※この記事の全文は、2026年3月に「ほぼこもセキュリティニュース」で取り上げた情報をもとに、生成AIによって要約・構成しています。
年度が切り替わり、新しい体制や計画に意識が向き始める4月。
その一方で、直前の1か月がどんな動きを見せていたのか、落ち着いて振り返る余裕は意外と取りづらい時期でもあります。
というわけで、今月もお届けします。「ほぼこもセキュリティニュース・月イチまとめ」第11回。
生成AIの力も借りながら、2026年3月に取り上げたトピックをあらためて整理していきます。
日々流れていくニュースを少し引いた視点で見直すための材料として、本まとめをご活用いただければ幸いです。
サイバーセキュリティトレンドの概観:2026年3月の振り返り
2026年3月は、信頼された仕組みや新しい技術基盤を前提とした攻撃が、より広い領域で観測された月でした。
正規サービスや配布経路、開発ツールといった「信頼して使うもの」が攻撃に取り込まれる構図は引き続き見られ、ユーザー操作を起点とした侵入も継続しています。また、既存機能や広く利用されるソフトウェアの脆弱性を突く手法も、形を変えながら定着している状況です。
加えて、情報窃取マルウェアの多様化や検知回避技術の進展、AIやクラウド環境といった新たな領域への攻撃の広がりも確認されました。攻撃対象と手法の両面で拡張が続く中、個別の対策だけでなく、信頼前提の運用や技術導入のあり方を含めて、環境全体を俯瞰したリスクの捉え直しが求められる状況が続いています。
信頼を前提とした経路が攻撃面に変わる
3月は、正規サービスや配布経路を悪用する攻撃が一層広がりました。
AppsFlyer SDKの改ざんによるウォレットアドレス書き換え、GitHubを悪用するBoryptGrab Stealer、CleanMyMacを騙るSHub Stealer、FileZillaの偽サイトなどが確認されています。さらにKeitaro TrackerやBubbleのような正規ツールも攻撃に利用され、「正規だから安全」という前提が崩れつつあります。
ユーザーの信頼行動そのものが攻撃フローに組み込まれている点は、従来以上に厄介です。
インフォスティーラーの進化と多層化
情報窃取型マルウェアは、引き続き多様化と高度化が進んでいます。
VoidStealerはデバッガベースでChromeのABEを回避し、BlankGrabberやSHub Stealer、DarkSwordなどはさまざまな侵入経路から機密情報や暗号資産を狙います。SEOを利用するBoryptGrab Stealerのように、感染経路の工夫も進んでいます。
いずれもユーザー操作を起点としつつ、検知を回避しながら情報を抜き取る設計が共通しており、実務上のリスクとして定着しています。
AI・開発基盤を巡る脆弱性と悪用
AIやローコード環境も、攻撃対象として定着しています。
OpenClawの「ClawJacked」はWebSocket接続を悪用してローカルAIエージェントの制御が奪われる問題であり、AIエージェントのリスクを顕在化させました。Langflowの脆弱性は公開から20時間で悪用され、対応スピードの重要性が示されています。さらにBubbleのフィッシング悪用も含め、利便性の高い開発基盤ほど攻撃者にとっても扱いやすいという構図が続いています。
SlopolyのようにLLM生成と見られるマルウェアも登場しています。
インフラ・通信レイヤーへの攻撃と隠蔽
インフラ層への侵入と持続化も継続しています。
Kubernetesを狙うCanisterWormは地域依存の挙動を持つワームとして確認され、KadNapは家庭用ルータを感染させ匿名プロキシとして悪用します。DohdoorはDoHを利用してC2通信を隠蔽しやすくし、検知回避を図ります。
通信の暗号化や正規プロトコルを前提とした仕組みが、そのまま隠れ蓑として機能している点は、もはや珍しくない状況です。
既存機能の悪用と脆弱性の継続的露出
OAuthリダイレクトの悪用では、認証エラーを起点にフィッシングへ誘導する手法が確認されました。WordPressプラグイン(User Registration & Membership、Smart Slider 3)の脆弱性や、FileZilla・CleanMyMacを巡る問題も含め、広く使われるソフトウェアが継続的に狙われています。zombie-zipのような検知回避技術も登場しており、「既存の仕組み×運用の隙」を突く攻撃は依然として有効です。目新しさはなくても、現場への影響は着実に積み上がっています。
3月のまとめ
3月は、正規サービスや配布経路、開発基盤といった「信頼して利用する前提の仕組み」が攻撃に取り込まれる動きが、より広い領域で見られた月でした。特定の新しい手法が突出したというよりも、既存の攻撃が信頼関係や利便性の高い環境と組み合わされる形で展開されている印象があります。
ユーザー操作を起点とした侵入や、公開リポジトリ・開発ツールを経由したリスクは引き続き確認されており、加えてAIやローコードといった新しい技術基盤も、攻撃対象として徐々に定着しつつあります。情報窃取マルウェアの多様化や検知回避の工夫、インフラ層での潜伏・隠蔽など、攻撃は複数のレイヤーで並行して進行しています。
日常的に利用しているサービスや仕組みそのものが攻撃の足掛かりとなるケースも、引き続き確認されています。個別の脅威への対処に加え、「何を信頼前提として運用しているのか」という視点で環境全体を見直すことが、引き続き重要になりそうです。
| この記事をシェア |
|
|---|
表紙.png)
