国家APTの総攻撃：イラン・ロシア・中国によるインフラ・AI・コンテナ同時多発侵攻

今日のハイライト

2026年4月8日は、国家支援APTグループによる標的型攻撃が同時多発した異例の日となりました。イラン関連アクターが米国の重要インフラのPLC（プログラマブルロジックコントローラー）を標的にし、ロシアのAPT28は世界中のSOHOルーターを悪用してDNSハイジャックを実施。さらに中国関連のStorm-1175はゼロデイ脆弱性を武器に「高速度」でランサムウェアを展開する新たな手法を見せつけました。加えて、AI開発基盤とコンテナ基盤の重大な脆弱性が発覚し、実務担当者は即座の対応が求められる緊急事態に直面しています。

1. イランAPTによる米国重要インフラPLC標的型攻撃

概要

CISA（米国サイバーセキュリティ・インフラストラクチャー保安庁）が「AA26-097A」として緊急サイバーセキュリティ勧告を発令。イラン関連の高度持続的脅威（APT）アクターが、米国の重要インフラを構成するProgrammable Logic Controllers（PLC）を標的とした攻撃活動を実施していることを確認しました。これはOT（運用技術）/ICS（産業制御システム）を直接狙った国家支援攻撃であり、エネルギー、水道、製造業などライフラインに直結する設備への物理的影響を含む重大なリスクを孕んでいます。

考察

実務対策としては、まずICS/OTネットワークのエアギャップ確保とITネットワークとの境界防御の再点検が急務です。 PLCやRTUなどの制御システムに対するリモートアクセスが必要な場合は、多層的な認証とVPN経由の暗号化通信を徹底し、可能であれば専用の jump server を介したアクセス制御を実装すべきです。特に、古いプロトコル（Modbus、DNP3など）を使用するレガシー機器については、ネットワークセグメンテーションと異常検知システム（ICS IDS）の導入を検討してください。

技術的背景として、イラン関連APTは近年、報復的なサイバー攻撃能力を強化しており、米国および同盟国の重要インフラを「破壊可能な標的」として認識しています。 地政学的緊張の高まりと連動して、単なる情報収集（スパイ活動）から、実際の物理的損害を伴う攻撃（破壊的活動）への移行が懸念されます。PLCへの攻撃は、Stuxnet（2010年）以来のICS標的型攻撃の系譜にあり、攻撃者は工場制御システムの専門知識を持つ高度な人材である可能性が高いことを示唆しています。

業界トレンドとして、国家アクターによるOT攻撃は「ITからOTへの横展開」から「OTへの直接アクセス」へと進化しています。 これは、IT環境のセキュリティ対策が強化された結果、攻撃者が比較的脆弱なOT環境に直接目を向けたことを示しています。日本の重要インフラ運営者も、米国の事例を教訓として、制御システムへの不正アクセスを前提とした「防御的な設計（Defense-in-Depth）」と、ICS特有のインシデント対応計画の策定を急ぐべきです。

参照元

• Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure

2. APT28によるSOHOルーター悪用と世界的DNSハイジャック

概要

ロシア軍事情報機関GRUと関連付けられるAPT28（別名：Forest Blizzard）が、世界中のMikroTikおよびTP-Link製SOHO（Small Office/Home Office）ルーターを大規模に侵害し、DNSハイジャックキャンペーンを実施していることが判明しました。攻撃者は脆弱なルーターの設定を変更し、悪意のあるインフラとしてコントロール下に置き、主にMicrosoft 365の認証情報窃取を目的としたサイバー諜報活動を展開しています。

考察

実務対策として、企業は「従業員の在宅勤務環境」や「支社の小型ルーター」へのセキュリティ視点を緊急で見直す必要があります。 特にMikroTikやTP-LinkなどのSOHO機器は、企業のエンドポイントセキュリティポリシーから漏れがちです。VPN接続を行う前に、接続元ルーターのファームウェアバージョンとデフォルトパスワードの変更状況を確認する「接続前検査（Pre-connect Check）」を導入し、DNS設定が不正に書き換わっていないか定期的に監査してください。また、DNS over HTTPS（DoH）やDNS over TLS（DoT）の強制適用により、DNSハイジャックのリスクを軽減できます。

攻撃手法の分析では、APT28は「踏み台（hop point）」としてのSOHO機器の価値を再評価しています。 従来の企業級ファイアウォールは監視が厳重ですが、SOHOルーターはセキュリティ更新が遅れ、監視も不十分なため、長期間にわたり持続的なアクセスを維持できます。DNSハイジャックは、ユーザーが正規のMicrosoft 365ログイン画面を見ていると認識しながら、実は攻撃者のプロキシサーバーに誘導される「中間者攻撃（MITM）」を可能にし、MFA（多要素認証）を迂回する高度なフィッシングを実現します。

地政学的文脈では、このキャンペーンはウクライナ情勢やNATO諸国への継続的な情報収集活動の一環です。 APT28は過去にOlympic Destroyer、NotPetyaなどの破壊的マルウェアも使用しており、今回のDNSハイジャックは「安静な諜報活動」に見えますが、必要に応じて「破壊的活動」に切り替える能力を保持しています。多国籍企業は、ロシア関連APTの標的となりうる幹部や技術者の在宅環境を特に保護する必要があります。

参照元

• Russian State-Linked APT28 Exploits SOHO Routers in Global DNS Hijacking Campaign

3. Flowise AIプラットフォームのCVSS満点脆弱性が大規模悪用

概要

オープンソースのAIエージェント構築プラットフォーム「Flowise」に存在するCVE-2025-59528（CVSSスコア：10.0）という最大深刻度のコードインジェクション脆弱性が、既に広範囲に悪用されています。VulnCheckの調査により、インターネットに露出している12,000以上のインスタンスが特定されており、攻撃者はリモートコード実行（RCE）により完全なサーバー制御を獲得可能です。

考察

即座の対応として、Flowiseを使用している組織は、インスタントにパッチ適用（最新版へのアップデート）を行い、インターネットへの露出を直ちに遮断してください。 特に、AI開発環境はしばしば「実験的な環境」としてセキュリティガバナンスから外れがちですが、今回の事例のように、AIプラットフォームは高い権限（GPUリソースへのアクセス、内部APIキーの管理など）を持つため、侵害された場合の影響は極めて大きいです。WAF（Webアプリケーション Firewall）での仮想パッチ適用や、APIゲートウェイ経由のアクセス制御を緊急実施してください。

技術的洞察として、この脆弱性は「AI開発ツールのサプライチェーンリスク」を象徴しています。 FlowiseはLangChainなどの人気フレームワークを使用する開発者に広く利用されており、低コード/ノーコードでAIエージェントを構築できる利便性から、セキュリティレビュー不充分なまま本番環境にデプロイされるケースが多いです。CVSS 10.0の脆弱性が12,000以上の公開インスタンスで存在するという事実は、AI技術の急速な普及と、セキュリティ成熟度の間に大きなギャップがあることを示しています。

業界への警鐘として、生成AIのインフラは「新たな攻撃対象面（Attack Surface）」として攻撃者に注目されています。 AIモデルのトレーニングデータへの毒入れ（poisoning）、モデルの窃取、推論環境での暗号採掘（cryptojacking）など、AI特有の脅威が増加しています。今回のFlowiseの事例は、単なるWebアプリの脆弱性ではなく、「AIオーケストレーションレイヤー」への攻撃という新たな脅威カテゴリーの出現を示唆しています。AI開発環境もDevSecOpsの対象に明確に含め、SBOM（ソフトウェア部品表）の管理と自動脆弱性スキャンを必須とすべきです。

参照元

• Flowise AI Agent Builder Under Active CVSS 10.0 RCE Exploitation; 12,000+ Instances Exposed

4. Storm-1175によるゼロデイ悪用と「高速度」ランサムウェア攻撃

概要

中国関連の脅威アクター「Storm-1175」が、Medusaランサムウェアを展開するためにゼロデイおよびN-day脆弱性の組み合わせを武器化していることが判明しました。このグループは「高速度（high-velocity）」で攻撃を実行し、インターネットに露出したシステムへの侵入からデータの窃取・暗号化までを数日以内に完了させる異例の攻撃テンポを見せています。

考察

防御側の対応として、「仮想パッチ（Virtual Patching）」と「EDR（エンドポイント検出応答）」のリアルタイム監視の組み合わせが鍵となります。 ゼロデイ攻撃に対しては、パッチ適用前にWAFやIPSで既知の攻撃パターンをブロックする仮想パッチが有効です。しかし、Storm-1175のような高速攻撃では、侵入後の「横展開（Lateral Movement）」を数時間以内に検出・隔離する能力が生死を分けます。ネットワークセグメンテーションと、特権アカウントの監視（Privileged Access Management）を強化し、ランサムウェアの展開を遅延させる「摩擦（friction）」を作ることが重要です。

攻撃手法の進化として、中国関連APTが「金銭目的のランサムウェア」を使用するという点に注目が必要です。 従来、中国のAPTは主に知的財産窃取や戦略的情報収集を目的としており、ランサムウェアは「金銭目的の犯罪者」の領域でした。しかし、Storm-1175の活動は「国家支援の破壊的活動」と「金銭目的の犯罪」の境界が曖昧になる「ハイブリッド脅威」の典型です。これは、攻撃者が資金調達の手段としてランサムウェアを悪用している可能性、または「偽の金銭目的」で実際は「破壊的目的」を隠蔽している可能性を示唆しています。

戦略的含意として、「高速度攻撃」は従来の「侵入→潜伏→展開」というサイバーキルチェーンの常識を覆します。 数日以内に全フェーズを完了する攻撃は、SOC（セキュリティオペレーションセンター）の検出・対応ウィンドウを極限まで狭めます。これに対抗するには、SOAR（Security Orchestration, Automation and Response）による自動化された対応、および「アサンプション・オブ・ブリーチ（侵害を前提とした防御）」の考え方が不可欠です。バックアップの「3-2-1ルール」（3つのコピー、2種類の媒体、1つはオフライン）の徹底と、定期的なリストアテストが、最後の防波堤となります。

参照元

• China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware

5. Docker Engineの認証バイパス脆弱性（CVE-2026-34040）

概要

Docker Engineに、認証プラグイン（AuthZ）を迂回してホストへの不正アクセスを可能にする重大な脆弱性（CVE-2026-34040、CVSSスコア：8.8）が発見されました。この脆弱性は、2024年に修正されたCVE-2024-41110の不完全な修正に起因しており、特定の状況下で攻撃者が認可チェックを回避し、コンテナホストにおける権限昇格を達成できます。

考察

実務対策として、Docker Engineを使用している全環境での緊急パッチ適用（v26.1.0以降などの修正版へのアップデート）を実施してください。 特に、Docker APIを外部に露出させている環境（CI/CDパイプライン、開発環境のリモートアクセスなど）は、即座にアクセス制限を検討する必要があります。AuthZプラグインを使用している場合は、今回の脆弱性によりその保護が無力化される可能性があるため、ネットワークレベルでのセグメンテーションと、APIアクセスのIPホワイトリスト制御を追加実施してください。

技術的背景として、今回の脆弱性は「セキュリティパッチの不完全性」という深刻な問題を浮き彫りにしています。 CVE-2024-41110は既に修正されたと考えられていましたが、修正が不完全で、新たな攻撃ベクトル（CVE-2026-34040）として再発しました。これは、セキュリティ修正の「回帰テスト（Regression Test）」の重要性を示しており、単なるパッチ適用ではなく、修正後のペネトレーションテストや脆弱性スキャンの再実施が重要です。コンテナ環境は「不変インフラ（Immutable Infrastructure）」として管理されがちですが、ホストOSとコンテナランタイムのセキュリティ更新は継続的なプロセスとして運用する必要があります。

コンテナセキュリティのトレンドとして、Docker APIは「攻撃者にとって魅力的な標的」であり続けます。 コンテナは通常、ホストOSよりも高い権限（root相当）で動作し、ホストのカーネルリソースに直接アクセスします。AuthZプラグインはこのリスクを軽減するための重要な制御ですが、今回の脆弱性はその制御を無力化します。今後、RootlessモードでのDocker実行、User Namespaceの分離、seccompプロファイルの厳格化など、「Defense in Depth」の多層防御が、単一の脆弱性による全損失を防ぐために不可欠です。

参照元

• Docker CVE-2026-34040 Lets Attackers Bypass Authorization and Gain Host Access

まとめ

2026年4月8日のニュースは、国家支援サイバー攻撃が「重要インフラ（OT）」「ネットワーク基盤（DNS/SOHO）」「AIプラットフォーム」「コンテナ環境」といった多層的な標的に同時展開されている現状を如実に示しています。イランのPLC攻撃は物理的破壊の可能性を、APT28のDNSハイジャックは認証情報窃取の継続的脅威を、Storm-1175の高速ランサムウェアは防御側の対応時間の欠如を、それぞれ象徴しています。

技術者が取るべき即座の行動としては：(1)ICS/OT環境のネットワーク分離と監視の再点検、(2)SOHOルーターとDNS設定の監査、(3)AI開発環境の露出状況とパッチ管理、(4)Docker Engineの緊急更新とAuthZ設定の見直し、が優先事項となります。

今後の注視ポイントとして、国家アクターと犯罪者の「境界の曖昧化」、およびAIインフラを標的とした攻撃の増加に特に警戒が必要です。セキュリティ対策は「ITのみ」または「OTのみ」では不十分であり、包括的な「デジタルリスク管理」の視点が求められます。