セキュリティニュース日報 2026-04-09

医療機器・ヘルスケアセキュリティ

Massachusetts hospital turning ambulances away after cyberattack

2026-04-09 02:18 JST ／ Health-ISAC ／ LOW

要約: マサチューセッツ州の大規模病院システムがサイバー攻撃を受け、救急車の受け入れ停止とダウンタイム手順の発動を余儀なくされた。Health-ISACのCSO Errol Weissは、医療セクターを標的とした悪意ある活動が「持続的かつ高水準で継続している」と述べた。

なぜ重要か: 医療機関へのサイバー攻撃が患者の物理的安全に直接影響を及ぼしており、ヘルスケアセクター全体への脅威水準の高まりをHealth-ISACが公式に認識している。

影響: 救急患者の受け入れ停止により、患者ケアの継続性が途絶。同様のインフラを持つ病院では、類似攻撃への即時対策が求められる。

次のアクション: インシデント対応計画（ダウンタイム手順）の定期訓練を実施し、EMR・ネットワーク分離体制を再確認する。Health-ISACからの脅威情報共有チャネルを最新状態に保つ。

脆弱性

Anthropic’s Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems

2026-04-08 18:16 JST ／ The Hacker News ／ HIGH

要約: AnthropicはAI脆弱性研究モデル「Claude Mythos」と「Project Glasswing」を発表。同モデルはOpenBSDの27年前のバグやFFmpegの16年前の脆弱性を含む数千件のゼロデイ欠陥を自律的に発見した。4つの脆弱性を連鎖させたブラウザ攻撃や、サンドボックス脱出も自律実行可能と評価された。

なぜ重要か: AI主導の脆弱性発見がエキスパート人間を超えるレベルに達し、攻撃者がAIを活用することで既存の脆弱性管理サイクルが追いつかなくなるリスクが現実化しつつある。セキュリティ業界全体のパラダイム転換を示す。

影響: 長年見過ごされてきたレガシーシステムの脆弱性が大量発覚する可能性があり、パッチ管理・優先順位付けの負荷が急増する。医療機器を含む組み込みシステムも対象となりうる。

次のアクション: AI駆動の脆弱性スキャンツールの導入検討を開始する。自社のレガシーシステム棚卸しを実施し、高リスクコンポーネントに対するパッチ適用計画を策定する。

US Disrupts Russian Espionage Operation Involving Hacked Routers and DNS Hijacking

2026-04-08 19:54 JST ／ SecurityWeek ／ MEDIUM

要約: FBIとDOJがAPT28（Forest Blizzard/Fancy Bear）によるグローバルスパイ活動を摘発。CVE-2023-50224を悪用してTP-LinkおよびMikroTikのSOHOルーターを侵害し、DNSハイジャックとAitM攻撃で120か国200以上の組織・5,000台の消費者デバイスから認証情報を窃取。インフラは「FrostArmada」として追跡されていた。

なぜ重要か: 国家支援アクターが一般的なSOHOルーターを踏み台として大規模なスパイ活動を展開しており、政府・軍・重要インフラだけでなく医療機関のネットワーク境界も危険にさらされうる。

影響: CVE-2023-50224の影響を受けるTP-Link/MikroTik機器を使用している組織は認証情報・メール・トークンの漏洩リスクがある。

次のアクション: CVE-2023-50224のパッチ適用状況を確認し、SOHOルーターのファームウェアを最新化する。DNSクエリの異常監視を強化し、dnsmasqの設定変更を検知する仕組みを導入する。

Hackers exploit critical flaw in Ninja Forms WordPress plugin

2026-04-08 07:03 JST ／ BleepingComputer ／ MEDIUM

要約: Ninja Forms File Uploadsプレミアムアドオンの重大脆弱性CVE-2026-0740（CVSS 9.8）が積極的に悪用中。ファイル種別検証とファイル名サニタイズの欠如により、未認証攻撃者が任意のPHPスクリプトをアップロード可能。パストラバーサルでwebroot配置後にRCE達成。1日3,600件以上の攻撃試行が観測されており、約90,000のインストールが対象（バージョン3.3.26以前）。

なぜ重要か: CVSS 9.8の未認証RCEは攻撃難易度が極めて低く、Webシェル設置による完全サイト乗っ取りが短期間で実行可能。医療機関のWordPressサイトや患者ポータルも対象となる。

影響: バージョン3.3.26以前のNinja Forms File Uploadsを使用するすべてのWordPressサイトでRCEリスクがある。

次のアクション: プラグインを最新バージョンへ即時アップデートする。アップロードディレクトリでのPHP実行を無効化し、WAFでファイルアップロードエンドポイントを保護する。

Iran-Linked Hackers Disrupt US Critical Infrastructure via PLC Attacks

2026-04-08 11:57 JST ／ SecurityWeek ／ MEDIUM

要約: CISA・FBI・NSAがイラン関連脅威グループCyberAv3ngersによる米国重要インフラへの攻撃を緊急警告。インターネット接続されたPLC（主にRockwell Automation/Allen-Bradley製）を標的に、プロジェクトファイルやHMI/SCADAディスプレイを操作して水道・廃水・エネルギー施設の運用を妨害。ChatGPTを偵察・脆弱性探索に使用。Handalaグループによるデータ消去作戦も進行中。

なぜ重要か: OT/ICSシステムへの直接攻撃がAIツール援用で高度化しており、水・エネルギーインフラと同様に医療機器や病院設備制御システムも同等の脅威にさらされる。

影響: インターネット接続されたRockwell AutomationのPLC・HMIを使用する組織は即時リスク評価が必要。

次のアクション: PLCをインターネットから隔離し、VPNや一方向ゲートウェイ経由のアクセスに限定する。HMI/SCADAのファームウェアを更新し、デフォルト認証情報を変更する。

TeamPCP Supply Chain Campaign: Update 007 - Cisco Source Code Stolen via Trivy-Linked Breach

2026-04-09 02:15 JST ／ SANS ISC Diary ／ MEDIUM

要約: GoogleによりUNC6780と正式指定されたTeamPCPキャンペーンが継続中。Trivyサプライチェーン侵害（CVE-2026-33634）を悪用し、悪意あるGitHub Actionプラグインを介してCiscoの開発環境を侵害、300以上のプライベートリポジトリとAWSキーを窃取。カスタムクレデンシャルスティーラー「SANDCLOCK」でSaaS環境を広範囲に侵害。ShinyHuntersが盗取データを利用しFBI・DHS等を標的に恐喝活動を展開中。

なぜ重要か: 開発ツールチェーン（Trivy、GitHub Actions）を起点とするサプライチェーン攻撃が大手企業の機密情報・クラウド認証情報の大規模流出につながっており、医療系SaaS・クラウドサービスのサプライチェーンリスクが高まっている。

影響: Trivyを使用するCI/CDパイプラインや、影響を受けたCisco・SaaSサービス利用組織は認証情報漏洩の可能性がある。

次のアクション: CVE-2026-33634に対するTrivyのパッチ適用を確認。GitHub ActionsのサードパーティAction使用を監査し、AWSキー・クラウドクレデンシャルをローテーションする。SANDCLOCK関連のIOCをSIEMに登録する。

CISA ICS Advisory / ICS Medical Advisory（2026年04月07日）

2026-04-08 09:30 JST ／ JVN 脆弱性情報 ／ MEDIUM

要約: 2026年4月7日（現地時間）、米国CISAがICS Advisory（産業制御システム）およびICS Medical Advisory（医療機器向け）を公表。

なぜ重要か: CISAの医療機器向けアドバイザリは、FDA承認済み医療機器の脆弱性情報を含む場合があり、医療機関のセキュリティ担当者は速やかな確認が必要。

影響: 対象の医療機器・ICS製品を使用している組織でパッチ適用や緩和策の実施が必要となる可能性がある。

次のアクション: CISAのアドバイザリ原文を確認し、自組織で使用するICS/医療機器との照合を行う。該当製品があれば製造業者への問い合わせとリスク評価を実施する。

RCE Bug Lurked in Apache ActiveMQ Classic for 13 Years

2026-04-08 23:30 JST ／ SecurityWeek ／ LOW

要約: Apache ActiveMQ Classicに13年間潜伏していたRCE脆弱性が発見・修正された。悪用には認証が必要だが、別の欠陥によりJolokia APIが認証なしで公開されており、組み合わせて悪用される可能性がある。

なぜ重要か: 医療や産業用途で広く使われるメッセージブローカーの長期潜伏脆弱性であり、複数の欠陥の連鎖で権限不要のRCEが現実的となる。

影響: Apache ActiveMQ Classicを使用するシステムでRCEリスク。特にJolokia APIが外部公開されている環境は即時対処が必要。

次のアクション: 修正済みバージョンへのアップデートを実施。Jolokia APIのアクセス制御設定を確認し、不要な場合は無効化する。

Evasive Masjesu DDoS Botnet Targets IoT Devices

2026-04-08 20:49 JST ／ SecurityWeek ／ LOW

要約: IoTデバイスを標的とする新型DDoSボットネット「Masjesu」が発見された。持続性を重視した設計で、ブラックリストIPや重要インフラを回避しつつ感染を広げる。広範な感染拡大よりも長期的な潜伏を優先する戦略をとる。

なぜ重要か: 医療機器を含むIoTデバイスが踏み台とされるリスクがあり、ブラックリスト回避機能により検知が困難。

影響: セキュリティ対策が不十分なIoTデバイスがDDoSボットネットに取り込まれる可能性がある。

次のアクション: ネットワーク上のIoTデバイスの棚卸しを実施し、不審な通信パターンの監視を強化する。デフォルト認証情報の変更とファームウェア更新を徹底する。

Data Leakage Vulnerability Patched in OpenSSL

2026-04-09 00:37 JST ／ SecurityWeek ／ LOW

要約: OpenSSLに7件の脆弱性が修正された。大半はDoS攻撃に悪用可能で、1件はデータ漏洩を引き起こす可能性がある。

なぜ重要か: OpenSSLは医療機器を含む幅広いシステムで使用されており、パッチ適用が求められる。

影響: 古いバージョンのOpenSSLを使用するシステムでデータ漏洩・DoSリスクがある。

次のアクション: OpenSSLを最新の修正済みバージョンへアップデートする。

CISA orders feds to patch exploited Ivanti EPMM flaw by Sunday

2026-04-09 03:15 JST ／ BleepingComputer ／ LOW

要約: CISAが米国政府機関に対し、1月から攻撃で悪用されているIvanti Endpoint Manager Mobile（EPMM）の重大脆弱性を4日以内（日曜日まで）にパッチ適用するよう指示した。

なぜ重要か: Ivanti EPMMは医療機関でのモバイルデバイス管理にも利用されており、既に攻撃に使われている点で即時対応が必要。

影響: Ivanti EPMMを使用する組織でモバイルデバイス管理システムへの不正アクセスリスク。

次のアクション: Ivanti EPMMのバージョンを確認し、CISAが指定するパッチを速やかに適用する。

APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies

2026-04-08 22:50 JST ／ The Hacker News ／ LOW

要約: APT28（Forest Blizzard/Pawn Storm）がウクライナおよびNATO同盟国を標的とした新たなスピアフィッシングキャンペーンで、未公開マルウェア「PRISMEX」を展開。高度なステガノグラフィー、COMハイジャック、正規クラウドサービスのC2悪用を組み合わせている。

なぜ重要か: 国家支援アクターによる高度な検知回避技術の進化を示しており、防衛産業・政府関連組織との取引がある医療機器メーカーも間接的なリスクを抱える。

影響: スピアフィッシングメールを入口とした高度持続的攻撃のリスク。

次のアクション: スピアフィッシング対策（メールフィルタリング強化・従業員教育）を見直す。COMオブジェクトの整合性チェックを検討する。

N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust

2026-04-08 16:47 JST ／ The Hacker News ／ LOW

要約: 北朝鮮関連の「Contagious Interview」キャンペーンがnpm・PyPI・Go・Rust・PHPエコシステムに1,700件以上の悪意あるパッケージを拡散。正規の開発ツールになりすましたマルウェアローダーとして機能する。

なぜ重要か: サプライチェーン攻撃の拡大が医療ソフトウェア開発パイプラインにも影響しうる。

影響: 影響を受けるパッケージを使用するソフトウェア開発環境でマルウェア感染リスク。

次のアクション: 使用するオープンソースパッケージの出所を確認し、SCA（ソフトウェアコンポジション分析）ツールによるスキャンを実施する。

New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy

2026-04-09 02:51 JST ／ The Hacker News ／ LOW

要約: Chaosマルウェアの新亜種が設定ミスのあるクラウド環境を標的とし始めた。従来のルーター・エッジデバイスに加えクラウドに標的を拡大し、SOCKSプロキシ機能を追加している。

なぜ重要か: クラウド移行が進む医療機関のクラウド環境でのインフラ乗っ取りリスクが高まっている。

影響: 設定ミスのあるクラウドリソースがボットネットに組み込まれる可能性がある。

次のアクション: クラウドリソースのセキュリティ設定（パブリックアクセス制限・認証強化）を見直す。

Google: New UNC6783 hackers steal corporate Zendesk support tickets

2026-04-09 06:46 JST ／ BleepingComputer ／ LOW

要約: 脅威グループUNC6783がビジネスプロセスアウトソーシング（BPO）プロバイダーを侵害し、高価値企業のZendeskサポートチケットを窃取する手口で複数セクターに侵入している。

なぜ重要か: サポートシステムへのアクセスは機密情報漏洩や後続攻撃のベクターとなりうる。

影響: BPOプロバイダーを通じたZendeskアクセスを持つ組織で情報漏洩リスク。

次のアクション: Zendesk等のサポートシステムへのアクセス権限を最小化し、BPOプロバイダーのアクセスログを監視する。

New macOS stealer campaign uses Script Editor in ClickFix attack

2026-04-09 03:55 JST ／ BleepingComputer ／ LOW

要約: macOSユーザーを狙ったAtomic Stealerマルウェア配布キャンペーンの新手口。ClickFix攻撃のScript Editorを悪用し、ユーザーにTerminalコマンドを実行させる。

なぜ重要か: macOSを業務利用する医療スタッフが標的となる可能性があり、認証情報・機密データの窃取につながる。

影響: macOSユーザーの認証情報・暗号資産・ブラウザデータ等が窃取されるリスク。

次のアクション: macOSユーザーへのソーシャルエンジニアリング手法の教育を強化。Script Editorからの不審なコマンド実行を監視する。

Threat Actors Get Crafty With Emojis to Escape Detection

2026-04-09 05:21 JST ／ Dark Reading ／ LOW

要約: 脅威アクターがC2通信やランサム交渉でフィルター回避のため絵文字を活用。「🤖」＝Bot利用可、「🧰」＝ツールキット、「💰💰💰」＝高額身代金などを意味するコードとして使用。

なぜ重要か: テキストベースのフィルタリングやシグネチャ検知を回避する新たな手法として普及しつつある。

影響: 既存のDLP・メールフィルタリングシステムが絵文字エンコードされた悪意あるコミュニケーションを見逃す可能性がある。

次のアクション: セキュリティツールが絵文字文字列を適切に処理・検査できるか確認する。

AI-Led Remediation Crisis Prompts HackerOne to Pause Bug Bounties

2026-04-09 04:47 JST ／ Dark Reading ／ LOW

要約: AI主導の脆弱性自動発見により報告件数が急増し、修正対応が追いつかなくなったことでHackerOneが一部のバグバウンティプログラムを一時停止した。発見がボトルネックから修正がボトルネックへと移行している。

なぜ重要か: AI脆弱性探索の普及により、組織の修正キャパシティが深刻に不足しつつある。医療機器や医療情報システムのベンダーも同様の課題に直面する可能性がある。

影響: バグバウンティプログラム参加組織でパッチ対応の遅延が増加する可能性。

次のアクション: 脆弱性修正のパイプラインと優先順位付けプロセスを見直し、修正キャパシティを強化する。

More Honeypot Fingerprinting Scans

2026-04-08 23:23 JST ／ SANS ISC Diary ／ LOW

要約: 攻撃者がハニーポットを識別する方法についての技術分析。攻撃者はハニーポットに接続していることを検知できるかという問いに対し、YESと答えている。ハニーポットフィンガープリンティングスキャンが増加中。

なぜ重要か: 防御側がハニーポットを置いていても、高度な攻撃者はそれを見破り、真の標的を優先して攻撃する可能性がある。

影響: ハニーポットによる欺瞞防御の有効性が一部の攻撃者に対して限定的になりうる。

次のアクション: ハニーポット実装の多様化・リアリズム向上を検討する。

Is a $30,000 GPU Good at Password Cracking?

2026-04-08 23:00 JST ／ BleepingComputer ／ LOW

要約: AI用高価格GPUはパスワードクラッキングで民生用GPUを大幅に上回らないことが検証された。攻撃者は特殊ハードウェアを必要とせず、弱いパスワードは安価な機材で十分解析可能。

なぜ重要か: パスワードクラッキングの敷居が高くないことを再確認。強力なパスワードポリシーとMFAの徹底が引き続き重要。

影響: 弱いパスワードポリシーを採用する組織のリスクが継続している。

次のアクション: パスワードポリシーを見直し（最低12文字以上・複雑性要件）、MFAを全アカウントで有効化する。

事故・インシデント

Hack-for-hire spyware campaign targets journalists in Middle East, North Africa

2026-04-09 01:38 JST ／ CyberScoop ／ LOW

要約: Access Now・Lookout・SMEXの共同調査により、インド政府関連疑いのグループ「Bitter」と「ProSpy」スパイウェアを使用したハック・フォー・ハイアーキャンペーンが中東・北アフリカのジャーナリストを標的にしていることが判明した。

なぜ重要か: 商業スパイウェアによる標的型攻撃が市民社会・報道機関を超え、医療・人権系NGOにも波及するリスクがある。

影響: ジャーナリスト・活動家・NGOスタッフのモバイルデバイスがスパイウェアに感染するリスク。

次のアクション: モバイルデバイスのセキュリティ診断（iVerify等）を実施し、機密取材・業務でのデバイス管理方針を強化する。

業界動向

Understanding and Anticipating Venezuelan Government Actions

2026-04-08 09:00 JST ／ Recorded Future Blog ／ LOW

要約: 2026年1月の米国によるマドゥロ拘束作戦後のベネズエラ政治情勢の詳細分析。代行大統領デルシー・ロドリゲスの移行戦略や米国との実用的な再関与、内部権力闘争、2026年有機炭化水素法改革と経済回復の見通しを検討。ラテンアメリカの地政学リスクと エネルギーセクター投資に関わる組織向けのインテリジェンス。

なぜ重要か: ベネズエラの政治的不安定はサイバー攻撃（特にHanldalaグループ等の活動）の地政学的背景となっており、エネルギー・医療分野への影響が考えられる。

影響: ベネズエラ・ラテンアメリカ地域に事業を持つ組織でのカントリーリスク評価に影響。

次のアクション: ラテンアメリカ地域の地政学的リスク評価を更新し、関連サイバー脅威インテリジェンスを監視する。

製品・サービス更新

Introducing the Child Safety Blueprint

2026-04-08 14:00 JST ／ OpenAI Blog ／ LOW

要約: OpenAIが子どもの安全のためのAIロードマップ「Child Safety Blueprint」を発表。セーフガード・年齢に適したデザイン・官民連携を含む、AI製品における未成年者保護の包括的枠組みを提示。

なぜ重要か: 医療・教育分野でAIを活用する製品開発において、年齢適切な設計ガイドラインとして参考になる。規制要件の先行指標としての価値がある。

影響: AI製品に未成年者向け機能を持つ組織での設計基準に影響する可能性。

次のアクション: 自組織のAI製品・サービスにおける子ども安全要件の適合状況を確認する。

本日のキーワード