Daily Threat Intel - 2026-03-20

Severity: 97/100

本号では、Google Threat Intelligence GroupがDarkSwordと呼ぶiOSフルチェーン攻撃を報告し、商用監視ベンダーや国家支援とみられる複数の攻撃者が少なくとも2025年11月以降、iOS 18.4〜18.7端末を標的にCVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520を連鎖して完全侵害し、snapshare[.]chat、sahibndn[.]io、e5.malaymoil[.]com、static.cdncounter[.]net経由で配布しているとした。成功後はGHOSTKNIFE、GHOSTSABER、GHOSTBLADEを展開し、アカウント、メッセージ、ブラウザデータ、位置情報、ファイル、スクリーンショットを窃取する。あわせてInterlockによるCisco Secure FMCのCVE-2026-20131ゼロデイ悪用、GlassWormのGitHub・npm・VSCode/OpenVSX 433件侵害も掲載された。Googleは関連ドメインをSafe Browsingに追加し、iOSの最新化と必要に応じたLockdown Mode有効化を推奨した。

Interlock Ransomware Targets Cisco Enterprise Firewalls

Severity: 97/100

金銭目的の二重恐喝型ランサムウェア集団Interlockが、Cisco Secure Firewall Management Center SoftwareのCVE-2026-20131を悪用して企業向けCiscoファイアウォールを狙っている。AWSの調査では、この欠陥はCiscoの公表前の1月26日から悪用されており、ゼロデイとして扱われる。影響を受けるのは未修正のSecure FMC SoftwareとCisco Security Cloud Controlで、ASAおよびFTDは対象外とされる。観測されたTTPには、PowerShellによるWindows環境列挙、RAT展開とC2確立、JavaScript/Javaベースのバックドア、BASHのリレー機構、メモリ常駐型バックドア、正規のリモート管理ツールの併用が含まれる。CiscoはFMCの固定版への即時アップグレードとCisco Software Checkerの利用を案内しており、AWSはIOCと追加の検知推奨を公開している。

Trivy Compromised: Everything You Need to Know about the Latest Supply Chain Attack

Severity: 96/100

Wiz Researchは、TeamPCPと自称する脅威者によるAqua SecurityのTrivyを狙った多段階のサプライチェーン侵害を報告した。攻撃者は以前のインシデントで残存したアクセスを悪用し、Trivy本体、trivy-action、setup-trivyのGitHub Actionsを改ざんした。偽装コミットとタグの強制更新により、v0.69.4のTrivyバイナリやActionsに資格情報窃取マルウェアを混入し、Runner.Workerのメモリ、SSH鍵、クラウド認証情報、Kubernetesトークンなどを収集して暗号化し、scan.aquasecurtiy[.]orgやCloudflare Tunnel経由で外部送信した。失敗時の代替としてvictimのGitHubアカウントにtpcp-docsリポジトリを作成する機能も確認された。対処として、Trivy v0.69.4の使用有無確認、GitHub Actions参照の監査、tpcp-docsリポジトリ探索、ActionsのSHA固定が推奨されている。

Russian hackers exploit Zimbra flaw in Ukrainian govt attacks

Severity: 92/100

ロシア軍情報機関GRU系のAPT28(Fancy Bear/Strontium)が、ウクライナ政府機関を狙う攻撃でZimbra Collaboration SuiteのCVE-2025-66376を悪用した。欠陥は認証不要のstored XSSで、脆弱なWebmailセッションでメールを開くとRCEにつながり、サーバーとメールアカウントを侵害し得る。Seqrite Labsはこの活動をOperation GhostMailと呼び、対象にウクライナ国家水文庁が含まれると報告した。攻撃メールは添付やリンク、マクロを使わず、HTML本文内の難読化JavaScriptで資格情報、セッショントークン、バックアップ2FAコード、保存済みパスワード、過去90日分のメールを収集し、DNSとHTTPSで持ち出した。Zimbraは11月に修正済みで、CISAはKEV登録とFCEB向けの2週間以内の対処を命じた。

Millions of iPhones can be hacked with a new tool found in the wild

Severity: 92/100

Google、iVerify、Lookoutは、DarkSwordと呼ばれるiPhone侵害手法が、ロシア系ハッカーを含む複数の攻撃者により、改ざんされた正規のウクライナ系Webサイト上で利用されていると公表した。DarkSwordはiOS 18の旧バージョンを狙う2種類のエクスプロイトチェーンを持ち、訪問者のiPhoneで即時かつ静かに動作する。実行はファイルレス型で、再起動後に残存せず、パスワード、写真、iMessage、WhatsApp、Telegramのログ、ブラウザ履歴、Calendar、Notes、Healthデータ、暗号資産ウォレット認証情報を窃取する。Googleはサウジアラビア、トルコ、マレーシアでも確認したとしており、コードは英語コメント付きで公開状態に近く再利用しやすい。Appleは最新更新版と緊急アップデート、Lockdown Mode、ソフトウェア更新の適用を挙げた。

Trivy vulnerability scanner breach pushed infostealer via GitHub Actions

Severity: 92/100

脅威アクターはTeamPCPとされ、Trivyのサプライチェーンを侵害してcredential-stealing malwareを配布した。攻撃者はGitHubのビルドプロセスと、trivy-actionおよびsetup-trivyを含む関連GitHub Actionsを改ざんし、Trivy v0.69.4の正規リリースと悪性コンテナイメージを公開した。さらに、trivy-actionの75/76タグを不正なコミットへforce-pushし、外部ワークフローで悪性entrypoint.shが自動実行される状態を作った。マルウェアはhostname、whoami、uname、環境変数、SSH鍵、AWS/GCP/Azure/Kubernetes/Docker資格情報、.env、DB認証情報、TLS秘密鍵、VPN設定、Slack/Discordトークン、シェル履歴などを収集し、tpcp.tar.gzとしてscan.aquasecurtiy[.]orgへ送信した。失敗時はtpcp-docs公開リポジトリへ転送し、~/.config/systemd/user/sysmon.pyを配置してsystemdサービスとして永続化した。影響を受けた環境は完全侵害として扱い、クラウド認証情報、SSH鍵、APIトークン、DBパスワードの全ローテーションと追加侵害調査が求められる。

Feds Disrupt IoT Botnets Behind Huge DDoS Attacks

Severity: 91/100

米司法省はカナダ、ドイツ当局と連携し、Aisuru、Kimwolf、JackSkid、Mossadの4つのIoTボットネットの基盤を解体したと発表した。これらはルーターやウェブカメラを含む300万台超のIoT機器を侵害し、DoD所有のインターネットアドレスに対する大規模DDoS攻撃や恐喝に悪用された。Aisuruは2024年末に出現し、KimwolfはAisuruの派生型として、内部ネットワーク内に隠れた機器へも感染できる新たな拡散機構を導入した。Synthientの公開によりKimwolfの脆弱性は1月2日に明らかになり、拡散は一部抑制された。当局は米国登録ドメイン、仮想サーバーなどへの差し押さえで、さらなる感染と将来の攻撃能力の低下を狙った。

偽のGitHubページを悪用し新種の情報窃取型マルウェア「BoryptGrab」を配信、Windowsユーザが標的に

Severity: 85/100

Trend Microは、ロシア関連を示唆するコメントやIPを伴う新種の情報窃取型マルウェアBoryptGrabを確認した。攻撃者はSEOで上位表示させた偽GitHubリポジトリと.github配下の偽ダウンロードページを使い、Windows利用者にZIPを取得させる。配信後はDLLサイドローディング、VBScript、Go製ダウンローダHeaconLoadなどで多段階に展開し、BoryptGrab、Vidar亜種、TunnesshClientを実行する。BoryptGrabはChrome、Edge、Firefox等のブラウザ、暗号資産ウォレット、Telegram、Discordトークン、パスワード、スクリーンショット、共通ディレクトリのファイルを収集し、C&Cへ送信する。TunnesshClientは193.143.1.104や45.93.20.195を用い、リバースSSHトンネルやローカルSSHサーバを構成する。記事ではTrend Vision Oneの検出名46934、46935、46937とBORYPTGRAB検出クエリが示されている。

New ‘Perseus’ Android malware checks user notes for secrets

Severity: 84/100

ThreatFabricは、新たなAndroidマルウェアPerseusを観測した。配布は非公式ストア上のIPTVアプリを装ったドロッパー経由で、Android 13以降のサイドロード制限を回避し、Cerberus由来のPhoenixコードベースを使っているとされる。主な標的はトルコとイタリアの金融機関および暗号資産関連アプリで、Roja Directa TVなどの名称が使われた。PerseusはAccessibility Servicesを悪用して完全な端末操作、start_vncによる継続的なスクリーンショット送信、start_hvncによるUI階層取得、タップや入力の自動化、オーバーレイ攻撃、キーロギングを行う。加えてGoogle Keep、Xiaomi Notes、Samsung Notes、ColorNote、Evernote、Microsoft OneNote、Simple Notesを開き、個人メモ内のパスワードやリカバリーフレーズ、金融情報を探索する。対策として、疑わしいAPKのサイドロードを避け、Google Playの正規アプリのみを利用し、Play Protectを有効化して定期スキャンするよう求めている。

AI Conundrum: Why MCP Security Can’t Be Patched Away

Severity: 78/100

Netskopeのクラウド脅威研究者Gianpietro Cutoloは、MCPをLLM環境に接続することで、従来の制御では扱えない構造的な攻撃面が生まれると指摘した。MCPではLLMが応答生成にとどまらず、メール、ファイル、Jira、Google Driveなどの外部データやサービスに対して実際に処理を実行するため、間接的なプロンプトインジェクション、tool poisoning、MCPサーバー改変によるRug Pullが成立する。悪意あるメール本文やツールメタデータに指示を埋め込み、ファイル流出やユーザー名義での送信、複数コネクタ横断の操作を誘発し得る。対策として、私的/公開データの分離、指示らしきパターンや隠し文字の検査、敏感操作での人間承認、サーバー棚卸しと最小権限、MCP通信のログ化と行動ベースライン、導入前のメタデータ検査を挙げた。

How CISOs Can Survive the Era of Geopolitical Cyberattacks

Severity: 78/100

この記事は、イランに関連する破壊型ワイパー攻撃を中心に、地政学的対立がサイバー空間へ波及している状況を解説している。Handala/Void Manticoreクラスターの活動として、侵入初期は盗用VPN認証情報の悪用が多く、その後はRDP、PowerShell Remoting、WMI、SMB、SSHなどの正規管理系ツールで横展開し、権限昇格後に複数のワイプ手段を同時投入する手口が示される。標的はサプライチェーン、医療、国家基盤に接続する組織で、例としてStrykerへの攻撃ではグローバルネットワーク上の多数デバイスが消去され、79カ国で業務影響が生じたとされる。対策として、ID認識型アクセス制御、管理系サービスでのMFA、管理ポートのデフォルト拒否、特権アクセスの役割別分離、東西通信の監視、NetBirdのようなトンネル検知、侵害端末の自動隔離とリングフェンシングが挙げられている。

PDF悪用のフィッシング攻撃が急増、検知困難な新手口と対策

Severity: 75/100

Security Boulevardは、PDFを起点にしたフィッシングが増加していると報じた。攻撃者はPDF内のリンク、ボタン、画像、フォーム、QRコード、埋め込みJavaScriptを悪用し、認証情報を盗む偽サイトへ誘導する。請求書や契約書など実在文書を装うため検知が難しく、盗取情報はアカウント乗っ取りや取引先への再利用に流用される。対策として、送信元認証、サンドボックス解析、PDF内URLのリアルタイム判定、従業員教育、疑わしいメールの迅速報告が挙げられた。

EU Sanctions Companies in China, Iran for Cyberattacks

Severity: 73/100

欧州理事会は、中国2社とイラン1社を、欧州でのサイバー攻撃への関与を理由に制裁した。中国のIntegrity Technology Groupは、欧州を含む各地で端末侵害に使われた製品を継続的に提供し、2022〜2023年にEU6カ国で6万5000台の侵害端末に関連付けられた。Anxun Information Technology(iSoon)は、中国政府・軍向けのハック・フォー・ハイヤー組織とされ、創設者2人も制裁対象となった。イランのEmennet PasargadはスウェーデンのSMSサービスへの侵害、仏組織へのデータ流出攻撃、2024年パリ五輪での電光掲示板を使った偽情報拡散に関与した。具体的な脆弱性やIOCは示されていない。EUでの取引禁止、資産凍結、創設者の渡航禁止が科された。

Cyber OpSec Fail: Beast Gang Exposes Ransomware Server

Severity: 72/100

RaaS型のBeastランサムウェアグループに関する分析で、同グループは2024年に登場し、2025年2月に運用開始、同年7月に情報リークサイトを公開したとされる。Team Cymruは、ドイツのクラウド事業者上の公開サーバーから、偵察、ネットワークマッピング、認証情報窃取、情報流出、永続化、ローカル環境での横展開に使うツール群を発見した。含まれていたのはAnyDeskやMegaなどの汎用ツールに加え、WindowsのVSSバックアップ削除とサービス停止を行うdisable_backup.bat、ログ消去に使われる可能性があるCleanExit.exeで、バックアップ破壊を重視するTTPが示された。Beastは他のランサムウェア群と多くのTTPを共有しており、ツール一覧だけでは帰属が難しいが、バイナリの存在により識別可能だとされる。対策として、耐障害性のあるバックアップ、オフサイトログ保管、EDR/MDR、許可リスト運用が挙げられた。

GSocket Backdoor Delivered Through Bash Script - SANS ISC

Severity: 68/100

発信元不明の悪性 Bash スクリプトが、victim の端末に GSocket バックドアを導入していた。脆弱性の悪用ではなく、gs-netcat を GSocket CDN から取得して起動し、共有秘密鍵を用いる通信で外部リレー経由のリモートシェル、ファイル転送、トンネリングを可能にする。サンプルは Linux だけでなく macOS を含む UNIX 系全般を対象とし、cron ジョブと .profile への追記で永続化し、.ssh/putty 配下や偽の SSH 鍵ファイル id_rsa に秘密情報を隠す。さらに、通常の cp や rm ではなくタイムスタンプ復元を伴うヘルパー関数でファイル操作を行い、改変痕跡を隠蔽する。VirusTotal では検出が 17 製品にとどまっていた。

AI Runtime Threat Detection: From Input to Real-World Impact

Severity: 68/100

本稿は特定の脅威アクターを挙げず、AIランタイム防御の観点を解説している。対象は、社内データ検索やワークフロー実行に接続された公開AIエージェントで、攻撃者はプロンプトインジェクションによりスクリプトのダウンロードと実行を誘導する。実行段階では、スクリプトがリバースシェル確立や環境内の認証情報取得、外部ストレージへのDBエクスポートへつながる例が示される。Wizはモデル、ワークロード、クラウドの3層で相関し、AIコンテキストで挙動を解釈する。検知例として、GetCallerIdentity、既知の悪性ドメインへのDNS問い合わせ、ツール呼び出しと外部通信が挙げられ、異常挙動の発生源としてコードや設定まで追跡できると説明している。

Microsoft Azure Monitor alerts abused for callback phishing attacks

Severity: 67/100

脅威アクターは、Microsoft Azure Monitorで新規注文、支払い、請求書発行など容易に発火する条件のアラートを作成し、description欄に請求通知風の文面を入れてcallback phishingを実施している。送信元は正規のazure-noreply@microsoft.comで、SPF、DKIM、DMARCを通過するため信頼されやすい。BleepingComputerはinvoiceやpaymentを題材にした複数のルール名を確認しており、受信者に電話番号への連絡を促していた。過去のcallback phishingでは認証情報窃取、決済詐欺、リモートアクセスソフトの導入が起きており、今回も企業ネットワークへの初期侵入を狙う可能性が示されている。記事は、電話番号や請求対応を急がせるAzureやMicrosoftのアラートを疑うよう求めている。

[tl;dr sec] #320 - Ramp’s Security Agents, How Datadog Caught Malicious OSS Contributions, Obliterating Model Refusals

Severity: 62/100

Datadogは、LLMベースのコードレビューシステムBewAIreで、hackerbot-clawと呼ばれるAIエージェントによる悪意あるOSS貢献を検知し、緩和したと報告した。攻撃者はDatadogのオープンソースリポジトリに対してGitHub Actionsワークフローの悪用を試み、ファイル名へのコマンドインジェクションにより1つのワークフローでコード実行に成功した。一方で、組織全体のGitHub rulesetsによるmainブランチへの直接push禁止、GITHUB_TOKEN権限の制限、機密シークレットの露出なしといった防御により、影響は保護対象外のブランチへの無害なコミットに抑えられた。

You have to invite them in

Severity: 62/100

Talosは、攻撃者が境界を力任せに破るよりも、正規利用者として“招き入れられる”形で侵入する傾向が強まっていると述べている。手口としては、ITサポートや正規ベンダーを装ってMFAコードを口頭で聞き出すソーシャルエンジニアリング、正規ログインページを中継してワンタイムコードを取得するadversary-in-the-middle型フィッシング、IAMアプリケーションを狙うMFA spray、そして不正なデバイス登録の増加が挙げられる。あわせて、医療機器製造会社Strykerへの最近の攻撃については、医療分野全体への体系的な転換ではなく機会的な侵害の可能性が高いと評価した。背景にはイランに関する軍事作戦があり、破壊的サイバー活動への警戒を維持しつつ、計画・準備・検知・対応の強化、既知脆弱性への迅速なパッチ適用、EOS/EOL機器の可視化と更新計画、遠隔アクセスと重要サービスへのMFA必須化、外部公開機器のRCE/DoS脆弱性の優先修正を求めている。

Interesting Message Stored in Cowrie Logs - SANS ISC

Severity: 60/100

DShieldのCowrieログで、2026年2月19日にボット活動が確認された。著者は特定のアクター名を断定しておらず、ログ内のechoコマンドに「MAGIC_PAYLOAD_KILLER_HERE_OR_LEAVE_EMPTY_iranbot_was_here」という文字列が残っていたことを指摘している。関連する送信元は64.89.161.198で、1月30日から2月22日にかけてポートスキャン、Telnet(TCP/23)経由の成功したログイン、Webアクセスが観測された。ボットは2月15日と19日にセンサーへTelnetで2回ログインし、IoT機器および64ビットLinuxシステムを狙うとみられるシェルスクリプトをアップロードした。関連IOCとして188.214.30.5、http://188.214.30.5/r.sh、ハッシュf1c0e109640d154246d27ff05074365740e994f142ef9846634bec7b18e3b715が示されている。

フォント改ざんでAI検出を回避、主要ツールがすべて失敗

Severity: 46/100

LayerX Securityは、Webサイト上の悪意あるテキストをAIから隠蔽する手法を報告した。攻撃者はカスタムフォントで文字とグリフの対応を改変し、人間には正常に見えてもHTML内では意味不明な文字列に見せかけるため、ChatGPTやClaudeなど主要なAIチャットによる検出は失敗したという。対象はWebサイト上のテキストで、ClickFix戦術やフィッシング詐欺への応用が想定される。記事では、ファイル内の文字列と実際のレンダリング結果を比較する検出方法が提案されており、現時点で一般ユーザー向けの明確な対策は示されていない。

TrendAI™、国際的な法執行機関の取り組みを支援

Severity: 28/100

TrendAI™ とトレンドマイクロのリサーチャーは、INTERPOL の国際作戦 Operation Synergia III を支援し、サイバー犯罪インフラの特定と無力化に関するスレットインテリジェンスを提供した。対象は国境を越えて展開する詐欺・サイバー犯罪 नेटवर्कで、中国の偽カジノ型フィッシング、トンガのセクストーションやロマンス詐欺、バングラデシュの融資詐欺や求人詐欺が例示されている。調査では、フィッシングページのホスティングやマルウェア配信に使われるサーバ、C2 基盤、ドメイン、IP アドレス、WHOIS 情報、ISP リストを精査し、実在の人物や犯罪ネットワークとの関連付けを進めた。結果として、45,000 件超の悪意ある IP アドレスとサーバが無力化され、94 名が逮捕、110 名が捜査中、212 台の電子機器とサーバが押収された。

With Government’s Role Uncertain, Businesses Unite to Combat Fraud

Severity: 24/100

UN主導の業界協定に、Google、Microsoft、OpenAI、Meta、Amazon、Adobe、LinkedIn、Pinterest、Target、Levi Straussなど11社が参加し、オンライン詐欺対策で情報共有と共同防御を進める。対象は金銭や個人情報を狙う広範な詐欺で、FacebookやPinterest、Google、Microsoftなどの信頼性を悪用したフィッシング、クレデンシャルスタッフィング、ロマンス詐欺、ギフトカード詐欺が挙げられた。協定は、製品機能による防御、アンチスキャンポリシー、迅速なインシデント対応、明確な通報窓口、データ共有、法執行機関への連携を求める。政府には、詐欺防止の国家優先化、資金投入、捜査訓練、暗号資産追跡、データ基盤の近代化が促されている。

Secure access in the age of AI: Key findings from our 2026 Report

Severity: 22/100

Microsoftの2026年調査は、AIツールやエージェントの普及で、アイデンティティとネットワークアクセスの環境が急速に拡大・複雑化していると指摘している。過去1年に97%の組織がアクセス関連インシデントを経験し、70%はAI関連活動に起因すると回答した。脅威としてはAI支援フィッシングやエージェントの権限昇格が挙げられ、平均で5つのID製品と4つのネットワークアクセス製品を使う断片化が可視性低下と対応遅延を招いている。インシデントは悪意あるもの53%、偶発的なもの47%で、対策としてはアイデンティティを共通判断基盤とするaccess fabricへの移行、統合ツールの採用、ポリシーとリスク変更の即時反映が推奨されている。

Microsoft Entra innovations announced at RSAC 2026

Severity: 12/100

MicrosoftはRSAC 2026向けに、AI時代のIDおよびネットワークアクセス防御を強化するMicrosoft Entraの新機能を発表した。記事は特定の攻撃者を挙げず、AIエージェントの急増により攻撃面が拡大している状況を背景に、2026 Secure Access reportで97%の組織が過去1年にIDまたはネットワークアクセス関連のインシデントを経験し、70%がAI関連活動に起因するとしている。主な機能には、Microsoft Entra Agent IDによるエージェントID保護、shadow AI検知とprompt injection protection、同期パスキーや外部MFA連携、Adaptive risk remediation、Backup and Recovery、Tenant Governance、cross-tenant group synchronization、Conditional Access Agentの強化が含まれる。これらは可視性向上、リスクベースのアクセス判断、最小権限、迅速な復旧を支援する。

Zero Trust Purdue Model: What It Is and Why OT Needs It

Severity: 8/100

Zscalerは、従来のPurdue ModelをOTの整理枠組みとして維持しつつ、現代の接続性に合わせてZero Trustで補強する「Zero Trust Purdue Model」を提案している。工場ではIT/OTのエアギャップが実質的に崩れ、PLC、HMI、SCADA、エンジニアリング端末、契約業者端末が同一セグメントに混在しやすく、従来のファイアウォール、VLAN、NACでは東西通信や横展開を十分に抑えられないと指摘する。さらにAIにより脆弱性探索、ネットワーク列挙、横展開、データ流出が高速化し、侵害を前提にブラスト半径を最小化すべきだとしている。対策としては、資産単位のセグメンテーション、VPNに依存しないブラウザベースの特権アクセス、IT/OT双方への一貫したアウトバウンド制御、デコイを用いた欺瞞検知を挙げる。

Post-Quantum Web Could be Safer, Faster

Severity: 5/100

IETFの草案であるMerkle tree certificates(MTCs)が、量子耐性HTTPSの新しい方式としてGoogleやCloudflareで試験されている。記事では、現行TLSでは将来のCRQCによる通信解読やサーバー偽装への懸念があり、ML-KEMはstore now, decrypt later対策には有効だが、将来の認証問題までは解決しないと説明する。MTCsはハッシュ木を用いて証明書サイズを大幅に縮小し、CloudflareによればML-DSAより1桁以上小さく、ページ読み込み当たり約840バイトで済む一方、従来方式やML-DSAは中間装置での不具合や帯域増加、遅延を招く。GoogleはChrome対応を計画し、実運用への移行はサーバーソフト更新と中間装置の互換性検証が必要とされる。

Agentic Use Cases for Developers on the Microsoft Sentinel Platform

Severity: 5/100

Microsoft Sentinelのブログ記事で、脅威アクターや脆弱性の解説ではなく、Security CopilotエージェントをSentinel上で開発するための代表的なユースケースを整理している。対象はSOCの調査・対応ワークフローで、identity、endpoint、network、cloud、backup、threat intelligenceの各シグナルをSentinelデータレイク、incidents、entities、KQLで相関させ、再現性の高い調査を実現する構成を示す。具体例として、危険なサインインの攻撃経路判定、バックアップ検知と本番影響の突合、遠隔アクセスの妥当性評価、PowerShellプロセスの悪性判定、露出度と悪用可能性の分析、ATT&CKやIOCに基づく攻撃者文脈の付与を挙げる。対処としては、封じ込め、認証情報の失効またはリセット、アクセス方針の調整、回復ポイントの検証、ワークロード隔離などが示される。

How to Solve Tool Sprawl in the SOC

Severity: 4/100

本記事は、SOCにおけるツールの重複と運用分断を「tool sprawl」と捉え、製品数の削減ではなく検知・対応基盤の再設計を提案する。EDR、SIEM、XDR、NDR、メール、ID基盤などが同一のテレメトリやアラートを重複生成し、分析者のコンソール移動、重複チケット、調整負荷、保管コストを増やす問題を整理している。対策として、機能単位の棚卸し、能力ベースの重複把握、各機能ストリームにおける主プラットフォームの明確化、データフローの整理、実際の攻撃経路に基づくカバレッジ評価、Keep/Consolidate/Retireマトリクス、コンソール削減、検知ロジックの集約、SOARによる複雑性の隠蔽、Purple Teamや攻撃シミュレーションでの検証、導入ガバナンスを提示している。

What’s new in Microsoft Sentinel: RSAC 2026

Severity: 1/100

MicrosoftはRSAC 2026に合わせ、Sentinelの新機能群を発表した。内容は脅威事例ではなく製品更新で、AI支援のplaybook generatorによるSOC自動化、SplunkやQRadarからの段階的な移行を支援するSIEM migration experience、GDAPと統合RBAC、行レベルRBACの拡張が含まれる。データ面では、Fabric、ADLS、Azure Databricksのデータを複製せずに分析するdata federation、GitHub audit log、GKE、A365 Observabilityなどの新コネクタ、Data filtering and splitting、データレイク上のworkbook作成が追加された。さらに、custom graphs、Sentinel MCP entity analyzer、Claude MCP connector、Threat Intelligence Briefing AgentのCVE of interest機能も示されている。

CISA orders feds to patch max-severity Cisco flaw by Sunday

Severity: 98/100

CISAは、Cisco Secure Firewall Management Center(FMC)の最大深刻度の脆弱性CVE-2026-20131について、連邦民間行政部門(FCEB)機関に3月22日までの修正を命じた。Ciscoは3月4日に警告を出し、回避策はないとして更新適用を促していた。問題はWebベース管理画面の安全でないデシリアライゼーションで、細工されたシリアル化Javaオブジェクトを送ることで、認証不要のリモート攻撃者が影響デバイス上でroot権限の任意Javaコードを実行できる。Cisco Secure FMCはファイアウォール、アプリ制御、IPS、URLフィルタリング、マルウェア対策などを集中管理するため、影響範囲は広い。Ciscoは3月18日に実環境での悪用を確認し、Amazonの脅威情報研究者はInterlockランサムウェアが1月末からゼロデイとして悪用していたと報告した。CISAはKEVに追加し、ランサムウェアキャンペーンでの使用を明示した。

Critical Microsoft SharePoint flaw now exploited in attacks

Severity: 95/100

CISAは、1月に修正されたMicrosoft SharePointの重大脆弱性CVE-2026-20963が現在攻撃で悪用されていると警告した。影響を受けるのはSharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionで、サポート終了の2007/2010/2013版も脆弱とされる。未認証の攻撃者が、信頼されないデータのデシリアライゼーション欠陥を利用して、権限なしで低複雑度のネットワークベースRCEを実行できる。Microsoftは、未パッチのサーバーで任意コードの注入と実行が可能と説明した。CISAはKEVに追加し、FCEB機関に3月21日までの対応を命じ、利用継続時はベンダー手順に従うか、緩和策がない場合は製品の使用停止やサポート版への移行を求めている。

Oracle pushes emergency fix for critical Identity Manager RCE flaw

Severity: 94/100

Oracle は Identity Manager と Web Services Manager の CVE-2026-21992 に対して、緊急のアウトオブバンド修正を公開した。これは 未認証で リモートから 悪用可能な クリティカルな RCE で、HTTP 経由で 低複雑度の 攻撃が可能、かつ 認証も ユーザー操作も 不要とされる。影響範囲は Oracle Identity Manager 12.2.1.4.0 と 14.1.2.1.0、Oracle Web Services Manager 12.2.1.4.0 と 14.1.2.1.0。Oracle は 直ちに パッチ適用を 強く推奨し、更新または 軽減策の 詳細を 参照するよう案内した。パッチは Premier または Extended Support の 版に 限定され、古い サポート外 版は 脆弱な 可能性がある。

New ‘PolyShell’ flaw allows unauthenticated RCE on Magento e-stores

Severity: 92/100

Sansecが「PolyShell」と名付けた欠陥は、Magento Open SourceとAdobe Commerceの全stable版2系に影響し、認証不要のコード実行とアカウント乗っ取りを可能にする。現時点で実環境での悪用兆候はないが、エクスプロイト手法はすでに流通しており、自動攻撃の開始が予想されている。原因はMagentoのREST APIがカート項目のカスタムオプションとしてファイルアップロードを受け付ける点で、base64のfile_info、MIME type、filenameを含むデータがpub/media/custom_options/quote/に書き込まれる。ポリグロットファイルを用い、Webサーバー設定次第でRCEまたはstored XSSによる乗っ取りが起こり得る。Adobeは2.4.9の第二alphaで修正を示したが、本番版向けの修正は未提供で、管理者には当該ディレクトリの制限、nginx/Apache設定の確認、シェルやバックドア等のスキャンが求められている。

International joint action disrupts world’s largest DDoS botnets

Severity: 92/100

米国、ドイツ、カナダの当局は、Aisuru、KimWolf、JackSkid、Mossadの各IoTボットネットに関連するC2インフラ、仮想サーバー、ドメイン、その他の支援基盤を共同で停止した。これらのボットネットは、ウェブカメラ、DVR、WiFiルーターなどを感染させ、世界中の被害者に対して数十万件規模のDDoS攻撃を実行していた。DoDINのIPアドレスも標的に含まれ、Aisuruは31.4Tbps、200百万rpsの攻撃や、29.7Tbps、15.72Tbpsの記録的事例にも関与したとされる。4つのボットネットは合計300万台超のIoT機器を取り込み、cybercrime-as-a-serviceとして他の犯罪者にアクセスを販売していた。司法省は、今回の措置が被害端末への追加感染防止と将来の攻撃能力の低下を目的とするとしている。

Max severity Ubiquiti UniFi flaw may allow account takeover

Severity: 91/100

UbiquitiはUniFi Network Applicationの2件の脆弱性を修正した。最大深刻度のCVE-2026-22557は、権限のない攻撃者がパストラバーサルを悪用して基盤システム上のファイルにアクセスし、低複雑度かつユーザー操作不要でアカウント乗っ取りにつながる可能性がある。影響範囲は10.1.85以前のUniFi Network Applicationで、Censysはインターネット公開されたUniFi Networkエンドポイントを約2万9000件追跡しており、その大半は米国にある。併せて、認証済みの低権限者が権限昇格できるAuthenticated NoSQL Injectionも修正された。対策としてUbiquitiは10.1.89以降への更新を案内している。

FBI seizes Handala data leak site after Stryker cyberattack

Severity: 91/100

Iran系で親パレスチナのハクティビスト集団Handala(Handala Hack Team、Hatef、Hamsa)に対し、FBIがデータ漏えいサイト2件を差し押さえた。記事は、同グループがStrykerへの攻撃でWindowsドメイン管理者アカウントを侵害し、新たにGlobal Administratorアカウントを作成したうえで、Microsoft Intuneのwipeコマンドを実行して約8万台の端末を初期化したと伝えている。影響は同社のPCとモバイル端末に加え、従業員の個人端末にも及んだ。関連IOCとして handala-redwanted.to、handala-hack.to が挙げられ、DNSは ns1.fbi.seized.gov と ns2.fbi.seized.gov に変更された。MicrosoftとCISAは、同様の攻撃防止に向けてWindowsドメインの強化とIntuneの保護指針を公表した。

CISA urges US orgs to secure Microsoft Intune systems after Stryker breach

Severity: 90/100

CISAは、Strykerへの攻撃を受けて、米国組織にMicrosoft Intuneの強化を促した。攻撃は、イラン関連の親パレスチナ系ハクティビストとされるHandalaが主張しており、侵害した管理者アカウントから新たに作成したGlobal Administratorを使い、Intuneの組み込みwipeコマンドで約80,000台の端末を消去したとされる。さらに、50TBのデータ窃取も主張された。CISAは、Intuneや他のエンドポイント管理基盤について、管理ロールの最小権限化、RBACの適用、MFAとEntra IDのConditional Accessやリスクシグナルの利用、機微操作に対するmulti-admin approvalを求めている。

Patch Now: Oracle’s Fusion Middleware Has Critical RCE Flaw

Severity: 90/100

Oracleは通常の四半期パッチサイクルを外れ、Fusion Middlewareの重大な脆弱性CVE-2026-21992に対する特別セキュリティアラートを公開した。影響を受けるのはOracle Identity Manager(OIM)とOracle Web Services Manager(OWSM)で、HTTP API面の欠陥により認証不要、低複雑度でリモートコード実行が可能とされ、CVSSは9.8。OIMではアイデンティティ、ロール、ポリシーの改変による権限昇格や横展開、OWSMではセキュリティポリシーの変更や無効化が想定される。現時点で公表された実害はないが、OIMは主に米国のIT・テック系を中心に1000超の組織へ導入され、大規模企業での展開も多い。影響バージョンは12.2.1.4.0と14.1.2.1.0で、前回のCVE-2025-61757と同系統の可能性も指摘されている。

Bitrefill blames North Korean Lazarus group for cyberattack

Severity: 83/100

Bitrefillは、月初に受けた侵害について、北朝鮮系のLazarusグループ配下のBluenoroffによる攻撃だった可能性が高いと説明した。調査では、過去のDPRK系攻撃と共通する戦術、使用マルウェア、IPアドレスとメールアドレスの再利用、オンチェーン追跡結果が確認され、攻撃は従業員の侵害済みノートPCから始まった。攻撃者は旧式の認証情報を窃取して本番シークレットのスナップショットにアクセスし、データベースや一部暗号資産ウォレットへ権限を拡大した。18,500件の購入記録が影響を受け、うち1,000件では氏名も露出した。顧客残高は影響を受けていないが、ホットウォレットの流出があり、サービスは一時停止した。Bitrefillはセキュリティレビュー、ペンテスト、アクセス制御強化、ログ監視改善、自動停止機構の見直しを進めている。

Severity: 81/100

FBIは、ロシア情報機関に関連する脅威アクターが、SignalやWhatsAppなどの暗号化メッセージングアプリ利用者を標的にしたフィッシングを継続していると公表し、これをロシア情報機関へ直接結び付ける初の公開属性だと述べた。手口は暗号化の破りではなく、偽のサポートメッセージで利用者を誘導し、確認コードの共有や悪意あるQRコードの読み取りでアカウントを乗っ取り、攻撃者管理の端末をリンクさせるものだ。影響は世界で数千件に及び、特に米政府の現職・元職員、軍人、政治家、記者など機微情報へのアクセスを持つ人物が狙われた。侵害後はメッセージ閲覧、連絡先取得、なりすまし、追加フィッシングに利用される。FBIは、不審なメッセージへの警戒、QRコードの読み取りや端末リンクの拒否、認証コードを誰にも共有しないことを求めている。

Multiple Privilege Escalation Vulnerabilities in Arturia Software Center MacOS

Severity: 74/100

SEC Consultは、Arturia Software Center for macOS 2.12.0.3157における2件の権限昇格脆弱性を公開した。CVE-2026-24062はPrivileged HelperのXPCクライアント検証不備で、署名検証を行わず任意プロセスから接続でき、特権操作を誘発してローカル権限昇格に至る。CVE-2026-24063は、プラグインのuninstall.shがroot所有パスに777権限で配置され、アンインストール時にroot権限で実行される点を悪用する。PoCでは/Library/Arturia配下をシンボリックリンク化し、/tmp/test/uninstall.shをroot実行させる手順が示された。影響はmacOS上のArturia Software Center利用環境で、SIP有効下でも確認されている。ベンダーは未応答で修正パッチはなく、回避策も示されていない。

Severity: 74/100

Navia Benefit Solutions, Inc.は、約270万人に影響するデータ侵害を公表した。攻撃者は2025年12月22日から2026年1月15日まで同社システムにアクセスし、1月23日に不審な活動が発見された。Naviaは米国の多数の雇用主向けにFSA、HSA、HRA、通勤費用、COBRAなどの管理サービスを提供しており、流出した可能性があるのは氏名、生年月日、社会保障番号、電話番号、メールアドレス、HRA参加情報、FSA情報、COBRA加入情報で、請求情報や金融情報は含まれていないとしている。技術的な侵入手法やIOCは示されていない。同社はセキュリティ体制とデータ保持方針を見直し、連邦法執行機関に通報したほか、対象者にKrollによる12か月のID保護と信用監視を提供し、該当者には詐欺警告や信用凍結の検討を案内している。

Multiple vulnerabilities in PEGA Infinity platform

Severity: 72/100

SEC Consultは、PEGA Infinity/Pega Platformに2件の脆弱性を報告した。CVE-2025-62181はログイン画面の弱いブルートフォース対策により、ユーザー名列挙と同一パスワードによるパスワードスプレー攻撃を許し、認証突破につながる。CVE-2025-9559はIDORで、他ユーザーが共有設定していない画像ファイルを直接取得できる。影響範囲はPega Platform 7.1.0からInfinity 25.1.0まで、また別系統で8.7.5からInfinity 24.2.2までとされ、実証では同一IPから1分未満で8,000件の失敗試行と、/datacontent/image/DOCUMENT/配下の画像直接参照が示された。ベンダーは24.1.4、24.2.4、25.1.1 patch、または24.2.3の適用を案内し、回避策はない。

Aura confirms data breach exposing 900,000 marketing contacts

Severity: 68/100

身元保護企業Auraは、不正アクセスを受けたことを確認した。攻撃は従業員を狙った音声フィッシングで始まり、ShinyHuntersが自らの流出サイトで12GBのファイル窃取とデータ恐喝を主張した。影響を受けたのは、2021年買収先で使われていたマーケティングツール由来の約90万件の記録で、氏名とメールアドレスに加え、20,000人の現顧客と15,000人の元顧客の自宅住所、電話番号、顧客対応コメント、IPアドレスが含まれた。AuraはSSN、アカウントパスワード、金融情報は漏えいしていないとしている。会社は外部のサイバーセキュリティ専門家と内部調査を進め、法執行機関へ通報し、影響を受けた個人には個別通知を送る予定だ。

Ex-data analyst stole company data in $2.5M extortion scheme

Severity: 66/100

ノースカロライナ州の27歳の元データアナリスト契約者Cameron Curry(別名Loot)が、在職中のBrightly Softwareへのアクセスを悪用して給与情報や社内データを持ち出し、退職後に脅迫を行った事案が報じられた。対象はSaaS企業Brightly Softwareで、従業員の氏名、生年月日、自宅住所、報酬情報を含むPIIのスクリーンショットを添付し、2023年8月から12月に盗んだ機密情報を漏えいさせると脅して250万ドルを要求した。lootsoftware@outlook.comのMicrosoftアドレスを使い、60通超のメールを送信し、1月1日から段階的に給与情報を公開するとともにSECへ報告すると警告した。BrightlyはBitcoinで7,540ドルを支払い、FBIは1月24日に自宅を捜索して電子機器を押収した。

Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies

Severity: 58/100

Sophos CTUは、2026年2月28日の米国・イスラエルによる対イラン攻撃後、Telegram、X、地下フォーラム上でイラン系ハクティビストの発言と活動が増加したと報告している。Handala Hack Team、APTIran、Cyber Toufan、Cyber Support Front、Iranian Avengerなどが関与し、Troll Hacker Teamのような親イスラエル側の応酬も確認された。主な手口はWeb改ざん、DDoS、個人情報暴露、フィッシング、パスワードスプレー、公開済み脆弱性の悪用で、標的はイスラエル政府・軍・関連組織、重要インフラ、将来的には米国やGCC諸国にも及ぶ可能性がある。現時点で被害は限定的で、未検証の侵害主張や誇張が多い。対策として、インターネット公開サービスの削減、迅速なパッチ適用、CISA KEVの優先対応、AV/EDRの監視、フィッシング警戒、BC/復旧計画の確認が挙げられている。

APPLE-SA-03-17-2026-1 Background Security Improvements for iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, and macOS 26.3.2

Severity: 56/100

AppleはiOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1およびmacOS 26.3.2向けに、WebKitの背景的なセキュリティ修正を公開した。問題はNavigation APIにおけるクロスオリジン不備で、細工されたWebコンテンツによりSame Origin Policyを回避される可能性があった。影響は上記OSでWebKitを利用する環境に及び、WebKit Bugzilla 306050とCVE-2026-20643が関連付けられている。記事内に攻撃者の帰属、実際の悪用、IOCや追加のTTPは示されていない。Appleは入力検証の改善で対処したとしており、該当バージョンへの更新が修正の適用手段となる。

Redefining identity security for the modern enterprise

Severity: 38/100

記事は特定の脅威アクターを挙げず、攻撃者がIDを侵害の起点として横展開や権限昇格に利用する状況を前提にしている。Microsoftは、ハイブリッド、SaaS、クラウド、オンプレミス、非人間IDを含む広範なID面を対象に、Defender XDRとEntra IDの統合を強化すると説明した。新たに、SaaS/クラウドアカウントまで拡張したアカウント相関、非人間IDのインベントリ、カバレッジと成熟度の可視化、IDレベルの統合リスクスコア、条件付きアクセス連携、IDエクスプローラーが追加される。検知面では、KerberosのETWを用いた偽造・改ざんチケットの把握、golden ticket攻撃の検知、Entra ID同期アプリへの異常、デバイス登録/参加の不審挙動、OAuth Authorization Flow悪用の「ConsentFix」を挙げている。対処として、Security CopilotによるIDアラートの自律トリアージ、予測的シールド、RemoteOps硬化、Remote Registry硬化が示された。

Stop Patient Zero Attacks with Zscaler Advanced Cloud Sandbox

Severity: 35/100

本稿は特定の脅威アクターを示さず、未知ファイルが端末に到達してからサンドボックス判定が返るまでの「verdict gap」を悪用したpatient zero攻撃を論じている。攻撃手法としては、メールや端末経由でファイルを届け、EDRがunknownまたはlow prevalenceとしてサンドボックスに送る間に実行機会を与える流れが中心で、実行されれば認証情報窃取、永続化、ランサムウェア展開につながるとする。対象は企業のエンドポイント全般で、USBやBluetoothなどオフライン経由の持ち込み、第三者ファイルやM&Aワークフローにも言及している。IOCは提示されず、TTPとしてはunknown file、deliver then detonate、上流での保留が挙げられる。対策として、上流での隔離、秒単位のAI Instant Verdict、パッチ適用済みVMでの分析、API連携、Zero Trust Browserによる閲覧継続、PDF化やdisarmが示されている。

Androidの仕様変更でアクセシビリティ制限、既存アプリに影響広がる可能性

Severity: 31/100

Malwarebytesによると、GoogleはAndroidのアクセシビリティサービスの悪用を抑えるため、Android 17 Beta 2で制限を導入した。Android高度な保護機能モード(AAPM)有効時は、スクリーンリーダー、スイッチ入力、音声入力、点字ベースのアクセスなどのアクセシビリティツールに分類されないアプリからのAccessibilityService API利用が禁止され、該当しないアプリは権限が自動的に取り消される。AAPMをオフにしない限り再許可もできない。対象外アプリは既存の正当用途のものも含まれ、設定次第では機能制限や意図しない挙動変化が起こり得る。Googleは影響を受ける開発者に対し、Android 17.2の正式リリースまでに代替手段への移行を検討するよう求めている。

Police take down 373,000 fake CSAM sites in Operation Alice

Severity: 31/100

ドイツ主導でEuropolが支援した国際法執行機関の「Operation Alice」で、中国拠点の35歳の容疑者が運営した「Alice with Violence CP」関連のダークウェブ基盤が摘発された。対象はCSAMパッケージを装った偽サイトで、CSAMの予告表示やプレビューで利用者を誘導し、メールアドレス入力とBitcoin送金を求める手口だった。加えて、盗難クレジットカード情報や侵害済みシステムへのアクセスを含むサイバー犯罪サービスも宣伝していたが、実際には何も配布されていなかった。警察は373,000超のサイトを閉鎖し、ピーク時に287台のサーバーを運用していたインフラのうち105台がドイツに所在したとした。約10,000人が総額約40万ドルを支払い、440人が23か国で特定され、100人が捜査対象となっている。

Musician admits to $10M streaming royalty fraud using AI bots

Severity: 28/100

ノースカロライナ州の音楽家Michael Smithが、Spotify、Apple Music、Amazon Music、YouTube Music上でのストリーミング再生を悪用し、1,000以上のボットアカウントとVPNを使ってAI生成楽曲の再生数を水増ししたとして、1,000万ドル超の著作権使用料詐取を認めた。Smithは共犯者から入手した人工知能生成の楽曲を大量にアップロードし、2017年から2024年にかけて自動化されたAIボットで数十億回再生させた。裁判資料では、ボットは偽装検知回避のため仮想プライベートネットワーク経由でプラットフォームにアクセスし、ピーク時には52のクラウドサービスアカウントと各20のボットを運用していたとされる。検察は、彼が実在のアーティストと権利者から収益を逸脱させたと説明している。Smithは電信詐欺共謀罪1件で有罪を認め、最大5年の禁錮と8,091,843.64ドルの没収に同意した。

サムスン製Windows 11 PCで「Cドライブにアクセスできない」不具合、Microsoftが復旧手順を公開

Severity: 22/100

Microsoftは、Samsung製Windows 11 PCでCドライブにアクセスできなくなる不具合について復旧手順を公開した。原因はSamsung Galaxy ConnectアプリまたはSamsung Continuity Serviceの権限問題とされ、アプリ起動時に「C:\ is not accessible – Access denied」が表示され、OutlookやOffice、Webブラウザ、システムユーティリティ、Quick Assistなどの起動が妨げられるケースが報告されている。復旧には、該当アプリのアンインストールとCドライブの権限設定修復が必要で、管理者権限での作業が求められる。Microsoftは26ステップの手順を示し、作業後にCドライブの所有権をTrustedInstallerへ戻し、問題が続く場合はSamsungサポートへ問い合わせるよう案内している。

警察庁が詐欺対策アプリを初認定 - 「詐欺対策 by NTTタウンページ」など

Severity: 18/100

警察庁は、特殊詐欺の急増を受けて携帯電話向けアプリを推奨する制度を2025年12月に導入し、2026年3月5日にNTTタウンページとトビラシステムズの「詐欺対策 by NTTタウンページ」と、トレンドマイクロの「トレンドマイクロ詐欺バスターLite」を初の推奨アプリとして認定した。記事では、偽警察詐欺などで携帯電話が多用され、被害額が令和7年中に約1414億円へ増加したとし、若年層にも被害が広がっていると伝える。該当アプリは、特殊詐欺に使われた番号や独自の迷惑情報データベースに基づき、着信・発信時に警告または遮断し、警察庁の防犯情報も通知する。無料提供で、iOS 15以上とAndroid 10以上に対応する。

RSA 2026: What’s new in Microsoft Defender?

Severity: 12/100

MicrosoftはRSA 2026で、現代の攻撃が人間・非人間・エージェント型IDのスプロール、クラウド/SaaS/オンプレの分散、そしてTeamsにおける音声ベースのソーシャルエンジニアリングを悪用していると説明した。Defenderでは、ID向けの新しい検知、全アカウントとID種別を横断する統合リスクスコア、IDセキュリティダッシュボード、Security CopilotのAlert Triage AgentをIDとクラウド警告へ拡張する計画を示した。Predictive shieldingではRemoteOps hardeningやRemote Registry hardeningを用いて、資格情報やトークン起点の横展開を阻止するとしている。Teamsでは不審・悪意ある通話の可視化、リアルタイム警告、Advanced Huntingによる調査を追加し、Cloud SecurityではAWS/GCP可視性の拡張、コンテナ実行時保護、AIモデルスキャンを発表した。

Google adds ‘Advanced Flow’ for safe APK sideloading on Android

Severity: 10/100

GoogleはAndroidにAdvanced Flowを追加し、未確認の開発者からのAPKサイドロードを、より安全に行えるようにすると発表した。想定する相手は、被害者に高圧的な電話や不安を与える文句で警告や保護機能の無効化を促し、悪性アプリの導入を迫る詐欺的な脅威者である。利用には開発者モードの有効化、脅迫を受けていないことの確認、端末の再起動と再認証、翌日の再確認という一度きりの手順が必要で、その後に未確認開発者のアプリを一定期間または無期限で許可できる。Androidは未確認開発者由来である警告を表示する。あわせて、2026年8月に導入予定の開発者認証では、認証されない配布は認定Android端末でブロックされる。

Microsoft: March Windows updates break Teams, OneDrive sign-ins

Severity: 8/100

Microsoftは、3月のWindows 11累積更新KB5079473適用後に、Microsoftアカウントを使うサインインが複数のアプリで失敗する不具合を確認した。影響はTeams Free、OneDrive、Microsoft Edge、Excel、Word、Microsoft 365 Copilotなどで、端末がインターネット未接続であるかのようなエラーが表示されるが、実際には接続されている場合がある。影響範囲はMicrosoftアカウントによる認証で、Entra IDを使う企業環境は対象外。Microsoftは恒久修正を準備中で、暫定対処として、端末をインターネット接続を維持したまま再起動し、接続状態の不整合を解消するよう案内している。

Native Launches With Security Control Plane for Multicloud

Severity: 8/100

クラウドセキュリティ企業Nativeがステルス解除し、マルチクラウド向けのセキュリティ・コントロールプレーンを発表した。AWS、Microsoft Azure、Google Cloud、Oracle Cloud Infrastructureに対し、セキュリティ意図を各プロバイダー固有の設定へ変換して適用し、ネイティブ制御で一貫したポリシー実施を狙う。対象は金融、テクノロジー、メディア分野の組織で、複数クラウドやアカウント間で設定がばらつく課題に対応する。機能には、事前デプロイ影響シミュレーション、段階的ロールアウト、組み込み承認ワークフローが含まれる。記事は攻撃者や脆弱性を扱っておらず、既存のクラウド制御を活用して運用リスクを抑えつつ、セキュア・バイ・デザインな構成を維持する方針を示している。

ZIA and ZDX Achieve DoW Impact Level 5 Provisional Authorization | Zscaler

Severity: 5/100

Zscalerの発表で、Department of War(DoW)はZscaler Internet Access(ZIA)とZscaler Digital Experience(ZDX)にImpact Level 5(IL5)の暫定認可を付与した。記事は、攻撃者が防衛サプライチェーン、物流、運用データを狙っており、従来の境界型防御では対応しにくいと説明する。対象はCUIおよびNational Security Systems(NSS)情報を扱うDoW環境で、ZIAはフルプロキシ、TLS/SSL復号と検査、AIベースの脅威防止、C2検知、DLP、行動分析、隔離・検疫を提供するとしている。ZDXは端末、ローカルネットワーク、Zscalerサービス、アプリケーションまでの経路可視化と性能監視により、障害切り分けとMTTR短縮を支援する。併せて、DoWのFY2027 Zero Trust方針に沿い、ZIA、ZDX、ZPAを統合した単一のZero Trust基盤で分散運用とコンプライアンスを両立させると述べている。

How Granular Delegated Admin Privileges (GDAP) allows Sentinel customers to delegate access

Severity: 4/100

Microsoftは、SentinelとDefenderの委任アクセスを統合するGDAP拡張を発表し、CSP以外の顧客を含む全Sentinel/Defenderユーザー向けに2026年4月のPublic Previewで提供するとしている。MSSPやマルチテナント組織向けに、Entra IDロールとUnified RBACのカスタム権限を用いた細粒度の権限管理を可能にし、Defenderポータルから直接関係を作成できる。関係成立には、被管理テナントの開始、管理テナントの要求送信、被管理テナントの最終承認という三段階の相互同意が必要で、Azure Lighthouseに代わる管理手段としてSentinelワークスペース権限も割り当てる。

Extending App Assure’s Sentinel Promise through the Sentinel Advisory Service

Severity: 1/100

MicrosoftはApp AssureのMicrosoft Sentinel Promiseを拡張し、Sentinel Advisory Serviceを発表した。対象はSentinelやSentinel data lake向けのコネクタやAI駆動のセキュリティソリューションを設計するソフトウェアパートナーで、データ取り込みだけでなく、データ構造、分析、Security Copilotやエージェント型AIの下流活用までを見据えた支援を行う。無償プログラムとして、技術ワークショップ、プラットフォーム機能の助言、コードサンプルと設計レビュー、break/fix支援とMicrosoftエンジニアへのエスカレーションを提供する。本文ではGigamon、Illumio、RSA、Semperis、Tanium、Upwind、XBOW、Zscalerとの連携例が挙げられ、データレイク連携とAIエージェントにより可視性向上、調査迅速化、再設計の削減を狙うとしている。

RSAC 2026: New Microsoft Sentinel Connectors Announcement

Severity: 1/100

Microsoftは、RSAC 2026に合わせてMicrosoft Sentinelのコネクタ群を拡充したと発表した。Acronis、CyberArk、Cyera、Feedly、Gigamon、Halcyon、Illumio、VMRay、Zscalerなどの新規・強化連携により、アラート、監査ログ、脅威インテリジェンス、パケットデータ、モバイル、SaaS、SAP、ID/特権アクセス関連のテレメトリをSentinelへ集約し、相関分析、調査、SOAR自動化を支援する。あわせて、Microsoft提供のGitHub Enterprise Audit Logsコネクタも追加された。記事は脅威事案ではなく、Sentinelデータレイク、CCF、プレイブック、API連携を軸に、エコシステム拡大と運用効率化を訴求している。

ISC Stormcast For Thursday, March 19th, 2026 https://isc.sans.edu/podcastdetail/9856

Severity: 0/100

本記事はISC Stormcastの2026年3月19日版ポッドキャストの案内ページであり、本文には脅威アクター、脆弱性、攻撃手法、対象組織、IOC、TTP、緩和策などの具体的な脅威情報は記載されていない。表示されているのは番組タイトル、SANS/ISCのナビゲーション、コメント案内、関連リンクのみで、セキュリティ事案の分析対象となる内容は含まれていない。

ISC Stormcast For Friday, March 20th, 2026 https://isc.sans.edu/podcastdetail/9858

Severity: 0/100

本記事はISC Stormcastの2026年3月20日配信回の案内ページで、ポッドキャストへのリンクとサイト内ナビゲーションが中心であり、実質的な脅威情報は記載されていない。掲載内容からは、特定の脅威アクター、脆弱性、攻撃手法、対象組織やシステム、IOC、TTP、MITRE ATT&CKの対応付け、緩和策は確認できない。ページ上ではThreat Levelはgreenとされており、個別の侵害事案や継続中の攻撃を示す記述もない。

Microsoft Sentinel is now supported in Unified RBAC with row-level access

Severity: 0/100

Microsoftは、Microsoft Sentinel向けにUnified RBACと行レベルアクセスのPublic Previewを4月1日に提供すると発表した。Defenderポータル上でSentinel権限を一元管理でき、既存のAzure Sentinelロールの取り込みや、Defender全体で共通の権限モデルを使った運用が可能になる。さらに、スコープタグを使ってテーブルの行単位でデータを分類し、複数チームが共有環境でも自分のスコープ内のアラート、インシデント、ハンティング、Sentinel lakeのKQLクエリを扱える。対象は新規に取り込まれるデータで、既存データは対象外。XDRテーブルは現時点で未対応で、必要に応じてUnified RBACはDefenderポータルから無効化して旧来のSentinel RBACに戻せる。

Security Copilot in Defender: empowering the SOC with assistive and autonomous AI

Severity: 0/100

Microsoftは、Microsoft DefenderにSecurity Copilotを統合し、SOC向けの支援型AIと自律型AIを拡張すると発表した。Security Alert Triage Agentは、フィッシング、ID、クラウドの各アラートについて、実際の脅威か誤検知かを自律的に判定し、自然言語で根拠を示す。ID分野ではパスワードスプレー、BECに関連する不審な受信トレイルール、パスワードスプレー後に侵害された可能性のあるアカウントを対象とし、クラウドではコンテナ関連を含む30種類超のアラートに対応する。Security Analyst AgentはDefenderとSentinelのテレメトリを横断して多段階の調査を行い、最大約100MBのデータを相関分析して優先度の高いリスクを提示する。さらに、Defender内のチャット機能でインシデント、アラート、ID、デバイス、IPをまたぐ対話的な調査が可能になり、第三者エージェントとの連携も拡張される。