SANS: Top 5 Most Dangerous New Attack Techniques to Watch

Severity: 77/100

SANS Instituteは、2026年に注目すべき5つの攻撃技術がいずれもAI関連だと整理した。AIによりゼロデイ発見の参入障壁が下がり、少額のトークンコストで発見可能になったほか、サプライチェーンではShai-Huludワームが1000超のオープンソースパッケージに感染し、487組織で1万4000件の認証情報を露出した。さらに中国系とされるグループがNotepad++更新基盤を6か月侵害し、エネルギー、金融、政府、製造を狙った。OTでは監視不足で侵害後の可視性が失われ、DFIRでは訓練や検証なしのAI利用が誤判定を招くと警告した。防御側には迅速なパッチ適用、自動化、AI防御、供給網の事前検証、OT可視化、そしてProtocol SIFTのようにAIは補助に限定し人が最終判断する運用が推奨された。

Blame Game: Why Public Cyber Attribution Carries Risks

Severity: 18/100

RSAC 2026のパネルでは、サイバー攻撃の帰属は確定的ではなく、通常は「可能性が高い」レベルの判断にすぎないと整理された。公開で特定の国家や犯罪組織を名指しすると、第三者を議論に巻き込み、反発や追加コメントを招くほか、攻撃の物語が長期化するリスクがある。逆に帰属を避けると、行為を黙認したと受け取られる可能性もある。例として、2017年のNotPetya攻撃では、ウクライナ発の被害が他国へ拡大し、ロシア国家系のSandwormに帰属された。保険請求でも戦争行為条項をめぐる争点が生じた。対応としては、即断での帰属よりも調査継続を明確にし、必要に応じて「コメントしない」か「調査中」と伝える方法が示された。

Microsoft Entra Tenant Governance: Secure and Manage Multi-Tenant Environments at Scale

Severity: 8/100

Microsoftは、M&AやシャドーITで増える未管理テナントが監視の死角を生み、MFAやConditional Access、特権保護が欠けたテナントから本番環境へ横展開され得ると指摘している。Microsoft Entra Tenant Governanceは、B2Bアクセス、マルチテナントアプリ、Microsoft billingの探索シグナルを用いて関連テナントを継続的に発見し、中央のガバニングテナントとの関係を申請・承認で確立する。さらに、セキュリティグループと組み合わせた最小権限の委任管理、JSON形式の構成ベースライン、スナップショット、定期監視による設定ドリフト検知を提供する。新規テナント作成時も、承認済みユーザーのみが作成でき、作成直後からガバナンス関係とMicrosoft billingの連携を付与する。

Citrix urges admins to patch NetScaler flaws as soon as possible

Severity: 86/100

CitrixはNetScaler ADCとNetScaler Gateway向けに2件の脆弱性を修正した。CVE-2026-3055は入力検証不備によるメモリ過読で、SAML identity provider構成のCitrix ADC/Gatewayに対し、権限のない遠隔攻撃者がセッショントークンなどの機微情報を窃取できる可能性がある。CVE-2026-4368はGatewayやAAA仮想サーバーでの競合状態により、低権限の攻撃者がセッションの混線を引き起こし得る。記事では、CVE-2026-3055がCitrixBleedおよびCitrixBleed2に類似するとされ、Shadowserverは公開中のNetScaler ADC 30,000超、Gateway 2,300超を追跡している。Citrixは該当バージョン13.1/14.1および13.1-FIPS/NDcPPの更新版を可能な限り早急に適用するよう強く促している。

Phishers Pose as Palo Alto Networks’ Recruiters for Months in Job Scam

Severity: 38/100

攻撃者は8月以降、Palo Alto Networksの採用担当者を装い、主にシニア層の求職者を狙うフィッシングを継続している。Unit 42によると、LinkedInから収集した経歴情報を使って個別最適化した文面と、企業ロゴ付きの署名で信頼を得た後、履歴書がATS要件を満たさないと偽って「監査上の障壁」を演出し、有料の履歴書整形サービスへ誘導する。請求額は400ドル、600ドル、800ドルの3段階で、短い期限を示して支払いを急がせる。攻撃者はフラッタリングやレビュー開始済みという主張で心理的圧力をかける。報告を受けたPalo Alto Networksは、通信停止、同社infosec宛てへの通報、LinkedInでのフラグ設定、関連アカウントのパスワード変更とMFA有効化を推奨している。

Introducing Wiz Workflows: Your path to building a self healing cloud

Severity: 1/100

Wizは、AI主導で複雑化するクラウド運用に対応するための新機能「Wiz Workflows」を発表した。これは脅威アクターや脆弱性を扱う記事ではなく、Wiz内でセキュリティ運用を自動化するための制御基盤の紹介である。Workflowsは、WizのSecurity Graphにあるタグ、Code-to-Cloudの所有権、Projects、Service Catalog、CMDBデータを活用し、Issue、Threat、Posture Issueを適切な担当者へ振り分ける。Multi-Step Workflows、Human-in-the-Loop、Agent-Led Workflowsを通じて、通知、Jiraチケット作成、承認、再スキャン、修復を連結できる。Exposed S3 bucketの通知例や、古いOSバージョンの修復例も示され、Public Previewとして全Wiz顧客に提供開始された。