ISSコラム
column by iss
2026年6月の主な攻撃キャンペーン
2026.07.14

FortiBleed:Fortinet機器を狙う大規模資格情報キャンペーン
6月中旬、Fortinet FortiGateを対象とした大規模な資格情報侵害キャンペーン FortiBleed が報じられました。Arctic Wolfは、インターネット上の公開FortiGateから設定ファイルが抽出され、保存された認証情報のハッシュがクラックされ、3万〜7.5万台規模の管理者資格情報が有効化された可能性を報告し、影響は194か国に及ぶとされています。FortiBleedは新しい単一CVEではなく、過去のFortinet脆弱性、設定ファイルの露出、古いハッシュ方式、認証情報の再利用、MFAの未適用などが複合したキャンペーンになります。Fortinetは過去のバージョンからのアップグレード時に、管理者パスワードがログインまで旧方式のハッシュで残る可能性があるとされ、これが攻撃者にとって資格情報クラックの足場になりました。
対応には、ファームウェア更新だけでは不十分であり、管理者・VPNアカウントの強制ローテーション、MFA有効化、管理GUIのインターネット非公開化、設定バックアップの保護、過去に抽出された可能性があるVPN認証情報の無効化、FortiGateからの異常ログイン履歴調査が必要です。
Check Point VPNゼロデイを起点とするQilin関連侵害
6月の深刻な攻撃キャンペーンの一つは、Check Point VPNのCVE-2026-50751を起点とする侵害があげられます。Check Pointは、IKEv1利用構成における認証バイパスが実際に悪用されていると公表し、Rapid7は観測活動が5月7日に遡り、6月上旬に増加したと報告しています。Help Net Securityは、Qilin ransomware affiliate がこのゼロデイを悪用した可能性があると報じており、TechRadarも少なくとも一件でQilinランサムウェア展開に使われたと報じています。この攻撃の流れは、従来の「VPNの資格情報の漏えい」と似て見えますが、防御上はまったく異なります。攻撃者はパスワードやMFAを突破したのではなく、VPNの認証ロジックを迂回して正規のVPNセッションを確立します。接続後は、内部アドレスを与えられた正規クライアントのように振る舞い、SMB、RDP、SSH、AD、バックアップ、仮想化基盤へ探索を進めます。公開情報では、Toxプロトコルの利用、ELFファイルのダウンロード、Qilin Linuxランサムウェア展開が指摘されています。
検知をするには、VPNログ上の「認証成功」に依存せず、IKEv1利用、証明書検証エラー、普段存在しないクライアント種別、VPN確立直後の横展開通信、短時間の大量認証試行、内部Linux/ESXiへのファイル配置、Tox通信を相関する必要があります。
LiteLLM/AI gatewayを狙うRCEキャンペーン
LiteLLM CVE-2026-42271の悪用は、AIアプリケーション基盤が一般的なWebアプリやAPI gatewayと同じ様な価値を持つ攻撃対象になったことを示しています。The Hacker Newsは、CISAがLiteLLMのcommand injectionをKEVへ追加し、実際に悪用されたことが確認されたと報じています。Horizon3.aiは、CVE-2026-42271とCVE-2026-48710を連鎖させることで未認証RCEに到達できると分析しています。これは、AIプロキシが「社内AIの利用において便利な中継点」ではなく、APIキー、ログ、プロンプト、モデルアクセス、RAGデータ、クラウド認証情報を集約する高価値な資産であることを意味しています。攻撃者の目的は、単にサーバで任意コマンドを実行することではなく、LiteLLMのようなAI gatewayを侵害すれば、API利用料金の不正な消費、LLM provider keyの転売、社内プロンプト・RAG検索内容の窃取、クラウドcredentialの取得、CI/CDやKubernetesへの横展開、内部AIアプリケーションを介したデータ抽出が可能になります。
防御するには、AI gatewayを本番API gatewayと同等の境界資産として扱い、外部公開制限、WAF、強制認証、MCP endpointの無効化、API key scopeの制限、短命キー、Kubernetes NetworkPolicy、egressの制御、プロンプトログの機密扱いを実施する必要があります。
インシデント対応では、LiteLLMのコンテナ再起動やアップグレードだけでは不十分で、キー・シークレット・RAG接続先・クラウド権限・ログ閲覧範囲まで調査対象に含める必要があります。
Klue OAuth/Salesforce supply-chain attack
6月後半に広がったKlueの供給網型インシデントは、SaaS連携の現代的リスクを示す事案になります。TechCrunchは、Klueが6月12日にレガシーな資格情報を使われてシステムへアクセスされ、顧客がKlueアカウントへ接続していたクラウドデータ、特にSalesforce databaseからデータを窃取されたと報じました。Cybersecurity Diveは、LastPass、Recorded Future、Taniumなど複数のセキュリティ企業が影響を認め、Klue appとの連携を失効させたと報じています。CybelAngelは、IcarusがKlueのインフラにレガシーな資格情報で侵入し、Klueと顧客のSalesforceを接続するOAuth tokenを窃取したとしています。この攻撃で重要なのは、Salesforceそのものの脆弱性ではなく、第三者のSaaSの連携資格情報が「顧客クラウドへの横断アクセス権」として機能した点にあります。攻撃者は、Klueを侵害することで複数組織のSalesforce CRMデータにアクセスし、顧客名、連絡先、サポートケース、営業情報、企業メタデータを取得できました。LastPassは、KlueがSalesforceとGong環境に接続されており、OAuth tokenが悪用されてSalesforce環境へアクセスされたとしています。さらに、別の無名グループがIcarusから盗まれたデータをさらに盗み、Klue顧客を直接恐喝したとの報道もあり、一次侵害後に恐喝主体が分岐するリスクが顕在化しました。
防御をするには、SaaS連携アプリの棚卸し、OAuth scope、Connected App、token lifetime、Refresh token利用、IP制限、Mass export、Report export、API利用急増、外部アプリ停止時の緊急失効手順を整備する必要があります。
Microsoft 365 Browser-in-the-Browser phishing
6月10日、Help Net Securityは、Palo Alto Networks Unit 42の調査として、Microsoft 365ユーザーを狙う新しいBrowser-in-the-Browser(BitB)フィッシングキャンペーンを報じました。この攻撃は、正規ブラウザのポップアップやOAuth認証画面に見える偽UIをページ内で再現し、利用者にMicrosoft 365認証情報やOAuth承認情報を入力させます。BitBはアドレスバーを含むブラウザウィンドウ全体を偽装するため、URLの目視確認を中心とした教育の効果がありません。侵害後のTTPはAiTMやOAuth phishingと同様です。攻撃者は、認証情報、MFA後のセッション、OAuth token、consent grantを取得し、Exchange Online、SharePoint、OneDrive、Teams、Graph APIへアクセスします。
検知にはサインイン成功ログだけでなく、User-Agent、ASN、MFA claim、device compliance、OAuth consent、Graph APIアクセス、メール転送ルール、短時間大量メール閲覧、SharePoint大量ダウンロードを相関する必要があります。FIDO2/WebAuthnは、オリジンバインディングにより偽オリジン上での認証を成立させにくいため、BitBやAiTMへの有効な対策となります。条件付きアクセスも準拠デバイス、場所、認証強度、token protectionを組み合わせなければ不十分です。
Iran関連活動の拡大とハクティビスト風キャンペーン
2026年6月は、イスラエル・米国・イランをめぐる地政学的緊張がサイバー活動の増加が観測されました。Reutersは、イスラエル国家サイバー当局トップが2026年6月に約4,800件のhostile cyber incidentsを記録し、2025年6月の約1,600件から大きく増加したと述べたと報じています。攻撃対象は、重要インフラ、大規模機関だけでなく、中小企業、法律事務所、会計事務所、一般市民にも及び、一部の防御の弱い企業ではシステムワイプが発生したとされています。Unit 42は、Iran-backed groupsやhacktivistsが、Web改ざん、DDoS、データ窃取、ワイパー攻撃を含む活動を拡大していると整理していて、この種の活動は、APT、請負組織、ハクティビスト、犯罪者が混在し、真の帰属が曖昧になりやすいと報じています。具体的には、政治的主張を掲げるリークやDDoSであっても、単なる示威行為として扱うべきではなく、攻撃者は、VPN、Fortinet、Exchange、クラウドID、SaaS、公開Web、委託先を通じて侵入し、データ窃取、ワイパー、ランサムウェア風の破壊、広報攪乱へ進む可能性があります。重要インフラ、医療、交通、製造、法律・会計・コンサルなど、社会的影響や情報価値が高い組織は、DDoS対策、外部公開資産のKEV対応、バックアップ隔離、ワイパー想定の復旧訓練、広報テンプレートを準備すべきです。