2026年第15週 プライバシー脅威レポート

報告期間： 2026年4月6日 - 4月12日
公開日： 2026年4月16日

---

今週の概況

2026年第15週は、サプライチェーン脆弱性を突いた攻撃、ゼロデイ脆弱性の積極的悪用、そしてDeFi分野での巨額損失など、多面的なサイバー脅威が広がった週となりました。Microsoftは今月、過去最高の168件の脆弱性を修正し、その中に2件のゼロデイ脆弱性が含まれていました。Chromeは2026年に入って4つ目のゼロデイ脆弱性に直面しました。Aqua SecurityのTrivyスキャナーに悪意あるコードが仕込まれ、欧州委員会のクラウド環境が侵害され、340GBのデータが流出。DeFi分野ではDrift Protocolが2億8500万ドルの被害に見舞われ、LAPDからは33万7000件の内部ファイルが漏洩、ドイツ野党Die LinkeがランサムウェアQilinの標的に加わるなど、落ち着かない一週間でした。

主要データ：

• 168件の脆弱性がMicrosoftにより修正（うち8件が重大）
• 2件のゼロデイ脆弱性が実害を確認
• 340GBのデータが欧州委員会から流出
• 2.85億ドルがDrift Protocolから流用
• 33万7000件のLAPDファイルが漏洩
• 71組織がTrivyサプライチェーン攻撃の影響

---

主要脆弱性の分析

Microsoft月次セキュリティアップデート（2026年4月）

Microsoftの4月アップデートでは、168件の脆弱性が修正され、今年の月間最多を記録しました。とりわけ注目すべきは、2件のゼロデイ脆弱性が実環境において悪用されていることです：

CVE-2026-32201 - Microsoft SharePointサーバー スプーフィングの脆弱性

• 深刻度： 重要
• 実害状況： 実環境において悪用中
• 影響範囲： 入力検証の不備により、認証されていない攻撃者がネットワークスプーフィングを実行可能
• CISAの対応： 既知の悪用済み脆弱性カタログに追加、2026年4月28日までに修正必須

CVE-2026-33825 - Microsoft Defender 特権昇格の脆弱性

• 深刻度： 重要
• 実害状況： 公開済み
• 影響範囲： アクセス制御の粒度が不十分なため、認証済みユーザーがローカル権限を昇格可能

その上、7件の重大レベルのRemote Code Execution（RCE）脆弱性も修正されました：

• Remote Desktop Client（CVE-2026-32157）
• Windows Active Directory（CVE-2026-33826）
• Microsoft Office/Word（CVE-2026-32190、CVE-2026-33114、CVE-2026-33115）
• Windows TCP/IP（CVE-2026-33827）
• Windows IKEサービス（CVE-2026-33824）

Chrome WebGPU ゼロデイ脆弱性（CVE-2026-5281）

GoogleはCVE-2026-5281を修正しました。2026年に入ってChromeで4つ目の積極的に悪用されるゼロデイ脆弱性です。この脆弱性はDawn（ChromiumのWebGPU実装）に存在し、use-after-freeの脆弱性により、リモートの攻撃者が任意のコードを実行できる可能性があります。

影響について： この脆弱性はrendererサンドボックスエスケープを可能にします。商業的なスパイウェアベンダーがデバイスに侵入するのと同一の手法です。すべてのChromeユーザーは最新版に直ちにアップデートする必要があります。

---

主なデータ漏洩事件

欧州委員会 クラウド環境への侵入（Trivy サプライチェーン攻撃）

攻撃者は、Aqua SecurityのTrivyスキャナーの 改ざんされたビルド を利用し、欧州委員会のEuropa.eu AWS環境に侵入しました。攻撃の結果：

• 340GB のデータが持ち出される（圧縮状態で91.7GB）
• 71組織 が影響を受け、その内訳は：
  • 欧州委員会のクライアント42組織
  • その他のEU関連機関29組織
• 漏洩データの種別： 個人情報、メールの内容とメタデータ、内部的文件

攻撃者（TeamPCPキャンペーン）は、十分な権限を持つAWS APIキーを窃取し、それを使用して新しいアクセスキーを作成、クラウド偵察を実行、データを外部へ送信しました。ShinyHuntersはその後、盗んだデータをリークサイトに掲載し、サプライチェーンへの攻撃を大規模データ漏洩事件に発展させました。

LAPD データ漏洩事件

ハッカーは、ロサンゼルス市警察の市検事局が運用するデジタル保存システムを侵害し、33万7000件、合計7.7TB の機密データを流出させました。流出したデータには以下のものが含まれます：

• 警察官の人事ファイル
• 内部調査文書
• 編集前の刑事告訴状を含む証拠書類
• 証人の氏名や医療情報

World Leaksランサムウェアグループがこの攻撃を実行したと伝えられています。分散型拒絶秘密（DDoSecrets）は、データが元のリークサイトが消去される前に内容を検証しています。

---

ランサムウェア攻撃の状況

ドイツ政党Die LinkeへのQilinランサムウェア攻撃

Qilinランサムウェアグループが、ドイツの左派政党Die Linkeへのサイバー攻撃を主張しました。同政党には12万3000人の党員と連邦議会に64議席を有しています。

事件の概要：

• 政党のITインフラが強制的に停止
• 党員データベースは今のところ影響なしと表明
• Qilinは党執行部の従業員情報と政党情報を盗んだと主張
• 身代金未払いの場合、機密データを公開すると脅迫

この事件は、ランサムウェアグループが政治組織を標的にする傾向の強まりを示しています。

その他のランサムウェア活動

今週は、日産ディーラーへの攻撃の継続的恐喝や、医療向けIT提供商への攻撃など、ランサムウェアの活動が見られました。QilinとDragonForceが2026年4月の最も活発なランサムウェアファミリーとして特定されています。

---

DeFi/暗号資産事件

Drift Protocol - 2億8500万ドルの治理層への攻撃

Solanaベースの分散型衍生品取引所Drift Protocolが、推定2億8000万〜2億8500万ドルの被害に見舞われ、2026年最大のDeFiハッキング事件の一つとなりました。従来のスマートコントラクトの脆弱性を突くのではなく、攻撃者は治理層の弱さと事前に署名された durable nonce トランザクションを悪用し、セキュリティ評議会の権限を奪取して急速に資金を移動させました。

帰属： この攻撃は、北朝鮮のAPTグループUNC4736（AppleJeus/Citrine Sleet）に中高程度の確信度で帰属されています。攻撃者は約6ヶ月間にわたりソーシャルエンジニアリング、カンファレンスでのネットワーキング、「パートナー」向け働きかけを行っていました。

被害状況：

• プロトコルが主要な機能を一時停止
• トークン価格とTVLが大幅に下落
• 法執行機関との協力が開始
• 資金回収の選択肢を検討中

---

プライバシー規制の動向

EU デジタルオムニバス規則 2026

EUが提案するデジタルオムニバス規則は、立法プロセスを進んでおり、次の点を目的としています：

• デジタル規制のシンプル化
• 行政負担の軽減
• GDPRを修正し、逸脱したデータ主体アクセス要求（DSAR）に対応
• AI法、NIS2以及其他デジタル規則の改正

この規制は2026年末に発効する見通しで、組織がデータ主体の権利要求を処理する方法に大きな影響を与える可能性があります。

---

安全上の推奨事項

1. 即座にパッチを適用： Microsoft SharePoint CVE-2026-32201とChrome CVE-2026-5281のパッチを最優先で適用
2. サプライチェーンの安全性を確保： クラウドアクセス権限を持つセキュリティスキャナーを含むサードパーティツールの安全性を確認
3. DeFiへの警戒を維持： DeFiプラットフォームの利用には十分注意し、治理メカニズム特有のリスクを認識
4. クラウド環境強化： AWS APIキーの定期ローテーションを実施し、異常なアクセスを監視
5. 政治組織のセキュリティ強化： ランサムウェアグループが政治組織を標的にする傾向が強まっているため、防御を強化

---

まとめ

第15週は、サプライチェーン攻撃が大規模データ流出を引き起こし，国家行為者がDeFiプラットフォームを経済的利益のために標的にし、ランサムウェアグループが高価値目標を優先的に攻撃するなど、サイバー脅威の持続的進化を示しました。組織は、健全なパッチ管理、サプライチェーンの安全性、事件対応能力を維持することが不可欠です。

来週の見通し： 最近修正された脆弱性の悪用が継続することが予想されます。欧州委員会データ流出の影響が響き、Drift Protocol事件がもたらす二次攻撃の恐れもあります。

---

レポート作成日：2026年4月16日
対象期間：2026年4月6日〜12日