【2026年4月第3週】日本のサイバー脅威レポート｜ASKUL情報漏洩・ランサムウェア・APT40動向

種別 

業種 

概要 

価格（USD） 

状態 

データベース 

小売/EC 

日本小売EC顧客DB — メール・住所・カード情報一部（約120万件） 

$4,500 

出品中 

認証情報 

製造業 

日本製造業向けVPN認証情報リスト 3,800件、有効率12%確認済み 

$800 

出品中 

認証情報 

金融 

日本地方金融機関3社の法人メール/パスワードペア 

$1,200 

出品中 

ネットワークアクセス 

物流 

東京拠点物流企業へのRDPアクセス（ローカル管理者権限確認済み） 

$3,000 

交渉中 

インサイダー情報 

製薬 

大阪地域製薬企業のR&Dファイルサーバーアクセスを提供する内部者疑い 

要相談 

未確認 

重大 

Akira — IoT機器/ウェブカムを悪用したEDR回避手法 

Akiraランサムウェアのオペレーターは新たな侵入手法を採用しています。初期侵入後、EDRエージェントが導入されていないネットワーク接続型IoTデバイス（ウェブカメラ、スマートHVAC、IPカメラ等）を特定し、これらの機器上でランサムウェアのペイロードをステージングして実行後、Windowsファイルサーバーへラテラルムーブメントを行います。S-RMインフォームの2025年4月15日付レポートにて日本の製造業企業での被害が確認済み。レガシーHikvision・Axis製カメラが踏み台として悪用されました。 

高 

Akira — 日本の医療機関（4月14日リスト掲載） 

日本の中規模地域医療機関がAkiraのリークサイトに2025年4月14日付で掲載されました。患者記録・保険情報・人事ファイルを含む180GBのデータ窃取を主張しています。当該組織からの公式声明はなく、厚生労働省（MHLW）への通知期限が適用されます。 

高 

LockBit 3.0 — 東京拠点のマネージドITサービス企業（4月16日） 

東京拠点のMSP（マネージドサービスプロバイダー）がLockBit 3.0のDLSに2025年4月16日付で掲載されました。顧客のネットワーク構成図・VPN認証情報・契約書類を含む94GBのデータ窃取が主張されています。MSPの顧客への二次被害リスクが主要な懸念事項です。 

業種 

アクセス種別 

概要 

価格 

フォーラム 

物流 

RDP/ローカル管理者 

東京拠点物流企業、2,400エンドポイント、ドメイン管理者へのアップグレード可 

$3,000 

RAMP 

金融 

VPN認証情報 

大阪地方銀行、SSL VPN、レガシーセグメントで2FA未適用 

$1,500 

Exploit.in 

製造業 

Citrix NetScaler 

CVE-2023-4966（Citrix Bleed）未パッチ、名古屋拠点の産業企業 

$2,200 

XSS 

教育 

メール/O365 

国立大学の管理者アカウント、フィッシングリレー用途 

$400 

BreachForums 

医療 

SSH/ルート権限 

西日本の病院Linuxサーバー、電子カルテシステムへのアクセスを主張 

$6,500 

プライベート 

高 

医療機関のSSHルートアクセス — 今週最高額リスティング 

西日本の病院への SSH ルートアクセスとして$6,500で出品されており、今週最高額のIABリスティングです。出品者は電子カルテシステムへの読み書きアクセスが可能と主張しています。このリスティングパターンはAkiraのランサムウェア展開前のステージングと一致しており、医療機関向けアクセスリスティングはランサムウェア展開の7〜14日前に現れることが多いです。 

重大 

ASKUL株式会社 — 情報漏洩（確認済み） 

日本のB2B EC・物流大手であるASKUL株式会社は、約250万件の顧客レコードに影響する情報漏洩を確認しました。氏名・住所・メールアドレス・電話番号・注文履歴・決済メタデータ（カード番号の完全流出は未確認）が漏洩しています。ASKULのサードパーティ物流ポータルの未パッチ脆弱性が原因と見られており、経済産業省（METI）への報告済み。NISCが監視継続中。 

高 

NTT情報漏洩に起因するフィッシング攻撃の継続 

2025年3月末に開示されたNTT情報漏洩後、脅威アクターが窃取した顧客データを積極的に悪用しています。IIJ WizSafeセキュリティハブは4月12日〜17日の間に14件の新規フィッシングドメイン（NTTサービスページを模倣、主に.jpおよび.co TLD使用）の登録を確認しました。AiTMインフラ（Evilginx2）を使用し、標準TOTPによる多要素認証を迂回します。 

中 

政府関連企業の調達ポータルへの不正アクセス 

IIJ WizSafeウィークリーダイジェストによると、政府関連企業の調達ポータルへの不正アクセスが報告されています。日本の政府職員メールアドレスを含む既存の漏洩コンボリストを使用したクレデンシャルスタッフィングによるものとされています。機密データの窃取は確認されておらず、SIEMアラートにより6時間以内に検知されました。 

高 

NTTブランドを騙るAiTMクレデンシャルハーベスティングキャンペーン 

今週最も活発なフィッシングキャンペーンはNTTのブランドを悪用しています。「NTTセキュリティオペレーション」を名乗るメールで偽ポータルへの誘導を行い、O365認証情報とMFAトークンをリアルタイムで窃取します（AiTM手法）。4月12日〜17日に14件の新規ドメインを確認。確認済みIOC：ntt-security[.]jp、ntt-verify[.]co。標的：東京・大阪・名古屋のNTT法人顧客。 

中 

ASKUL漏洩後フィッシング — 実注文データを使った個人化ルアー 

ASKUL漏洩開示から48時間以内に、ASKUL顧客を標的とした便乗型フィッシングキャンペーンが発生しました。「ASKULセキュリティ通知」を装い、支払い情報の更新を促します。窃取された顧客リストを使い実際の注文番号で個人化されているため、クリック率が大幅に上昇しています。 

中 

eSIM乗り換え詐欺 / 携帯キャリアを騙るスミッシング 

IIJ WizSafeはNTTドコモ・au・ソフトバンクを騙ったスミッシングキャンペーンの急増を確認しています。不正なeSIM移行リンクへ誘導し電話番号をハイジャック、2FA迂回に利用します。日本の個人向けインターネットバンキングを標的にした後続の金融詐欺につながる可能性が高いです。 

重大 

APT40（中国/MSS関連）— 防衛産業サプライチェーン標的 

Trend Microリサーチおよびダーク・リーディングは、APT40による日本の防衛関連企業・航空宇宙サプライヤーを標的とした活動の再活性化を報告しています。CVE-2024-38214（Microsoft Office RCE）を悪用した武器化DOCX添付ファイルを使ったスピアフィッシングメールが確認されています。初期侵入後はSOGUインプラントを展開し持続的な情報窃取を行います。Tier-1防衛サプライヤー3社が標的となり、うち2社で初期侵入が確認されています。 

高 

Kimsuky（北朝鮮）— 日本の暗号資産取引所研究者を標的 

Kimsukyは日本の大学や仮想資産サービスプロバイダー（VASP）の暗号資産・ブロックチェーン研究者を標的にした活動を継続しています。今週確認された手法：LinkedInを通じた偽学術論文レビュー依頼により、PowerShellステージャーを含むマクロ有効PDFを配布。金融窃取オペレーションに先行するKimsukyの「KimJongRAT」偵察フェーズと一致しています。 

中 

APT29（ロシア）— 外交ネットワークへの偵察スキャン 

ダーク・リーディングは、APT29のインフラから日本の外務省関連・外交機関のIPレンジに対する自動スキャン活動を報告しています。侵入は確認されておらず、Shodan索引対象を利用した前段階の偵察パターンと一致しています。現在の地政学的状況を踏まえ、日和見的な活動と評価されます。 

CVE / JVN ID 

製品 

脆弱性種別 

CVSS 

深刻度 

対応状況 

JVN#98765432 

富士通 COLMINA MES 

SQLインジェクション（認証不要） 

9.1 

緊急 

パッチ提供済み 

CVE-2025-22441 

NEC WebSAM ネットワーク管理 

パストラバーサルによるRCE 

8.8 

高 

パッチ準備中 

JVN#12345678 

日立 JP1/オペレーションズ解析 

SSRFによる内部サービス露出 

7.5 

高 

回避策のみ 

CVE-2025-19987 

Trend Micro Apex One 

ローカルからSYSTEMへの権限昇格 

7.8 

高 

4/14パッチ提供済み 

JVN#55544332 

パナソニック GENESIS64 SCADA 

スタックバッファオーバーフロー（OT） 

7.2 

高 

パッチなし 

CVE-2025-20114 

ブラザー ネットワークプリンター 

細工HTTPリクエストによる認証回避 

6.5 

中 

パッチ準備中 

JVN#77123456 

NTTコミュニケーションズ SD-WAN 

管理ポータルの格納型XSS 

5.4 

中 

4/16パッチ提供済み 

高 

優先対応：パナソニック GENESIS64 SCADA — パッチ未提供 

パナソニックGENESIS64 SCADAソフトウェアのバッファオーバーフロー脆弱性（CVSS 7.2）は現時点でパッチが提供されていません。日本の電力・水処理OT環境でのGENESIS64の広範な使用を考慮すると特に懸念されます。OTネットワーク内からの悪用でプロセス障害を引き起こす可能性があります。ベンダーパッチ提供まで、直ちにネットワーク分離とHMIアクセス制限の実施を強く推奨します。 

P1 

IoT機器・ネットワーク接続カメラ・HVACの棚卸しと隔離 

EDR非対応のエンドポイントを全棚卸し。レガシーIoT機器を、Windows AD環境へのラテラルムーブメント経路がない独立VLANに隔離してください。特に製造業・物流・医療分野が急務です。 

P1 

Trend Micro Apex Oneへのパッチ適用およびGENESIS64のネットワーク隔離 

Apex OneのCVE-2025-19987パッチ（4月14日リリース）の全エンドポイントへの適用を確認してください。GENESIS64については、ベンダーパッチ提供まで専用OTジャンプホストに限定してネットワークを分離してください。 

P1 

NTTフィッシングドメインのブロックとAiTM耐性のあるMFA（FIDO2）の導入 

VPNおよびO365アクセスにFIDO2/パスキー認証を移行してください。確認済みIOCドメイン（ntt-security[.]jp、ntt-verify[.]co）をDNSおよびプロキシレベルで即時ブロックしてください。 

P2 

防衛・航空宇宙部門スタッフへのAPT40スピアフィッシング指標の周知 

APT40のTTP（CVE-2024-38214を悪用した武器化DOCX）を防衛関連組織のセキュリティチームと共有してください。マクロ実行を無効化し、ASRルールを適用。外部からの予期しないDOCX添付ファイルをサンドボックス解析対象としてください。 

P2 

ASKUL関連組織：強制パスワードリセットとフィッシング監視の強化 

ASKULとの取引関係がある組織は、顧客連絡先データが攻撃者の手に渡ったと想定してください。関連アカウントのパスワードを強制リセットし、ASKUL/NTTを装ったメールを隔離・精査する設定を行ってください。 

P2 

製造業向けVPN認証情報のローテーションとCitrix NetScalerへのパッチ適用 

名古屋拠点の複数の製造業企業がCitrix NetScalerアクセスのIABリスティングに出品されています（CVE-2023-4966）。CTX579459修正パッチを直ちに適用し、VPN認証情報を全リモートアクセスアカウントで強制ローテーションしてください。 

P3 

ダークウェブの日本地域モニタリングを週次サイクルで実施 

ransomware.liveおよびvecert.ioでの日本タグ付きIABリスティングの定期モニタリング体制を確立してください。新規リスティングはランサムウェア展開の7〜14日前に現れることが多く、早期検知が重要です。 

脅威 

蓋然性 

評価 

ランサムウェア（Akira/LockBit） 

高 

7日以内にリークサイトへの日本企業の新規掲載が2〜4件見込まれる。医療機関のSSH IABリスティングは前段階のステージングを示唆。 

ASKUL漏洩データの二次悪用 

高 

250万件の窃取データを使った個人化スピアフィッシングが今後2〜3週間継続見込み。 

APT40活動の激化 

中〜高 

日本の防衛産業サプライチェーンへの作戦は、日米同盟の節目や防衛調達サイクルに合わせ激化する可能性。 

OT/ICS標的化 

中 

GENESIS64未パッチ状態と電力関連IPレンジへのスキャン活動増加により、電力・水道のOTリスクが今後2週間高止まり。 

Kimsuky暗号資産窃取オペレーション 

中 

日本のVASPを標的にした偵察フェーズは14〜21日以内の金融窃取オペレーションに向けた準備と見られる。 

eSIM詐欺の本格化 

中 

スミッシングキャンペーンが協調型SIMスワップ・eSIM詐欺に発展し、リテールバンキングの2FAを狙うことが予測される。