< ブログ一覧に戻る

セキュリティブリーフィング:2026年3月

清水 孝郎
セキュリティブリーフィング:2026年3月
執筆者
清水 孝郎
セキュリティブリーフィング:2026年3月
@
linkedin
セキュリティブリーフィング:2026年3月
Published:
April 6, 2026
この記事の内容
シスディグによるファルコフィード

Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。

さらに詳しく
Green background with a circular icon on the left and three bullet points listing: Automatically detect threats, Eliminate rule maintenance, Stay compliant, with three black and white cursor arrows pointing at the text.

本文の内容は、2026年4月6日に Crystal Morinが投稿したブログ(https://www.sysdig.com/blog/security-briefing-march-2026)を元に日本語に翻訳・再構成した内容となっております。

自動化された速度で行われる悪用

「March Madness」ほどふさわしい名前はなかったでしょう。先月は、3ポイントシュートよりも多くのエクスプロイトが見られたかもしれません。認証バイパスからAIパイプラインの侵害、短縮される悪用までの時間軸に至るまで、3月は、小さな弱点がいかに迅速に全面的な侵害へと発展し得るかを示しました。

Sysdigの3月のセキュリティブリーフィングは、その証拠を示しています。脆弱性はリアルタイムで武器化されており、もしあなたがバックエンドへの警戒を怠っているなら、誰か他の者がおそらくそこを見ています。では、掘り下げていきましょう。

3月3日:Pac4jの認証バイパス CVE-2026-29000

  • この重大な脆弱性は、Pac4j の JWT 署名検証における欠陥です。
  • 攻撃者は、検証時に公開鍵がどのように解釈されるかを操作することで、認証制御を回避できました。つまり、身分証なしで正面玄関から通してもらえるように、システムをだましたということです。
  • 要点:署名検証ロジックがデフォルトで安全だと決して想定してはいけません。その代わりに、厳格な鍵の検証と許可リストを適用し、一致しない、または信頼されていない鍵ソースを持つトークンを拒否し、新しいユーザーや IP からのセッション急増のような異常を監視してください。
  • 影響を受ける組織は、パッチ適用後に鍵をローテーションし、アクティブなセッションを無効化すべきです。

3月9日:Ingress-NGINX の RCE CVE-2026-3288

  • Ingress-NGINX における設定インジェクションの脆弱性により、Kubernetes クラスター内でリモートコード実行が可能になりました。
  • この欠陥は、2月のパスインジェクションの脆弱性 CVE-2026-24512 と同系統のものです。
  • これらの脆弱性は、buildLocation() および buildProxyPass() における不適切な入力サニタイズに起因します。Ingress の path フィールドに " または \ 文字を挿入することで、攻撃者は本来意図された境界を突破できます。
  • NGINX Ingress Controller は、多くの場合、シークレットや内部サービスへのアクセス権を持っています。したがって、Ingress リソースへの予期しない変更、ネットワークトラフィックの異常、設定のリロードは、調査を要する危険信号です。

Sysdig TRT による追加の調査結果

Langflow の AI パイプラインの悪用

  • CVE-2026-33017 は、公開された Langflow インスタンスにおいて、認証されていないリモートコード実行を可能にする重大な脆弱性です。
  • Sysdig 脅威リサーチチーム(TRT)は、GitHub 上で公開された概念実証エクスプロイトがまだ存在していない段階で、公開開示から 20 時間以内にアクティブな攻撃を特定しました。
  • 単一の HTTP リクエストにより、攻撃者は、AI エージェントや RAG パイプラインの構築に Langflow が広く利用されていることから、潜在的に非常に多くの被害者から鍵や認証情報を流出させることが可能です。認証情報は不要です。
  • Langflow インスタンスにすぐにパッチを適用できない場合は、エンドポイントへのネットワークアクセスを制限するか、公開フローのビルドを無効にしてください。
  • Sysdig ユーザーにとって幸いなことに、この特定の攻撃で見られた複数の挙動に対して、すぐに使える検知がトリガーされます。

サプライチェーン脅威の急速な拡大

  • TeamPCP は 3 月 19 日に Trivy における設定ミスのある GitHub Actions ワークフローを悪用し、攻撃者がその月の残りの期間を通じて、いかに迅速に攻撃キャンペーンを拡大・進化させられるかを示しました。
  • Sysdig TRT は、3 月 23 日に、このキャンペーンが Trivy の GitHub Actions から Checkmarx へと移行し、同一の認証情報窃取活動を行っていることを特定しました。
  • PyPI の LiteLLM と Telnyx も、最初の侵害から 1 週間以内に乗っ取られ、3 月 31 日時点では、DatabricksCisco も関連している可能性のある侵害を調査していました。注意してください。このキャンペーンは、今後も拡大し続ける可能性が非常に高いです。
  • セキュリティツールが標的になるのは、それらが信頼された実行環境、パイプライン、シークレットへのアクセス、そして潜在的には組織全体に及ぶ影響範囲を提供するためです。
  • このオープンソースのサプライチェーン攻撃は、パイプラインツールを本質的に信頼してはならず、実行はランタイムでリアルタイムに監視されるべきであることを示しています。さらに、組織は依存関係の完全性を検証し、予期しない CI/CD パイプラインの挙動、不規則なアウトバウンド通信、ツールの完全性の変化に対してアラートを出すべきです。

教育トピック:AI コーディングエージェントの保護

  • Sysdig TRT は、監視がほとんどない環境内で稼働する AI コーディングエージェントのリスクを浮き彫りにしました。
  • これらのエージェントは、コードを実行し、組織のリポジトリにアクセスし、インフラストラクチャーとやり取りすることができます。人間の判断なしに、特権ユーザーとして振る舞います。
  • チームは Sysdig Secure ユーザー向けに信頼性の高い 4 つの Falco 検知を構築しましたが、このブログは、Claude Code をはじめとする環境の保護を検討しているあらゆる人にとって読む価値のある重要な資料です。

ニュースでも取り上げられた話題

  • The Zero Day Clock:Sysdig の CISO である Sergej Epp は、3 月 4 日に Zero Day Clock を公開しました。業界のリーダーたちに支えられたこのウェブページは、「脆弱性の発見」から「脆弱性の悪用」までの期間が恐ろしいほど短縮されていることを示しており、確かな証拠に裏付けられています。
  • Ubiquiti UniFi:CVE-2026-22557 は、Ubiquiti の UniFi Network Application における最大深刻度の脆弱性で、3 月 19 日に公開されました。この脆弱性が悪用されると、権限を持たない攻撃者がユーザーアカウントを盗み、ファイルにアクセスできるようになります。
  • ボットネットの摘発:連邦当局は 3 月 19 日に、4 つの DDoS ボットネットの C2 インフラを解体しました。しかし現実には、以前に感染した IoT デバイスは依然として脆弱なままです。攻撃者は新たなボットネットのインフラをすぐに立ち上げることができ、これらのボットネットの能力は戻ってきます。組織は、侵害されたデバイスは依然として侵害されたままだと想定し、IoT デバイスを他のネットワークから分離し続けるか、あるいは、そうですね、すべてのデバイスのセキュリティを更新しなければなりません。
  • Anthropic の流出:3 月 30 日、サイバーセキュリティのユースケース向けに特別に構築された Anthropic の新しい Mythos モデルが流出しました。その後 3 月 31 日には、Claude Code のソースコードも公開されました。AI 主導の攻撃者と防御側とのいたちごっこは、4 月にはさらに興味深いものになることに備えておきましょう。

まとめ

3月に重要だった指標は、速度だけでした。マシンの速度で押し寄せるエクスプロイトと、激しいサプライチェーンの方向転換のなかで、防御側のショットクロックは縮まりつつあります。残念ながら、サイバーセキュリティにオフシーズンはありません。悪意のある挙動をリアルタイムで検知して止められていなければ、失速してしまいます。皆さん、気を引き締めていきましょう。

CISOコーナー

執筆:Conor Sherman(Sysdig CISO in Residence)

数字で見ると

指標 / タイムライン 説明
20時間 CVE の公開 → Langflow AI パイプラインの活発な悪用
12日超 TeamPCP のサプライチェーンキャンペーン:Trivy → Checkmarx → LiteLLM → Databricks → ほか
77件中76件 Trivy GitHub Action のバージョンタグが、単一の操作で悪意のあるコミットへ強制プッシュされた

AI インフラは、新たな戦場として浮上しています

2024年、私は脅威アクターの AI に関するプレイブックを 3 つの動きで整理しました。すなわち、これまでと同じ攻撃をより高い効果で行うこと、AI を支えるために構築されつつある新たなインフラを標的に切り替えること、そして自律的な攻撃のために AI を活用することです。2026年は、その 3 つすべてが同時に現実のものとなっている年です。

Langflow は、認証を一切必要とせずに侵害されました。100 を超える LLM プロバイダーへのリクエストをルーティングし、それらすべての API キーを保存している LiteLLM は、自身の CI パイプラインを通じてバックドアを仕込まれました。AI コーディングエージェントは、認証情報、ソースコード、インフラへのアクセス権を持つ開発者のマシン上で稼働しており、人間による判断や監視なしに、特権ユーザーとして動作しています。

こうした本番環境での侵害は、今まさに起きており、あなたのチームが積極的に導入しているツールに対して行われています。AI インフラが資産インベントリに含まれていないなら、それはあなたの死角にあります。

4月に向けた 3 つのプログラムレベルのアクション:

   
優先事項 対応
AI インフラを把握し、統制する 環境内のすべての Langflow、LiteLLM、コーディングエージェント、および LLM に接続されたサービスを一覧化してください。インターネットに公開されているインスタンスは、認証、ネットワーク制限、ランタイム監視を必要とする重要資産として扱ってください。
CI/CD にリアルタイム保護を導入する 静的解析と依存関係スキャンは TeamPCP に対しては機能しませんでした。悪意のあるコードは、信頼され署名されたアクションに注入されました。ランタイム検知が成功したのは、攻撃者がデータを窃取し外部へ送信するためにシステムコールを実行しなければならず、それらはどのようにコード実行を獲得したかにかかわらず観測可能だからです。
自律的な修復に備える マシン速度での悪用には、マシン速度での対応が求められます。自律的な修復に向けた構築を進める一方で、悪用後の活動を優先するリアルタイム保護を導入してください。悪用の時点で検知し、影響範囲を封じ込め、キャンペーンが拡大する前に影響を緩和してください。

About the author

Threat Research

セキュリティの専門家と一緒に、クラウド防御の最適な方法を探索しよう

デモを申し込む