企業のITインフラを狙ったサイバー攻撃が、2026年3月第4週(3月23〜29日)に急増している。CiscoのファイアウォールからGoogleのChrome、AIパイプラインツールまで幅広い製品に深刻な脆弱性が相次いで発見され、ランサムウェアグループによる実際の悪用も確認された。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は今週だけで4件の新規エントリをKEV(悪用確認済み脆弱性カタログ)に追加し、連邦機関に対してパッチ適用を命じた。
本記事では、今週公開・悪用が確認された重大脆弱性11件を網羅し、優先順位別の対応手順を解説する。
今週の脅威概況
3月第4週は3つの攻撃トレンドが同時進行した週となった。
1. ランサムウェアによる企業インフラへの標的型侵害
InterlocksランサムウェアグループはCisco FMC(CVE-2026-20131、CVSS 10.0)を1月26日から悪用していたことが明らかになった。パッチ公開(3月4日)より36日前からゼロデイとして使用されており、今年最大規模の標的型侵害のひとつとなっている。WarlockランサムウェアはSolarWinds Web Help Desk(CVE-2025-26399)を侵入口として活用しており、企業管理ソフトウェアが攻撃者にとって高価値ターゲットになっていることが改めて示された。
2. AIパイプラインとDevSecOpsへのサプライチェーン攻撃
AI開発フレームワーク「Langflow」とコンテナセキュリティスキャナー「Aqua Trivy」が同時期に侵害された。特にTrivyへの攻撃は、セキュリティツール自体をクレデンシャル窃取の手段として悪用するという高度な手口であり、CI/CDパイプライン全体への影響が懸念される。
3. 認証基盤・エンドポイント管理プラットフォームへの攻撃継続
Oracle Identity Manager、Ivanti EPM、Quest KACE SMAなど、企業全体の認証情報を管理するプラットフォームに対する深刻な攻撃が今週も確認された。これらの製品はひとたび侵害されると、ドメイン全体の管理者権限が危険にさらされる。
CVSS 10.0 最高深刻度の脆弱性
Cisco Secure Firewall Management Center(CVE-2026-20131)
- 深刻度: CVSS 10.0 / Critical
- 影響製品: Cisco Secure FMC(2026年3月4日パッチ以前の全バージョン)
- 悪用状況: 悪用確認済み(CISA KEV登録)/ランサムウェアによる実被害あり
- 概要: 認証なしにリモートからシステムへの完全アクセスが可能になる脆弱性。InterlocksランサムウェアグループがCISAのパッチ義務化期限(3月22日)より36日前からゼロデイとして悪用。侵入後はマルウェア展開による暗号化被害が複数報告されている。
- 対応: Cisco 2026年3月4日セミアニュアルアップデートを即時適用。FMC管理インターフェースをインターネットから隔離することを強く推奨。
Quest KACE Systems Management Appliance(CVE-2025-32975)
- 深刻度: CVSS 10.0 / Critical
- 影響製品: KACE SMA バージョン14.0.341 Patch 4以前
- 悪用状況: 悪用確認済み(CISA KEV登録)
- 概要: シングルサインオン(SSO)認証処理の不備により、攻撃者が管理者を含む任意のユーザーになりすますことができる。今週は実際にMimikatz(クレデンシャルダンプツール)を使った認証情報の窃取、横展開(ラテラルムーブメント)、不正な管理者アカウント作成が確認された。
- 対応: 2025年5月に修正済みパッチが提供されている。未適用の場合は即時適用が必要。ドメイン管理者認証情報は侵害済みとして扱い、全てローテーションすること。
CVSS 9.0以上:今週発覚した4件の重大脆弱性
Oracle Identity Manager(CVE-2026-21992)
- 深刻度: CVSS 9.8 / Critical
- 影響製品: Oracle Identity Manager 12.2.1.4.0 / 14.1.2.1.0
- 悪用状況: 現時点で実被害の報告なし(緊急パッチ公開済み)
- 概要: 認証なしでリモートからコードが実行できる脆弱性。Oracleは3月20日に定例外の緊急セキュリティアラートを公開した。現時点での実被害は報告されていないが、攻撃面が非常に広く早急な対応が必要である。
- 対応: Oracle Security Alert(2026年3月20日公開)を即時適用。パッチ適用前はRESTエンドポイントへの外部アクセスをWAFでブロックすること。
SolarWinds Web Help Desk(CVE-2025-26399)
- 深刻度: CVSS 9.8 / Critical
- 影響製品: SolarWinds Web Help Desk バージョン12.8.6以前
- 悪用状況: 悪用確認済み(CISA KEV登録)/ランサムウェアによる実被害あり
- 概要: AjaxProxyエンドポイントのデシリアライゼーション処理の不備を悪用した攻撃が継続中。WarlockランサムウェアグループがこのCVEを初期侵入に利用し、その後QEMUベースのSSHバックドアとCloudflareトンネルを使ったC2通信を確立していることが確認されている。
- 対応: バージョン12.8.7 HF1またはWeb Help Desk 2026.1へのアップグレードが必要。QEMU仮想マシンの不審なプロセスやCloudflareトンネルサービスの有無を確認すること。
Langflow(CVE-2026-33017)
- 深刻度: CVSS 9.3 / Critical
- 影響製品: Langflow バージョン1.8.2以前
- 悪用状況: 悪用確認済み(CISA KEV登録)/公開後20時間以内に実被害
- 概要: AI開発フレームワーク「Langflow」のAPIエンドポイントに認証なしでアクセスでき、任意のコードを実行できる脆弱性。セキュリティアドバイザリの公開からわずか20時間以内に実際の悪用が確認された。CISAはKEVに追加(連邦機関の対応期限:4月8日)。
- 対応: バージョン1.8.3以降へのアップグレードが必要。インターネット公開中のインスタンスは即時オフライン化し、全てのAPIキーと認証情報をローテーションすること。
D-Link DSLルーター(CVE-2026-0625)
- 深刻度: CVSS 9.3 / Critical
- 影響製品: 複数のD-Link DSLルーターモデル(全てサポート終了済み)
- 悪用状況: 悪用確認済み/ベンダーによるパッチ提供なし(EOL)
- 概要: CGIエンドポイントのコマンドインジェクションの脆弱性により、認証なしでリモートからシェルコマンドが実行できる。D-Linkはサポート終了済み製品のためパッチ提供を行わないと表明している。
- 対応: 該当機器は早急に代替機器へ交換すること。即時交換できない場合は、管理インターフェースへの外部アクセスを完全に遮断し、ファイアウォール内側に配置すること。
サプライチェーン攻撃:Aqua Trivy(CVE-2026-33634)
- 影響製品: Aqua Trivy v0.69.4〜v0.69.6(DockerHub配布版)、trivy-action(76タグ)、setup-trivy(全7タグ)
- 悪用状況: 悪用確認済み(CISA KEV登録)
- 概要: 攻撃者がAqua Security社のクレデンシャルを窃取し、悪意あるTrivyイメージをDockerHubに公開した。このイメージはCI/CDパイプライン内で実行されると、機密情報(APIキー、認証情報)を外部に送信する。セキュリティスキャンツール自体が攻撃ベクターとなるという、特に危険な手口である。
- 安全なバージョン: Trivyバイナリ 0.69.2 / 0.69.3、trivy-action v0.35.0、setup-trivy v0.2.6
- 対応: 直ちに安全なバージョンへの固定(ピン止め)を行うこと。3月19〜22日の間にTrivyを実行したCI/CDパイプラインで使用されていた全ての機密情報は侵害済みとみなしてローテーションが必要。
ブラウザとエンドポイント管理:高深刻度の3件
Google Chrome ゼロデイ(CVE-2026-3909 / CVE-2026-3910)
- 深刻度: 各 CVSS 8.8 / High
- 影響製品: Google Chrome バージョン145.x以前
- 悪用状況: 悪用確認済み(CISA KEV登録)/連邦機関の対応期限:3月27日
- 概要: SkiaグラフィックスライブラリとV8 JavaScriptエンジンにそれぞれゼロデイ脆弱性が発見され、実際の攻撃に悪用されていることが確認された。CISAは連邦機関に3月27日までのパッチ適用を義務付けた。
- 対応: Chrome 146.0.7680.75/76への即時アップデート。MDMを通じた全エンドポイントへの強制配布を推奨。
VMware Aria Operations(CVE-2026-22719)
- 深刻度: CVSS 8.1 / High
- 影響製品: VMware Aria Operations(複数バージョン)
- 悪用状況: 悪用確認済み(CISA KEV登録)/連邦機関の対応期限:3月24日
- 概要: コマンドインジェクションの脆弱性により、認証なしでリモートからコード実行が可能。Broadcomが潜在的な悪用を確認している。
- 対応: Broadcom提供の修正パッチを即時適用。Aria Operations管理インターフェースへのアクセスを内部ネットワークのみに制限すること。
Ivanti Endpoint Manager(CVE-2026-1603)
- 深刻度: CVSS 8.6 / High
- 影響製品: Ivanti EPM バージョン2024 SU4以前
- 悪用状況: 悪用確認済み(CISA KEV登録、3月9日追加)
- 概要: 認証回避によりクレデンシャルボルト(ドメイン管理者パスワードを含む)への不正アクセスが可能。実際の被害が確認されている。
- 対応: Ivanti EPM 2024 SU5へのアップグレードが必要。クレデンシャルボルト内の全認証情報(特にドメイン管理者アカウント)は侵害済みとしてローテーションすること。
今週の優先パッチリスト
P1(即時対応)
- Cisco Secure FMC → 3月4日パッチを即時適用
- Quest KACE SMA → 修正バージョンへのアップグレード+認証情報の全ローテーション
- Aqua Trivy → 安全バージョンへの固定+CI/CDシークレットの全ローテーション
- Langflow → バージョン1.8.3以降へのアップグレード+APIキーのローテーション
P2(24〜72時間以内)
- Oracle Identity Manager → 緊急Security Alertパッチの適用
- SolarWinds Web Help Desk → バージョン12.8.7 HF1または2026.1へのアップグレード
- Google Chrome → 146.0.7680.75/76へのMDM強制更新
- Ivanti EPM → 2024 SU5へのアップグレード+クレデンシャルのローテーション
- VMware Aria Operations → Broadcomパッチの適用
P3(早急に対応)
- D-Link DSLルーター → 代替機器への交換(パッチなし・EOL)
- Android端末 → 2026年3月セキュリティパッチの適用
まとめ
2026年3月第4週のセキュリティ状況は、企業の根幹となるインフラが攻撃者の主要ターゲットとなっていることを改めて示している。
今週の最重要教訓は以下の3点である。
1. ゼロデイを前提とした管理インターフェースの保護
Cisco FMCのケースが示すように、パッチ公開前から悪用されているケースが増えている。企業管理プラットフォームをインターネットに直接公開しないことが最低限の対策となる。VPN+多要素認証(MFA)を前提としたアクセス制御が必要だ。
2. セキュリティツール自体の信頼性検証
Aqua Trivyへのサプライチェーン攻撃は、セキュリティ担当者が信頼していたツールそのものが攻撃ベクターになり得ることを示している。コンテナイメージのダイジェスト検証とバージョンのピン止めを標準化することが重要である。
3. パッチ適用遅延のリスクの現実
Quest KACE SMAのCVSS 10.0の脆弱性は2025年5月に修正済みにもかかわらず、2026年3月現在も未適用のシステムが攻撃を受け続けている。重大脆弱性(CVSS 9.0以上)に対して30日以内のパッチ適用SLAを設定し、インターネット公開システムを最優先で対応する体制が求められる。
サイバー攻撃の手口は日々高度化している。最新の脅威情報をキャッチアップし、組織のセキュリティ態勢を継続的に強化することが重要だ。
参照記事:
- CISA Known Exploited Vulnerabilities Catalog
- The Hacker News — 2026年3月 セキュリティ速報
- BleepingComputer — Microsoft March 2026 Patch Tuesday
コメント