査・デジタルフォレンジックの積み重ねによって実現したものであり、匿名性を前提とした犯罪インフラであっても運営者の同定は不可能ではないことを示しています。

技術担当者として注視すべきは、REvilが悪用した脆弱性の傾向です。同グループはKaseyaやSOLORWINDS関連サプライチェーンへの攻撃でも名を馳せており、自組織が利用するサードパーティ製品・管理ツールのパッチ適用状況とサプライチェーンリスク評価が、依然として最優先の対策課題であることを再確認する機会となります。また、インシデント対応計画にランサムウェア特有のシナリオ(二重恐喝、データ漏洩脅迫)が明示的に組み込まれているかどうかを今一度見直してください。

参照 Krebs on Security

提供された本文抜粋には、見出しと冒頭の1文しか含まれていないため、CVE番号・脆弱性の詳細・攻撃手法・影響範囲・推奨対策などの具体的な情報が確認できません。

確認できた事実のみをもとに執筆すると、推測や誤情報を含むリスクがあります。

以下のいずれかをご提供いただけますでしょうか。

  1. 元記事の本文(全文または詳細部分)
  2. CVE-2025-55182の概要・影響・対策に関する追加情報
  3. React2Shellの脆弱性内容に関する補足資料

情報が揃い次第、正確な解説記事を執筆します。

デバイスコードフィッシングが37倍に急増——OAuth認証フローを悪用するフィッシングキットがオンラインで拡散(原題: Device code phishing attacks surge 37x as new kits spread online)

概要 OAuth 2.0のDevice Authorization Grantフローを悪用してアカウントを乗っ取る「デバイスコードフィッシング」攻撃が、今年に入って37倍以上に急増しました。攻撃者は既製のフィッシングキットをオンラインで入手・配布することで、技術的な習熟がなくても高度な手口を実行できる状況が広がっています。

開発者・技術者への示唆 Device Authorization Grantフローは、入力デバイスが限られるスマートTV・IoT機器向けに設計された正規のOAuth仕様です。ユーザーが別端末でコードを入力する仕組みを逆手に取り、攻撃者は正規のMicrosoftやGoogleの認証画面に誘導したうえでトークンを奪取します。MFAを設定済みであっても、発行済みのアクセストークンが窃取されればその保護を迂回されるため、「MFAを導入しているから安全」という前提が崩れます。

設計・運用上の対応として、以下の点を具体的に見直す必要があります。まず、自社サービスやID基盤でDevice Authorization Grantフローを有効にしている場合は、その利用を本当に必要としているクライアントのみに限定するポリシーを設け、不要な場合はフローそのものを無効化します。次に、発行済みトークンの有効期間を最小化し、Conditional Access(条件付きアクセス)やリスクベース認証によってトークン利用の文脈を継続的に評価する仕組みを組み込むことで、トークン窃取後の横展開を抑制できます。また、フィッシングキットの普及によって攻撃の敷居が下がったことは、「高度な攻撃者だけが対象」という脅威モデルが実態と乖離していることを意味します。エンドユーザー向けに「見覚えのないデバイスコード入力要求は操作を止めて報告する」フローを社内手順として明文化することが、技術的対策と並行して求められます。

参照 Bleeping Computer

記事の本文が「Comments」のみで、具体的な内容が抜粋されていません。記事本文の詳細がない状態では、Trigger.devがBunへの移行で5倍のスループット向上を達成したというタイトルの事実以外に確認できる情報がありません。

正確な解説を書くために、以下の情報を追加で提供いただけますか?

  • 移行対象のシステム: どのコンポーネント・ワークロードをNode.js→Bunに切り替えたか
  • ベンチマーク条件: 5倍という数値の計測条件(負荷の種類、環境など)
  • 移行上の課題や注意点: 互換性問題、依存ライブラリの対応状況など
  • 本番運用での知見: 開発環境だけでなく本番での結果かどうか

もし「タイトルと媒体名だけでも書いてほしい」という場合は、その旨をお伝えください。推測や補完を行わず、確認できる事実のみを用いた簡易版を作成します。

今週の総括

今週もっとも際立ったのは、攻撃の「時間軸」が長くなっていることです。DPRK によるDrift侵害は6ヶ月かけて内部の信頼関係を築いてから動いており、侵害開始時点では検知がほぼ不可能な状態でした。npm パッケージを経由したサプライチェーン攻撃も、RedisやPostgreSQLというインフラ層に永続インプラントを仕込む構造で、「インストールした瞬間」ではなく「気づかれないまま長期間潜む」ことを前提に設計されています。IOCを追いかける従来型の検知アプローチだけでは、このタイプの攻撃に対応しきれないことが改めて明確になりました。

一方でFortinetの緊急パッチに象徴されるように、広く普及したエンタープライズ製品への既知脆弱性悪用も依然として高い頻度で発生しています。攻撃者は長期潜伏型の高度な手口と、パッチ適用の遅れを突くシンプルな手口を使い分けており、組織は「高度な攻撃への備え」と「基本的なパッチ管理」の両方を同時に維持しなければならない状況が続いています。

来週以降に特に注目すべき点は2つです。まず、FortiClient EMS の CVE-2026-35616 について、自組織の適用状況を月曜中に確認することを推奨します。パッチ公開から数日以内のスキャン・悪用は今週すでに観測されています。次に、npm を利用しているプロジェク

· · ·
Related Stories
news
セキュリティ・AI・テクノロジー 週次ニュースまとめ(2026年5月18日)
2026-05-18
news
セキュリティ・AI・テクノロジー 週次ニュースまとめ(2026年5月11日)
2026-05-11

コメント