※この記事の全文は、2026年5月に「ほぼこもセキュリティニュース」で取り上げた情報をもとに、生成AIによって要約・構成しています。
台風の話題や夏を思わせる暑さに触れる日も増え、2026年もあっという間に半年が過ぎようとしています。日々新しい話題が流れ込むセキュリティ業界では、つい先月の出来事でも記憶の奥に押し流されがちです。
というわけで、今月もお届けします。「ほぼこもセキュリティニュース・月イチまとめ」第13回。
今回も生成AIと共に、2026年5月に話題となったトピックをあらためて整理しました。
AIを活用した攻撃の広がりや認証基盤を狙う手法の進化、そして信頼されたサービスやソフトウェア供給経路の悪用など、5月もさまざまな話題がありました。
先月の動向を俯瞰し、情報を棚卸しするための読み物としてご活用ください。
サイバーセキュリティトレンドの概観:2026年5月の振り返り
2026年5月は、認証情報の窃取と信頼された経路の悪用が、さまざまな形で観測された一ヶ月でした。
AIを活用したフィッシングキット「Bluekit」の登場や、Microsoft 365を狙うKali365、SSPRや多要素認証の運用を悪用する攻撃など、認証基盤そのものを標的とする動きが目立っています。また、OpenAIのprivacy-filterを装った悪意あるクローンや、JDownloader公式サイトの侵害に見られるように、利用者が日常的に信頼するサービスや配布経路を悪用する事例も相次ぎました。
一方で、Node.jsのvm2、Exim、NGINX、VMware Fusionなど、広く利用されるソフトウェアや基盤製品で重大な脆弱性が報告されました。TrickMoやInvisibleFerret、PCPJackといったマルウェアも活動を広げており、開発環境や認証情報管理の重要性が改めて浮き彫りになっています。
AIによる自動化が攻撃側・防御側の双方で進むなか、変化する脅威への継続的な注視が引き続き求められる状況です。
AIが攻撃と脆弱性研究の両方を加速する
5月は、AI活用の広がりが攻撃側・研究側の双方で見えた月でした。
AIを利用したフィッシングキット「Bluekit」は、フィッシングサイト生成や攻撃運用の自動化を進め、攻撃の参入障壁を下げています。
一方、Eximのリモートコード実行脆弱性を題材にした人間研究者とLLMのexploit開発競争では、LLMがCTF的なexploitや高度なchain生成で力を見せつつ、production exploitでは人間側が優位に立ちました。とはいえ、脆弱性研究の前半工程が加速したことは確かで、「ターボボタン」の存在感はなかなか無視できません。
認証を巡る攻防とMFA回避
認証まわりを狙う攻撃も引き続き目立ちました。
Microsoft 365を標的とする「Kali365」はOAuth認証を悪用し、多要素認証を回避する手法を採用しています。また、Storm-2949によるSSPR(セルフサービスパスワードリセット)悪用事例では、偽のITサポートを装い、パスワードリセット機能やMFAの運用そのものが攻撃に組み込まれました。
SonicWall VPNでも多要素認証回避につながる脆弱性が報告されており、認証強化策があるから安心、とは言い切れない場面が増えています。防御側としては少々つらい話ですが、運用設計まで含めた見直しが求められる領域です。
信頼される経路が攻撃に使われる
正規サービスや公式チャネルを悪用する事例も相次ぎました。
OpenAIの「privacy-filter」を装った悪意ある偽物の「Open-OSS/privacy-filter」では、正規と同様の個人情報をマスキングする機能は得られますが、その裏で追加されたマルウェアによる情報漏洩リスクが指摘されています。
JDownloaderでは公式サイトが侵害され、マルウェア入りの偽インストーラーが配布されました。さらに、Appleのセキュリティアップデートを装う「Reaper」も確認されています。
公式っぽい、便利そう、見慣れている―そのあたりを突いてくる攻撃が、5月も厄介でした。
認証情報窃取とマルウェアの高度化
マルウェアやインフォスティーラーの動きも多様でした。
Android向けバンキングマルウェア「TrickMo」は、TikTokやストリーミングアプリを装って利用者に忍び寄り、TONブロックチェーンを利用し、銀行口座の認証情報などを狙います。「InvisibleFerret」は開発者やフリーランサーを標的にしたインフォスティーラーで、2023年11月頃から活動していますが、その内容は時間とともに変化してきています。
また、認証情報窃盗フレームワーク「PCPJack」は、自分たちの窃盗活動は実施しつつ、他の脅威アクターであるTeamPCP由来のツールを削除する挙動もあり、侵害先の“縄張り争い”感まで漂います。
開発環境とソフトウェア基盤の脆弱性
開発環境や広く使われるソフトウェア基盤の脆弱性も、5月の大きなテーマでした。
Node.jsのvm2では、サンドボックス外で任意のコマンド実行につながる可能性のある脆弱性が確認されました。Exim、NGINX、VMware Fusion、KnowledgeDeliverでも重大な脆弱性が報告され、特にNGINXでは18年前から存在していた脆弱性が明らかになっています。VMware Fusionでは特権昇格、KnowledgeDeliverではViewState逆シリアル化によるリモートコード実行が問題となりました。
使い慣れた基盤ほど、見直しの優先順位が後回しになりがちですが、そこを突かれるとやはり痛いところです。
守るための製品も例外ではない
5月は、防御のために導入している製品にも注意が向いた月でした。
Microsoft Defenderでは特権昇格とサービス拒否につながる脆弱性が報告され、すでに悪用事例も確認されています。SonicWall VPNの脆弱性では、古いモデルでパッチ適用後も追加設定が必要とされました。セキュリティ製品や管理基盤は守る側の要ですが、そこにも当然ながら保守と更新が必要です。最後はいつもの話に戻りますが、継続的な確認とアップデートがやはり効いてきます。
5月のまとめ
5月は、認証情報の窃取と信頼された経路の悪用がさまざまな形で確認された月でした。
AIを活用したフィッシングキットや認証基盤を狙う攻撃が登場する一方で、公式サイトや正規リポジトリを悪用したマルウェア配布も相次ぎました。利用者の信頼や日常的な業務フローそのものが攻撃に組み込まれるケースが目立ち、「正規だから安全」という前提が改めて揺さぶられています。
また、Node.jsのvm2、Exim、NGINX、VMware Fusionなど、広く利用されるソフトウェアや基盤製品でも重大な脆弱性が報告されました。TrickMoやInvisibleFerret、PCPJackといったマルウェアも活動を広げており、開発環境やクラウド環境、認証情報管理を狙う動きが継続しています。
さらに、AIは攻撃の自動化だけでなく、脆弱性研究やexploit開発の効率化にも活用され始めており、攻撃と防御の双方で変化のスピードが増していることも印象的でした。
攻撃手法や標的は変化を続けていますが、その多くは認証情報の保護や脆弱性管理、ソフトウェアの真正性確認といった基本的な対策の重要性を改めて示しています。新たな技術やサービスを活用する際には、その利便性だけでなく信頼の置き方も含めて見直しながら、継続的に防御体制を整えていくことがますます重要になりそうです。
| この記事をシェア |
|
|---|
