Daily Threat Intel - 2026-03-20

Severity: 97/100

本号では、Google Threat Intelligence Groupが追跡するiOS向けフルチェーン攻撃DarkSwordが中心で、商用監視ベンダーや国家支援系とみられる複数の攻撃者がCVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520を連鎖し、iOS 18.4〜18.7端末を侵害してGHOSTKNIFE、GHOSTSABER、GHOSTBLADEで認証情報、メッセージ、位置情報、ファイル、スクリーンショットを窃取したと報告した。あわせて、InterlockによるCisco Secure FMCのCVE-2026-20131ゼロデイ悪用、GitHub、npm、VSCode/OpenVSXをまたぐGlassWormの供給網侵害、ZimbraやSharePointの既知悪用脆弱性も取り上げられた。対処として、iOSの最新化とLockdown Mode、有効なCiscoアップグレードが示された。

Trivy Compromised: Everything You Need to Know about the Latest Supply Chain Attack

Severity: 96/100

Wiz Researchは、TeamPCP と名乗る脅威アクターによる Aqua Security の Trivy への多段階サプライチェーン攻撃を報告した。対象は Trivy 本体、trivy-action、setup-trivy で、改ざんされた v0.69.4 リリースや GitHub Actions のタグ強制更新を通じて、認証情報窃取型マルウェアが配布された。悪性ワークフローは GitHub Actions runner 上で Runner.Worker のメモリを読み取り、SSH、クラウド、K8s 秘密情報を収集して暗号化し、scan.aquasecurtiy[.]org や plug-tab-protective-relay.trycloudflare.com へ送信した。悪性バイナリは tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io を参照し、フォールバックとして tpcp-docs リポジトリ作成も試みた。対処として、v0.69.4 の利用有無確認、Trivy 関連 Actions の参照監査、tpcp-docs の探索、GitHub Actions をタグではなく SHA で固定することが推奨された。

Interlock Ransomware Targets Cisco Enterprise Firewalls

Severity: 95/100

金銭目的の二重恐喝型ランサムウェア集団Interlockが、Cisco Secure Firewall Management Center SoftwareとCisco Security Cloud Controlを狙い、CVE-2026-20131を悪用している。Ciscoは3月4日にこの脆弱性を公表し、ユーザー提供のJavaバイトストリームの安全でないデシリアライズにより、未認証のリモート攻撃者がroot権限で任意のJavaコードを実行できると説明した。AWSは、Interlockが公開前の1月26日には既に悪用していたとし、honeypot調査で同グループの攻撃ツール一式、PowerShellによる列挙、RAT、JavaScript/Javaバックドア、BASHの中継網、メモリ常駐型バックドア、正規RATの併用を把握した。Ciscoは未パッチ版FMCの即時更新とCisco Software Checkerの利用を案内し、AWSはIOCと追加検知手順を公開している。

Trivy vulnerability scanner breach pushed infostealer via GitHub Actions

Severity: 95/100

TeamPCP(DeadCatx3、PCPcat、ShellForceとしても追跡)の脅威アクターが、Trivyの供給網を侵害し、GitHub Actionsと公式リリース経由でインフォスティーラーを配布した。攻撃者は3月の先行侵害で流出した未完全封じ込めの認証情報を悪用し、trivy-actionのほぼ全タグを不正コミットへforce-push、entrypoint.shを改変してv0.69.4をバックドア化した。影響はTrivy本体、trivy-action、setup-trivy、外部ワークフローに及び、ホスト名、whoami、uname、環境変数、SSH鍵、AWS/GCP/Azure/Kubernetes/Docker資格情報、.env、DB認証情報、TLS秘密鍵、VPN設定、シェル履歴などを収集した。データはtpcp.tar.gzに暗号化され、scan.aquasecurtiy[.]orgへ送信され、失敗時はtpcp-docsリポジトリへアップロードされた。Aqua Securityは影響環境を完全侵害とみなし、全シークレットのローテーションと追加侵害の調査を求めている。

Feds Disrupt IoT Botnets Behind Huge DDoS Attacks

Severity: 94/100

米司法省は、カナダとドイツの当局と連携し、Aisuru、Kimwolf、JackSkid、Mossadと呼ばれる4つのIoTボットネットの基盤を解体した。これらはルーターやWebカメラなど300万台超のIoT機器を侵害し、DoD所有のアドレスを含む標的に対して記録的規模のDDoS攻撃を繰り返し、脅迫金を要求していた。Aisuruは20万件超、JackSkidは9万件以上、Kimwolfは2万5000件超の攻撃命令を発し、Kimwolfは内部ネットワーク内の機器にも到達する新しい拡散機構で急速に広がった。Synthientの脆弱性公開は拡散抑止に寄与した。DCISが複数の米登録ドメインや仮想サーバーを差し押さえ、FBIアンカレッジが支援した。

Millions of iPhones can be hacked with a new tool found in the wild

Severity: 91/100

Google、iVerify、Lookoutは、ロシア系ハッカーの活動で使われたiPhone侵害手法「DarkSword」を公表した。DarkSwordは感染したWebサイトに埋め込まれ、訪問したiOS端末を瞬時かつ秘匿的に乗っ取り、iOS 18の旧バージョンに対して有効で、2種類のエクスプロイトチェーンを含む。対象は多数のiPhone利用者で、ウクライナのニュースサイトや政府機関サイト、またサウジアラビア、トルコ、マレーシアの被害も確認された。取得対象はパスワード、写真、iMessage/WhatsApp/Telegramのログ、ブラウザ履歴、Calendar、Notes、Healthデータ、暗号資産ウォレット認証情報で、永続化せずOSの正規プロセスを悪用するファイルレス型の“smash-and-grab”手口が特徴とされる。対策として、Appleは最新iOSへの更新、旧端末向け緊急更新、Lockdown Modeの利用を案内し、iVerifyとLookoutは自社アプリで検知可能としている。

偽のGitHubページを悪用し新種の情報窃取型マルウェア「BoryptGrab」を配信、Windowsユーザが標的に

Severity: 87/100

Trend Microは、ロシア関連を示唆するコメントやIPを伴う攻撃キャンペーンとして、SEOで上位化した偽のGitHubリポジトリからWindowsユーザに新種スティーラ「BoryptGrab」を配信していることを確認した。感染は偽のダウンロードページからZIPを取得させる手口で始まり、DLLサイドローディング、XOR/AES-256-CBCによる復号、Base64で難読化されたURL誘導が使われる。BoryptGrabはChrome、Edge、Firefox等のブラウザ、暗号資産ウォレット、Telegram、Discordトークン、パスワード、スクリーンショット、共通ディレクトリのファイルを収集し、収集後にC&Cへ送信する。派生ペイロードとして、リバースSSHトンネルとSOCKS5機能を持つTunnesshClientや、難読化されたVidar亜種も展開される。Trend Vision OneではBORYPTGRAB検出検索、ならびに46934、46935、46937のネットワーク検出が示されている。

How CISOs Can Survive the Era of Geopolitical Cyberattacks

Severity: 86/100

Iran系の破壊的攻撃を行う脅威活動について、Handala / Void Manticoreクラスターが関与するキャンペーンが取り上げられている。攻撃は主に窃取したVPN認証情報で侵入し、環境内で手動操作を行い、RDP、PowerShell Remoting、WMI、SMB、SSHなどの正規管理ツールを使って横展開し、権限昇格後に複数のワイパーを同時展開する。NetBirdのようなトンネリングツールで秘匿接続を維持した事例もある。影響対象は重要サプライチェーン、医療エコシステム、国家インフラで、例として2026年3月のStryker侵害では、世界79か国に影響し、製造、受注処理、物流が阻害された。対策として、ID連動型アクセス制御、管理サービスへのMFA、管理ポートのデフォルト拒否、特権アクセスの役割分離、東西通信の監視、異常経路やトンネルの検知、侵害端末の自動隔離と迅速なリングフェンシングが挙げられている。

FBI links Signal phishing attacks to Russian intelligence services

Severity: 86/100

FBIは、ロシア情報機関に関連するとされる脅威アクターが、SignalやWhatsAppなどの暗号化メッセージアプリ利用者を標的にしたフィッシング अभियानを実施していると公表した。攻撃は暗号化そのものを破るのではなく、偽のサポートアカウントを装って認証コードの入力や悪意あるQRコードの読み取りを誘導し、被害者のアカウントを攻撃者管理端末にリンクさせる手口で、複数のCMAに転用可能だが主にSignalが狙われている。影響は世界で数千件に及び、現旧米政府関係者、軍人、政治家、記者など機微情報へのアクセスを持つ個人が主な対象とされる。アカウント侵害後は私信や連絡先の閲覧、なりすまし、さらなるフィッシングに悪用される。FBIは、不審なメッセージへの警戒、QRコードや端末リンク要求の回避、認証コードの共有禁止を呼びかけている。

New ‘Perseus’ Android malware checks user notes for secrets

Severity: 85/100

ThreatFabricによると、Androidマルウェア「Perseus」は、Turkish版と改良されたEnglish版の2系統が確認され、Cerberus由来のPhoenixコードベース上に構築されている。主な配布経路は非公式ストア上のIPTVアプリを装うドロッパーで、Android 13以降のサイドロード制限を回避する。対象はトルコとイタリアの金融機関、暗号資産サービス、さらに9件の暗号資産アプリで、Accessibility Servicesを悪用して端末を遠隔操作し、スクリーンショット取得、UI階層送信、タップや入力の模倣、黒画面オーバーレイ、オーバーレイ攻撃、キー入力記録を行う。加えて、Google Keep、Samsung Notes、OneNoteなどのノートアプリを巡回して、パスワードやリカバリーフレーズ、金融情報を探索する点が特徴である。実行前にはroot、エミュレータ、SIM、電池、Bluetooth、Play Servicesなどの検査で疑わしさを点数化し、C2へ送信する。対策として、怪しいAPKのサイドロード回避、Google Play利用、Play Protect有効化が挙げられている。

New ‘PolyShell’ flaw allows unauthenticated RCE on Magento e-stores

Severity: 84/100

Sansecが、新たに「PolyShell」と呼ぶMagento/Adobe Commerceの脆弱性を公表した。REST APIがカート項目のカスタムオプションとしてファイルアップロードを受け付け、base64化されたfile_infoをpub/media/custom_options/quote/へ書き込む点が起点で、Webサーバ設定次第で未認証RCEまたは保存型XSSによるアカウント乗っ取りに至る。影響範囲はMagento Open SourceとAdobe Commerceの安定版2系全体で、Sansecの調査では多くのストアがアップロードディレクトリを公開していた。現時点で野外での悪用兆候はないが、攻撃手法は流通済みとされる。対処として、pub/media/custom_options/へのアクセス制限、nginx/Apache設定の確認、シェルやバックドア等のスキャンが推奨されている。

VoidStealer malware steals Chrome master key via debugger trick

Severity: 82/100

VoidStealerは、少なくとも2025年12月中旬からダークウェブのフォーラムで販売されているMaaS型の情報窃取マルウェアで、Chrome 127以降のApplication-Bound Encryption(ABE)を回避する新手法を採用した。Gen Digitalによると、実運用で観測された初の事例であり、昇格権限取得やコードインジェクションを使わず、ハードウェアブレークポイントとデバッガを用いてブラウザメモリ上のv20_master_keyを平文状態で抽出する。攻撃では、隠し状態のブラウザプロセスをサスペンド起動し、chrome.dllまたはmsedge.dllの読み込み後に特定文字列とLEA命令を起点としてブレークポイントを設定、起動時の復号処理中にReadProcessMemoryで鍵を取得する。手法はChromeKatzのElevationKatzに近く、主にブラウザ起動時のCookie窃取を狙う。

GSocket Backdoor Delivered Through Bash Script - SANS ISC

Severity: 74/100

出所不明の悪性Bashスクリプトが、GSocket系のbackdoorを被害端末に導入する事例が報告された。スクリプトはgs-netcatをダウンロードして起動し、cronジョブと~/.profileへの追記で永続化を行うほか、.ssh/putty配下へのコピーと偽のSSH鍵ファイルに共有秘密を格納して隠蔽する。さらに、ファイル操作をラップしたtimestamp復元機構により、作成・変更痕跡を戻すアンチフォレンジック手法を備える。サンプルのSHA256は6ce69f0a0db6c5e1479d2b05fb361846957f5ad8170f5e43c7d66928a43f3286、同梱ELFのid_rsaはd94f75a70b5cabaf786ac57177ed841732e62bdcc9a29e06e5b41d9be567bcfaで、VirusTotalでは17製品のみが検出した。BashベースのためLinux、macOS、FreeBSD/OpenBSDを含むUnix系全般に影響する。

Cyber OpSec Fail: Beast Gang Exposes Ransomware Server

Severity: 74/100

新興のRaaS型ランサムウェア集団Beastの公開サーバーが、ドイツのクラウド事業者上で発見され、同グループのツールセット全体が露出した。Team Cymruによると、収められていたのは偵察、ネットワークマッピング、資格情報窃取、データ流出、永続化、横展開に使うTTPで、AnyDeskやMegaのような汎用ツールも含まれていた。AhnLabはBeastが単純な暗号化にとどまらず、バックアップ破壊とデータ流出を組み合わせると指摘している。記事では、disable_backup.batによるWindowsのVSS削除と停止、CleanExit.exeによるログ消去が確認され、ネットワーク接続されたバックアップも暗号化対象になり得ると説明した。対策として、耐障害性のあるバックアップ、オフサイトログ、EDRまたはMDR、許可リストによる高リスクツールの制御が挙げられた。

Microsoft Azure Monitor alerts abused for callback phishing attacks

Severity: 74/100

攻撃者はMicrosoft Azure Monitorを悪用し、Microsoft Security Teamを装ったコールバック型フィッシングを配信している。メールは偽装ではなく、正規のazure-noreply@microsoft.comアドレスから送信され、SPF、DKIM、DMARCを通過するため信頼性が高く見える。手口は、Azure Monitorで新規注文、支払い、請求書などの条件で容易に発火するアラートを作成し、説明欄に任意の脅迫文や請求通知を入れ、攻撃者管理のメーリングリスト経由で被害者へ転送するものだ。確認されたルール名にはinvoice、payment、Funds Successfully Received、MemorySpike、DiskFullなどがあり、本文では389.90 USDのWindows Defender課金を装って電話を促している。過去のコールバック詐欺では認証情報窃取、支払い詐欺、リモートアクセスソフト導入が起きており、企業ネットワークへの初期侵入に転用される可能性がある。

[tl;dr sec] #320 - Ramp’s Security Agents, How Datadog Caught Malicious OSS Contributions, Obliterating Model Refusals

Severity: 68/100

Datadogは、LLMベースのコードレビューシステムBewAIreを用いて、open sourceリポジトリに対する悪意ある投稿を検知し、緩和したと報告した。脅威主体はhackerbot-clawと呼ばれるAIエージェントで、GitHub Actionsのワークフローを悪用しようとした。攻撃者はファイル名を使ったコマンドインジェクションにより、少なくとも1つのワークフローでコード実行を達成したが、影響は限定的だった。Datadogの防御は、組織全体のGitHub rulesetによるmainブランチへの直接push禁止、GITHUB_TOKEN権限の制限、機密シークレットを公開しない設計によって成立し、結果として被害は保護されていないブランチへの無害なコミット送信にとどまった。

PDF悪用のフィッシング攻撃が急増、検知困難な新手口と対策

Severity: 68/100

Security Boulevardは、PDFを起点とするフィッシングが増加しており、サイバー犯罪者が文書内のリンク、ボタン、画像、フォーム、QRコード、JavaScriptを悪用して認証情報を詐取していると指摘した。請求書、支払い確認、契約書類、社内通知などを装って企業利用者を狙い、取得した情報はアカウント乗っ取りや金銭詐取、内部情報閲覧、取引先への二次攻撃に転用される。PDF内リンクの難読化や画像化されたURL、偽の署名表示、誘導先の一時的な無害化も検知を難しくしている。対策として、送信元認証、仮想環境での添付解析、画像要素の読み取り、URLのリアルタイム安全判定、従業員教育と迅速な報告体制が挙げられている。

Secure access in the age of AI: Key findings from our 2026 Report

Severity: 63/100

Microsoft Entraの2026年レポートは、AIの業務利用拡大によりアクセス環境が急速に複雑化していると指摘している。特定の脅威アクターは示されていないが、AIツール、連携、エージェントが新たなID、権限、アクセス経路を増やし、AI支援フィッシングやエージェントの権限昇格が現実の脅威として現れている。調査では、過去1年に97%の組織がIDまたはネットワークアクセスのインシデントを経験し、その70%がAI関連活動に結び付いていた。平均でIDソリューション5種、ネットワークアクセスソリューション4種を併用し、ベンダー・スプロールが可視性低下と対応遅延を招いている。推奨される方向性は、IDを一貫した判断軸とするアクセスファブリックへの移行、ツール統合、ポリシーとリスク変更の迅速な伝播である。

AI Conundrum: Why MCP Security Can’t Be Patched Away

Severity: 62/100

Netskopeの研究者Gianpietro Cutoloは、MCPをLLMに接続することで、既存の防御では扱えない新たな攻撃面が生じると警告した。主な手口は、メールや文書などに悪意ある指示を埋め込む間接的プロンプトインジェクション、ツール定義に指示を混ぜるtool poisoning、そしてMCPサーバーの改変を検知できないrug pullである。対象は、LLMを使って企業データ、ワークフロー、API、メール、ローカルファイル、Jira、Google Driveなどに接続する環境で、ユーザーの意図なくファイル流出や送信操作が起こり得る。対策として、公開・私有データのMCPサーバー分離、指示風文字列や隠しテキストの検査、重要操作の人手確認、MCPサーバーの棚卸しと検証、最小権限、MCPトラフィックの記録、行動ベースラインの作成、導入前のツールメタデータ検査が挙げられた。

You have to invite them in

Severity: 42/100

Talosは、攻撃者が正面突破よりも認証や同意を悪用して「招き入れられる」形で侵入する傾向を強調している。2025年には、攻撃者が電話でMFAコードを聞き出す手口や、正規ログインページを中継してワンタイムコードを取得するadversary-in-the-middle型フィッシングキットが確認され、MFAスプレー攻撃の約3分の1がIAMアプリケーションを標的にしたほか、偽装デバイス登録イベントも178%増加した。また、Talosは中東情勢に関連する破壊的マルウェアの脅威が高まっているとし、Strykerへの最近の攻撃は医療分野全体への体系的な転換ではなく機会的侵害の可能性が高いと評価した。対策として、堅牢なパッチ適用、EOS/EOL機器の可視化と更新計画、リモートアクセスと重要サービスへのMFA強制、外部公開機器のRCE/DoS修正の優先適用、体系的なパッチ管理が挙げられている。

Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies

Severity: 38/100

Sophos CTUは、2026年2月28日の米国・イスラエルによる対イラン攻撃後、Telegram、X、地下フォーラムでイラン系ハクティビストの発言が急増したと報告した。Handala Hack Team(COBALT MYSTIQUE運営)、APTIran、Cyber Toufan、Cyber Support Front、Iranian Avenger、Cyb3r Drag0nz、BaqiyatLock、対抗的なTroll Hacker Teamなどが活動しているが、多くは低い洗練度で、実害は限定的である。手口はサイト改ざん、DDoS、個人のドクシング、誤情報拡散、脅迫で、対象はイスラエル政府、軍、関連組織、重要インフラとされる。CTUは、今後は米国組織やGCC諸国への報復リスクも高まるとみている。推奨策として、フィッシングやパスワードスプレーへの警戒、インターネット公開サービスの削減、既知悪用脆弱性の迅速な修正、AVとEDRの維持、BCPと復旧手順の確認が挙げられた。

With Government’s Role Uncertain, Businesses Unite to Combat Fraud

Severity: 34/100

UN主催のGlobal Fraud Summitで、Google、OpenAI、Microsoft、Adobe、Amazon、Meta、Levi Strauss、Target、Pinterest、Match Group、LinkedInの11社がオンライン詐欺・不正対策の業界協定に署名した。対象は金銭や個人情報を狙う広範なオンラインfraudで、被害は世界中の数十億ユーザーに及ぶとされる。記事では、FacebookなどのSNSでの詐欺広告、Pinterestの悪用、MicrosoftやGoogleを装ったフィッシング、出会い系を悪用したロマンス詐欺、credential stuffingによるアカウント侵害が挙げられた。協定は、脅威情報と専門知識の共有、共同対策、迅速なインシデント対応、ユーザー向けの報告窓口整備と注意喚起を求める。あわせて政府には、詐欺対策の国家優先化、予算確保、法執行機関の訓練強化、暗号資産追跡能力の向上、データ基盤の近代化が促されている。

Redefining identity security for the modern enterprise

Severity: 25/100

Microsoftは、ハイブリッド、SaaS、クラウド、オンプレミス、非人間IDまで含む現代のID基盤全体を対象に、Defender XDRとEntraでのIDセキュリティ強化を発表した。内容には、アカウント相関の拡張、非人間IDインベントリ、IDレベルの統合リスクスコア、条件付きアクセス連携、Active Directory/Entra ID/他IAM製品の統合可視化、Identity Explorerによる横展開経路の把握が含まれる。検知面では、KerberosのETWテレメトリを用いた偽造・改ざんチケットの検出と「Possible golden ticket attack (suspicious ticket)」の一般提供、Entra ID同期アプリへの異常、デバイス登録/参加、OAuth Authorization Flow悪用(ConsentFix)の新規検知が挙げられる。対応として、Security CopilotのAlert Triage Agent、predictive shielding、RemoteOps/Remote Registry hardeningが示された。

TrendAI™、国際的な法執行機関の取り組みを支援

Severity: 20/100

TrendAI™は、INTERPOLの国際作戦「Operation Synergia III」を支援し、国境を越えて活動するサイバー犯罪ネットワークの可視化に関与した。対象には、中国の偽カジノを装うフィッシングサイト、トンガのセクストーションやロマンス詐欺、バングラデシュの融資詐欺や求人詐欺が含まれ、フィッシング基盤、マルウェア配信サーバ、C2基盤の分析が行われた。TrendAI™はドメイン、IPアドレス、WHOIS情報、ISPリストを精査し、実インフラを実在人物や犯罪組織へ結び付けるためのスレットインテリジェンスを提供した。作戦では悪意あるIPアドレスとサーバ45,000件を無力化し、容疑者94名を逮捕、110名を捜査中とし、電子機器とサーバ212台を押収した。記事は、72の国と地域の法執行機関および民間企業との連携が成果につながったとしている。

Stop Patient Zero Attacks with Zscaler Advanced Cloud Sandbox

Severity: 14/100

Zscalerは、未知ファイルが端末に到達してからサンドボックス判定が返るまでの「verdict gap」が、patient zero攻撃の温床になると説明している。従来型サンドボックスは、実行ファイル中心の限定的な対応、サイズ制限、遅延により、アーカイブ、スクリプト、Office/PDF、50MB超のペイロードを十分に検査できない場合がある。同社のAdvanced Cloud Sandboxは、Zscaler Zero Trust Exchange上でインラインに未知ファイルを隔離し、AI Instant Verdictで秒単位の判定を行う。さらに、パッチ適用済みVM解析、API駆動の外部分析、Zero Trust Browser連携により、分析中の閲覧継続やPDF化・無害化も可能とする。利用形態はインライン、オフラインのEndpoint Sandbox、API/SOCワークフローの3通りで、SOC向けにMITRE ATT&CK対応のレポートも提供する。

Zero Trust Purdue Model: What It Is and Why OT Needs It

Severity: 12/100

本稿は特定の攻撃者ではなく、製造業のOT環境におけるPurdue Modelの現状と防御課題を解説する。従来のファイアウォール、VLAN、NACは、工場内のeast-west通信や老朽機器を十分に制御できず、侵害後の横展開を許しやすい。AIにより偵察、脆弱性探索、ネットワーク列挙、横展開、情報窃取が高速化している点も指摘する。対策として、Purdue Modelを維持しつつZero Trustを適用し、資産単位のセグメンテーション、VPN代替のブラウザ型特権アクセス、外向き通信の保護、デコイを用いた早期検知を挙げる。

Google adds ‘Advanced Flow’ for safe APK sideloading on Android

Severity: 10/100

Googleは、未検証の開発者からのAPKサイドロードを必要とする上級ユーザー向けに、Androidの新機構「Advanced Flow」を発表した。記事では、詐欺師や脅威アクターが被害者に電話越しで圧力をかけ、セキュリティ警告の回避や設定無効化を誘導してマルウェアを入れさせる手口を背景に、これを抑止する狙いが示されている。利用時は、開発者モードの有効化、脅威アクターに操られていないことの確認、端末の再起動と再認証、翌日までの待機と変更の正当性確認を経る必要がある。以後は未検証開発者のアプリを一週間または恒久的に有効化でき、Androidは未検証であることを警告する。あわせて、2026年8月に予定される開発者の身元確認では、認証されていない提供者のアプリは認定Android端末でブロックされる。

ZIA and ZDX Achieve DoW Impact Level 5 Provisional Authorization | Zscaler

Severity: 5/100

Zscalerは、Zscaler Internet Access(ZIA)とZscaler Digital Experience(ZDX)が、Department of War(DoW)からImpact Level 5(IL5)の暫定認可を取得したと発表した。記事では、DoWの脅威環境として、対戦相手が防衛サプライチェーン、物流システム、運用データを標的にしていると述べる一方、従来の境界防御では対応できないとしてゼロトラスト移行の必要性を強調している。IL5認可は、Controlled Unclassified Information(CUI)とNational Security Systems(NSS)情報を扱うDoW環境での利用を想定し、ZIAはTLS/SSL復号検査、AIベースの脅威防止、C2検知、DLP、行動分析を提供すると説明する。ZDXは、端末、ネットワーク、Zscalerサービス、アプリのいずれに問題があるかを可視化し、MTTR短縮と運用継続を支援する。記事はFY2027までのゼロトラスト導入に向け、ZIA、ZDX、ZPAを統合した単一プラットフォームでの近代化を示している。

How to Solve Tool Sprawl in the SOC

Severity: 5/100

本記事は、SOCにおけるツールスプロールを、製品数の多さではなく運用の断片化として捉える実務ガイドである。対象は企業SOC全般で、EDR、SIEM、XDR、NDR、IAM、メール保護などが重複し、アラートの重複、証跡の不一致、コンソール移動、保守負荷、データ転送料の増大を招くと指摘する。対処として、機能ベースのツール棚卸し、能力単位での重複把握、各機能ストリームの主系統の定義、データフロー整理、実際の攻撃経路に基づくカバレッジ評価、Keep/Consolidate/Retire判定、コンソール削減、検知ロジックの集約、SOARでの自動化、Purple Teamや攻撃シミュレーションによる検証、そして新規導入に対するガバナンスを提案している。

Agentic Use Cases for Developers on the Microsoft Sentinel Platform

Severity: 3/100

Microsoft Sentinel の開発者向けブログで、Security Copilot エージェントを用いた6つの代表的な調査・対応パターンを整理している。Identity とアクセス、バックアップ環境、ネットワーク/リモートアクセス、エンドポイント実行、露出と悪用可能性、脅威インテリジェンス/ATT&CK の各観点で、Sentinel のデータレイク、インシデント、エンティティ、KQL、外部テレメトリを相関し、リスクのあるサインインや PowerShell 実行、バックアップ検知、公開資産の攻撃面を短時間で判定する流れを示す。出力は証拠付きの判断と、ホスト隔離、資格情報のリセット、回復ポイント確認、ポリシー調整などの対応を含む。

Daily Threat Intel - 2026-03-22

Severity: 98/100

本号は高深刻度の脅威を複数取り上げている。GoogleはDarkSwordと呼ぶiOS侵害を報告し、商用監視ベンダーや国家支援とみられる複数の攻撃者がiOS 18.4〜18.7端末を標的に複数CVEを連鎖、snapshare[.]chat ほかのドメイン経由で展開し、GHOSTKNIFE系を用いてデータ窃取を行うとした。別件ではInterlockがCisco Secure FMCのCVE-2026-20131をゼロデイ悪用し、TeamPCPはTrivyとGitHub Actionsのサプライチェーンを改ざんして資格情報窃取マルウェアを配布した。APT28はZimbraのCVE-2025-66376を用い、ウクライナ政府向けにHTML本文のJavaScriptで認証情報を収集した。対処として、iOS更新とLockdown Mode、有効なCisco FMCへの即時アップグレード、Trivy v0.69.4とActions参照監査、Zimbraの修正適用が挙げられている。

International joint action disrupts world’s largest DDoS botnets

Severity: 97/100

米国、ドイツ、カナダの当局は、IoT機器を感染させていたAisuru、KimWolf、JackSkid、Mossadの各ボットネットのC2基盤を停止した。攻撃者は特定の脆弱性ではなく、侵害済みのIoT機器を足場に大規模DDoSを実行しており、仮想サーバー、インターネットドメイン、関連インフラも対象になった。4つのボットネットは世界中の被害者に対して数十万件のDDoSを実施し、米国防総省情報ネットワークのIPアドレスも含まれていた。Aisuruは12月に31.4Tbps、2億req/sの記録的攻撃を発生させ、過去には29.7Tbpsや15.72Tbpsの事案も報告されている。被害機器は3百万台超で、Webカメラ、DVR、WiFiルーターが含まれ、攻撃基盤の遮断によって再感染と将来の攻撃能力を低減する狙いが示された。

CISA orders feds to patch max-severity Cisco flaw by Sunday

Severity: 97/100

CISAは、Cisco Secure Firewall Management Center(FMC)のCVE-2026-20131を3月22日までに修正するよう連邦機関へ命じた。Ciscoは3月4日にこの最大深刻度の脆弱性を公表し、回避策はないと案内している。脆弱性はWebベース管理画面の不安全なデシリアライズに起因し、認証不要のリモート攻撃者が、細工したシリアライズ済みJavaオブジェクトを送ることで影響を受ける機器上でroot権限の任意Javaコードを実行できる。Amazonの脅威情報研究者は、Interlockランサムウェアが1月末からゼロデイとして悪用していたと確認し、CISAはKEVに追加した。FCEB機関は更新適用または製品停止が求められ、他組織にも対応が推奨されている。

Oracle pushes emergency fix for critical Identity Manager RCE flaw

Severity: 97/100

Oracleは、Identity ManagerとWeb Services Managerに存在するCVE-2026-21992の緊急修正を公開した。これは認証不要でHTTP経由により遠隔から悪用可能な低複雑度のRCEで、Oracle Identity Manager 12.2.1.4.0および14.1.2.1.0、Oracle Web Services Manager 12.2.1.4.0および14.1.2.1.0が影響を受ける。CVSS v3.1は9.8で、公開サーバー上での悪用リスクが高い。OracleはSecurity Alert経由で更新を提供し、対応バージョンでは更新または緩和策を速やかに適用するよう強く推奨した。悪用の有無は明らかにしていない。

Critical Microsoft SharePoint flaw now exploited in attacks

Severity: 96/100

CISAは、2026年1月に修正されたMicrosoft SharePointのCVE-2026-20963が攻撃に悪用されていると警告した。対象はSharePoint Enterprise Server 2016、2019、Subscription Editionで、2007、2010、2013もサポート終了のため防御不能となる。未認証の攻撃者がネットワーク経由で未パッチのサーバーに対し、信頼できないデータのデシリアライズ不備を突いて低複雑度でリモートコード実行を行い、任意コードを注入・実行できる。Microsoftは1月のPatch Tuesdayで修正済みで、CISAはKEV掲載後、FCEB機関に3月21日までの対応を命じ、全防御担当者にベンダー指示に従った修正、BOD 22-01準拠、対応不能なら製品停止を求めた。

Russian hackers exploit Zimbra flaw in Ukrainian govt attacks

Severity: 92/100

ロシア軍情報機関GRUに連なる国家支援型グループAPT28(Fancy Bear/Strontium)が、ウクライナ政府機関を狙う攻撃でZimbra Collaboration SuiteのCVE-2025-66376を悪用している。脆弱性は保存型XSSで、認証不要の攻撃者がRCEを得てZimbraサーバーと標的のメールアカウントを侵害できる。対象にはウクライナ国家水文庁が含まれ、Operation GhostMailと呼ばれるフィッシングでは添付ファイルや不審リンク、マクロは使われず、単一メール本文のHTML内に攻撃チェーンが収められていた。難読化されたJavaScriptは、脆弱なZimbra Webmailセッションでメールを開いた際に静かに実行され、認証情報、セッショントークン、バックアップ2FAコード、保存済みパスワード、過去90日分のメール本文を収集し、DNSとHTTPSで外部送信した。CISAは同脆弱性をKEVに追加し、FCEBに2週間以内の対応を求め、Zimbraは早期11月に修正済み。

Patch Now: Oracle’s Fusion Middleware Has Critical RCE Flaw

Severity: 92/100

OracleはFusion Middlewareの新たな重大脆弱性CVE-2026-21992に対して通常の四半期パッチを外れた特別セキュリティアラートを公開した。影響を受けるのはOracle Identity Manager(OIM)とOracle Web Services Manager(OWSM)で、HTTP API面を介した認証不要のリモートコード実行が可能とされる。対象バージョンは12.2.1.4.0と14.1.2.1.0で、CVSSは9.8。現時点で悪用の公表事例はないが、OIMではID、ロール、ポリシーの改変により横展開や権限昇格、OWSMではセキュリティポリシーの変更・無効化が想定される。Oracleは修正パッチを公開しており、記事は速やかな適用を促している。

FBI seizes Handala data leak site after Stryker cyberattack

Severity: 91/100

FBIは、イラン関連とされる親パレスチナ系ハクティビスト集団Handala(Handala Hack Team/Hatef/Hamsa)のデータ漏えいサイト2件を差し押さえた。記事によると同集団はStrykerへの破壊的攻撃でWindowsのドメイン管理者アカウントを侵害し、新たなGlobal Administratorアカウントを作成したうえで、Microsoft Intuneのwipeコマンドを実行し、PCやモバイル端末を含む約8万台を初期化した。対象は医療機器大手Strykerで、従業員の個人端末も影響を受けた。関連ドメインはhandala-redwanted[.]toとhandala-hack[.]toで、DNSはns1.fbi.seized.govとns2.fbi.seized.govに変更されている。MicrosoftとCISAは、Windowsドメインの強化とIntuneの保護に関する指針を公表した。

Max severity Ubiquiti UniFi flaw may allow account takeover

Severity: 90/100

UbiquitiはUniFi Network Application(UniFi Controller)に2件の脆弱性を修正した。CVE-2026-22557はversion 10.1.85以前に存在するパストラバーサルで、権限のない攻撃者が対象システム上のファイルにアクセスし、ファイルを悪用してアカウントを乗っ取る可能性がある。攻撃は低複雑度でユーザー操作を必要としない。もう1件は認証済みのNoSQLインジェクションで、低権限の攻撃者による権限昇格につながる。Censysはインターネット公開されたUniFi Networkエンドポイントを約29,000件把握しており、その大半は米国にある。Ubiquitiは10.1.89以降への更新を案内している。

CISA urges US orgs to secure Microsoft Intune systems after Stryker breach

Severity: 89/100

CISAは、Strykerへの侵害を受け、米国組織に対してMicrosoft Intuneなどのエンドポイント管理基盤を強化するよう警告した。攻撃はHandalaと名乗る、イラン関連とされるプロ・パレスチナ系ハクティビスト集団によるもので、管理者アカウントの侵害後に新たなGlobal Administratorアカウントを作成し、Intuneの組み込みwipeコマンドで端末を消去したとされる。記事では、同攻撃で約50TBのデータ窃取と約80,000台のデバイス消去が主張されている。CISAとMicrosoftは、Intuneおよび関連ソフトで最小権限のRBAC適用、MFAとEntra IDのConditional Accessやrisk signalsの活用、機微な操作に対するmulti-admin approvalの導入を推奨している。

Bitrefill blames North Korean Lazarus group for cyberattack

Severity: 82/100

Bitrefillは、月初に受けた侵害について、北朝鮮系Lazarusグループ配下のBlueNoroff(APT38)によるものとみている。調査では、過去のDPRK系攻撃と一致する戦術、使用マルウェア、IPアドレスとメールアドレスの再利用、オンチェーン追跡結果が確認された。攻撃は従業員の侵害されたノートPCを起点に始まり、盗まれた旧式認証情報で本番秘密情報のスナップショットへ到達し、さらにデータベースや一部の暗号資産ウォレットへ権限を拡大した。影響として、約18,500件の購入記録が露出し、そのうち1,000件では氏名も含まれた。Bitrefillは、資金とギフトカード在庫が主標的であり、顧客情報は副次的被害だったとみている。対応として、セキュリティレビューとペンテストの拡大、アクセス制御の強化、ログ・監視の改善、自動停止機構の見直しを進めている。

Multiple Privilege Escalation Vulnerabilities in Arturia Software Center MacOS

Severity: 78/100

SEC Consultは、Arturia Software Center macOS版 2.12.0.3157 におけるローカル権限昇格の脆弱性2件(CVE-2026-24062, CVE-2026-24063)を公表した。1件目はPrivileged HelperのXPCクライアント検証不備で、署名検証なしに任意プロセスが接続し、特権操作を実行できる。2件目はプラグイン削除時にroot権限で実行される uninstall.sh が 777 で書き込まれる点で、攻撃者が改変したスクリプトがrootで実行される。PoCでは /Library/Arturia を /tmp/test へ誘導し、/tmp/test/uninstall.sh をroot実行させる例が示された。ベンダーは未応答で修正パッチはなく、回避策も示されていない。

Severity: 78/100

Navia Benefit Solutionsは、約270万人に影響するデータ侵害を公表した。無権限の攻撃者が2025年12月22日から2026年1月15日まで同社システムへアクセスし、1月23日に不審な活動を検知した。流出した可能性があるのは氏名、生年月日、SSN、電話番号、メールアドレス、HRA、FSA、COBRA関連情報で、請求や金融情報は含まれないとされる。Naviaはセキュリティ態勢とデータ保持方針を見直し、連邦法執行機関へ通報したほか、影響者にはKrollによる12か月のID保護とクレジット監視を提供し、詐欺警告や信用凍結を検討するよう案内した。

Multiple vulnerabilities in PEGA Infinity platform

Severity: 68/100

SEC Consult Vulnerability Labは、PEGA Infinity platformの複数脆弱性を公表した。CVE-2025-62181はログイン画面の弱い総当たり対策で、同一パスワードを多数のユーザー名に試すpassword sprayingと、応答時間差を利用したusername enumerationを許す。影響範囲はPega Platform 7.1.0からInfinity 25.1.0までで、PoCでは同一IPから1分未満で8,000件の失敗試行が観測された。CVE-2025-9559はIDORで、画像共有設定を行っていない他ユーザーのアップロード画像を、ファイル名を推測して直接取得できる。対象は8.7.5からInfinity 24.2.2で、/datacontent/image/配下へのGETが200 OKを返した。ベンダーは24.1.4、24.2.4、25.1.1 patch、または24.2.3への更新を案内し、回避策はない。

Ex-data analyst stole company data in $2.5M extortion scheme

Severity: 68/100

北カロライナ州の元データアナリスト契約者 Cameron Curry(別名Loot)が、Brightly Software在職中の権限を悪用した社内インサイダー型のデータ窃取と恐喝で有罪となった。彼は2023年8月から12月にかけて給与情報や社内データを持ち出し、契約終了翌日から lootsoftware@outlook.com とLoot名義で60通超の脅迫メールを送信、盗んだ文書を交渉材料に250万ドルを要求した。添付されたスクリーンショットには、従業員の氏名、生年月日、自宅住所、報酬情報などのPIIが含まれていたほか、未報告の侵害をSECへ通報すると脅していた。BrightlyはBitcoinで7,540ドルを支払い、資金はCurry管理のウォレットに送られた。会社は事案をFBI/DOJに報告して協力し、FBIは1月24日に自宅を捜索して電子機器を押収した。

Aura confirms data breach exposing 900,000 marketing contacts

Severity: 67/100

ShinyHuntersが関与を主張した一方、Auraは従業員を狙った音声フィッシングにより不正アクセスが発生したと確認した。侵害対象は2021年に買収した企業のマーケティングツール由来の連絡先データで、約90万件の記録に含まれる氏名、メールアドレス、住所、電話番号が漏えいした。影響は現顧客2万人と元顧客1.5万人に及ぶとされ、HIBPは顧客サービスのコメントやIPアドレスも確認し、漏えいデータの約90%は既存の過去流出情報と重複していたとした。AuraはSSN、パスワード、金融情報は含まれていないと説明し、外部専門家と内部調査を進め、法執行機関へ通報、影響者への個別通知を予定している。

Interesting Message Stored in Cowrie Logs - SANS ISC

Severity: 58/100

攻撃者の特定はされていないが、Cowrieログ内のechoコマンドに「iranbot_was_here」を含むボット活動が観測された。活動は2026年2月19日前後に限定され、少なくとも2台のセンサーで同様の記録が確認された。ソースIP 64.89.161.198 からのポートスキャン、Telnet(TCP/23)による成功ログイン、Webアクセスがあり、DShieldセンサーでは2月15日と19日にログイン成功が記録された。2月19日にはIoT機器と64ビットLinuxシステムの侵害を狙うシェルスクリプトがアップロードされ、関連IOCとして 188.214.30.5、http://188.214.30.5/r.sh、ハッシュ f1c0e109640d154246d27ff05074365740e994f142ef9846634bec7b18e3b715 が示された。観測データはCowrie、webhoneypot、iptablesログにまたがっている。

APPLE-SA-03-17-2026-1 Background Security Improvements for iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, and macOS 26.3.2

Severity: 58/100

AppleはiOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1およびmacOS 26.3.2向けの背景セキュリティ改善を公表し、WebKitの問題を修正した。悪意ある細工済みのWebコンテンツを処理するとSame Origin Policyを回避される可能性があり、Navigation APIのクロスオリジン問題は入力検証の強化で対処された。影響範囲は上記OS上のWebKitで、CVE-2026-20643として管理され、WebKit Bugzilla 306050に関連付けられている。記事では、同セキュリティ内容がAppleのサポートページに掲載されていることが案内されている。

注意喚起|警察庁Webサイト

Severity: 38/100

警察庁サイバー警察局の注意喚起一覧で、2021年以降の告知から2026年3月分までを掲載している。MirrorFace、TraderTraitor、Salt Typhoon、APT40、BlackTech などの名称が見え、ランサムウェア、フィッシング、ボイスフィッシング、偽サイト、SNSアカウント乗っ取り、DDoS、Fortinet製品利用者向け注意喚起など、多様な攻撃手口が並ぶ。対象は金融、暗号資産、学術関係、ホテル、企業、個人など広範で、被害急増や高水準継続が繰り返し示されている。個別のIOCや詳細なTTPは本文に含まれず、各注意喚起文書やPDF資料の確認、相談・通報の案内が中心である。

Digital Security Research | Microsoft Security Blog

Severity: 36/100

Microsoft Security BlogのResearchカテゴリ一覧で、複数の調査記事が掲載されている。内容は、AIエージェントによる検知ルール生成ベンチマーク「CTI-REALM」、税シーズンを悪用したフィッシングとマルウェア、Storm-2561によるSEOポイズニングを使った偽VPNクライアント配布、AIツールへのプロンプト乱用の検知分析、開発者を狙うContagious Interview、北朝鮮系とされるJasper SleetやCoral SleetのAI活用、LLMチャット履歴を収集する悪性AI拡張機能、Tycoon2FAのAiTM型PhaaS、正規署名付きマルウェアによるRMMバックドア展開、OAuthリダイレクション悪用、AIアプリの脅威モデリングなど多岐にわたる。対象は企業環境、開発者、LLM利用者、各種組織で、主な手口はフィッシング、マルウェア配布、認証情報窃取、プロンプト注入である。

Androidの仕様変更でアクセシビリティ制限、既存アプリに影響広がる可能性

Severity: 32/100

Malwarebytesの報道として、GoogleがAndroidのアクセシビリティサービス悪用への対策を強化したと伝えている。変更はAndroid 17 Beta 2に組み込まれ、高度な保護機能モード(AAPM)有効時は、アクセシビリティツールに分類されないアプリのAccessibilityService API利用を禁止し、既存の許可も自動的に取り消す。対象はスクリーンリーダー、スイッチ入力、音声入力、点字ベースのアクセスシステムなどで、それ以外のアプリは許可されない。Googleは、画面操作の取得やユーザー入力監視に悪用されてきた状況を踏まえた措置としており、正当用途の既存アプリにも影響が及ぶ可能性がある。影響を受ける開発者には、Android 17.2の正式リリースまでに代替手段への移行検討が求められている。

警察庁が詐欺対策アプリを初認定 - 「詐欺対策 by NTTタウンページ」など

Severity: 24/100

警察庁は特殊詐欺の急増を受け、被害防止に有効な携帯電話用アプリを「警察庁推奨アプリ」として初認定した。対象はNTTタウンページとトビラシステムズの「詐欺対策 by NTTタウンページ」と、トレンドマイクロの「トレンドマイクロ詐欺バスターLite」で、いずれも無料提供される。同アプリは、特殊詐欺などに使われた電話番号をもとに、着信時の警告や遮断、発信時の注意喚起を行い、警察庁の防犯情報も通知する。背景として、令和7年中の特殊詐欺被害額は約1414億円で前年の2倍に増加し、偽警察詐欺では携帯電話の利用が約7割を占めるとされた。

Musician admits to $10M streaming royalty fraud using AI bots

Severity: 24/100

ノースカロライナ州の音楽家マイケル・スミスが、AIで生成した数十万曲をSpotify、Apple Music、Amazon Music、YouTube Musicにアップロードし、AIボットで数十億回再生させて10百万ドル超のロイヤルティを不正取得したと認めた。共謀者として無名の音楽プロモーターとAI音楽企業のCEOが関与し、2017年から2024年にかけて再生数を水増しした。ピーク時には1,000超のボットアカウントと52個のクラウドサービスアカウントを用い、検知回避のためVPNも利用した。本人は4億回超の再生と1,200万ドルのロイヤルティを主張しており、8,091,843.64ドルの没収に同意し、電信詐欺共謀1件で有罪を認めた。

Police take down 373,000 fake CSAM sites in Operation Alice

Severity: 24/100

ドイツ主導でEuropolが支援した国際法執行機関の「Operation Alice」により、ダークウェブ上の37万3000超の偽CSAMサイトが停止された。対象は中国在住の35歳の容疑者が運営した「Alice with Violence CP」とされ、児童性的虐待素材の販売を装い、盗難クレジットカード情報や侵害済みシステムへのアクセスも宣伝していた。サイトはサンプル表示で利用者を誘導し、メールアドレスの入力とBitcoinでの17~250ユーロ支払いを要求したが、実際には何も配布しない詐欺だった。約1万人が計約40万ドルを支払い、440人が23か国で特定され、100人が捜査対象となっている。最大287台のサーバーのうち105台はドイツにあり全て押収され、国際逮捕状も出された。

Category

Severity: 22/100

CrowdStrikeのThreat Hunting & Intelカテゴリページで、複数の対アドバーサリー分析記事が一覧表示されている。掲載内容には、Europolの技術的な無力化後もTycoon2FAというサブスクリプション型PhaaSがMFA回避を支援し続けている件、WARP PANDAによる米国拠点のVMware vCenter環境への侵入とBRICKSの展開、Oracle E-Business Suiteを狙うゼロデイ脆弱性CVE-2025-61882の大規模悪用キャンペーン、trivy-actionのサプライチェーン侵害などが含まれる。ページ自体は個別インシデントの詳細を示すものではないが、MFAバイパス、仮想化基盤の侵害、サプライチェーン妥協、ゼロデイ悪用といったTTPが目立つ。掲載見出しレベルでは、当局による妨害やCrowdStrikeの検知・阻止、継続的な監視が示唆されている。

サムスン製Windows 11 PCで「Cドライブにアクセスできない」不具合、Microsoftが復旧手順を公開

Severity: 15/100

Microsoftは、Samsung Galaxy ConnectまたはSamsung Continuity ServiceがCドライブのアクセス権に影響し、Samsung製Windows 11 PCで「C:\ is not accessible – Access denied」が表示されてアプリ起動が阻害される不具合について復旧手順を公開した。Outlook、Office、Webブラウザ、システムユーティリティ、クイックアシストなどが影響を受ける。対処は該当アプリのアンインストール後、Cドライブの権限修復とTrustedInstallerへの所有権復元を行い、Microsoftが案内するRestoreAccess.batを管理者権限で実行する。解消しない場合はSamsungサポートへの問い合わせが案内されている。

RSA 2026: What’s new in Microsoft Defender?

Severity: 10/100

MicrosoftはRSA 2026で、Microsoft DefenderとSecurity Copilotの新機能を発表した。対象は、クラウド、SaaS、AI、非人間IDの増加で拡大する攻撃面にある組織で、特にID関連脅威とTeams上の音声ベース攻撃への対策を強化する内容である。ID分野では、新しい検知、全アカウント横断の統合リスクスコア、更新されたIDセキュリティダッシュボード、Security Alert Triage AgentのID対応、予測的シールドによるRemoteOps hardeningとRemote Registry hardeningが示された。コラボレーション保護では、Teams通話のリアルタイム警告、SOC向けの調査、Advanced Hunting、脅威とポスチャの洞察レポートを追加する。クラウドでは、AWS/GCP可視性の拡張、コンテナランタイム保護、AIモデルスキャンを案内した。

Infoblox Threat Intel - Threat Intelligence for DNS

Severity: 8/100

Infoblox Threat Intelは、DNSに特化した独自の脅威インテリジェンスを提供するポータルで、研究記事、脅威アクター情報、インジケーター共有を集約している。掲載中の最新研究では、Keitaroの悪用によるAI駆動型投資詐欺、.arpaの悪用によるフィッシング、マルバタイジングとpig butcheringの複合型手口、Evilginx AITM基盤のSSO攻撃、Detour DogによるDNS TXTレコードを用いた誘導とStrela Stealer配布が挙げられている。脅威アクターとしてVault Viper、Detour Dog、Vane Viperを紹介し、DNS分析を通じて攻撃インフラを事前に把握し、悪性ペイロード到達前に遮断する方針を示している。インジケーターはGitHubで公開され、Protective DNS製品への統合も案内している。

Microsoft: March Windows updates break Teams, OneDrive sign-ins

Severity: 5/100

Microsoftによると、3月のWindows 11累積更新KB5079473適用後、Microsoftアカウントを使うサインインがTeams、OneDrive、Edge、Excel、Word、Microsoft 365 Copilotなどで失敗する不具合が発生している。影響端末では「インターネットに接続してください」というエラーが表示されるが、実際には接続済みの場合もある。影響はMicrosoftアカウント認証に限定され、Entra IDを使う業務環境は対象外とされる。問題は端末が特定のネットワーク接続状態に入った際に起き、Microsoftは修正作業中としている。暫定対処として、インターネット接続を維持したまま端末を再起動すると状態が修復される可能性があるが、オフライン再起動では再発し得る。

Native Launches With Security Control Plane for Multicloud

Severity: 4/100

本記事は脅威アクターや攻撃キャンペーンを扱わず、マルチクラウド向けセキュリティ制御の製品発表を報じている。新興企業Nativeは、AWS、Microsoft Azure、Google Cloud、Oracle Cloud Infrastructureにまたがるセキュリティ意図を各クラウドのネイティブ制御に変換して適用する制御プレーンを公開した。対象は金融、テクノロジー、メディア分野の組織で、深いクラウド専門知識がなくても一貫したポリシー適用を支援するという。機能として、事前デプロイの影響シミュレーション、段階的なロールアウト、承認ワークフローが挙げられている。併せて同社は4,200万ドルを調達し、31百万ドルのシリーズAをBallistic Venturesが主導した。

Microsoft Entra innovations announced at RSAC 2026

Severity: 4/100

MicrosoftはRSAC 2026に合わせ、Microsoft Entraの新機能を発表した。内容は、AIエージェントの識別子を付与して既存のユーザー、アプリ、デバイスと同様に保護するEntra Agent ID、Shadow AIの検出と未承認AIアプリの監視、プロンプトインジェクション保護、パスキーや外部MFA連携によるフィッシング耐性の強化を含む。さらに、Tenant Governance、Backup and Recovery、クロステナントグループ同期でマルチテナント環境の統制と復旧性を高め、EntraとDefenderの統合リスク分析で横展開や権限昇格への対処を改善するとしている。Conditional Access Agentの拡張やMicrosoft Security Storeからの連携拡張も案内された。

How Granular Delegated Admin Privileges (GDAP) allows Sentinel customers to delegate access

Severity: 2/100

Microsoftは、Microsoft SentinelとDefender向けに、CSP以外の顧客も含めてGranular Delegated Admin Privileges(GDAP)を拡張し、MSSPやマルチテナント組織がテナント境界をまたいで細粒度の委任アクセスを管理できるようにすると説明した。これは攻撃や脆弱性ではなく、SIEMとXDRの統合管理を支えるアクセスモデルの更新である。GDAPは、ガバニング側とガバンド側の双方が明示的に承認する三者ハンドシェイクを採用し、Microsoft Defenderポータルから関係を作成・承認する。権限はEntra IDロールとUnified RBACのカスタム権限で制御され、Sentinelワークスペース権限の割り当てにも対応する。従来AzureポータルでAzure Lighthouseにより管理していた委任アクセスを、Defenderポータル上で一元化する点が特徴である。

Microsoft Sentinel is now supported in Unified RBAC with row-level access

Severity: 1/100

Microsoftは、Microsoft Sentinel向けにUnified Role Based Access Control(URBAC)と行レベルアクセスのPublic Previewを発表した。対象はSentinelの権限管理であり、Microsoft Defender पोर्टাল上でSentinel権限を一元管理し、既存のAzure Sentinelロールを取り込んで移行できる。行レベルのスコープでは、スコープタグを作成してユーザーやグループに割り当て、テーブル管理でKQLルールに基づき新規取り込みデータへ自動タグ付けできる。これにより、権限を持つ利用者は自分のスコープ内のアラート、インシデント、ハント、Sentinel lakeのデータのみ参照可能となる。既存データは対象外で、Detection ruleではSentinelScope_CFフィールドを参照できる。導入にはDefender portalへのアクセス、ワークスペースのオンボード、必要なURBAC権限が求められる。

What’s new in Microsoft Sentinel: RSAC 2026

Severity: 1/100

MicrosoftはRSAC 2026向けにMicrosoft Sentinelの新機能を発表し、SOC向けのAI活用を前面に押し出した。内容は、プレイブック生成による自動化、SplunkやQRadarからのSIEM移行支援、GDAPと統合RBAC、行レベルRBAC、データフェデレーション、コスト見積り、各種データコネクタ拡充、VS Code拡張によるコネクタビルダー、データフィルタリングと分割、データレイク上のワークブック作成、カスタムグラフ、Sentinel MCPのEntity AnalyzerやGraphツール、Claude連携、Threat Intelligence Briefing AgentのCVE of interest、EntraやPurviewに埋め込まれたSecurity Store、50 GBのプロモーションティア延長などである。対象は企業SOC、MSSP、パートナーを含む広範なSentinel利用環境で、複数テナントや共有環境の運用、可視化、分析、アクセス制御、AI支援を強化する構成となっている。

RSAC 2026: New Microsoft Sentinel Connectors Announcement

Severity: 1/100

Microsoftは、RSAC 2026に合わせてMicrosoft Sentinelの新規および強化済みコネクタ群を発表した。Acronis、CyberArk、Cyera、Feedly、Gigamon、Halcyon、Illumio、Joe Sandbox、Lookout、OneTrust、Pathlock、VMRay、Zscalerなどの連携により、バックアップ、ID・特権アクセス、モバイル、SaaS、SAP、ネットワーク、ランサムウェア、脅威インテリジェンスの各種テレメトリをSentinelへ集約し、相関分析、調査、ハンティング、SOAR自動化を強化する。TacitRed系の連携では、侵害済み資格情報IOCをSentinel playbooksでCrowdStrikeやSentinelOne、Microsoft Defender Threat Intelligenceへ流し込み、対応を自動化する。Microsoftは、Sentinel data lake、CCF、App Assure、Sentinel Advisory Service、およびサポート窓口の利用を案内している。

ISC Stormcast For Thursday, March 19th, 2026

Severity: 0/100

2026年3月19日分の ISC Stormcast のエントリで、本文はポッドキャスト案内とサイト内ナビゲーションが中心です。提示された内容には、特定の脅威アクター、脆弱性、攻撃手法、標的組織、侵害規模、IOC、TTP、MITRE ATT&CK の対応づけは記載されていません。Threat Level は green と示されていますが、具体的なインシデントや緩和策の説明もありません。

Just a moment…

Severity: 0/100

提供されたURLはDark Readingのページですが、取得結果は403 Forbiddenで、JavaScriptとCookieの有効化を求める保護ページのみが返されています。そのため、記事本文に基づく脅威アクターの帰属、攻撃手法、対象組織や影響範囲、IOC、TTP、MITRE ATT&CK対応、ならびに緩和策や対応手順は確認できません。現時点で判別できるのは、元ソースへ直接アクセスできず、公開された技術情報を抽出できないという点のみです。

ISC Stormcast For Friday, March 20th, 2026

Severity: 0/100

SANS Internet Storm Centerの「ISC Stormcast」ポッドキャスト告知であり、2026年3月20日版として掲載されている。提供本文には特定の脅威アクター、脆弱性、攻撃手法、対象組織、IOC、TTP、MITRE ATT&CKマッピングは記載されていない。ページ上ではThreat Levelはgreenと表示されているが、具体的なインシデントや緩和策の説明は含まれていない。

Just a moment…

Severity: 0/100

提示されたソースは403エラーで本文にアクセスできず、記事の実内容は確認できない。現時点で把握できるのは、タイトルが「ポスト量子Webはより安全で高速になり得る」と示している点のみであり、脅威アクターの属性、悪用された脆弱性や攻撃手法、対象となる組織やシステム、IOC、TTP、MITRE ATT&CK対応、具体的な緩和策や対応手順は本文未取得のため不明である。

Security Copilot in Defender: empowering the SOC with assistive and autonomous AI

Severity: 0/100

Microsoft は Security Copilot を Microsoft Defender に統合し、SOC 向けに支援型と自律型の AI 機能を拡張すると発表した。自律型では、Security Alert Triage Agent がフィッシング、ID、クラウドの各アラートを対象に、真の脅威か誤検知かを自然言語の判定と段階的な根拠付きで示す。ID では password spray、BEC 関連の不審な受信箱ルール、password spray 後に侵害された可能性のあるアカウントを扱い、クラウドでは 30 以上のコンテナ関連アラートに対応する。Security Analyst Agent は Defender と Sentinel のテレメトリを横断し、最大約100MBのデータを分析して優先度の高いリスクを抽出する。支援型では、Defender 内のチャットでインシデント、アラート、ID、デバイス、IP などを横断して対話的に調査でき、サードパーティーのエージェントも利用可能で、例として XBOW の Pentest Analysis Agent が脆弱性の実用性を確認できる。

Extending App Assure’s Sentinel Promise through the Sentinel Advisory Service

Severity: 0/100

Microsoftは、App Assureの既存のSentinel Promiseを拡張する新サービス「Sentinel Advisory Service」を発表した。これは、Microsoft SentinelおよびSentinel data lake向けに連携機能を開発するソフトウェア企業を対象に、コネクタ設計、データモデリング、AIエージェント開発を上流から支援する無償プログラムである。サービス内容には、統合やdata lake活用のベストプラクティスに関する技術ワークショップ、AI駆動のセキュリティシナリオに向けた助言、コードサンプルと設計レビュー、break/fix支援とMicrosoftエンジニアへのエスカレーションが含まれる。記事では、Gigamon、Illumio、RSA、Semperis、Tanium、Upwind、XBOW、Zscalerなどの事例を挙げ、Sentinel data lake上でのテレメトリ統合とSecurity Copilot向けエージェント開発を加速していると説明している。