2026Q1 サイバー攻撃関連

ここでは実際に2026Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q4 サイバー攻撃関連はこちら
2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2026/03/13

Interlockランサムウェア攻撃でAI生成Slopolyマルウェアが使用される

• bleepingcomputerより
• Slopoly と呼ばれる新しいマルウェアは、おそらく生成 AI ツールを使用して作成されたもので、脅威アクターが侵害されたサーバーに 1 週​​間以上留まっていました。
• IBM X-Force の研究者がスクリプトを分析し、大規模言語モデル (LLM) を使用して作成されたことを示す強力な兆候を発見しましたが、どの LLM を使用して作成されたかは特定できませんでした。
  

イングランドホッケーがAiLockランサムウェアの被害を受ける

• bleepingcomputerより
• イングランドのホッケー団体「イングランドホッケー」がAiLockランサムウェアに攻撃された模様です。
• 攻撃者は組織のシステムから129GBのデータを盗み出し、身代金が支払われない限り、まもなくファイルを公開すると発表しています。

2026/03/12

「PhantomRaven」キャンペーンによるnpmパッケージへのサプライチェーン攻撃

• bleepingcomputerより
• 2025年11月から2026年2月の間に発生し、50の使い捨てアカウントを通じて88のパッケージを配布したPhantomRaven攻撃が見つかったそうです。JavaScript 開発者から機密データを盗み出す悪意のあるパッケージです。
• PhantomRavenは、Remote Dynamic Dependencies（RDD）と呼ばれる検出回避手法を使用します。RDDでは、メタデータファイル「package.json」で外部URLへの依存関係を指定します。これにより、脅威アクターはパッケージに悪意のあるコードを埋め込む必要がなくなり、自動検査を回避できます。
• ちょっと面白そうなので後で掘ってみます。

2026/03/10

エリクソンUSのサービスプロバイダーが攻撃され、従業員・顧客のデータが盗まれた模様

• bleepingcomputerより
• スウェーデンのネットワーク・通信大手エリクソンの米国子会社エリクソン社は、攻撃者が同社のサービスプロバイダーの1つをハッキングし、従業員と顧客のデータを（人数は公表されていないが）盗んだと発表したそうです。

ShinyHuntersがSalesforce Auraのデータ盗難攻撃をまだ行っていると主張

• bleepingcomputerより
• ShinyHuntersが、新たなバグを悪用してSalesforceインスタンスからデータを盗み出していると主張しているそうです。

FBI、米国の市・郡の職員を装ったフィッシング攻撃を警告

• FBI Alertより
• FBIが、市や郡の職員を装って市や郡の計画およびゾーニング許可に対して不正な支払いを求める犯罪者による新たなフィッシング詐欺について、一般市民に警告しています。
• どこの国も同じ様なフィッシング詐欺がありますね。

Velvet TempestがClickFix攻撃やCastleRATなどを使用

• bleepingcomputerより
• Velvet TempestというRyuk/Revil/Conti/LockBitの系統に連なるランサムウェアグループによるClickFix攻撃などが流行っているようです。
• こちらはブログ記事にしようと思います。

2026/03/06

Wikipediaが自己増殖型のJavaScriptワームに襲われ、ページが破壊される

• bleepingcomputerより
• Wikimedia財団は本日、自己増殖型の JavaScript ワームが複数のWikiにわたってページを破壊し、ユーザー スクリプトを変更するというセキュリティ インシデントに見舞われました。

偽のOpenFlawインストーラーがMicrosoft BingのAIで宣伝される。Infostealerを展開

• bleepingcomputerより
• Microsoft Bing の AI機能によって宣伝されている偽の OpenClaw インストーラーが、Infostealerやマルウェアを展開するコマンドを実行するようにユーザーに指示していたそうです。

2026/03/05

ユーロポールによりTycoon2FAプラットフォームが押収

• bleepingcomputerより
• ユーロポールが調整する国際法執行活動により、毎月数千万件のフィッシングメッセージにリンクされている大手フィッシング・アズ・ア・サービス（PhaaS）プラットフォームである Tycoon2FA の一部が押収されました。
• Microsoftなどが協力したそうです。
• これはどこかで記事にする予定です

2026/03/04

OAuthリダイレクトの悪用によりフィッシングやマルウェアの配信が可能に

• Microsoftのブログより
• Microsoft Defenderの研究者は、正当なOAuthプロトコル機能を悪用し、URLリダイレクトを操作してメールやブラウザにおける従来のフィッシング対策を回避するフィッシング攻撃を発見したそうです。

CyberStrikeAI

• Team-Cymruのブログより
• Cyber​​StrikeAIはGo言語で構築されたAIネイティブのセキュリティテストプラットフォームです。100以上のセキュリティツール、インテリジェントなオーケストレーションエンジン、事前定義されたセキュリティロールによるロールベーステスト、専門的なテストスキルを備えたスキルシステム、そして包括的なライフサイクル管理機能を統合しています。
• 中国政府と何らかのつながりがあると評価される中国を拠点とする開発者によって開発されたオープンソースの人工知能（AI）攻撃的セキュリティツール（OST）と評価されています。
• GitHubレポジトリはこちら

Covwareから発表。ランサムウェアの身代金支払い率は減少

• Covwareのレポートはこちら
• 被害者がランサムウェア攻撃に払う支払い「率（％）」は減っているようです。
• ただし、被害総数は増えていることから、被害金額の「総額」は増えているというのが現状のようです。

2026/02/25

WynnリゾートがShiny Huntersの攻撃に

• bleepingcomputerより
• Shiny HuntersがWynnリゾートに対して「個人情報（社会保障番号など）と従業員データ」を盗んだと主張し、2026年2月23日までに連絡しなければデータが公開されると脅迫している模様です。

2026/02/24

ロシア語話者の脅威アクターがAI支援を受けてFortigate製品を攻撃

• AWSより
• Amazon Threat Intelligenceによると、2026年1月11日から2月18日までの55か国以上で、複数の商用生成AIサービスを活用して600台以上のFortiGateデバイスを取引するロシア語を話す人物による金銭的動機による脅威攻撃者の存在を確認したそうです。FortiGateの脆弱性の悪用ではなく、代わりに、単一要素認証によって管理ポートや弱い認証情報を悪用して成功していた模様です。

Arkanix Stealer がLLMによる開発支援を受けて登場

• bleepingcomputerより
• 2025年末に複数のダークウェブフォーラムで宣伝された「Arkanix Stealer」というinfostealerマルウェアですが、カスペルスキーの研究者が 、 Arkanix stealer を分析し 、LLM 支援による開発を示唆する手がかりを発見しました。これにより、「開発期間とコストが大幅に削減された可能性がある」とのことです。

2026/02/19

アドバンテストにランサムウェア攻撃

ニュースになっています。

2026/02/13

GTIGが、攻撃者がAIをあらゆるステージで使用しているというレポートを公表

• Google Threat Intelligenceのレポートより
• Google Threat Intelligence Group（GTIG）は、脅威アクターが攻撃ライフサイクルを加速させるために人工知能（AI）を更に統合し、偵察、ソーシャルエンジニアリング、マルウェア開発における生産性向上を実現していることを確認したとのことでレポートを更新しています。

ルーマニアの国営石油パイプライン会社SAがQilinの攻撃に

• bleepingcomputerより
• 先週のプレスリリースで同社はQilinが 同社のITインフラに侵入した が、業務には影響がなかったと発表しました。
• Conpet SAは2/12に最新情報を発表し、ルーマニア国家サイバーセキュリティ局（DNSC）と協力して捜査を行っていると述べています。

2026/02/12

北朝鮮の攻撃者UNC1069が新たなmacOS用マルウェアを使用

• Google Threat Intelligence (Mandiant)より
• 北朝鮮の攻撃者「UNC1069」が、AI生成ビデオとClickFix技術を使用して、暗号通貨系企業にmacOSとWindows向けのマルウェアを配信するキャンペーンを実行しているそうです。

偽の7-Zip配布サイトがマルウェアを拡散

• bleepingcomputerより
• 偽の7-Zip配布サイトが、ユーザーのコンピューターを住宅用プロキシに変えるトロイの木馬化されたインストーラーを配布しているそうです。

Conduent社にサイバー攻撃。Volvoがデータ侵害を発表

• bleepingcomputerより
• Volvo North Americaが顧客である米国のビジネスサービス大手コンデュエントのITシステムが侵害され、間接的なデータ侵害を受けたことを明らかにしました。

CrazyランサムウェアグループがSimpleHelpとNetMonitorを組み合わせて攻撃

• Huntressのブログより
• CrazyランサムウェアグループがSimpleHelpとNetMonitorを組み合わせたツールを展開して攻撃を行っている模様です。

2026/02/06

「WantToCry」でVMを用いた検出回避

• Sophosのレポートです。
• 後で別記事でまとめる予定です。

Zendeskサポートシステムを騙るフィッシングメール

• bleepingcomputerより
• Zendesk サポート システムを騙って「アカウントを有効化してください」とリクエストするフィッシングメールが大量に送られている模様です。気をつけましょう。

2026/02/05

EDRキラー。BYOVD攻撃で59種類のEDRの停止を狙う

• Huntressの記事より
• Huntressは、SonicWall SSLVPNの認証情報の侵害に対応したそうですが、侵入後に攻撃者は失効した証明書を持つ正規のGuidance Software（EnCase）フォレンジックドライバを悪用し、カーネルモードからセキュリティプロセスを終了させるEDRキラーを展開していました。59のEDRが狙われた模様です。

2026/02/04

Citrix Netscalerを狙ったスキャンが増加

• GreyNoiseより
• GreyNoiseが2026年1月28日から2月2日にかけて、GreyNoise Global Observation Gridは、Citrix ADC GatewayおよびNetscaler Gatewayに対する偵察キャンペーンを追跡しています。住宅用プロキシを噛ませてスキャンしてきている模様です。

2026/01/29

Operation Bizarre Bazaar。公開されたLLMエンドポイントが狙われている模様

• Pillar Securityのレポートより
• 「Bizarre Bazaar」とよばれる攻撃キャンペーンが展開されており、保護が弱い LLM インフラストラクチャ エンドポイントへ不正アクセスして次のような被害をもたらしている模様です。
  • 暗号通貨マイニング
  • ダークネット市場でAPIアクセスを再販
  • プロンプトや会話履歴からデータを盗む
  • MCPサーバーを介して内部システムに侵入
• 攻撃者はPort11434 上の保護の弱いOllamaエンドポイントや、Port 8000上のOpenAI互換 API、誰でもアクセスできるMCPなどを狙っている模様です。

FBIがRAMPダークウェブフォーラムを差し押さえた模様

• bleepingcomputerより
• FBIがRAMPダークウェブフォーラムを差し押さえた模様です。
• RAMPについてはこちらのブログで解説しています。

Moltbot(旧Clawdbot)、気をつけないと情報が漏れる模様

• bleepingcomputerより
• Moltbot (旧Clawdbot) の企業環境で、展開に気をつけないとAPI キー、OAuth トークン、会話履歴、資格情報が漏洩する可能性があることが指摘されています。
• Moltbot はローカルで 24 時間 365 日実行でき、永続的なメモリを維持し、アラートやリマインダーのためにユーザーに積極的に連絡したり、スケジュールされたタスクを実行したりすることができます。
• Moltbot を不注意に導入すると、チャットボットの権限やホスト上のアクセス レベルに応じて、機密データの漏洩、企業データの露出、資格情報の盗難、コマンドの実行につながる可能性があるという警告がセキュリティ研究者から出ています。リバースプロキシの設定ミスにより、数百ものClawdbot Controlの管理インターフェースがオンラインで公開されているとのことです。

eScan AntiVirusのアップデートサーバが侵入され、悪意のあるアップデートがプッシュされる

• bleepingcomputerより
• MicroWorld Technologies 社製のeScan Antivirusで、今月初めに同社の更新サーバーの 1 つが侵入され、悪意のある不正な更新を少数の顧客に配布したことが確認されたそうです。1/20に判明したそうです。
• eScan によれば、影響を受けた顧客に対しては個別に修復策が提供されているとのことです。

2026/01/28

NikeがWorld Leaks Ransomwareグループによる攻撃を調査

• bleepingcomputerより
• NikeはWorld Leaksランサムウェアグループが1.4TBのデータを盗んだと主張している件について調査を行っている模様です。

2026/01/27

CloudFlareの01/22のBGPルートリークについて

• CloudFlareブログより
• 01/22/2026に自動ルーティングポリシーの設定エラーによりBGPルートリークが発生したそうです。

Microsoft App-VがClickFix攻撃に使われる

• bleepingcomputerより
• Amatera インフォスティールマルウェアのキャンペーンで、Microsoft Application Virtualization (App-V)を使用するClickFix攻撃が観測されているそうです。

2026/01/23

Zendeskが悪用されSPAMメッセージを送信

• bleepingcomputerより
• 正規企業のZendeskサポートシステムからSPAMが送信され、DropBoxや2Kなど複数の企業がスパム攻撃の影響を受けている模様です。

2026/01/22

LastPassを装ったフィッシングメール

• bleepingcomputerより
• LastPassを装ったフィッシングメールが出回っているそうです。バックアップを今すぐ作成するように誘導し、リンクをクリックさせてパスワードを入力させることで、パスワードを窃取するのが目的のようです。

2026/01/21

VoidLinkマルウェア。AIにより作成されたマルウェア

• CheckPointのリサーチブログより
• AIにより作成されたマルウェアとみられる「VoidLink」マルウェアの続報が上がっています。後で記事にする予定です。

PDFSiderマルウェア。複数のランサムウェアグループにより使用

• bleepingcomputerより
• 金融分野のフォーチュン 100 企業を標的としたランサムウェア攻撃者が、PDFSider と呼ばれる新しいマルウェアを使用して、Windows システムに悪意のあるペイロードを配信しました。
• PDFSiderはDLLサイドローディングを使ってコード実行を行うようです。

2026/01/15

Microsoft Copilot セッションに侵入し、機密データを盗み出すコマンドを発行できる”Reprompt”

• Varonis社のブログより
• ワンクリックで個人データを盗むMicrosoft Copilot攻撃「Reprompt」が発見されました。
• この問題は2026年1月のPatch Tuesdayで修正されたということです。

韓国のKyowon Group (Kyowon)がランサムウェア攻撃に

• bleepingcomputerより
• 韓国の複合企業Kyowonは、サイバー攻撃により業務停止と顧客情報が漏洩した可能性があることを明らかにしました。
• 同社は今週初め、自社のシステムがランサムウェア攻撃の標的になったとみられることを最近知ったと声明を発表したそうです。

2026/01/14

LinkedInのコメントリプライを利用した新たなフィッシング詐欺

• bleepingcomputerより
• LinkedIn の投稿に、LinkedInプラットフォームから発信されたように見える偽の「Reply」コメントを大量に送りつけ、ユーザーに偽のポリシー違反を警告し、外部リンクにアクセスするよう促すというフィッシング詐欺が見つかっているようです。LinkedIn のロゴを付けて説得力を増している模様。

新しいVoidLinkマルウェアフレームワークがLinuxクラウドサーバーを標的に

• bleepingcomputerより
• 新たに発見された高度なクラウドネイティブ Linux マルウェア フレームワーク「VoidLink」はクラウド環境に重点を置いており、最新のインフラストラクチャ向けの攻撃ツールを提供しているそうです。

2026/01/13

ハワイ大学がんセンターがランサムウェア攻撃を受ける

• bleepingcomputerより
• ハワイ大学は、2025年8月にランサムウェアグループが同大学のがんセンターに侵入し、社会保障番号が記載されたデータを盗んだと報告しました。

2026/01/12

BreachForumsのハッキングフォーラムデータベースが漏洩、324,000件のアカウントが公開

• bleepingcomputerより
• ダークウェブで悪名高い「BreachForums」でデータ侵害が発生し、ユーザーデータベースのテーブルがオンラインで漏洩しました。
• BreachForums は、盗んだデータの取引や販売などで使用されるハッキングフォーラムです。
• ShinyHuntersの公開サイトで、breachedforum.7z という名前のアーカイブが公開されました。ただし、ShinyHuntersはこのアーカイブ公開サイトとは関係ないと主張している模様です。

2026/01/09

複数のCiscoスイッチが数分ごとに再起動するループに陥る

• bleepingcomputerより
• 複数の Cisco スイッチ モデルで、致命的な DNS クライアント エラーが記録された後に突然再起動ループが発生している模様です。
• bleepingcomputerによると、下記のログが出るらしいです。
• DNS_CLIENT - SRCADDRFAIL - Result is 2. Failed to identify address for specified name 'www.cisco.com.', requested addr type 2. ***** FATAL ERROR ***** Reporting Task: DNSC. [debug data] ***** END OF FATAL ERROR *****

2026/01/07

IABのZestixがクラウドストレージを標的にしている模様

• HudsonRockのブログより
• IAB(初期アクセスブローカー)のZestixが、ShareFileやNextCloudでMFAを有効にしていないアカウントを標的にしてストレージに侵入してデータを盗んでいる模様です。

Kimwolfボットネットが住宅用プロキシネットワークを使って広がる

• bleepingcomputerより
• Aisuru マルウェアの Android 版である Kimwolf ボットネットが、200 万以上のホストにまで拡大しているそうです。どうやら住宅用プロキシネットワークの脆弱性を悪用して、家庭内のデバイスを標的にすることで感染を広げている模様です。
• セキュリティ企業のSynthientが、Port 5555/5858/12108/3222 をターゲットとして、プロキシを通じて公開されている認証されていないADB(Android Debug Bridge)サービスのスキャン活動が増加していることを確認しました。これがKimwolfボットネットがデバイスを感染拡大の標的にしている活動のようです。

2026/01/06

USブロードバンドプロバイダのBrightspeedがCrimson Collectiveによる攻撃を受ける

• bleepingcomputerより
• 米国最大の光ファイバーブロードバンド会社の一つであるBrightspeedが、Crimson Collectiveによるセキュリティ侵害とデータ盗難にあった模様です。

BSOD(Blue Screen Of Death)を模倣してClickFix攻撃を仕掛けるマルウェア

• Securonixのブログより
• 偽のBooking.comページから偽の「ブルースクリーン」（BSOD）アニメーションが表示され、Windowsの「ファイル名を指定して実行」ダイアログに悪意のあるスクリプトを貼り付けて問題を「修正」するよう促される様です。気をつけましょう。

2026/01/05

• Checkpointブログより
• Google Cloud Application Integration（GCP）を悪用し、Googleが生成した正規のメッセージを偽装した悪意のあるメールを配布するフィッシングキャンペーンが行われている模様です。このメールは、信頼できるGoogleインフラストラクチャから送信されたように見せかけ、ボイスメールのアラートやファイルへのアクセスや権限のリクエストといった企業の日常的な通知を模倣することで、受信者には正常で信頼できるメールのように見せかけます。