MENU
お問い合わせ

  1. ホーム
  2. セキュリティレポート
  3. セキュリティレポート 2026/4/1

セキュリティレポート 2026/4/1

セキュリティレポート

「信頼しているシステムやツールが、実は予期せぬリスクを抱えていた」という事態は、日常の安心が足元から揺らぐような心細さを感じさせます。

今週はF5やCitrixといったインフラの要から、開発現場で広く使われるライブラリまで、私たちの「当たり前」を突くような事案が相次ぎました。

利便性の裏側に潜む死角を放置せず、組織の守りを再確認するために必要な、今週のセキュリティ動向をお届けします。

■ 今週のエグゼクティブサマリー

2026年4月第1週は、ネットワーク機器(F5およびCitrix)の脆弱性を狙った活発な悪用が複数報告されており、特に注意が必要です。

これらはリモートからシステムを完全に制御される(RCE)、あるいは機密情報が盗み取られるという点で非常に危険性が高いです。

また、開発者が利用するライブラリを汚染するサプライチェーン攻撃(Axios等)も活発化しており、国内では日本医科大学武蔵小杉病院におけるランサムウェア被害により約13万件の患者情報が漏洩するインシデントも報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ F5 BIG-IP Access Policy Manager (APM) のリモートコード実行の脆弱性

  • CVE-2025-53521 (CVSSスコア: 記載なしだが、Critical/RCEとして評価): 以前はサービス拒否(DoS)の脆弱性とされていましたが、認証なしでリモートからコードが実行される(RCE)リスクがあることが判明しました。既に野外で積極的に悪用が確認されており、米CISAの「悪用が確認されている脆弱性(KEV)カタログ」にも追加されました。
  • 影響: F5 BIG-IP Access Policy Manager (APM) を使用している環境。
  • 対策: メーカーから提供されているパッチを速やかに適用し、機器が既に侵害されていないか侵害調査を実施してください。
  • 詳細情報URL: http://www.scmagazine.com/news/f5-big-ip-apm-dos-bug-exploited-as-an-rce-added-to-cisa-list

■ Citrix NetScaler ADC および Gateway の情報漏洩の脆弱性

  • CVE-2026-3055 (CVSSスコア: 記載なしだが、High/Criticalとして評価): メモリの境界外読み取りに起因し、認証された管理者のセッションIDを盗み取られたり、機密情報が漏洩したりする恐れがあります。既に攻撃者によるスキャンや悪用が試みられており、CISAも早急な対応を求めています。
  • 影響: Citrix NetScaler ADC および NetScaler Gateway。
  • 対策: 修正済みソフトウェアへのアップグレードを強く推奨します。
  • 詳細情報URL: http://www.scmagazine.com/news/citrix-netscaler-adc-bug-added-to-cisa-list-of-known-exploits

【その他の脅威の動向】

人気ライブラリ「Axios」へのサプライチェーン攻撃によるマルウェア拡散

週に1億回以上のダウンロードを記録する人気のJavaScriptライブラリ「Axios」のnpmアカウントが乗っ取られ、悪意のあるバージョンが公開されました。この不正なパッケージをインストールすると、Windows、macOS、Linuxで動作する遠隔操作ウイルス(RAT)が実行される仕組みになっていました。現在は正規のバージョンに差し替えられていますが、開発現場においては依存関係にあるパッケージの整合性を再確認することが急務です。

国内病院でのランサムウェア被害:保守用VPNが侵入経路に

日本医科大学武蔵小杉病院において、ランサムウェア攻撃による約13万件の患者個人情報の漏洩が判明しました。侵入経路は保守用のVPN装置の脆弱性であったと報告されています。ナースコールシステムへの攻撃から電子カルテの情報を含むサーバーまで被害が拡大しており、セキュリティ対策を外部業者に任せきりにせず、自組織のシステム仕様やリスクを把握することの重要性が浮き彫りになりました。

AIツール「Claude Code」のソースコードが一時的に一般公開される失策

Anthropic社は、人為的なミスにより、AIコーディングツール「Claude Code」のソースコードがnpm上で公開されたことを認めました。公開されたコードは瞬く間にネット上に拡散されています。ソースコードの露呈は、ツール自体の脆弱性を攻撃者に探られるリスクを高めるため、同ツールを使用している組織は今後のアップデート情報に細心の注意を払う必要があります。

最後に

今週は特に、「信頼していたネットワーク機器や開発ツールが攻撃の踏み台にされる」という傾向が目立ちました。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、適切なセキュリティ対策(パッチ適用やVPNログインの監視強化など)を講じていただくようお願いいたします。

(文中のURLは古い場合がございます。)

最新記事一覧

MPSのメディア

note

弊社エンジニアの活動報告やインタビューなどを掲載しているブログです。

noteを見る

各種SNSも運用しています。以下のボタンよりご覧ください。

Facebook
Linkdin
セキュリティレポート