The Hacker Newsが公開した週刊セキュリティ速報「ThreatsDay Bulletin」では、Kali LinuxへのClaude AI統合、Chrome拡張機能を悪用したクラッシュ攻撃、WinRARの脆弱性放置問題、LockBitランサムウェアの高速展開など、15件以上の重大なセキュリティ脅威が報告された。一見すると目立たない広告・会議招待・ソフトウェア更新が攻撃の入口となっており、手口の巧妙化と攻撃速度の高速化が顕著だ。
この記事のポイント
- Kali LinuxがAnthropicのClaude AIをMCP(Model Context Protocol)経由で統合し、自然言語でのコマンド実行が可能に
- CrowdStrike 2026レポートによると、サイバー犯罪の平均ブレイクアウト時間が29分に短縮(2024年比65%高速化)
- WinRARの脆弱性(CVE-2025-8088)が監視対象ネットワークの80%以上で未修正のまま放置されている
Kali Linux + Claude AI統合
ペネトレーションテスト用Linuxディストリビューションとして知られるKali Linuxが、AnthropicのClaude LLMをModel Context Protocol(MCP)経由で統合した。これにより、ユーザーは自然言語でコマンドを入力し、それを技術的なコマンドに自動変換して実行できるようになる。セキュリティ専門家にとって、複雑なツール操作のハードルが下がる一方、攻撃者によるAI悪用のリスクも指摘されている。CrowdStrikeの2026年グローバル脅威レポートでは、AI対応の攻撃者活動が前年比89%増加しており、AIとセキュリティの関係は防御・攻撃両面で急速に進化している。
Chrome偽拡張機能「Promise Bomb」攻撃
「Pixel Shield」と「PageGuard」という2つの悪意あるChrome拡張機能が発見された。これらは「Promise Bomb」と呼ばれる手法を用い、Chromeのメッセージパッシングシステムに数百万の解決不能なPromiseを送り込んでブラウザを意図的にクラッシュさせる。さらに、プッシュ通知ベースのC2(コマンド&コントロール)を使い、サーバーコマンドの「newVersion」値が「2」で終わる場合に選択的にクラッシュをトリガーする仕組みを持つ。クラッシュ後、ユーザーを騙してターミナルで悪意あるコマンドを実行させるソーシャルエンジニアリング手法と組み合わせている。
拡張機能ID:
– Pixel Shield: nlogodaofdghipmbdclajkkpheneldjd
– PageGuard: mlaonedihngoginmmlaacpihnojcoocl
WinRAR脆弱性とLockBitランサムウェア
CVE-2025-8088として追跡されるWinRARの脆弱性は、サイバー犯罪グループとサイバースパイ活動の双方に広く悪用されている。監視対象のITネットワークの80%以上が脆弱なバージョンのWinRARを使用しており、信頼されたソフトウェアの更新が放置される問題が浮き彫りになっている。
また、Apache ActiveMQの脆弱性(CVE-2023-46604)を悪用してLockBitランサムウェアを展開する攻撃も報告された。攻撃チェーンは、インターネット公開のActiveMQサーバーの脆弱性悪用→Metasploit/Meterpreterによるポストエクスプロイト→権限昇格・LSASS メモリアクセス→RDPベースでのランサムウェア展開という流れで、初期侵入からわずか4分で横展開に成功した事例もある。
その他の注目すべき脅威
ResidentBat Androidスパイウェア: ベラルーシ関連の監視ツールで、通話記録・マイク録音・SMS・暗号化メッセンジャーの通信・画面キャプチャにアクセス可能。C2インフラはオランダ・ドイツ・スイス・ロシアに分散し、ポート7000-7257を使用。
GhostCall Teams攻撃: 北朝鮮の脅威アクター(UNC1069)がMicrosoft Teamsの通話を利用したソーシャルエンジニアリングで、macOSユーザーにターミナルコマンドを実行させ、マルウェアをダウンロード・実行させる手法。
GPUGateリポジトリスクワッティング: 正規のGitHubリポジトリ(GitHub Desktopなど)をフォークし、READMEのダウンロードリンクを悪意あるインストーラーに差し替えた上でスポンサー広告で拡散。Windows向けにはHijack Loader、macOS向けにはAtomic Stealerを配信。
1Campaign広告クローキング: 脅威アクターDuppyMeisterが3年以上運営するサービスで、リアルタイムの訪問者フィルタリング・不正スコアリング・地理的ターゲティングにより、フィッシングや暗号資産ドレイナーページをGoogleの審査から逃れさせる。
暗号化IV再利用リスク: 72万3,000以上のオープンソースプロジェクトが安全でない初期化ベクトルを使用する暗号ライブラリ(aes-js、pyaes)を利用。CTRまたはGCMモードで同じ鍵/IVで2つのメッセージを暗号化すると、平文のXORが復元可能(CVE-2026-25998: strongSwan/strongMan)。
知っておくと便利なTips
- WinRARは必ず最新版にアップデートし、組織内での脆弱バージョンの利用状況を定期的に監査すること
- Chrome拡張機能は公式ストアからでも悪意あるものが混入するため、インストール前に拡張機能IDと開発者情報を確認する習慣をつけよう
- CrowdStrikeレポートが示すように攻撃の82%がマルウェアフリー(正規ツール・認証情報の悪用)であるため、EDRだけでなくID管理・認証監視の強化が重要
- GitHubからのツールダウンロードはリポジトリのオリジナル性(スター数、フォーク元、コミット履歴)を確認してからに
まとめ
今週のセキュリティ速報で最も注目すべきは、攻撃速度の劇的な短縮と手口の巧妙化だ。平均ブレイクアウト時間29分、AI対応攻撃89%増という数字が示すように、従来の防御モデルでは追いつかない速度で攻撃が進化している。Kali LinuxへのClaude AI統合はセキュリティ専門家の生産性向上に寄与する一方、同様のAI技術が攻撃側にも活用されている現実を直視する必要がある。組織としては、ソフトウェア更新の徹底、拡張機能やサプライチェーンの監査、ID管理の強化といった基本対策を改めて見直すことが求められる。
📎 元記事: https://thehackernews.com/2026/02/threatsday-bulletin-kali-linux-claude.html
コメント