侵害事案まとめ：DOGEが社会保障データをクラウドにアップロード

ISMGは毎週、世界各地のサイバーセキュリティ事件・侵害事案をまとめてお届けしています。今週は、米社会保障局（SSA）内の政府効率化省（DOGE）スタッフが、無許可のCloudflareサーバーを介して機微データを共有していたことが判明しました。カナダ投資規制機構は、フィッシングによる侵害で75万人の投資家が影響を受けたと発表。英国の国家サイバーセキュリティセンター（NCSC）は、ロシア寄りのハクティビストによるDDoS攻撃の増加を警告しました。イングラム・マイクロは、従業員記録が露出したランサムウェア侵害を開示。CVEの開示件数は2025年に21%急増。韓国のSKテレコムは過去最大の漏えい制裁金に異議を申し立てました。研究者はChainlitの重大な欠陥を公表し、北朝鮮のハッカーがMicrosoft VS Codeのワークフローを悪用していると警告しています。

気まぐれなセンチビリオネア（資産1,000億ドル超）であるイーロン・マスクの政府効率化省（DOGE）のメンバーが、連邦政府のサイバーセキュリティ方針を迂回して社会保障データをクラウドサーバーにコピーしていたことを、米連邦検察が金曜日の裁判所提出宣誓書で認めました。

この認めた内容は、DOGEが連邦の監督外にあるクラウドシステム上に社会保障データの複製を作成したとする2025年8月の内部告発報告と一致します（参照：内部告発者：DOGEが社会保障データのライブコピーを作成）。

社会保障局は、データが第三者クラウドプロバイダー上に依然として残っているかどうかを特定できていません。検察は当該プロバイダーをCloudflareだとしています。SSAは、2025年3月7日から2025年3月17日までの間、DOGE職員が「第三者サーバーを介してデータを共有するためのリンクを使用していた」と判断しました。

この開示は、社会保障局におけるDOGEの活動をめぐって連邦職員組合が提起した係争の中で、連邦政府が行っている数々の方針転換の一つです。ドナルド・トランプ大統領に権限を与えられたマスクは、2025年前半、コスト削減を目指す若い集団を率いましたが、批判者は後に、少なくとも217億ドルが浪費されたと結論づけました。

「記録に対する訂正通知」と題する裁判所提出書面では、DOGE職員が、選挙結果を覆す目的で不正投票の証拠を探していた政治的アドボカシー団体と契約に署名していたことも明らかにされました。提出書面によれば、この契約は有権者名簿データを社会保障データと突合する試みだった可能性があるものの、連邦機関は検察に対し「SSAデータが当該アドボカシー団体と共有された証拠はまだ確認していない」と伝えたとしています。

社会保障局は、1939年制定で連邦職員の党派的活動を禁じるハッチ法に違反した可能性があるとして、DOGE職員2名を米特別監察官局（U.S. Office of Special Counsel）に付託したと述べました。

提出書面はまた、2025年3月3日のメールについても記載しています。DOGEチームのメンバーが、国土安全保障省（DHS）および労働省のDOGEアドバイザーに対し、SSAが約1,000人分の氏名と住所を含んでいたと考える暗号化・パスワード保護されたファイルを送付したというものです。機関当局者は内容確認のためにファイルを開けていません。

検察はさらに、連邦判事がDOGEのアクセスを取り消す一時差止命令を出した後も、DOGEチームのメンバーが、社会保障カード申請や死亡日を含む「Numident」データベースへのアクセスを継続していたことを認めました。

カナダ投資規制機構は、フィッシングに基づくサイバー攻撃により、約75万人のカナダ人投資家に関連する機微情報が露出したとして、投資家に注意喚起しています。

この事案は2025年8月に初めて開示され、データへの不正アクセスが含まれていました。当時CIROは、重要機能は利用可能で、リアルタイムの株式市場監視業務も通常どおり継続しており、システム内に「能動的な脅威はない」と述べていました。

露出したデータには、氏名、連絡先、生年月日、年収、社会保険番号、政府発行の身分証番号、投資口座番号、口座明細が含まれる可能性があります。CIROは、パスワード、PIN、秘密の質問などのログイン認証情報は収集しておらず、それらは侵害されていないと述べました。

英国拠点の組織が、ロシア寄りのハクティビスト集団によって積極的に妨害を受けていると、国家サイバーセキュリティセンター（NCSC）が警告しました。

NCSCは月曜日、クレムリンに同調する自称ハクティビスト集団によるサービス妨害（DDoS）攻撃が最近増加していることを強調するアラートを公表しました。標的には政府機関、地方自治体、国家インフラ運用者が含まれます。

勧告では、少なくとも2022年3月以降活動しているハクティビスト集団NoName057(16)が、NATO加盟国に対して複数の執拗な攻撃を実施してきたと述べています。

同サイバーセキュリティ機関は、組織は防御を強化し、トラフィックフィルタリング、Webアプリケーションファイアウォールの導入、インシデント対応計画、レート制限ポリシーの実施を通じて緩和策を講じるべきだと述べました。

ITディストリビューターのイングラム・マイクロは、2025年7月のランサムウェア攻撃およびその後の侵害により、約4万2,000人が影響を受けたとして通知しています。

侵害通知書でイングラム・マイクロは、攻撃者が個人情報を含む各種文書を盗み出したと述べました。同社によれば、盗まれたデータには氏名、生年月日、社会保障番号、パスポート番号、運転免許証番号、雇用関連データが含まれます。

2025年7月3日の攻撃後、イングラムは侵害封じ込めのため重要システムを停止し、顧客向けサービスに広範な障害が発生しました。影響を受けたシステムと運用は7月9日までに復旧しました。

同社は、侵害の影響を受けた人数を42,521人と算定しています。2024年9月に初めて確認されたランサムウェア集団SafePayは、7月にリークサイトでイングラムを掲載し、3.5テラバイトのデータを持ち出したと主張しました。同集団はその後、盗んだデータを公開しており、イングラムが身代金要求に応じなかったことを示唆しています。

イングラム・マイクロは従業員2万3,000人超を擁し、世界で16万1,000社超の顧客にサービスを提供しており、2024年の純売上高は480億ドルと報告しています。

脆弱性の開示は2025年も増加し、年間のCVE件数は公表エントリー48,185件に達し、前年比20.6%増となったことが、シスコの脅威検知・対応のプリンシパルエンジニアであるジェリー・ガンブリンによる分析で示されました。

既知の脆弱性には、重大（Critical）3,984件、高（High）15,003件が含まれ、平均CVSSスコアは6.60でした。

開示件数は年間を通じて偏りも見られました。12月だけで5,500件のCVEが占め、年間総数の11%超に相当します。最も多かった単日は2月26日で、793件のCVEが公開されました。CVEの公開は予測可能なリリースサイクルにも従っており、2025年は火曜日が11,754件を占めた一方、平日の平均は8,918件、週末は1,796件でした。

しかし、防御側にとってより大きな問題はスピードです。VulnCheckは、2025年最初の3カ月に、実環境での悪用が初めて公に確認されたCVEを159件追跡し、そのうち28.3%が開示から1日以内に悪用されたことを見いだしました。また、悪用された脆弱性の25.8%は、米国のNational Vulnerability Databaseでまだ分析待ちであり、対応時間が最も重要な期間において、スコアリングやメタデータの価値が限定されると報告しました。

韓国のSKテレコムは、データ侵害により携帯加入者2,300万人全員が影響を受けた後、同国のプライバシー監督当局から科された1,350億ウォン（9,100万ドル）の制裁金に異議を申し立てたと、聯合ニュースが月曜日に報じました。

規制当局は、発生から数カ月後にユニバーサル加入者識別モジュール（USIM）データの大規模漏えいを開示したとして同社に罰金を科しました。遅れた公表はより広範な調査を引き起こし、同社は全顧客に無料のUSIM交換を提供するに至りました。

この制裁金は、2020年の設立以来、韓国のデータ保護当局が科した中で過去最大であり、2022年に規制当局がIT大手のGoogleとMetaに科した合計1,000億ウォンの制裁を上回ります。

2025年10月、セキュリティ研究者は、CoinbaseCartelを名乗るランサムウェア集団が、侵害されたBitbucketアカウントを通じてSKテレコムのネットワークに侵入し、ソースコード19.6MB、プロジェクトファイル、Dockerfile、AWSキーを盗んだと主張したと報告しました。

Zafran Labsのセキュリティ研究者は、オープンソースの人工知能フレームワークChainlitにおける2件の重大な脆弱性を公表し、機微データの露出やクラウドアカウント乗っ取りを可能にし得ると警告しました。

研究者によれば、ChainLeakと名付けられ、CVE-2026-22218およびCVE-2026-22219として追跡されるこれらの欠陥は、インターネットに公開されたChainlitの導入環境に影響し、ユーザー操作なしでトリガー可能だとしています。Chainlitはパッチをリリースしました。

Chainlitは、開発者が本番運用風のAIチャットアプリケーションを迅速に立ち上げるために広く利用されており、一般的な大規模言語モデル（LLM）スタックに組み込まれています。多くの場合、プロンプト、会話履歴、API認証情報を扱うワークフローの前段に配置されます。

CVE-2026-22218は、Chainlitがチャットメッセージに添付された「elements」を処理する方法に起因する任意ファイル読み取りの脆弱性です。/project/elementエンドポイントを悪用し、elementのパラメータを操作することで、攻撃者はChainlitが読み取って攻撃者のセッションにコピーするファイルパスに影響を与えられます。これにより、Chainlitサーバーがアクセス可能なファイル（アプリケーションデータや、環境によっては認証情報を含む可能性のあるもの）を取得できます。

リスクはマルチテナント構成で増大します。研究者は、LangChainのキャッシュを有効にしてChainlitを使用している場合、プロンプトと応答がSQLiteデータベース.chainlit/.langchain.dbにローカル保存される可能性があると警告しました。ファイル読み取りの問題を通じて露出すると、時間の経過とともにテナント間でユーザーのプロンプトや出力が漏えいする恐れがあります。

CVE-2026-22219は、ChainlitのSQLAlchemy統合におけるサーバーサイドリクエストフォージェリ（SSRF）の欠陥です。細工したURLを用いることで、サーバーに内部リソースへの外向きリクエストを開始させ、プライベートネットワークやクラウドのメタデータサービスを探索する経路を作り出せます。

Zafranは、これらの脆弱性はより広範な問題を反映していると述べました。従来型のWebの欠陥がAIアプリケーション基盤にますます組み込まれ、動きの速いAI導入を高インパクトな攻撃面へと変えているというものです。

Jamf Threat Labsの調査によれば、北朝鮮に関連する脅威アクターは、正当な開発者ワークフローに見せかけてMicrosoft Visual Studio Codeの悪用を拡大し、マルウェアを実行していることが分かりました。

この活動は「Contagious Interview」キャンペーンを踏襲するもので、偽の採用担当者で標的を誘い、技術課題と称して悪意あるGitリポジトリをクローンして開くよう求めます。Contagious Interviewは、EtherRATと呼ばれるmacOS向けリモートアクセス型トロイの木馬の配布にも関連付けられており、認証情報窃取から永続的なエンドポイント侵害へとシフトしていることを示しています（参照：北朝鮮ハッカー、React2Shell標的を攻撃）。

Jamfによれば、被害者がVisual Studio Codeでプロジェクトを開き、リポジトリを信頼すると、エディタは攻撃者が制御するコマンドを含み得るtasks.json設定ファイルを自動的に処理する場合があります。同社は、攻撃者がこの仕組みをmacOS上で利用し、リモートのJavaScriptペイロードを取得してnode.jsランタイムへ直接パイプするバックグラウンドのシェルコマンドを実行していることを観測しました。ペイロードは永続化を確立し、ホストのフィンガープリントを取得し、指令を得るためにC2サーバーへポーリングを行い、リモートコード実行を可能にします。

研究者はまた、vercel.app上にホストされたインフラも指摘しており、運用者が開発者向けのホスティングプラットフォームへ移行するという、より広範な変化を反映しています。

今週のその他の記事

• 顔入れ替えツールが「KYC（顧客確認）」リスクを高める
• Upwindが評価額15億ドルで2億5,000万ドルの資金調達を狙う理由
• トランプ政権の削減後、CISAは「任務に立ち返ろうとしている」
• EHRベンダーVeradigm、ハッキング訴訟の和解で1,050万ドルを支払いへ
• AnthropicのCowork、既知の脆弱性を抱えたまま出荷

ニュージャージー州のInformation Security Media Groupのグレゴリー・シリコによる報告を含む。