TokyoBlackHatNews

sysdig.com 8分で読了

セキュリティブリーフィング:2026年3月

Image

機械速での悪用

「マーチマッドネス」以上に適切な名前は思いつきません。先月は、3ポイント以上のエクスプロイトを目にしたかもしれません。認証バイパスからAIパイプラインの侵害、短縮された悪用タイムラインまで、3月は小さな脆弱性がいかに迅速に本格的な侵害に変わるかを示しました。

Sysdigの3月セキュリティブリーフィングはその証拠を提供します:脆弱性がリアルタイムで兵器化されており、バックエンドを見張っていなければ、誰か他の人がおそらくそうしています。詳しく見てみましょう。

3月3日:Pac4j認証バイパス CVE-2026-29000

  • この重大な脆弱性は、Pac4jのJWT署名検証の欠陥です。
  • 検証中に公開鍵がどのように解釈されるかを操作することで、攻撃者は認証コントロールをバイパスできます。つまり、彼らは基本的にシステムを騙して、IDなしで正面玄関を通り抜けさせました。
  • 重要:署名検証ロジックが既定では安全であると仮定しないでください。代わりに、厳密な鍵検証と許可リストを実施し、不一致または信頼されていないキーソースを持つトークンを拒否し、新しいユーザーまたはIPからのセッションスパイクなどの異常を監視してください。
  • 影響を受けた組織は、パッチを適用した後、鍵をローテーションしてアクティブセッションを終了する必要があります。

3月9日:Ingress-NGINX RCE CVE-2026-3288

  • Ingress-NGINXの設定インジェクション脆弱性により、Kubernetesクラスター内でのリモートコード実行が可能になりました。
  • この欠陥は、2月のパスインジェクション脆弱性CVE-2026-24512の関連するものです。
  • これらの脆弱性は、buildLocation()およびbuildProxyPass()での不適切な入力サニタイズが原因です。IngressパスフィールドにCharacter「」または「\\」を挿入することで、攻撃者は意図した境界から抜け出すことができます。
  • NGINX Ingressコントローラーはシークレットと内部サービスへのアクセス権を持つことが多いため、Ingressリソースへの予期しない変更、ネットワークトラフィックの異常、および設定のリロードは検査を正当化する危険信号です。

Sysdig TRTの追加調査結果

Langflow AIパイプラインの悪用

  • CVE-2026-33017は、公開されているLangflowインスタンスで認証されていないリモートコード実行を許可する重大な脆弱性です。
  • Sysdig脅威研究チーム(TRT)が特定したアクティブな攻撃は公開開示から20時間以内で発生し、GitHubで公開されているパブリック概念実証エクスプロイトさえも利用可能になる前のものです。
  • 単一のHTTPリクエストで、攻撃者はAIエージェントとRAGパイプラインの構築にLangflowの人気により、潜在的に膨大な数の被害者から鍵と認証情報を流出させることができます。認証情報は必要ありません。
  • Langflowインスタンスをすぐにパッチできない場合は、エンドポイントへのネットワークアクセスを制限するか、パブリックフロービルディングを無効にしてください。
  • 幸いなことに、Sysdigユーザーの場合、すぐに利用可能な検出がこの特定の攻撃で見られた複数の動作をトリガーします。

迅速なサプライチェーン脅威の拡大

  • TeamPCPは3月19日にTrivyで設定ミスのあるGitHub Actionsワークフローを悪用し、攻撃者がいかに迅速に月の残りを通じてキャンペーンを拡大・進化させることができるかを実証しました。
  • Sysdig TRTが特定したキャンペーンはTrivyのGitHub Actionsから3月23日のCheckmarxに移動し、同一の認証情報盗難活動を行いました。
  • PyPIのLiteLLMおよびTelnyx も元の侵害から1週間以内に乗っ取られ、3月31日時点で、DatabricksCiscoも関連する可能性のある侵害を調査していました。注意:このキャンペーンはおそらく引き続き拡大する可能性があります。
  • セキュリティツールは信頼された実行、パイプライン、およびシークレットアクセスを提供し、組織全体のブラストラディウスを提供する可能性があるため、標的になります。
  • このオープンソースサプライチェーン攻撃は、パイプラインツールは本質的に信頼できず、実行をランタイムでリアルタイムで監視する必要があることを示しています。さらに、組織は依存関係の整合性を検証し、予期しないCI/CDパイプライン動作、不規則なアウトバウンド呼び出し、およびツール整合性の変更を警告する必要があります。

教育的なスポットライト:AIコーディングエージェントの保護

  • Sysdig TRTは最小限の監視を備えた環境内で実行されているAIコーディングエージェントのリスクを強調しました。
  • これらのエージェントはコードを実行し、組織のリポジトリにアクセスし、インフラストラクチャと相互作用できます。彼らは人間の判断なしに特権ユーザーとして行動します。
  • チームはSysdig Secureユーザーのための4つの高信頼Falco検出を構築しましたが、ブログはClaudeコードを保護しようとしている人または他の者にとって重要な資産です。

その他のニュース

  • ゼロデイクロック:SysdigのCISO、Sergej Eppは、3月4日にゼロデイクロックを公開しました。業界リーダーが支援するプロジェクトであり、このウェブページは「脆弱性発見」から「脆弱性悪用」までの恐ろしく短縮されたタイムスケールを示し、ハード証拠が支持しています。
  • Ubiquiti UniFi:CVE-2026-22557は、3月19日に公開されたUbiquiti UniFiネットワークアプリケーションの最大重大度の脆弱性です。悪用により、特権のない攻撃者はユーザーアカウントを盗み、ファイルにアクセスできます。
  • ボットネット排除:連邦当局は3月19日に4つのDDoSボットネットのC2インフラストラクチャを解体しました。しかし現実は、以前に感染したIoTデバイスは引き続き脆弱なままです。攻撃者は迅速に新しいボットネットインフラストラクチャを立ち上げることができ、これらのボットネットの容量は戻ります。組織は侵害されたデバイスが引き続き侵害されていると仮定し、IoTデバイスを他のネットワークから分離するか、またはすべてのデバイスのセキュリティを更新する必要があります。
  • Anthropicリーク:3月30日、サイバーセキュリティユースケース専用に構築されたAnthropicの新しいMythosモデルが流出しました。その後、3月31日、Claude Codeのソースコードも公開されました。AI駆動の攻撃者とディフェンダー間の猫とネズミのゲームが4月でさらに興味深くなる準備をしてください。

終わりの言葉

スピードは3月で重要な唯一の指標でした。機械速で到来するエクスプロイトと集約的なサプライチェーンピボットの間で、ディフェンダーのショットクロックは縮小しています。残念ながら、サイバーセキュリティにはオフシーズンはありません。悪意のある動作をリアルタイムで検出して停止していなければ、あなたは制限されます。冷静さを保ってください、友人たち。

CISO コーナー

著者:Conor Sherman、Sysdig CISO in Residence

数字で見た場合

メトリック/タイムライン 説明
20時間 CVE開示 → Langflow AIパイプラインのアクティブな悪用
>12日 TeamPCPサプライチェーンキャンペーン:Trivy → Checkmarx → LiteLLM → Databricks →その他
77個中76個 Trivyの77個のGitHub Actionバージョンタグが単一操作で悪意あるコミットに強制プッシュされた

AIインフラストラクチャは新興戦場です

2024年には、脅威アクターのAIプレイブックを3つの動きで構成しました:より大きな有効性を備えた同じ攻撃、AIをサポートするために構築されている新しいインフラストラクチャを対象とするためのピボット、および自律攻撃にAIを活用しています。2026年は、3つすべてが同時に実現している年です。

Langflowは認証なしで侵害されました。100以上のLLMプロバイダーへのリクエストをルーティングし、すべてのAPIキーを保存するLiteLLMは、独自のCIパイプラインを通じてバックドアされました。AIコーディングエージェントは、認証情報、ソースコード、インフラストラクチャへのアクセス権を持つ開発者マシンで実行されており、人間の判断または監視なしに特権ユーザーとして動作しています。

これらの本番環境侵害は現在発生しており、チームがアクティブにデプロイしているツールに対するものです。AIインフラストラクチャがアセットインベントリにない場合、ブラインドスポットにあります。

4月のプログラムレベルアクション3つ:

優先度 アクション
AIインフラストラクチャのインベントリと統制 環境内のすべてのLangflow、LiteLLM、コーディングエージェント、およびLLM接続サービスをカタログ化します。インターネット公開インスタンスを認証、ネットワーク制限、およびランタイム監視が必要な重要資産として扱います。
CI/CDのリアルタイム保護をデプロイ 静的分析と依存関係スキャンはTeamPCPに対して失敗しました。悪意あるコードは信頼された署名付きアクションに注入されました。ランタイム検出は成功しました。コード実行をどのように取得したかに関係なく、攻撃者はシステムコールを実行してデータを盗み流出させる必要があるため、それらは観察可能です。
自律修復の準備 機械速の悪用には機械速の対応が必要です。自律修復に向けて構築する一方で、悪用後の活動に優先順位を付けるリアルタイム保護をデプロイします。悪用時点で検出し、ブラストラディウスを含め、キャンペーンがスケールする前に影響を軽減します。

翻訳元: https://webflow.sysdig.com/blog/security-briefing-march-2026

ソース: webflow.sysdig.com
#AI セキュリティ #CI/CDセキュリティ #Kubernetes #サプライチェーン攻撃 #セキュリティ脅威 #ゼロデイ #リモートコード実行 #脅威インテリジェンス #脆弱性 #認証バイパス

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法