2026Q2 サイバー攻撃関連

ここでは実際に2026Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2026Q1 サイバー攻撃関連はこちら

2025Q4 サイバー攻撃関連はこちら
2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2026/05/10

Hugging Face内の偽のOpenAIリポジトリがInfostealerを拡散

• blggpingcomputerより
• AIプラットフォームのHugging Face内で、偽のOpenAIレポジトリがOpenAIの「プライバシーフィルター」プロジェクトを装い、WindowsユーザーにInfostealerを配信していたようです。
• そのリポジトリは一時的にHugging Faceで1位を獲得し、24万4000回のダウンロードを記録したが、プラットフォーム側が通報を受けて削除したとのことです。

2026/05/09

Trelixでソースコード漏洩

• Trelixのブログはこちら
• Trellixのソースコードリポジトリへの攻撃は、RansomHouseによるものだった模様です。侵入の証拠としての画像がリークされているそうです(bleepingcomputer)。

Geforce NOWでデータ漏洩

• bleepingcomputerより
• NVIDIAのGeforce NOWでユーザのデータ漏洩があった模様です。Shiny Huntersが攻撃者のようです。

Lets Encryptで障害があった模様

Let’s Encryptで問題があったらしいです。

• https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/69fe2d6698ca07050eb4b1b3
• 関連ツイートはこちら
  • https://x.com/its_not_real/status/2052845193217405058

2026/05/06

教育テクノロジー大手InstructureがShinyHuntersによる攻撃を受ける

• bleepingcomputerより
• 教育テクノロジー大手InstructureをShinyHuntersが攻撃し、8,809の大学・学区・オンライン教育プラットフォームから、学生と職員に関する2億8,000万件の記録を盗んだと主張しているそうです。

学生が台湾の高速鉄道をハッキングし緊急ブレーキを作動

• bleepingcomputerより
• 台湾の23歳の大学生が、同国の高速鉄道網（THSR）で使用されているTETRA通信システムに干渉したとして逮捕されたそうです。学生は4月5日、ソフトウェア無線（SDR）通信と携帯無線機を用いて優先度の高い「一般警報」信号を送信し、緊急ブレーキを作動させることで、4本の列車を48分間停止させた模様。

2026/04/29

CheckmarxがLAPSUS$によるGitHubリポジトリ侵害を確認

• bleepingcomputerより
• Checkmarxは、LAPSUS$という脅威グループが、同社のプライベートGitHubリポジトリから盗んだデータを漏洩させたことを確認したそうです。
• そもそもTeamPCPによるTrivyへの攻撃から始まった形ですが、GitHubが侵害されて色々起きた模様です。ちょっと調べてみます（時間が取れないけど・・）

VimeoがAnodotで発生した情報漏洩の余波を受けてユーザデータ漏洩

• Vimeoのブログより
• Anodotの侵害の結果、 不正な第三者がVimeoのユーザーおよび顧客データの一部にアクセスしたことが判明しました。 調査の結果、アクセスされたデータベースには主に技術データ、動画のタイトルとメタデータ、顧客のメールアドレスが含まれている模様です。

VECT 2.0ランサムウェアは、大容量ファイルのデータ消去ツールとして機能

• bleepingcomputerより
• VECT 2.0ランサムウェアには暗号化ナンスの処理方法に問題があり、大きなファイルを暗号化するのではなく、永久に破壊してしまう可能性があるという研究が出ています。
• VECTの運営者はTeamPCPとの提携を発表したとのことなので、さらに面倒なことになりそうです。
• TeamPCPに関する情報はこちらやこちらに纏めています。

2026/04/27

Cisco製品にインストールされるFIRESTARTER Backdoor

• CISAのアドバイザリより
• CISAと英国国家サイバーセキュリティセンター（NCSC）は、リモートアクセスと制御を可能にするバックドアであるFIRESTARTERが、 CVE-2025-20333を悪用して高度な持続的脅威（APT）攻撃者がCisco Adaptive Security Appliance（ASA）ファームウェアへの初期アクセスを可能にした広範なキャンペーンの一部であると評価しています。
• こちらもどこかでまとめようと思います。

新たなBlackFileランサムグループが、急増するVishing攻撃に関与していることが判明

• bleepingcomputerより
• BlackFileと呼ばれる新たな金銭目的のハッキンググループが、2026年2月以降、小売業やホスピタリティ業界を標的としたデータ窃盗やVishing攻撃に関与していることが判明した模様です。
• BlackFileについては別途まとめる予定です。

攻撃者がTeamsを利用して新たなマルウェア「Snow」を拡散

• bleepingcomputerより
• UNC6692として追跡されている脅威グループが、ソーシャルエンジニアリングの手法を用いて、「Snow」と呼ばれる新しいマルウェアを展開しているそうです。
• Mandiantのブログで詳しく説明されています。

2026/04/23

詐欺電話をかける「Caller-as-a-Service」

• bleepingcomputerより
• 「Caller-as-a-Service」と呼ばれる、現代のサイバー犯罪における未開拓ながらも急速に進化している犯罪組織がある模様です。ただこれ、日本で言うところの「特殊詐欺」系のものなので、あまり目新しさがないようですが、ちょっとふかぼりしてみます。

RansomwareグループKyberがWindows上でポスト量子暗号化を悪用

• bleepingcomputerより
• Kyberランサムウェアグループが、最近の攻撃でWindowsシステムとVMware ESXiエンドポイントを標的にしています。そのうちの1つの亜種は量子暗号化のKyberを実装しているそうです。
• Kyberは、今後のサイバーセキュリティにおけるデファクトスタンダードとなることが確実視されており、特にクラウドやメッセージングサービスでの実装が急速に進んでいます。
• 攻撃する側のほうが新技術を使用することが多いのはわかっていますが、ポスト量子暗号までも先取りするとは・・という感じです。

CVE-2025-29635:MiraiキャンペーンがD-Linkデバイスを標的に

• Akamaiのブログより
• Akamai セキュリティインテリジェンスおよびレスポンスチーム(SIRT)CVE-2025-29635は、D-Link DIR-823Xシリーズルーターに対して、コマンドインジェクション脆弱性CVE-2025-29635が積極的に悪用されていることを確認しました。これらのデバイスは2025年に廃止されたが、脅威アクターはこの欠陥を利用してMiraiボットネットのバリエーションを展開しています。
• SIRTは、2026年3月にAkamaiのグローバルハニーポットネットワークにおいて、この活動を特定しました。

Appleが、削除した通知データが保持されるiOSのバグ(CVE-2026-28950)を修正

• bleepingcomputerより
• Appleサイトはこちら
• Appleは、削除対象としてマークされた通知がデバイス上に保存されたままになる可能性がある通知サービスの脆弱性(CVE-2026-28950)を修正した模様です。
• この脆弱性が関係しているかはわかりませんが、SignalによるとFBIの捜査があった時に「シャープの携帯電話からAppleの内部通知ストレージを通じて容疑者のメッセージが復元された。Signalは削除されていたが、受信通知は内部メモリに保存されていた」と メモには記されている そうです。

2026/04/21

セイコーUSAのウェブサイトが改ざんされ、ハッカーが顧客データ窃盗を主張

• bleepingcomputerより
• 週末にセイコーUSAのウェブサイトが改ざんされ、攻撃者によるメッセージが表示されたとんこと。メッセージには、Shopifyの顧客データベースを盗んだと主張し、身代金を支払わなければデータベースを漏洩すると脅迫する内容が書かれていたそうです。

中国のApple App Storeに仮想通貨窃盗ウォレットアプリが侵入

• bleepingcomputerより
• 中国のAppStoreにタイポスクワッティングや偽ブランドの使用など、複数の手法を用いて公式製品を模倣し、中国のユーザーを騙してダウンロードさせようとした模様です。

2026/04/20

NISTが方針を変更

• NIST Newsより
• 報告件数の増加に伴う業務量の増加のため、優先度の低い脆弱性に対するCVSSの割り当てを停止するそうです。
• 4月15日より、本サービスは、特定の基準を満たすセキュリティ問題のみを分析し、追加情報（深刻度評価、製品リストなど）を提供するようになります。
• 結構重大な発表ですが、まあ、そうなるだろうなという感じですね。NIST NVDの遅れが目立っているのと、AIがバリバリ脆弱性を見つけているのでCVE発行数は鰻登りなので・・
• こちらはどこかでまとめると思います。

Appleのアカウント変更通知に見せかけたフィッシングメール

• bleepingcomputerより
• Appleの標準的なセキュリティ通知のように見え、アカウント情報が更新されたと記載されているメッセージに見せかけたフィッシング詐欺が仕掛けられていた模様です。
• メールは下記のようになっており、電話番号にコールバックするとそこが詐欺のコールセンターになっている、というもののようです。電話番号しか書いていないのでSPAMフィルタに引っかかりにくい模様。

Vercel(Frontend Cloudプラットフォーム)がサイバー攻撃でデータ漏洩

• bleepingcomputerより
• クラウド開発プラットフォームのVercelが、攻撃者が同社のシステムに侵入してデータを盗んだというセキュリティインシデントを公表しています。

2026/04/17

ATHRという新しい攻撃プラットフォームではAI音声を詐欺に使用している模様

• abnormal.aiのブログより
• フィッシングメールに埋め込まれた番号にターゲットが電話をかけると、ATHRの電話レイヤーが通話を人間のオペレーターまたはAIエージェントにルーティングするそうです。
• あらかじめ設定されたプロンプトを使用して、プロのサポートスタッフを模倣するように、口調、アプローチ、ペルソナ、および行動を調整して音声で発信する模様。
• これは面白そうなので、どこかでまとめると思います。

2026/04/16

署名付きソフトウェアの悪用でアンチウイルスソフトが無効に

• bleepingcomputerより
• デジタル署名されたアドウェアツールが、SYSTEM権限で実行されるペイロードを展開しウイルス対策機能を無効化したことがわかっています。
• Huntressによると、アドウェアはDragon Boss Solutions LLCという会社によって署名されており、同社は「検索収益化調査」活動に関与し、ブラウザとしてラベル付けされているものの、複数のセキュリティソリューションによってPUP（潜在的に迷惑なプログラム）として検出される様々なツールを宣伝しているソフトとのことです。
• こちらは、どこかでまとめると思います。

2026/04/09

MacOSを標的に、「Script Editor」を利用したClickFix攻撃

• Jamfのブログより
• ClickFix攻撃ではWindowsのPowerShellを利用したり色々な方法が有りますが、MacOSを対象にして”applescript:// URL”にアクセスさせ、スクリプトエディタを開かせる方法が出たようです。

2026/04/08

Anodot社の情報漏洩が波及している模様

• bleepingcomputerより
• Snowflakeの顧客内で不審なアクティビティが観測されているそうですが、どうやらAnodot社の情報漏洩があり、そこから不審なアクティビティが増えている模様です。
• 他にも被害企業が増える可能性があります。

2026/04/06

MicrosoftがStorm-1175をMedusaランサムウェアグループと結びつける

• Microsoft Threat Intelligenceのブログより
• MicrosoftのThreat Intelligenceチームが、Storm-1175という名前で追っていた脅威アクターをMedusaランサムウェアグループと結びつけました。
• 後でブログでまとめる予定です。

交通違反詐欺が新たにQRコードを利用

• bleepingcomputerより
• ニューヨークの住民を標的としたフィッシングメッセージで、リンクをクリックすると「裁判所通知」の画像が表示され、そこのQRコードを読み込むとフィッシングサイトに飛ばされるそうです。個人情報とクレジットカード情報を入力する画面が表示され、そこで情報を抜かれる模様。
• 日本でもいずれ出回ってきそうです。

2026/04/03

Claude Codeのソースコードリークを装ったマルウェアが展開される

• Zscalerの記事より
• 先日のClaude Codeのソースコード漏洩問題に端を発し、GitHub上でも「これが漏洩したコードだ」というものが色々出ていますが、Vidarマルウェアが混入されているものがありそうです。
• Claude Codeのデータ漏洩情報が流れてきても、無視したほうが賢明です

2026/04/02

Googleドライブのランサムウェア検知保護機能が一般提供に

• Googleのサイトより
• Google Drive のランサムウェア検出およびファイル復元機能が一般提供開始されました
• 組織内のユーザーに対して、ランサムウェア検出はデフォルトで有効になっています。
• 管理コンソール > アプリ > Google Workspace > ドライブとドキュメントの設定 > マルウェアとランサムウェア に移動して、組織単位 (OU) レベルで有効または無効にすることができます。ユーザーに対してランサムウェアが検出された場合、管理者にはメールが送信され、アラートセンターにアラートが表示されます。
• ドライブファイルの復元は、デフォルトで有効になっています。管理者コンソール > アプリ > Google Workspace > ドライブとドキュメントの設定 > ドライブファイルの復元で、有効または無効を切り替えることができます。
• 検出アラートを有効にするには、ユーザーのコンピューターに最新バージョンのDrive for Desktop（v.114以降）をインストールしてください（古いバージョンでは同期は一時停止されたままです）。

Google Playで拡散されたAndroidマルウェア「NoVoice」が230万台のデバイスに感染

• bleepingcomputerより
• NoVoiceという新たなAndroidマルウェアがGoogle Playで発見されたそうです。感染したアプリを起動した後、マルウェアは2016年から2021年の古いAndroidの脆弱性を悪用して、デバイス上でルートアクセス権を取得しようとするそうです。新しいバージョンにアップデートしていれば問題なしですね
• McAfeeによると、この攻撃者は中国の北京や深圳など特定の地域ではデバイスへの感染を避けている模様です

2026/04/01

攻撃者がAxios npmパッケージを侵害、クロスプラットフォームマルウェアを拡散

• bleepingcomputerより
• 攻撃者が、週1億回以上ダウンロードされているJavaScript HTTPクライアントであるAxiosパッケージのnpmアカウントを乗っ取り、Linux、Windows、macOSシステムにリモートアクセス型トロイの木馬を送り込んだ模様です。
• TeamPCPの攻撃とは特徴が異なっており、おそらく違う攻撃者によるものと思われています。

Trivyへの侵害の影響でCiscoのソースコードが盗まれる

• bleepingcomputerより
• Ciscoの統合インテリジェンスセンター、CSIRT、およびEOCチームが、最近のTrivyの侵害事件で使用された悪意のある「GitHub Actionプラグイン」に関連する侵害を封じ込めたそうです。
• Trivyに関連する情報・TeamPCPに関する情報はこちらに纏まっています。