📝エグゼクティブサマリー  

日本サイバーセキュリティ月間です。本報告書は、2026年3月2日から3月8日までの週における日本のサイバー脅威状況の統合要約を提供します。日本の脅威状況は、産業規模のランサムウェア作戦と高度に専門化された国家支援型スパイ活動の顕著な融合によって特徴づけられました。「サイバー犯罪の産業化」が顕著なテーマとなり、攻撃者はAI駆動の自動化を活用して、初期アクセスから大規模な暗号化までの時間を短縮しました。 

🔍 日本のダークウェブ活動 

2026年3月2日から3月8日までの期間、ダークウェブ監視により、日本企業へのアクセス権の持続的な金銭化と、ニッチなサービスプロバイダーへの再焦点化が確認された。BreachForumsなどのアンダーグラウンドフォーラムやロシア語専門掲示板では、日本のインフラに対する標的型関心が示された：

• 3月3日：脅威アクター「Zestix」による日本の物流企業（.jpドメイン）内部データベースの販売。データには12,000件の貨物積荷目録と顧客PIIが含まれる。 

• 3月5日：千葉に拠点を置く日本物流企業の初期アクセス権販売。脅威アクター「AccessPoint」がVPN/RDP認証情報を掲載。未修正のFortinet脆弱性を経由して取得された可能性が高い。 

• 3月7日：日本の精密製造企業の内部文書がTORベースのリークサイトに流出。技術図面や独自研究開発データを含むファイルが確認された。 

• 3月5日：日本のECユーザー18万件（氏名、ハッシュ化パスワード、住所）を含むSQLデータベースの流出が確認。攻撃者「lulzintel」がレガシーWebアプリケーションの脆弱性を理由に犯行を主張。 

• 主要脅威アクター：TheGentlemenとQilinは、広範な標的から高価値産業・金融組織への移行を続け、日本に対する最も持続的な脅威である。 

• 業界別動向：今週のデータベース漏洩の主な標的は、物流、電子商取引、地域金融機関セクターであった。 

🔒 日本の週間ランサムウェア被害状況 

日本は依然として大量のランサムウェア被害に直面しており、今週は世界で最も標的とされる国トップ10入りを果たした。当社が検知した主要・新興ランサムウェアグループはINSOMNIAと0APTランサムウェアである。 

• 3月2日：東洋インキSCホールディングス（化学・製造）がランサムウェアDLS（データ漏洩サイト）に掲載。攻撃者は独自配合データと財務報告書の流出を主張。 

• 3月4日：共立メンテナンス株式会社（ホスピタリティ／不動産）が新グループINSOMNIAによる被害企業と特定。同グループは侵害の証拠として社内従業員ディレクトリのサンプルを公開。 

• 3月6日：名古屋拠点の自動車部品サプライヤー（情報源では未公表）がNightSpireによるリークサイトに掲載。自動車サプライチェーンの二次・三次供給業者を標的とする傾向が継続。 

• 独自のグループ識別：INSOMNIAと0APTは、今週一貫して日本のインフラを標的とする「新規」または新興グループとして特定され、従来のLockBit/Akiraによる支配から逸脱している。 

🚪 IAB - 初期アクセスブローカー販売 

今週も、日本のネットワークへのアクセス権の販売は高価値かつ特定性の高いものとなった。 

• 3月3日：侵害されたVPN（Fortinet）経由で日本の製造業大手（収益10億ドル以上）へのアクセスがXMRで5,000米ドルで出品された。 

• 3月3日：日本の地方自治体ネットワークへのアクセス権が、ティア1のアンダーグラウンドフォーラムで3,000米ドルで出品された。 

• 3月5日：（以前確認済み）AccessPointによる日本の物流会社（千葉拠点）へのアクセス権の販売。 

• 3月8日：日本の医療提供者向けRDPアクセスが掲載。売り手は「アクティブなドメイン管理者権限」を明記しており、ランサムウェア展開のリスクが大幅に高まっている。 

  
  
  
  

📊 日本のデータ侵害ニュース 

暗号化ベースの攻撃に加え、単独のデータ侵害が技術・サービス分野に影響を与えた。 

• 3月3日：Substack（日本関連アカウント）：Substackのグローバルな情報漏えいにより、複数の日本語ニュースレターとその購読者のメールアドレスおよび電話番号が流出した。 

• 3月5日：日本政府の研究開発情報漏洩：政府資金による研究プロジェクトから機密技術データ（半導体・電池関連）の漏洩が検知され、日本政府は緊急対策をまとめた。 

• 3月8日：金融サービスデータ漏洩：東京拠点のフィンテックスタートアップが、設定ミスによるS3バケットの公開を報告。約45,000人の個人識別情報（PII）が48時間にわたり晒された。 

📊 フィッシング＆メール統計 

今週のフィッシング攻撃は時事問題と地域ブランドへの信頼を悪用。

• 3月4日：気象庁を装ったフィッシングメールが急増。「雪怪（ジュヒョウ）」警報を装い、悪意のある「Weather Tracker」.exe（PromptSpyマルウェアを含む）をダウンロードさせる手口。 

• 3月7日：日本航空（JAL）の手荷物サービスを装ったキャンペーンが活発化。2月に実際に発生した事件を模倣し、偽のログインポータルで乗客情報を「確認」するよう要求。 

• キャンペーンハイライト：金融庁を装った個人株トレーダー向けローカライズされたSMSフィッシングキャンペーン 

• IoCとマルウェア：フィッシングメールでLumma StealerとOysterLoaderが配布される事例を確認。これらのキャンペーンでは、メールフィルタを回避するため、正規の日本ドメイン上の「オープンリダイレクト」が利用されていた。 

• 概要：日本の回答者の71％がフィッシングを最大の脅威と認識しており、世界平均を大幅に上回る。

  
  

   

🛡️ 日本週間エクスプロイトとして注目 

Fortinet FortiWebの管理API脆弱性（CVE-2025-64446）。認証なしで管理者アカウントを作成される深刻なパス・トラバーサル攻撃が、2025年末から継続中。日本ターゲットのスキャンが確認されており、FortiWebをインターネット公開している環境は緊急で最新版（8.0.2以上など）へアップデートを推奨します。 

🔍 エクスプロイト分析：CVE-2025-64446 

攻撃者は標準APIフィルタを迂回するため、エンコードされたパストラバーサル手法を用いて内部CGIバイナリを実行している。 

• 対象アプライアンス：Fortinet FortiWeb WAF および FortiOS ベースのファイアウォール。 

• 脆弱性の種類：権限昇格/アカウント作成につながるパストラバーサル。 

• 手法：攻撃者はCMDB APIにPOSTリクエストを送信し、%3f（エンコードされた?）と../シーケンスを使用して内部の/cgi-bin/fwbcgiコンポーネントに到達します。 

• 主な目的：永続化。ペイロードは、プロファイル prof_admin を持つ「a88aaa76」という新しいユーザーを作成しようとし、あらゆる IP アドレス (0.0.0.0/0) からの完全な制御を可能にします。 

KQL 週次検出ルール 

// Fortinet パストラバーサルを検出 - CVE-2025-64446 

W3CIISLog 

| where csMethod == "POST" 

| where csUriStem contains "/api/v2.0/cmdb/system/admin" 

| where csUriStem contains "cgi-bin/fwbcgi" 

    or csUriStem contains ".." 

    または csUriStem が "%2e%2e" を含む 

    または csUriStem が "%3f" を含む 

    または csUriStem が "%3F" を含む 

| IsExploitAttempt = iif( 

    csUriStem が "fwbcgi" を含む  

    または csUriStem に "%3f" が含まれる  

    または csUriStem に "%3F" が含まれる場合, "Yes", "Suspicious") 

| extend KnownThreatActor = iif(cIP == "209.182.234.63", "Yes", "No") 

| project TimeGenerated, cIP, sPort, csMethod,  

          csUriStem, csUriQuery,  

          IsExploitAttempt, KnownThreatActor 

| order by TimeGenerated desc 

⚔️ 日本を標的としたAPT/脅威キャンペーン 

国家系アクターは経済・技術スパイ活動に注力し続けている。 

• 3月5日：LongNosedGoblin（中国関連）：日本の政府関連業務を標的とした活動が再確認された。同グループは現在、更新版NosyHistorianマルウェアを使用して文書の窃取を行っている。 

• 3月6日：MirrorFace（中国関連）：MirrorFaceがVisual Studio Code（VSCode）トンネルを利用して日本のテクノロジー企業内に秘密通信経路を構築している件について新たな警告が発出された。 

✦ さいごに

ここまでお読みいただき、ありがとうございました。

私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報（Threat Intelligence）を専門とする専門家集団として、

日々、現場でお客様とともに脅威に向き合っています。

「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」

といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。

そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。

だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。

少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。