2026-05-18

インフラ核心部を狙う攻撃の連鎖：NGINX重大RCE、Windowsゼロデイ、M365デバイスコードフィッシング

世界中で広く利用されるNGINXにCVSS 9.2の重大脆弱性（CVE-2026-42945）が発見され実際の悪用が確認。さらにWindowsではSYSTEM権限を奪取するゼロデイ「MiniPlasma」のPoCが公開され、Microsoft 365ではMFAを迂回するデバイスコードフィッシングが急増。インフラストラクチャの各層を同時に狙う多層的な脅威が表面化した。

脆弱性管理ゼロデイ攻撃ID・認証セキュリティサプライチェーン攻撃AIセキュリティ

今日のハイライト

本日のセキュリティニュースは、インフラストラクチャの基盤からアプリケーション層までを網羅的に狙う攻撃の集中を示しています。Webサーバーの核心であるNGINXのリモートコード実行（RCE）脆弱性が実際に悪用され、Windows OSの核心部でSYSTEM権限を奪取するゼロデイがPoCと共に公開。さらに、M365の多要素認証（MFA）を迂回する新たなフィッシング手法と、オープンソースソフトウェアのサプライチェーン攻撃、AIによる攻撃自動化の台頭が同時に報告されました。防御側は「パッチ適用」のみに依存できない、より多層的な防御戦略の構築が急務となっています。

1. NGINX重大脆弱性（CVE-2026-42945）の実際悪用確認

概要

世界中で最も広く使用されるWebサーバー/リバースプロキシであるNGINX（PlusおよびOpen Source）に、ヒープバッファオーバーフロー脆弱性（CVE-2026-42945、CVSS 9.2）が存在することが判明し、公表後数日で実際の攻撃による悪用（in the wild）が確認されました。この脆弱性はワーカープロセスのクラッシュを引き起こし、リモートコード実行（RCE）の可能性も指摘されています。

考察

即座の対応が生死を分ける緊急度： CVSS 9.2という極めて高い深刻度に加え、すでに実際の攻撃で悪用されている点が最大の懸念材料です。NGINXは単なるWebサーバーに留まらず、ロードバランサーやAPIゲートウェイとしても広く利用されているため、影響範囲は計り知れません。

実務対策としては：

即座のパッチ適用： 最新版への更新を最優先事項として扱う必要があります。ダウンタイムを許容できない環境では、少なくともWAF（Web Application Firewall）ルールや仮想パッチによる緩和策を即座に適用すべきです。
攻撃痕跡の調査： 脆弱性悪用はワーカープロセスのクラッシュを引き起こすため、異常なプロセス再起動やメモリアクセス違反のログがないか過去数日分のログを遡及調査する必要があります。特にクラウド環境では、一時的な性能劣化として見過ごされがちです。

技術的背景： ヒープバッファオーバーフローは、近年のメモリ安全言語（Rust等）への移行が進む中でも、C言語で書かれた既存の基盤ソフトウェアに残る重大なリスクです。NGINXのような高性能を要求されるインフラソフトウェアは、依然としてC言語が主流であるため、今後も同様の脆弱性は継続的に発見される可能性があります。

参照元

NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE

2. Windows「MiniPlasma」ゼロデイ：過去のパッチ不完全が露呈

概要

「MiniPlasma」と名付けられたWindowsの特権昇格ゼロデイ脆弱性の概念実証（PoC）コードが公開されました。この脆弱性は、完全にパッチ適用済みのWindows 11環境でもSYSTEM権限を取得可能であり、2020年に報告・修正されたはずのCVE-2020-17103（cldflt.sysドライバのCloud Filter機能）が実は不完全なまま残されていた、あるいは何らかの理由でロールバックされていた可能性が指摘されています。

考察

「パッチ適用済み」という幻想： 今回の事例は、過去の脆弱性が実は完全に修正されていなかった、あるいは後の更新で意図せず元に戻ってしまった可能性を示唆しています。これは「すべてのパッチを適用していれば安全」という前提を揺るがす重大な事態です。

技術的洞察：

攻撃ベクトル： Cloud Filterドライバ（cldflt.sys）のHsmOsBlockPlaceholderAccessルーチンと、 undocumentedなCfAbortHydration APIを悪用し、.DEFAULTユーザーハイブにレジストリキーを任意に作成することで特権を昇格させます。
PoC公開の影響： GitHubでソースコードとコンパイル済み実行ファイルが公開されたことで、スクリプトキディーでも容易に悪用できる状態となりました。BleepingComputerの検証でも最新のWindows 11 ProでSYSTEM権限取得が確認されています。

防御戦略：

インサイダー脅威対策の強化： ローカルでの特権昇格脆弱性は、フィッシング等で初期アクセスを得た攻撃者が横展開する際の重要なステップです。標準ユーザー権限での日常業務と、Admin権限の使用を最小限に抑えるJust Enough Administration（JEA）の徹底が重要です。
Canaryビルドの監視： 今回の脆弱性はWindows 11 Insider Preview Canaryビルドでは動作しないことが確認されているため、Microsoftは認識し修正を進めている可能性があります。組織内のテスト環境でのCanaryビルドの動作確認も検討価値があります。

参照元

New Windows 'MiniPlasma' zero-day exploit gives SYSTEM access, PoC released

3. Tycoon2FA：MFAを迂回するデバイスコードフィッシングの台頭

概要

フィッシングキット「Tycoon2FA」が、Microsoft 365アカウントを乗っ取る新たな手法として「デバイスコードフィッシング」を開始しました。この手法はOAuth 2.0のデバイス認可グラントフローを悪用し、被害者にmicrosoft.com/deviceloginでコードを入力させることで、攻撃者のデバイスが被害者のアカウントに登録される仕組みです。Trustifiの正当なクリック追跡URLを悪用して信頼性を高める手法も併用されています。

考察

MFAバイパスの新たなパラダイム： 従来のリアルタイムフィッシング（AiTM）に代わり、デバイスコードフィッシングが急速に普及しています（今年に入って37倍の増加と報告）。これは「ユーザー名・パスワード・MFAコード」を窃取するのではなく、 OAuthトークンそのものを取得するため、MFAの存在を完全に無力化します。

攻撃フローの巧妙さ：

請求書を装ったフィッシングメール（Trustifiの追跡URLを使用）
Cloudflare Workers等を経由した多層のリダイレクト
偽のCAPTCHAページでデバイスコードを表示
被害者に「microsoft.com/devicelogin」への入力を指示
攻撃者のデバイスが信頼済みデバイスとして登録され、完全なアクセス権を獲得

実務的対策：

デバイス登録ポリシーの厳格化： 「Microsoft Authenticator」や「Microsoft Managed Desktop」等の管理対象デバイスのみを登録許可するポリシーを設定。個人デバイスの登録を禁止または承認制にすることが有効です。
条件付きアクセスの強化： デバイスコンプライアンスの確認、信頼されていないデバイスからのログインに対して高リスク認証を要求（追加のMFAやパスワード変更を強制）。
ユーザー教育の限界と技術対策： 正規のMicrosoftドメイン（microsoft.com/devicelogin）を利用するため、URL検証では検出困難です。教育だけでなく、上記の技術的制御が必須です。

参照元

Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing

4. Grafanaソースコード流出：サプライチェーン攻撃の前兆

概要

人気の監視・可視化ツール「Grafana」のGitHub環境にアクセス可能なトークンが不正利用され、ソースコードがダウンロードされました。顧客データや個人情報は流出していないとされていますが、攻撃者はソースコードを用いた恐喝未遂を行いました。

考察

ソースコード流出の潜在リスク： 顧客データが無事でも、ソースコードの流出は将来の重大な脅威を孕みます。攻撃者はコードを解析し、未公開の脆弱性（0.5-day）を発見し、Grafanaのユーザー（多くの企業インフラで使用）を標的にした標的型攻撃を展開する可能性があります。

サプライチェーンセキュリティの教訓：

GitHubトークンの管理： 長期間有効なクラシックトークンの使用、適切なスコープ設定の欠如、トークンのローテーション未実施等が原因と考えられます。Fine-grained personal access tokensへの移行と、最小権限の原則徹底が必要です。
SBOM（Software Bill of Materials）の重要性： Grafanaを使用している組織は、現在使用中のバージョンと依存関係を正確に把握し、今後公開される可能性のある脆弱性に対して即座に対応できる体制を構築すべきです。
インシデント対応の透明性： Grafanaのように顧客データが無事であっても、ソースコード流出は早期にユーザーに通知し、攻撃者の主張（脆弱性の存在等）を検証するプロセスを公開することが、エコシステム全体の信頼維持に不可欠です。

参照元

Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt

5. AIによる攻撃自動化：「退屈な作業」が最も危険に

概要

AIエージェントが脆弱性を自動的に発見・悪用する能力を持ち、開発者がAI生成コードを大量に生産することで潜在的な脆弱性が増加している現状が指摘されています。防御側は、これらの新しい脅威に適応する必要があると警鐘が鳴らされています。

考察

攻撃の民主化と速度の向上： AIは、これまで高度な専門知識を要した脆弱性発見や悪用コード作成を自動化し、「スクリプトキディー」でも高度な攻撃が可能な時代を加速させます。特に、AIが生成するコードに潜む論理的な脆弱性（セキュリティ要件の欠如、不適切な入力検証等）は、従来のシグネチャベースの検出では捕捉困難です。

防御側の適応戦略：

AI生成コードのセキュリティレビュー： Copilot等のAIコーディング支援ツールの使用時は、生成されたコードに対するセキュリティレビューを自動化（SAST/DASTの統合）し、人間のレビューも強化する必要があります。
防御的AIの活用： 攻撃者がAIを使う以上、防御側もAIによる異常検知、自動脅威インテリジェンス分析、自動インシデント対応を導入する必要があります。人間の対応速度では、AI自動化された攻撃に追いつけません。
セキュリティバイデザインの再定義： AIがコードを生成する時代において、「セキュリティ要件」の明確化と、AIへのプロンプトインジェクション対策（悪意ある指示による脆弱性コード生成の防止）も新たな課題として浮上しています。

参照元

The Boring Stuff is Dangerous Now

まとめ

本日のニュースは、現代のITインフラが「Webサーバー（NGINX）→OS（Windows）→クラウドID（M365）→開発基盤（Grafana）」という多層的なスタックで構成される中で、各層を同時に狙う攻撃の高度化を示しています。

今後の注視ポイント：

パッチ管理の再考： MiniPlasmaの事例に見るように、「パッチ適用済み＝安全」という前提が崩れつつあります。仮想パッチング、ランタイムアプリケーション自己保護（RASP）、ゼロトラストアーキテクチャの導入が、単なるパッチ適用に代わる防御の柱となるでしょう。
IDセキュリティの進化： デバイスコードフィッシングのようなMFAバイパス手法に対しては、デバイス信頼性の検証と、継続的認証（Continuous Authentication）の導入が不可欠です。
AI対AIの時代： 攻撃者のAI活用に対し、防御側もAIによる自動化を進める必要がありますが、同時にAI生成コードに潜む脆弱性をいかに検出するかが、今後のセキュリティ品質を左右します。
サプライチェーンの可視化： Grafanaのようなオープンソースソフトウェアのソースコード流出は、将来の「サプライチェーン攻撃」の種となり得ます。SBOMの整備と、ソフトウェア構成のリアルタイム可視化が、次世代の防御の基盤となります。

組織は、個別の脆弱性対応に追われるのではなく、これらの脅威を統合的に捉えた「レジリエント（韧性）」のあるセキュリティアーキテクチャの構築を急ぐべき時にあります。