< back to blog

セキュリティブリーフィング:2026 年 2 月

清水 孝郎
セキュリティブリーフィング:2026 年 2 月
Published by:
清水 孝郎
@
linkedin
セキュリティブリーフィング:2026 年 2 月
@
linkedin
セキュリティブリーフィング:2026 年 2 月
Published:
March 4, 2026
Table of contents
シスディグによるファルコフィード

Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。

さらに詳しく

本文の内容は、2026年3月4日にCrystal Morin が投稿したブログ(https://www.sysdig.com/blog/security-briefing-february-2026)を元に日本語に翻訳・再構成した内容となっております。

AIの問題が注目を集めています

AIは2月に単に話題になっただけではなく、その話題を完全に独占しました。バイラルなエージェント型プラットフォームから、侵害されたエージェント、AIを活用した攻撃に至るまで、人工知能が世界的な議論を支配しました。さらに、MoltbookやMoltroadのようなものを通じて、エージェント型AIの「コミュニティ」も広がりを見せています。これは、全盛期のMyspaceやFacebookのようなものですが、HTMLははるかに少ない形です。

しかし、AIの問題が私たちの関心を引きつけている間にも、攻撃者たちは脆弱性や弱い認証情報を悪用することに忙しくしていました。ですから、確かにAIについて多く語ることにはなりますが、注目すべき脅威はそれだけではありません。

2月6日: BeyondTrustの脆弱性と、現代におけるエクスプロイトの武器化のスピード

  • CVE-2026-1731は、BeyondTrust Remote Support製品における認証前のリモートコード実行の重大な脆弱性です。
  • リサーチャーによってこの脆弱性が公開されてから数時間以内に、PoCおよび実際の悪用が確認されました。
  • その1週間後、この脆弱性はゼロデイとして再分類され、BeyondTrustは攻撃が1月31日に開始されたと発表しました。
  • 同時に、CISAは連邦機関に対し、この脆弱性を修正するための期限をわずか3日間しか与えませんでした。
  • 2月20日には、この脆弱性がランサムウェア攻撃で使用されていることが報告されました。

2月17日: AIレコメンデーションポイズニング

  • Microsoftは研究を発表し、「AI Recommendation Poisoning(AIレコメンデーションポイズニング)」という新しい用語を提唱しました。
  • 正当な組織によって使用されているこのAIハイジャック技術は、SEOポイズニングと類似しています。
  • 検索エンジンのランキングを操作する代わりに、企業は隠された指示を用いてバイアスを導入し、その結果としてAIが生成する要約を自社に有利になるように影響させています。
  • これは、AIシステムのトレーニングデータの完全性に警鐘を鳴らすものであり、透明性と信頼を曖昧にしています。

2月: AIに関するあらゆること

  • サプライチェーン侵害:侵害されたトークンにより、オープンソースのAI搭載コーディングアシスタントであるCline CLIに意図しないアップデートが行われました。2月17日、Cline CLI v2.3.0のリリースにより、8時間の間に開発者のシステムへOpenClawがひそかにインストールされました。プロジェクトの開発者は、このインストールは承認されたものでも意図されたものでもなかったと述べています。
  • エージェントを標的とするインフォスティーラー:2月16日、インフォスティーラーマルウェアVidarの亜種が、被害者のOpenClaw環境から設定ファイル、トークン、APIキーを流出させていたと報告されました。これは、AIのアイデンティティを保護することの重要性を強く示しています。
  • ClawHubマーケットプレイスに存在する悪意のあるスキル:DockerHubやGitHub上の悪意のあるパッケージと同様に、2月初旬、リサーチャーは監査されたスキルの8〜12%にバックドアや認証情報窃取などが含まれていることを発見しました。オープンソースの機能を利用する前には、信頼すると同時に必ず検証してください。
  • OpenClawにおける深刻度の高いRCE脆弱性:2月1日、リサーチャーはCVE-2026-25253により、被害者が悪意のあるリンクをクリックしてから数秒以内にリモートコード実行(RCE)が可能になると発表しました。被害者のトークンは攻撃者が所有するサーバーに送信され、攻撃者は被害者のOpenClawインスタンスにログインしてデータにアクセスし、さまざまな操作を実行できます。クリックするリンクには注意し、常にキーやトークンをローテーションしてください。
  • 大規模なAI主導の攻撃:AWSによると、2月23日、管理ポートの公開や弱い認証情報、アイデンティティ管理の不備により、600台以上のFortinet FortiGateデバイスが侵害されました。攻撃者はAIを使用して、55か国にわたる設定不備のあるデバイスを計画、管理、拡大しました。AIは引き続き、機会的な攻撃キャンペーンのハードルを下げています。

Sysdig TRT のその他の調査結果

Sysdig Threat Research Team(TRT)は2月11日にブログを公開し、AIが攻撃のキルチェーンをいかに劇的に短縮できるかを示しました。わずか8分で、攻撃者は初期アクセスから管理者権限の取得まで到達しました。アクセスを得た後、攻撃者は機密データを流出させ、LLMjacking攻撃を開始することができました。

このブログには、攻撃で使用されたTTPに対するいくつかの緩和策が含まれており、この種の脅威から保護するためにSysdig Secureの顧客が使用すべきルールも紹介されています。

関連ニュース

欧州委員会は攻撃に正しく対応:欧州委員会は2月5日、自らのインフラの一部に対する攻撃に関するプレスリリースを発表しました。職員の氏名や携帯電話番号が漏えいする可能性のあったサイバー攻撃は阻止されました。迅速な対応により、インシデントは封じ込められ、9時間以内にシステムは復旧しました。同じキャンペーンにより、オランダのデータ保護機関や司法評議会、フィンランド財務省を支援する機関など、他のEUの組織も影響を受けた可能性が高いとされています。

フランスで盗まれた認証情報が大規模な情報漏えいを引き起こす:フランス財務省は2月18日、国家銀行口座登録簿(FICOBA)から最大120万件(全記録の1.5%)の口座に関する機密銀行データが漏洩した可能性についてプレスリリースを発表しました。1月末、脅威アクターが特権を持つ従業員の認証情報を使用し、フランスの銀行で開設されたすべての銀行口座の一覧を含むファイルにアクセスしました。FICOBAは2月27日時点でもオフラインのままであり、調査は継続中です。

AnthropicはセキュリティにおけるAI活用を推進:2月20日、AnthropicはAIを活用した脆弱性修復を促進することを目的としてClaude Code Securityを発表しました。ただし実際には、多くのテック株を急落させる結果にもなりました。しかし真面目な話として、AIを利用したエクスプロイトのスピードに対応するためには、これがサイバー防御の進むべき方向です。Sysdig Sage™も同様のことを実現しています。

まとめ

AIは攻撃を加速させ、キルチェーンを短縮し、参入のハードルを下げていますが、セキュリティの基本を置き換えるものではありません。これまでと同じ弱点が、依然として組織の侵害につながっています。注目に目を奪われないでください。露出を最小化し、認証情報の管理に取り組み、アイデンティティの衛生状態を改善し、トークンをローテーションし、パッチやその他の緩和策を適用してください。私たちが長年知っているすべてのセキュリティのベストプラクティスは依然として有効であり、AI時代においても最終的な結果を決めるのは私たちの行動です。

CISOコーナー

By: Conor Sherman, Sysdig CISO in Residence

指標 / タイムライン 説明
8分 初期アクセス → 管理者権限の取得(Sysdig TRT)
24時間以上 CVE公開 → 実際の悪用の確認(BeyondTrust)
8–12% バックドアまたは認証情報窃取を含むClawHubのAIスキル
600以上 AI支援キャンペーンにより55か国で侵害されたFortinetデバイス

Shadow AIはShadow ITよりも強力です。

Shadow ITはデータを承認された環境の外へ移動させました。Shadow AIはそれらに特権アクセスを拡張します。従業員のノートPC上のエージェントプラットフォームは、APIキー、トークン、本番システムへのライブ接続を保持しています。そしてこれまで、それらの特権操作は、チームが監視・管理できる承認済みのSaaSアプリや本番環境に紐づけられていました。その境界はすでに失われています。現在の攻撃対象領域には、好奇心からエージェント型AIツールをインストールしたすべてのノートPCが含まれます。

今月の時点で、このリスクは明確になっています。Vidarの亜種がOpenClaw環境から直接トークンとAPIキーを収集しました。Sysdig TRTは、それらの認証情報を手に入れた攻撃者が、8分で管理者アクセスに到達できることを示しました。また、監査されたClawHubスキルの8〜12%にバックドアや認証情報窃取機能が含まれていました。これは例外的なリスクではなく、あなたのチームが実際に利用しているサプライチェーンにおける、基準レベルの汚染率です。

もしAIツールが資産インベントリに含まれていないのであれば、それはあなたの盲点に存在しています。

エクスプロイトのウィンドウは現在、数時間です。パッチサイクルだけでは十分ではありません。

BeyondTrustのCVE(2026-1731)は、PoCの公開から24時間以内にすでに悪用されており、GreyNoise、watchTowr、Arctic Wolfによって独立して確認されました。ランサムウェアでの利用は、その3週間以内に続きました。脅威アクターはAIを利用して公開された情報をスキャンし、脆弱性管理プログラムが対応できるよう設計された速度よりも速く武器化しています。

可能な限り、できるだけ迅速にパッチを適用してください。しかし本当に問うべきなのは「どれだけ早くパッチを適用できるか?」ではありません。「パッチが間に合わなかったとき、私たちのセキュリティ態勢はどうなっているのか?」です。リアルタイム検知こそが、進行中の悪用を捉えることと、後になって公開情報として読むことになるかの違いを生みます。

基本は変わっていませんが、リスクはより高まっています。

セキュリティの基本 2026年2月の事例
アイデンティティの衛生管理と最小権限 弱い認証情報と公開された管理ポートにより600台以上のFortinetデバイスが侵害。Sysdig TRTは、AI支援の自動化によって初期アクセスから8分で管理者権限へ到達したことを確認。
AI資産のインベントリとガバナンス Cline CLIのサプライチェーン侵害(2月17日)。ClawHubのようなプラットフォーム上のAIエージェントスキルの8〜12%にバックドアまたは認証情報窃取機能が含まれていることが判明。
トークンおよびキーのローテーション Vidarインフォスティーラー(v2.0)は、ローカルAIツール環境(OpenClaw / Moltbot)から設定ファイルやAPIキーを収集することを目的として作られている。
事後的パッチ対応ではなく能動的防御 BeyondTrust(CVE-2026-1731)はPoC公開から24時間以内に悪用。GreyNoise、Unit 42、watchTowrにより実際の悪用が確認された。

About the author

No items found.

セキュリティの専門家と一緒に、クラウド防御の最適な方法を探索しよう

デモを申し込む