セキュリティ・AI・テクノロジー 週次ニュースまとめ（2026年5月18日）

はじめに

2026年5月第3週は、Windowsゼロデイ・NGINX RCE・WordPressスキミングと複数プラットフォームで深刻な脆弱性が同時多発した週でした。それに加えてGrafanaのトークン漏洩やTurlaのボットネット進化など、サプライチェーンと国家支援APTの両面から圧力が高まっています。AI分野では信頼度と規制をめぐる動きが対照的に報じられ、実用化の足元の揺らぎも見えてきました。

今週の注目ポイントは以下の3点です。

• WindowsゼロデイMiniPlasmaのPoC公開：完全パッチ済み環境でもSYSTEM権限奪取が可能であることが実証され、Windowsを運用するすべての組織が対応を迫られています
• GrafanaのGitHubトークン漏洩と恐喝被害：コードベース流出がサプライチェーン経由で発生し、トークン管理の甘さが開発ツールチェーン全体のリスクになることを改めて示しました
• TurlaのKazuarバックドアがモジュラー型P2Pボットネットへ進化：長期潜伏型APTが検知・排除をより困難にする構造へと高度化しており、従来の侵害指標（IoC）ベースの防御では対応が追いつかない局面が増えています

今週の注目ニュース3選

完全パッチ済みWindowsでもSYSTEM権限を奪取できるゼロデイ「MiniPlasma」のPoC公開（原題: New Windows ‘MiniPlasma’ zero-day exploit gives SYSTEM access, PoC released）

概要 セキュリティ研究者が、「MiniPlasma」と名付けられたWindowsの権限昇格ゼロデイ脆弱性に対する概念実証（PoC）コードを公開しました。この脆弱性を悪用すると、最新のセキュリティパッチがすべて適用済みのWindowsシステムであっても、攻撃者がOS上で最上位の権限である「SYSTEM権限」を取得できます。Microsoftからの公式パッチはまだリリースされていない状態で、悪用可能なコードが一般に出回っている状況です。

注目ポイント 通常、権限昇格の脆弱性はパッチ適用によってリスクを下げられますが、今回のケースは「完全にパッチ適用済みの環境でも有効」という点が従来とは異なります。PoCが既に公開されているため、高度な技術力を持たない攻撃者でも再現・悪用できるハードルが大幅に下がっています。ゼロデイである以上、現時点ではベンダー側の修正を待つ以外の根本的な対処手段がなく、攻撃者が修正前のウィンドウを積極的に利用する「PoC公開後の悪用急増」というパターンに入る可能性が高い状態です。

押さえておきたい理由 SYSTEM権限はWindowsにおける事実上の最高権限であり、これを奪取された場合、セキュリティソフトの無効化・認証情報の窃取・ランサムウェアの展開など、あらゆる後続攻撃への足がかりになります。エンドポイントの保護設定やEDRのアラートルール、特権アカウントの監視設定を今すぐ見直し、Microsoftからのパッチリリース情報を優先的にウォッチする体制を整えることが必要です。社内のWindowsシステム管理者・SOC担当者は、パッチ公開時に即時適用できるよう、テスト環境での事前検証プロセスを前倒しで準備しておくことを推奨します。

参照 Bleeping Computer

NGINXの重大脆弱性CVE-2026-42945が公開直後に悪用開始、ワーカープロセス停止とRCEのリスク（原題: NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE）

概要 セキュリティ企業VulnCheckは、NGINX PlusおよびNGINX Openに存在する新たな脆弱性CVE-2026-42945（CVSSスコア: 9.2）が、公開からわずか数日で実際の攻撃に悪用されていることを確認しました。この脆弱性はNGINXバージョン0.6.27から1.30.0のngx_http_rewrite_moduleに存在するヒープバッファオーバーフローで、AIネイティブのセキュリティ企業depthfirstが詳細な技術分析を公開しています。攻撃が成功した場合、NGINXのワーカープロセスがクラッシュするだけでなく、リモートコード実行（RCE）につながる可能性が示されています。

注目ポイント 脆弱なバージョン範囲がNGINX 0.6.27〜1.30.0と非常に広く、長期間にわたってメンテナンスされてきた多数の本番環境が対象に含まれます。CVSSスコア9.2はCritical（緊急）相当であり、攻撃経路がネットワーク越しに成立する点が特に深刻です。さらに、脆弱性の公開から実際の悪用確認まで「数日」しか経過していないことは、攻撃者が公開済みの脆弱性情報をもとに素早く武器化するサイクルが短縮していることを示しています。パッチ適用の猶予期間が事実上ほとんどない状況です。

押さえておきたい理由 NGINXはWebサーバー・リバースプロキシとして世界中のインフラで広く使われており、影響を受ける環境の絶対数が多いため、自社システムの確認を優先すべき案件です。ワーカープロセスのクラッシュはサービス停止に直結し、さらにRCEが成立すれば攻撃者にサーバー上での任意コード実行を許します。セキュリティ担当者はまずnginx -vで稼働中のバージョンを確認し、1.30.0以下であれば速やかにベンダーの修正バージョンへのアップグレードを実施してください。アップグレードが即時困難な場合は、ngx_http_rewrite_moduleの利用状況を確認し、不要であれば一時的に無効化することをリスク低減策として検討してください。また、WAFやIDSのルールにCVE-2026-42945向けのシグネチャが提供されていないかをベンダーに確認し、検知・遮断の層を補強することも有効です。

参照 The Hacker News

GrafanaのGitHubトークン漏洩でコードベースが流出、恐喝被害まで発展（原題: Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt）

概要 Grafanaは、第三者が何らかの手段でGitHub環境へのアクセス権を持つトークンを入手し、同社のコードベース全体をダウンロードしたことを公式に開示しました。攻撃者はその後、入手したコードベースを材料に恐喝を試みました。Grafanaの調査によると、今回の侵害でアクセスされたのはコードのみであり、顧客データや個人情報への侵害は確認されていないとしています。

注目ポイント 今回のインシデントの核心は「トークン1つがコードベース全体への入口になった」という点です。GitHubのPersonal Access TokenやCI/CDパイプライン用トークンは、適切にスコープ・有効期限・保管方法が管理されていなければ、それ単体で広範なアクセスを許してしまいます。加えて、攻撃者がコードを入手した後に恐喝に転じたことは、コード流出が単なる情報漏洩にとどまらず、ビジネス上の脅迫手段として機能することを示しています。OSS・SaaSベンダーのコードを狙う攻撃が、金銭目的と結びつく事例として今後の指標になります。

押さえておきたい理由 Grafanaは多くの企業で監視・可視化基盤として使われているOSSプロダクトです。コードベースが第三者に渡った場合、内部ロジックや将来のゼロデイ候補となる脆弱箇所が事前に解析されるリスクがあります。セキュリティ担当者は今回のインシデントを機に、自社のGitHub連携トークンの棚卸し（スコープの絞り込み・有効期限の設定・未使用トークンの即時失効）を実施してください。また、CI/CDやBot用のトークンをシークレット管理ツール（Vault、AWS Secrets Managerなど）で集中管理しているか、ハードコードや環境変数への平文保存がないかを確認することが具体的な次のアクションになります。

参照 The Hacker News

カテゴリ別まとめ

セキュリティ

Microsoft 365アカウントを狙うTycoon2FAがデバイスコードフィッシングに対応（原題: Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing）

概要 フィッシングキット「Tycoon2FA」が新たにデバイスコードフィッシング攻撃に対応し、メール配信サービス「Trustifi」のクリックトラッキングURLを悪用することで、Microsoft 365アカウントの乗っ取りを実行できるよう機能拡張された。

実務的な示唆 デバイスコードフィッシングは、ユーザーに正規のMicrosoftログイン画面でデバイス認証コードを入力させることで、多要素認証（MFA）を回避しながら有効なアクセストークンを攻撃者が取得する手法です。パスワードを直接盗まずに済むため、MFAを導入済みの組織でも被害に遭うリスクがあります。

Trustifiのクリックトラッキングという正規サービスのURLを経由することで、メールセキュリティ製品のURLフィルタリングをすり抜けやすくなっている点も見逃せません。送信元ドメインやリンク先URLが一見正当に見えるため、従来の「怪しいURLを踏まない」という利用者教育だけでは防御として不十分です。

対策として、Microsoft Entra ID（旧Azure AD）の条件付きアクセスポリシーでデバイスコードフローを制限または無効化することが有効です。また、フィッシング耐性のある認証方式（FIDO2セキュリティキーやパスキーなど）への移行を検討することで、トークン窃取型の攻撃そのものを成立させにくくできます。Trustifiのようなメールマーケティング・配信サービス経由のリンクについても、セキュリティポリシー上の扱いを改めて見直す必要があります。

参照 Bleeping Computer

ロシア系ハッカー集団がKazuarバックドアをP2Pボットネットへ進化させた（原題: Russian hackers turn Kazuar backdoor into modular P2P botnet）

概要 ロシア系APTグループ「Secret Blizzard」が、長年使用してきたバックドアマルウェア「Kazuar」をモジュール型のピアツーピア（P2P）ボットネットへと進化させた。新しいアーキテクチャは、長期潜伏・ステルス性の向上・データ収集の効率化を目的として設計されている。

実務的な示唆 P2P構造を採用したことで、従来の中央集権型C2（コマンド＆コントロール）サーバーを前提とした検知・遮断手法が通用しにくくなる。C2サーバーのIPやドメインをブロックするだけでは感染端末の通信を止められず、感染ノード同士が互いに指令を中継するため、ネットワーク境界でのシグネチャベースの検知だけでは見逃すリスクが高まる。

モジュール型への移行は攻撃者にとっても運用上の利点があり、目的に応じた機能を後から差し込めるため、同一のインフラを維持しながら攻撃キャンペーンの目標を柔軟に変更できる。防御側は「侵入されていない」ことの確認ではなく、「侵入後にどれだけ早く異常を検知できるか」という前提で対策を組み立てる必要がある。具体的には、端末間の横断的な通信ログの精査、EDRによる異常プロセス挙動の監視、およびネットワークトラフィックの暗号化解析の導入を検討すべき局面にある。

参照 Bleeping Computer

AI

予測市場のインサイダー取引をAIで検知へ——米商品先物取引委員会が本腰（原題: The US is betting on AI to catch insider trading in prediction markets）

概要 米国の商品先物取引委員会（CFTC）が、予測市場におけるインサイダー取引の検知にAIを活用する方針を打ち出しました。CFTCはこの取り組みを単なる検討段階にとどめず、規制執行の実務に組み込む姿勢を対外的に示しています。

活用・注目ポイント 予測市場（選挙結果や経済指標などの「出来事」に賭けるマーケット）は、従来の金融市場と比べて参加者の匿名性が高く、取引パターンが不規則であるため、人手による監視だけでは異常検知に限界があります。AIを使うことで、膨大な取引データから「非公開情報を持つ者が事前に大量ポジションを取る」といった特徴的なパターンをリアルタイムで抽出できる点に、CFTCは期待を寄せています。

技術的な観点では、予測市場の取引データは時系列かつイベント依存型という特性を持つため、通常の株式市場向け不正検知モデルをそのまま転用できるわけではありません。イベントの発生タイミングや情報の非対称性を変数として組み込んだ専用モデルの設計が必要になります。また、AIが「疑わしい」と判定した根拠を規制当局が法的手続きで使用するには、判断の説明可能性（XAI）が実務上の課題になります。検知精度だけでなく、「なぜ不正と判断したか」を人間が検証できる仕組みを備えているかどうかが、規制執行ツールとしての実用性を左右します。

セキュリティ・コンプライアンス担当者にとっては、金融規制の文脈でAIがどこまで「証拠能力のある監視ツール」として認められるかという先例にもなるため、今後のCFTCの執行事例に注目する価値があります。

参照 Ars Technica

テクノロジー / 開発

WordPressのファネルビルダープラグインに未CVE採番の脆弱性、WooCommerceの決済画面でカード情報盗取が進行中（原題: Funnel Builder Flaw Under Active Exploitation Enables WooCommerce Checkout Skimming）

概要 WordPress向け「Funnel Builder」プラグインに深刻な脆弱性が発見され、攻撃者がこれを悪用してWooCommerceの決済ページに悪意あるJavaScriptを注入し、購入者のクレジットカード情報を窃取する攻撃が実環境で進行中です。セキュリティ企業Sansecが今週、この攻撃活動の詳細を公開しましたが、脆弱性はまだ正式なCVE識別番号が割り当てられていない状態です。

開発者・技術者への示唆 CVEが未採番であることは、この脆弱性がまだ脆弱性データベースやWAFのシグネチャに反映されていないことを意味します。つまり「CVEアラートが来ていないから安全」という判断が通用しない状況であり、プラグインのバージョン確認や公式リポジトリの更新履歴を自分で確認する運用が求められます。WooCommerceを利用したECサイトを構築・運用しているエンジニアは、Funnel Builderの使用有無を即座に確認し、チェックアウトページのHTMLおよび読み込まれる外部スクリプトを精査する必要があります。また、Content Security Policy（CSP）によるインラインスクリプトや外部ドメインへの通信制限を導入していれば、このクラスの攻撃の被害を抑止できます。決済機能を持つサイトでCSPが未設定であれば、今回の事例を契機に導入を検討する具体的な根拠になります。

参照 The Hacker News

今週の総括

今週最も際立ったのは、「パッチ適用済みであっても安全ではない」という現実が複数の文脈で突きつけられた点です。MiniPlasmaのPoCは完全更新済み環境でのSYSTEM権限奪取を実証しており、パッチ適用を「完了」とみなして次のアクションを止める運用フローそのものを見直す必要があります。NGINXのRCEやWordPress決済スキミングを合わせると、今週だけで主要プラットフォームのほぼすべてに緊急対応を迫る脆弱性が出揃った形になりました。単一製品の対応に集中するのではなく、露出面全体を俯瞰してトリアージする体制が機能しているかどうかを問われた週でした。

GrafanaのGitHubトークン漏洩は、攻撃の起点が「コード」ではなく「認証情報」であったことを改めて示しています。開発環境・CI/CDパイプライン・外部連携サービスに散在するトークンやシークレットが、実質的に本番コードベースへの侵入口になり得るという構図は今に始まったことではありませんが、恐喝まで発展した今回の事例は影響の深刻さを具体的に示しました。シークレットスキャンの自動化とトークンの最小権限化・短命化を「将来的に対応する課題」として後回しにしている組織は、今週