本記事で得られる3つのポイント

• 今週、優先して塞ぐべき脆弱性とサプライチェーン事案の全体像
• 日本企業で影響が大きい製造業・境界機器・AI/開発基盤・対人欺罔の論点
• 今すぐ打つべき短期対策と、四半期単位で進めるべき中長期対策

なぜ重要か：今週は、公開管理面、開発パイプライン、AIワークフロー、人間系の侵入口が同時に叩かれた週でした。便利な基盤ほど権限が集まりやすく、侵害されると後処理が重くなります。

今週のハイライト

• PTC Windchill / FlexPLM の CVE-2026-4681 は未認証RCEで、独警察が直接警告に動くほど緊急度が高い案件でした。
• Langflow の CVE-2026-33017 は CVSS 9.8、公開後短時間で悪用され、CISA KEV に追加されました。
• Trivy の CVE-2026-33634 は、脆弱性というより サプライチェーン侵害 として理解すべき案件で、秘密情報の全面ローテーションが前提です。
• F5 BIG-IP の CVE-2025-53521 は KEV 追加により、境界装置の即時棚卸し対象となりました。
• LiteLLM の PyPI 汚染、LangChain / LangGraph の情報漏えいリスクなど、AI/開発基盤まわりの実害が増えています。
• ClickFix、AiTM、vishing が人間側の侵入口として存在感を増しており、メール訓練だけでは守り切れません。

出典：https://www.securityweek.com/cisa-flags-critical-ptc-vulnerability-that-had-german-police-mobilized/ https://www.darkreading.com/vulnerabilities-threats/critical-flaw-langflow-ai-platform-under-attack https://www.cisa.gov/news-events/alerts/2026/03/26/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog https://www.infosecurity-magazine.com/news/teampcp-litellm-pypi-supply-chain/ https://thehackernews.com/2026/03/langchain-langgraph-flaws-expose-files.html https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/ https://www.csoonline.com/article/4148705/faster-attacks-and-recovery-denial-ransomware-reshape-threat-landscape.html

主要トピック一覧

重大脆弱性とパッチ情報

PTC Windchill / FlexPLM：CVE-2026-4681

CVE-2026-4681 は、PTC Windchill と PTC FlexPLM に影響する未認証RCEです。論点は CVSS の高さだけでなく、製造業・設計変更管理・サプライヤ連携の中枢に刺さることです。業務データ、設計データ、変更履歴がまとまっているPLM基盤は、侵害されると後片付けがかなり重くなります。目立たないが止まると困る基盤ほど、攻撃者はよく見ています。

出典：https://www.securityweek.com/cisa-flags-critical-ptc-vulnerability-that-had-german-police-mobilized/ https://nvd.nist.gov/vuln/detail/CVE-2026-4681 https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-03

Langflow：CVE-2026-33017

Langflow の CVE-2026-33017 は、公開フロー用の未認証エンドポイントが攻撃者入力を exec() に渡してしまう問題です。AIワークフロー基盤は便利ですが、APIキー、モデル接続情報、業務データ、実行権限が集まりやすく、侵害時の被害が広がりやすい。公開から短時間で悪用された点も、今後のAI基盤の標準リスクになりそうです。

出典：https://www.darkreading.com/vulnerabilities-threats/critical-flaw-langflow-ai-platform-under-attack https://nvd.nist.gov/vuln/detail/CVE-2026-33017 https://www.cve.org/CVERecord?id=CVE-2026-33017 https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog

Trivy：CVE-2026-33634

Trivy の CVE-2026-33634 は、通常の製品バグというより、リリースパイプラインの乗っ取りです。悪性バージョンや GitHub Actions のタグ改ざんにより、秘密情報窃取へ発展し得ます。ここで重要なのは、パッチだけでは終わらないことです。トークン、PAT、クラウド認証情報、CI変数、Kubernetes Secret の全面ローテーションまでやって、ようやく入口に立てます。

出典：https://www.cisa.gov/news-events/alerts/2026/03/26/cisa-adds-one-known-exploited-vulnerability-catalog https://nvd.nist.gov/vuln/detail/CVE-2026-33634 https://www.csoonline.com/article/4149938/trivy-supply-chain-breach-compromises-over-1000-saas-environments-lapsus-joins-the-extortion-wave.html

F5 BIG-IP：CVE-2025-53521

F5 BIG-IP の CVE-2025-53521 は、境界装置としての性質上、業務影響が非常に重い案件です。NVD の更新でも説明が RCE に明確化され、CISA KEV 追加で優先度が一段上がりました。境界機器は、止めると困るので後回しにされがちですが、そこが一番困ることになる場所でもあります。

出典：https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog https://nvd.nist.gov/vuln/detail/CVE-2025-53521

その他の重要更新

Citrix NetScaler、BIND、Apple iOS / macOS 26.4 も、公開面や管理対象端末に関わるため、棚卸し優先度が高い更新です。どれも派手な見出しより、「自社で使っているか」「外に見えているか」で重みが決まる案件です。

出典：https://www.infosecurity-magazine.com/news/citrix-patch-netscaler/ https://www.securityweek.com/bind-updates-patch-high-severity-vulnerabilities-2/ https://www.securityweek.com/ios-macos-26-4-roll-out-with-fresh-security-updates/

インシデント・データ侵害

Trivy 起点のSaaS波及

Trivy の事案は、単なる1製品の問題ではなく、SaaS、CI/CD、クラウド認証の連鎖に広がる構図が厄介です。セキュリティツールが侵入口になるのは、なかなか皮肉ですが、権限と信頼を持つツールほど被害が拡大しやすいのも事実です。

出典：https://www.csoonline.com/article/4149938/trivy-supply-chain-breach-compromises-over-1000-saas-environments-lapsus-joins-the-extortion-wave.html

欧州委員会のWeb基盤側侵害

欧州委員会の事案は、本体組織のアプリだけでなく、そのWeb基盤やホスティング基盤が狙われることを示しています。公開サイト周辺は「広報領域だから本丸ではない」と思われがちですが、実際には認証情報、設定情報、更新経路、対外信用の交点です。

出典：https://www.csoonline.com/article/4151363/european-commission-data-stolen-in-a-cyberattack-on-the-infrastructure-hosting-its-web-sites.html

地政学連動の破壊型攻撃

イラン連動ハクティビズムの文脈では、個人メール侵害とワイパー型の破壊行為が並行しています。ニュースとしては派手ですが、実務上は「政治・外交・軍事の緊張が高まると、便乗型の破壊攻撃や情報公開が増える」という昔からの流れの延長です。

出典：https://thehackernews.com/2026/03/iran-linked-hackers-breach-fbi.html

フィッシング・ソーシャルエンジニアリング

ClickFix は「自分で押させる」攻撃

ClickFix は、偽CAPTCHAや修復指示を使い、ユーザー自身にコマンドやスクリプトを実行させます。技術的には複雑でなくても、現場ではかなり強い。操作説明が丁寧な攻撃は、だいたい危ないです。

出典：https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/

AiTM と業務用SNSの乗っ取り

TikTok for Business を狙う AiTM は、広告運用・SNS運用・ブランド広報を持つ組織には軽視しづらい案件です。セッションを奪われると、MFAがあっても防ぎ切れません。業務用SNSはマーケティングの道具ですが、攻撃者から見ると決済・広告・ブランド信頼の入口でもあります。

出典：https://www.infosecurity-magazine.com/news/phishing-targets-tiktok-for/

vishing と採用詐欺

M-Trends 2026 では、voice phishing の存在感が上がり、採用担当者や転職文脈を使う詐欺も続いています。メールだけ訓練しても、電話、チャット、求人、SNSまで対策しなければ穴が残ります。詐欺師も、なかなかマルチチャネルです。

出典：https://www.csoonline.com/article/4148705/faster-attacks-and-recovery-denial-ransomware-reshape-threat-landscape.html https://www.darkreading.com/cyberattacks-data-breaches/phishers-pose-palo-alto-networks-recruiters-job-scam https://www.apwg.org/blog/apwg-q1-report-phone-based-phishing-grows-explosively-shifting-the-cybercrime-threatscape

政策・基準・フレームワーク動向

今週、実務で一番効くのは、やはり CISA KEV の更新です。Langflow、Trivy、F5 BIG-IP が連日追加され、守る側に優先順位変更を迫りました。一方で、MITRE ATT&CK は公開更新としては 2025年10月版が最新で、今週の優先度判断は新しいマトリクス改訂より、KEV と NVD recent / modified を中心に組む方が実務的です。

出典：https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/26/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog https://attack.mitre.org/resources/updates/

OWASP 側では、今週の急報というより、Agentic AI と GenAI Data Security の運用指針が継続的に補強されています。AIを本番利用する企業では、従来の Web / API の脆弱性管理に加え、ツール権限、プロンプト境界、秘密情報の扱いまで管理対象に含める必要があります。

出典：https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/ https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/ https://genai.owasp.org/event/rsac-conference-2026-owasp-ai-security-summit-safeguarding-genai-agents-autonomous-ai-risk-2026/

国内視点の影響

日本企業への影響はかなり直接的です。製造業 では PTC Windchill / FlexPLM、境界機器 では F5 / Citrix / DNS、AI / 開発部門 では Langflow / LangChain / LiteLLM / Trivy、広報・採用・広告運用 では AiTM / ClickFix / 求人詐欺が効いてきます。海外ニュースの顔をしていますが、実態は国内の現場そのものです。

出典：https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-03 https://nvd.nist.gov/vuln/detail/CVE-2026-33017 https://www.infosecurity-magazine.com/news/teampcp-litellm-pypi-supply-chain/ https://thehackernews.com/2026/03/langchain-langgraph-flaws-expose-files.html https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/

NICTER については、対象期間内に「直ちに運用優先度を変える新規緊急注意喚起」は確認しにくく、今回の判断軸は KEV、NVD recent、ベンダー更新、サプライチェーン侵害の4点に寄せるのが妥当です。観測データ自体は継続的に更新されていますが、今週の主戦場は別にありました。

出典：https://www.nicter.jp/ https://www.nict.go.jp/

今すぐやるべきこと

1. KEV追加3件（Langflow、Trivy、F5 BIG-IP）の有無を CMDB、SBOM、リポジトリ、CI/CD、公開資産一覧で横断確認する。
2. Trivy / LiteLLM の影響バージョンを使っていた場合、トークン、PAT、クラウドキー、Kubernetes Secret、CI変数を一括ローテーションする。
3. PTC / F5 / Citrix / BIND の外部公開状況を棚卸しし、修正版適用と管理面の到達制限を急ぐ。
4. Langflow / LangChain / LangGraph の外部公開、権限境界、秘密情報注入方式を点検する。
5. 現場向けに、偽CAPTCHA、電話でMFA承認を急がせる連絡、採用担当を名乗る接触 の3類型を即日通知する。
6. Apple 管理端末の更新適用状況を確認し、旧版向けも含めて未更新端末を洗い出す。

出典：https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/26/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog https://www.infosecurity-magazine.com/news/teampcp-litellm-pypi-supply-chain/ https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/

中長期対策

1. 脆弱性管理を「公開資産中心」から「業務影響中心」へ再設計し、PLM、CI/CD、SaaS、AI基盤を本番同等で扱う。
2. サプライチェーン防御として、SBOM、署名確認、mutable tag 回避、依存関係監査、秘密情報分離を標準化する。
3. AI利用の社内基準を整備し、エージェント権限、ツール接続、モデル入力、出力先の境界を明文化する。
4. 認証防御をメール中心の訓練から、vishing、AiTM、セッション防御、フィッシング耐性MFAへ拡張する。
5. 復旧設計を見直し、バックアップ、ID基盤、CI/CD、Secrets 管理を recovery denial 耐性の観点で再点検する。

出典：https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/ https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/ https://attack.mitre.org/resources/updates/ https://www.csoonline.com/article/4148705/faster-attacks-and-recovery-denial-ransomware-reshape-threat-landscape.html https://blog.knowbe4.com/best-practices-for-implementing-ai-agents

CISA KEV と NVD “recent/modified” の観点で実運用に影響が大きい項目

• CVE-2026-33017（Langflow Code Injection）— 2026/03/25 に KEV 追加。AIワークフロー基盤の未認証RCEとして優先度が高い。
• CVE-2026-33634（Aqua Security Trivy Embedded Malicious Code）— 2026/03/26 に KEV 追加。製品脆弱性というよりサプライチェーン侵害として扱うべき。
• CVE-2025-53521（F5 BIG-IP RCE）— 2026/03/27 に KEV 追加。境界装置であるため、業務影響が一段重い。
• CVE-2026-4681（PTC Windchill / FlexPLM）— NVD 公開と ICS Advisory を受け、製造業・PLM利用企業では即棚卸し対象。
• CVE-2026-3055（Citrix NetScaler ADC / Gateway）— 境界面に関わるため、公開構成では優先パッチ対象。
• CVE-2026-3104（BIND）— DNS インフラの安定性へ影響するため、公開DNS / 再帰DNS 運用では確認価値が高い。

出典：https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/26/cisa-adds-one-known-exploited-vulnerability-catalog https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog https://nvd.nist.gov/vuln/detail/CVE-2026-33017 https://nvd.nist.gov/vuln/detail/CVE-2026-33634 https://nvd.nist.gov/vuln/detail/CVE-2025-53521 https://nvd.nist.gov/vuln/detail/CVE-2026-4681 https://www.infosecurity-magazine.com/news/citrix-patch-netscaler/ https://www.securityweek.com/bind-updates-patch-high-severity-vulnerabilities-2/