セキュリティレポート 2026/4/8
「窓をしっかり施錠したつもりでも、意外な隙間を突かれるような」巧妙な攻撃が、今週も国内外で確認されています。
お使いのルーターや管理サーバーが知らないうちに「侵入の足がかり」にされていないか、あるいは利便性の高いAIツールの裏側にリスクが潜んでいないか、今一度注意を払う必要がありそうです。
貴社のIT資産を安全に保つための具体的な対策をまとめましたので、ぜひ最後まで目を通していただければ幸いです。
■ 今週のエグゼクティブサマリー
2026年4月第2週は、FortinetやFlowiseなどの製品における深刻な脆弱性の悪用が複数報告されており、特に注意が必要です。
これらはリモートでのコード実行(RCE)を可能にするという点で、システムの完全な制御権を奪われる非常に危険性が高いものです。
また、ロシアのAPT28(Fancy Bear)によるルーターのハイジャック活動も活発化しており、国内でも福岡銀行における情報漏洩や、九州電子・メディカ出版へのランサムウェア攻撃などのインシデントが多数報告されました。
【最重要】直ちに確認すべき脆弱性と対策
今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。
■ Fortinet FortiClient EMSの不適切なアクセス制御
- CVE-2026-35616 (CVSSv3.1: 高): エンドポイント管理製品の脆弱性に起因し、未認証の攻撃者がリモートから任意のコードを実行できる恐れがあります。既に野外での悪用が確認されており、米CISAも「既知の悪用された脆弱性(KEV)」カタログに追加して緊急の対応を求めています。
- 影響: FortiClient Endpoint Management Server (EMS)
- 対策: ベンダーが提供するホットフィクスまたは修正版パッチを速やかに適用してください。
■ FlowiseのJavaScriptコード検証不備
- CVE-2025-59528 (CVSSv3.1: 10.0 CRITICAL): ユーザーが提供するJavaScriptコードの検証が不適切なことに起因し、攻撃者が任意のコードを実行し、ファイルシステムへアクセスする恐れがあります。既に攻撃の標的となっており、最高レベルの警戒が必要です。
- 影響: Flowiseの該当するバージョン
- 対策: 最新の修正済みソフトウェアへのアップグレードを強く推奨します。
【その他の脅威の動向】
■ ロシア系ハッカー「APT28」によるルーターを標的としたサイバー攻撃
ロシア軍参謀本部情報総局(GRU)に関連する「APT28(別名:Fancy Bear)」が、家庭用や小規模オフィス用(SOHO)のルーターをハイジャックするキャンペーンを展開しています。脆弱なルーターを悪用してDNS設定を書き換え、フィッシングサイトへの誘導や、パスワード、認証トークンの窃取を行っています。既に世界中で5,000以上のデバイスが影響を受けているとされ、ルーターのファームウェア更新とパスワード管理の徹底が求められます。
■ 国内組織を狙ったランサムウェア攻撃と個人情報漏洩事案
今週、国内では複数の重大なインシデントが報告されました。九州電子の台湾子会社や、医学出版のメディカ出版がランサムウェア攻撃を受け、業務に遅延や影響が出ています。また、福岡銀行では、メットライフ生命からの出向者が顧客情報を無断で取得・漏洩させる事案が発生しました。内部不正や委託先を起点とした攻撃への対策再点検が必要です。
■ AIエージェントの安全性とソースコード漏洩リスク
Anthropic社のAI開発ツール「Claude Code」において、誤ってソースマップが混入したことでソースコードの一部が露出する事案が発生しました。また、同社は数千の深刻な脆弱性を発見できる強力なAIモデル「Claude Mythos」の開発を公表しましたが、攻撃に悪用される危険性が高いため一般公開を見合わせています。AI技術の利便性が高まる一方で、AI自体を標的とした攻撃やAIによる攻撃の高度化という新たなリスクが顕在化しています。
最後に
今週は特に、公開されている重要なIT資産の脆弱性を突く攻撃や、ルーターなどの境界機器を狙った侵入が目立ちました。
また、国内でのランサムウェア被害や内部不正による情報漏洩も止まっておらず、組織的な対応能力が問われています。
貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、パッチの適用やパスワードの強化、アクセス権限の見直しなど、適切なセキュリティ対策を講じていただくようお願いいたします。
