今週のサイバーセキュリティ動向（対象期間：2026/04/05–2026/04/11 JST）

週次サマリー（対象期間：2026/04/05–2026/04/11 JST）

今週は、Fortinet FortiClient EMS の実悪用脆弱性、Chrome 147 の大規模修正、OT/PLC を狙う国家系攻撃への警告、Trivy 起点のサプライチェーン侵害の実害化、Microsoft device code flow 悪用型フィッシング、そして AI による脆弱性発見の急加速 が同時に表面化した週だった。脆弱性管理、認証管理、CI/CD 保護、OT 保護を別々に回している組織ほど、対応の優先順位を誤りやすい。出典：https://www.darkreading.com/vulnerabilities-threats/fortinet-emergency-patch-forticlient-zero-day https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a https://www.csoonline.com/article/4154176/cert-eu-blames-trivy-supply-chain-attack-for-europa-eu-data-breach.html https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html https://www.darkreading.com/application-security/anthropic-exploit-writing-mythos-ai-safe

本記事で得られる3つのポイント

今週、優先して対処すべき脆弱性・侵害・フィッシング事案の全体像
日本企業で影響が大きい公開資産、認証基盤、開発基盤、AI利用基盤の注意点
今すぐ打つべき短期対策と、四半期単位で進める中長期対策

なぜ重要か：攻撃面が「公開サーバ」「依存パッケージ」「AIエージェント」「人間の認証行動」に分散しており、従来の単一レイヤー防御では取りこぼしやすくなっているため。出典：https://www.csoonline.com/article/4155221/fortinet-releases-emergency-hotfix-for-forticlient-ems-zero-day-flaw.html https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html https://www.securityweek.com/google-addresses-vertex-security-issues-after-researchers-weaponize-ai-agent/

主要トピック一覧

日付(JST)	見出し	要点（1行）	出典URL
2026/04/05–04/07	FortiClient EMS の CVE-2026-35616 が実悪用、CISA KEV 追加	Fortinet FortiClient Endpoint Management Server の認証回避／RCE 脆弱性（CVSS 9.1）が実運用で悪用され、オンプレ EMS は最優先で対処が必要。	https://www.darkreading.com/vulnerabilities-threats/fortinet-emergency-patch-forticlient-zero-day https://www.csoonline.com/article/4155221/fortinet-releases-emergency-hotfix-for-forticlient-ems-zero-day-flaw.html https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
2026/04/10	Chrome 147 が 60件を修正、WebML の重大脆弱性 2件を封じ込め	Chrome 147 は WebML を含む 60件を修正し、企業利用端末では即時更新が妥当。	https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/
2026/04/07	イラン系アクターによる PLC 悪用を CISA が警告	米重要インフラの PLC を狙う活動が確認され、OT 環境の境界制御と外部露出削減が改めて強調された。	https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
2026/04/07	Forest Blizzard が旧型ルーターを踏み台に Microsoft Office トークンを窃取	既知脆弱性を抱えた古い MikroTik / TP-Link ルーターが DNS 改ざんに使われ、18,000超のネットワークに影響した。	https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
2026/04/10	Marimo の CVE-2026-39987 が公開 10時間以内に悪用	公開直後に実攻撃へ転用された事例であり、分析・開発系ツールの修正猶予がほぼ消滅していることを示した。	https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html
2026/04/10	Anthropic の Claude Mythos / Project Glasswing が大規模な脆弱性探索を加速	AI による高深刻度脆弱性の発見と検証が加速し、防御側の露出期間短縮が経営課題になった。	https://www.darkreading.com/application-security/anthropic-exploit-writing-mythos-ai-safe https://www.csoonline.com/article/4155342/what-anthropic-glasswing-reveals-about-the-future-of-vulnerability-discovery.html https://thehackernews.com/2026/04/anthropics-claude-mythos-finds.html
2026/04/09	Trivy サプライチェーン侵害が Europa.eu 侵害の初期侵入経路と整理	Trivy 経由で漏えいした AWS 資格情報が、欧州委員会系データ流出の起点になったと CERT-EU 文脈で評価された。	https://www.csoonline.com/article/4154176/cert-eu-blames-trivy-supply-chain-attack-for-europa-eu-data-breach.html
2026/04/10	日本企業を狙う tax-themed フィッシングを KnowBe4 が紹介	Silver Fox が税務、給与改定、人事異動など日本企業の季節要因に合わせた件名で不正リンクや添付を開かせる手口が確認された。	https://blog.knowbe4.com/japanese-firms-silver-fox-tax-phishing-campaign
2026/04/08	EvilTokens が Microsoft device code flow を悪用	正規認証フローを逆手に取る PhaaS で、M365 トークン奪取とアカウント乗っ取りが狙われている。	https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html
2026/04/09	Bitcoin Depot で 50 BTC 超が流出	内部システム侵害により 50 BTC 超、約 366万ドル相当が盗まれたと公表された。	https://www.infosecurity-magazine.com/news/bitcoin-depot-dollar36m-crypto/
2026/04/09	NICT・TOPPAN・ISARA が認証局の耐量子暗号移行技術を実証	現行暗号から耐量子計算機暗号へ段階移行する技術実証であり、長寿命の認証基盤に示唆が大きい。	https://www.nict.go.jp/press/2026/04/09-1.html
2026/04/07	CVE.org が CNA Enrichment Recognition List を更新	CWE / CVSS を高率で付与する CNA を可視化し、脆弱性情報の品質向上が進んでいる。	https://www.cve.org/Media/News/item/blog/2026/04/07/CNA-Enrichment-Recognition-List-Update
2026/04/08	KnowBe4 が vishing の急伸を警告	音声フィッシングが初期侵入手段として伸びており、電話チャネルの統制が急務になった。	https://blog.knowbe4.com/voice-phishing-is-a-growing-social-engineering-threat

今週のハイライト

今週の最優先は、FortiClient EMS の実悪用、Chrome 147 の大規模修正、OT/PLC に対する国家系攻撃への注意喚起、サプライチェーン侵害の実害化の4本柱である。FortiClient EMS は KEV 入りしたことで、単なる「高深刻度」ではなく「今すぐやる案件」に変わった。Chrome は利用者母数の大きさから、1件の重大欠陥でも業務全体へ波及しやすい。OT 側では PLC そのものが狙われ、Europa.eu の件ではセキュリティツール由来の漏えいが実害へつながった。派手なゼロデイだけでなく、運用の“つなぎ目”が狙われている週だった。出典：https://www.darkreading.com/vulnerabilities-threats/fortinet-emergency-patch-forticlient-zero-day https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a https://www.csoonline.com/article/4154176/cert-eu-blames-trivy-supply-chain-attack-for-europa-eu-data-breach.html

重大脆弱性とパッチ情報

最重要は CVE-2026-35616 である。Fortinet FortiClient EMS 7.4.5〜7.4.6 に影響し、NVD では不適切なアクセス制御により、未認証の攻撃者が crafted requests 経由で unauthorized code or commands を実行できると記載されている。CVSS v3.1 は 9.1。Fortinet は hotfix を案内し、The Hacker News と CSO Online は watchTowr / Defused Cyber による実悪用観測を報じた。公開 EMS は「あとで」ではなく「いま閉じる」案件である。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-35616 https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html https://www.csoonline.com/article/4155221/fortinet-releases-emergency-hotfix-for-forticlient-ems-zero-day-flaw.html

Chrome 147 では 60件が修正され、そのうち 2件の critical は WebML コンポーネントに存在する heap buffer overflow（CVE-2026-5858）と integer overflow（CVE-2026-5859）である。加えて NVD では、直近の実悪用ゼロデイ CVE-2026-5281 が KEV 対象であることが明示されている。ブラウザは業務端末の共通実行基盤であり、更新遅延がそのまま攻撃面になる。出典：https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/ https://nvd.nist.gov/vuln/detail/CVE-2026-5281

Marimo の CVE-2026-39987 は、/terminal/ws の認証不備により未認証でフル PTY shell を取得できる pre-auth RCE で、NVD でも 0.23.0 未満が影響対象と整理されている。The Hacker News は公開 10時間以内の悪用を伝えており、分析・PoC・ノートブック系ツールの公開運用が、いまや本番同等の緊張感を要することがはっきりした。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-39987 https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html

インシデント・データ侵害

今週の象徴的な事案は、Europa.eu のデータ侵害である。CSO Online は、CERT-EU が Trivy サプライチェーン侵害を起点とみていると報じた。脆弱性スキャナー由来の認証情報漏えいが、欧州委員会系システムのデータ流出へつながった構図は、セキュリティツールも「高権限の本番資産」であることを突きつける。道具箱が壊れると、工具だけでなく現場まで燃える。出典：https://www.csoonline.com/article/4154176/cert-eu-blames-trivy-supply-chain-attack-for-europa-eu-data-breach.html

Bitcoin Depot では 50 BTC 超が盗まれたと報じられた。暗号資産事業者に限らず、秘密鍵、APIキー、ウォレット権限、クラウド資格情報のような「少数の高権限情報」に価値が集中する業態では、内部システム侵害が即財務インシデントへ転化しやすい。出典：https://www.infosecurity-magazine.com/news/bitcoin-depot-dollar36m-crypto/

フィッシング・ソーシャルエンジニアリング

EvilTokens は Microsoft の device code flow を悪用し、正規の認証体験に見せかけながらトークンを奪う。これは「ログイン画面が本物だから安心」という従来感覚を崩すタイプの攻撃で、条件付きアクセス、トークン監視、利用フローの制限が必要になる。出典：https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html

日本企業にとってより直撃しやすいのは、Silver Fox による税務・給与・人事文脈のフィッシングである。KnowBe4 によれば、税務違反、給与改定、職位変更、持株会といった、日本企業の季節要因に合った件名が使われている。文面の自然さより、業務タイミングの自然さが厄介だ。忙しい時期ほど、人は真面目にだまされる。出典：https://blog.knowbe4.com/japanese-firms-silver-fox-tax-phishing-campaign

さらに KnowBe4 は vishing の伸長も警告している。電話はメールより勢いがあり、その場で判断を迫れる。ヘルプデスク、MFA再登録、端末交換、送金確認などが口頭で突破されると、技術統制だけでは守り切れない。出典：https://blog.knowbe4.com/voice-phishing-is-a-growing-social-engineering-threat https://apwg.org/trendreports

政策・基準・フレームワーク動向

CISA は今週、FortiClient EMS の KEV 追加と、OT/PLC に関する advisory AA26-097A を通じて、「パッチ適用」と「露出削減・分離」の両方を求めた。つまり、脆弱性管理とアーキテクチャ改善を別工程のままにしてはいけない、というメッセージである。出典：https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a https://www.cisa.gov/known-exploited-vulnerabilities-catalog

CVE.org は、CWE / CVSS を高率で付与する CNA を可視化する CNA Enrichment Recognition List を更新した。表向きは地味だが、機械可読性と優先順位付けの品質を上げる動きであり、脆弱性管理の自動化には重要である。出典：https://www.cve.org/Media/News/item/blog/2026/04/07/CNA-Enrichment-Recognition-List-Update

MITRE ATT&CK は公開更新としてなお v18 が現行で、v19 は 2026年4月28日公開予定と案内されている。今週は新バージョン適用より、既存TTPを個別事案へ当てはめる使い方が中心になる。OWASP は Top 10:2025 が現行で、GenAI Data Security Risks & Mitigations 2026 や Agentic 系の資料が、AI運用統制の実務基準として効いてくる。出典：https://attack.mitre.org/resources/updates/ https://owasp.org/www-project-top-ten/ https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/

国内視点の影響

日本企業への影響はかなり直接的である。Fortinet や旧型ルーターのような止めにくい運用機器、M365 の認証フロー、Trivy を含む CI/CD、Marimo や AI/分析系ツールの公開サーバ、そして税務・給与・人事を装う対人欺罔が並行している。製造、自治体、金融、SIer、広告運用、人事労務、情シスのいずれにも刺さる。出典：https://www.csoonline.com/article/4155221/fortinet-releases-emergency-hotfix-for-forticlient-ems-zero-day-flaw.html https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/ https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html https://blog.knowbe4.com/japanese-firms-silver-fox-tax-phishing-campaign

NICT の 2026年4月9日の発表は、認証局の耐量子暗号移行に関する国内の現実的な技術実証である。すぐに全社移行する話ではないが、長寿命の証明書・CA・IoT・金融・行政システムを抱える組織ほど、いまから設計思想を持っておく価値がある。出典：https://www.nict.go.jp/press/2026/04/09-1.html

一方、NICTER については、対象期間内に直ちに運用優先度を変える新規の緊急注意喚起は確認しにくかった。そのため今週の判断軸は、NICTER の観測速報よりも、CISA KEV・NVD・主要媒体の一次報を優先するのが実務的である。出典：https://www.nicter.jp/ https://www.cisa.gov/known-exploited-vulnerabilities-catalog

今すぐやるべきこと

FortiClient EMS の対象バージョン有無を棚卸しし、hotfix 適用と侵害痕跡確認を即日実施する。
Chrome / 業務ブラウザの強制更新ポリシーを確認し、未更新端末を可視化する。
Marimo、Langflow、Flowise など公開された分析・AI系ツールの露出有無を確認し、不要公開を停止する。
M365 環境で device code flow 悪用を前提に、条件付きアクセス、サインインログ、トークン異常監視を見直す。
経理・人事・労務向けに、税務・給与・異動連絡を装うメールと電話の注意喚起を今週中に出す。
OT/PLC 環境では、外部接続、遠隔保守経路、インターネット露出、デフォルト資格情報を再点検する。

出典：https://www.csoonline.com/article/4155221/fortinet-releases-emergency-hotfix-for-forticlient-ems-zero-day-flaw.html https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/ https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html https://blog.knowbe4.com/japanese-firms-silver-fox-tax-phishing-campaign https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

中長期対策

中長期では、従来の「CVSS が高い順に直す」運用だけでは追いつかない。AI によって脆弱性探索が高速化し、公開から悪用までの時間が短くなるほど、重要なのは 露出面の縮小、権限境界の明確化、修正の自動配信、認証イベントの横断監視 である。

開発面では、OWASP Top 10:2025 を最低ラインとして、CI/CD の秘密情報保護、署名済みアーティファクト、GitHub Actions の権限最小化、依存関係の固定化、SBOM 運用を進めるべきである。運用面では、ATT&CK v19 の更新に合わせて検知ルールを定期改定し、認証基盤では耐量子暗号移行を含むロードマップ整備が必要になる。出典：https://owasp.org/www-project-top-ten/ https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/ https://attack.mitre.org/resources/updates/ https://www.nict.go.jp/press/2026/04/09-1.html

CISA KEV や NVD “recent” フィードで実運用に影響大の項目

CVE-2026-35616（Fortinet FortiClient EMS）— 2026/04/06 に KEV 追加。未認証 RCE、実悪用あり。出典：https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog https://nvd.nist.gov/vuln/detail/CVE-2026-35616
CVE-2026-1340（Ivanti Endpoint Manager Mobile (EPMM)）— 2026/04/08 に KEV 追加。MDM / EMM 基盤の未認証 RCE として注意度が高い。出典：https://www.cisa.gov/news-events/alerts/2026/04/08/cisa-adds-one-known-exploited-vulnerability-catalog https://nvd.nist.gov/vuln/detail/CVE-2026-1340
CVE-2026-5281（Google Dawn / Chrome）— NVD で KEV 対象明示。ブラウザの実悪用ゼロデイで、全端末へ波及し得る。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-5281
CVE-2026-39987（Marimo）— NVD recent。未認証で PTY shell を取得できる pre-auth RCE。公開分析環境は即点検対象。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-39987
CVE-2026-40217（LiteLLM）— NVD recent。AIゲートウェイや LLM 運用基盤の公開環境で確認価値が高い。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-40217
CVE-2026-1830（Quick Playground plugin for WordPress）— NVD recent。未認証で任意ファイルアップロードから RCE に至り得る。WordPress 運用サイトは確認推奨。出典：https://nvd.nist.gov/vuln/detail/CVE-2026-1830