本レポートでは、2026年3月中に発生した観測情報と事案についてまとめています。
目次
DDoS攻撃の観測情報
本項では、IIJサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
対象期間において、DDoS攻撃の検出件数を以下に示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は536件あり、1日あたりの平均件数は17.29件でした。期間中に観測された最も規模の大きな攻撃では、最大で約19万ppsのパケットによって2.25Gbpsの通信が発生しました。この攻撃は主にUDP Floodでした。また、当月最も長く継続した攻撃は1時間23分にわたるもので、最大で88.61Mbpsの通信が発生しました。この攻撃は主にTCP SYN Floodでした。
不正アクセス通信の観測情報
本項では、IIJサービスで検出した当月中の不正アクセス通信を取りまとめました。
IPS機器における攻撃検出
対象期間における、正規化した攻撃検出件数と攻撃種別トップ10の割合を以下に示します。攻撃検出件数の正規化は、対象期間において最も多く攻撃を検出した日付の件数を1としています。
対象期間に最も多く検出したのはApache HTTP Server Path Traversal Vulnerability (CVE-2021-41773)で、全体の9.73%を占めていました。当該シグネチャの検知は特定日に偏ることなく恒常的に発生しており、前月に引き続きマイニングマルウェアであるRedTailへの感染を狙った通信が観測されました。
3番目に多く検出したPHPUnit Remote Code Execution Vulnerability (CVE-2017-9841)は、前月から5.50ポイント増加し、全体の7.58%を占めていました。2026年1月頃から検出数の増加が見られ、当月においても増加傾向の継続が観測されており、特に3月4日から6日にかけて特に多く検出しました。本脆弱性はPHPのテストフレームワークであるPHPUnitに存在する脆弱性で、リモートから任意のPHPコードの実行が可能となります。当月観測した攻撃の多くは脆弱性の有無を確認するスキャン通信であったことを確認しています。
マルウェア脅威の観測情報
本項では、IIJサービスで検出した当月中のマルウェア脅威を取りまとめました。
Webアクセス時における脅威検出
対象期間において、Webアクセス時に検出した脅威種別の割合を以下に示します。
対象期間に最も多く検出したのはHEUR:Trojan.Script.Genericで71.88%を占めていました。当該シグネチャでは前月に引き続き、閲覧中ページの情報を含むデータを外部へ送信するJavaScriptファイルを多く検出しています。データを外部へ送信後、返されたレスポンス情報の一部をwindow.location.hrefに設定する処理が行われていることから、当該JavaScriptファイルを参照するWebサイトの閲覧者を他サイトへ誘導するリダイレクタとして利用していると考えられます。当月のHEUR:Trojan.Script.Genericによる検出の8割以上が同様の手法を用いたJavaScriptであることを確認しています。
当月はHEUR:Trojan.Script.FakeCaptchaで全体の6.25%を占めました。検知したのはすべて同一のプラットフォーム上のサブドメインで、コンテンツを確認できた一部のサイトではプッシュ通知の許可を求めるCAPTCHA画面でした。一般的にCAPTCHA画面でプッシュ通知の許可を求める実装は不自然であり、許可してしまうとWebサイトを開いていない状態で不審なバナーなどが表示される状態になる場合があるため注意が必要です。
メール受信時における脅威検出
対象期間において、メール受信時に検出した脅威種別の割合を以下に示します。
対象期間中に最も多く検出したシグネチャはHEUR:Hoax.Script.Scaremailで、全体に占める割合は前月から74.90ポイント増加の90.22%でした。これは前月に比べて当該シグネチャの検出数が大幅に増加したことによるものです。この検出数の増加は、件名が”YOU PERVERT, I RECORDED YOU!”であるメールにより引き起こされており、この件名のメールが当該シグネチャで検出したメールの99%以上を占めていました。
1位のシグネチャの検出数が非常に多いため、グラフ(図-5)では「Others」に分類されていますが、HEUR:Trojan.BAT.Cobaltの検出数が前月と比べて大きく増加しており、全体で5番目の検出数となっていました。当該シグネチャでは、情報窃取型マルウェアのVIPKeyloggerやPhantom Stealerへの感染を狙ったメールを観測しています。
また、当月は日本語件名のメールにおいて、ValleyRATへの感染を狙ったファイルの添付を検知しています(表-1)。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。
| 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|
| 電子請求書発行のお知らせ | 電子請求書発行のお知らせ.zip | ValleyRAT |
セキュリティイベントカレンダー
本項では、日本を中心に世界中で発生したセキュリティに関する出来事を取りまとめました。
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| 脅威情報 | 脆弱性情報 | 観測情報 | その他 | ||
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 3月1日(日) | 脅威情報 | Aqua Security社は、GitHub Actionsに関連する設定不備が悪用された結果、コンテナ脆弱性スキャナTrivyのGitHubリポジトリにおいて侵害が発生したことを公表した。この侵害により、一部の公式リリースが削除されOpen VSXマーケットプレイス上に悪意のある拡張機能が公開された。3月20日には、認証情報のローテーションが不十分であったことに起因して再び侵害が発生したことを公表した。この侵害により、Trivy v0.69.4の公式リリース、trivy-action及びsetup-trivyリポジトリの複数のバージョンタグが攻撃者によって改ざんされ、悪意のあるファイルが公開されたとのこと。これらの悪意のあるファイルが実行された場合、CI/CD環境やローカル実行環境に存在する認証情報や機密情報が窃取される可能性があるとしている。また、同社は一連の攻撃がTeamPCPと呼ばれる脅威主体によるものである可能性が高いと評価している。一連の事象は悪意のあるコード埋め込みの脆弱性としてCVE-2026-33634が割り当てられており、3月26日にKEV Catalogへ追加されている。
|
| 3月2日(月) | 脆弱性情報 | Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 3月3日(火) | 脆弱性情報 | Google社は、3月3日、10日、12日、13日、18日、23日、31日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 3月4日(水) | 脆弱性情報 | Cisco社は、Cisco Secure Firewall Management Center SoftwareのWebベースの管理インタフェースにおいて安全でないデシリアライゼーションの脆弱性(CVE-2026-20131)があることを公表した。この脆弱性を悪用することで、リモートでの認証不要の任意のJavaコード実行がrootとして可能になるとのこと。3月19日には、ランサムウェアによるものも含めて悪用が確認されたとして、KEV catalogに追加されている。
|
| 3月4日(水) | その他 | Europol(欧州刑事警察機構)は、PhaaS(Phishing as a Service)のプラットフォームとして知られるTycoon 2FAに対して国際的な共同捜査を実施したことを公表した。共同捜査には複数の国の法執行機関・民間企業が参加しており、サービスの中核を成す330のドメインがテイクダウンされたとのこと。
|
| 3月4日(水) | その他 | Europolは、世界最大規模のサイバー犯罪フォーラムとして知られるLeakBaseを解体したことを公表した。LeakBaseは漏えい・窃取された数億件規模の認証情報を含むデータの売買に用いられていた。また、3月3日には14カ国の法執行機関が参加した国際的な共同捜査により、同フォーラムのユーザに対する逮捕や家宅捜索といった約100件の措置が実施された。
|
| 3月10日(火) | 脆弱性情報 | Adobe社は、Acrobatに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 3月10日(火) | 脆弱性情報 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。
|
| 3月10日(火) | 脆弱性情報 | Mozillaは、3月10日、24日にFirefox及びThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。
|
| 3月11日(水) | 脆弱性情報 | Apple社は、3月11日、17日、24日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。
|
| 3月11日(水) | 脆弱性情報 | Google社は、3月11日、13日、16日、20日、24日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 3月14日(土) | 脆弱性情報 | Dream社は、GNU Inetutilsのtelnetdにバッファオーバーフローの脆弱性(CVE-2026-32746)があることを公表した。この脆弱性を悪用することで、認証不要のリモートコード実行が可能になる恐れがあるとのこと。影響を受けるのはバージョン2.7までのすべてのバージョンとのこと。
|
| 3月16日(月) | 脆弱性情報 | Langflowの開発チームは、AIエージェント及びワークフローの構築・運用ツールであるLangflowに認証なしでリモートコード実行が可能となる脆弱性(CVE-2026-33017)があることを公表した。影響を受けるバージョンは1.8.2まで。既に悪用が確認されており、3月25日にはKEV Catalogに追加されている。
|
| 3月19日(木) | その他 | 米国司法省は、大規模なDDoS攻撃に関連していた4つのIoTボットネットのインフラを押収したことを公表した。インフラが押収されたIoTボットネットはAisuru、KimWolf、JackSkid、Mossadで、数百万台のデバイスが感染していたとされる。同時に、ボットネットの運営に関与していた疑いのある人物に対する法執行機関の捜査がカナダとドイツで実施されたとのこと。
|
| 3月21日(土) | 脆弱性情報 | MinIOの開発チームは、Amazon S3互換のオブジェクトストレージを提供するためのソフトウェアMinIOに、LDAP認証の環境でログイン試行の総当り攻撃を容易にする脆弱性(CVE-2026-33419)があることを公表した。コミュニティ版のMinIOは既にプロジェクトが終了しており、脆弱性を修正したバージョンが公式にリリースされる予定はない。なお、商用版のMinIO AIStorでは脆弱性を修正したバージョンがリリースされている。また、即座に対応することが難しい環境向けの緩和策として、リクエストにレートリミットをかけることや、リクエストを信頼できる送信元に制限すること、LDAPサーバ側でアカウントのロックアウトポリシーを設定することが挙げられている。
|
| 3月23日(月) | 脆弱性情報 | Cloud Software Group社は、NetScaler ADC(旧Citrix ADC)及びNetScaler Gateway(旧Citrix Gateway)に入力検証の不足による領域外読み取りの脆弱性(CVE-2026-3055)と競合状態によるユーザセッション混同の脆弱性(CVE-2026-4368)があることを公表した。このうち、CVE-2026-3055は既に悪用が確認されており、3月30日にはKEV Catalogに追加されている。
|
| 3月24日(火) | 脅威情報 | Berri AI社は、LiteLLMについて、PyPIに悪意のあるバージョン1.82.7及び1.82.8が公開されたことを公表した。同社は、この侵害についてCI/CDのセキュリティスキャンワークフローで利用していたTrivyに起因して発生した可能性があるとしている。悪意のあるバージョンをインストールまたは実行した場合、認証情報が窃取される恐れがあるとのこと。
|
| 3月24日(火) | 脅威情報 | Checkmarx社は、IaCの静的セキュリティスキャンツールであるKICS及びソースコードに対する静的セキュリティスキャンツールであるASTについて、サプライチェーン攻撃の影響を受けたことを公表した。その結果、Open VSXマーケットプレイス上の拡張機能に対して悪意のあるバージョンが公開されたほか、ast-github-action及びkics-github-actionのGitHub Actionsワークフローに対して悪意のあるコードが挿入されたとのこと。同社は、これらに埋め込まれたコードには、認証情報や機密情報を窃取する機能が含まれていたとしている。
|
| 3月26日(木) | 脆弱性情報 | libpngの開発チームは、画像処理ライブラリであるlibpngにUse After Freeの脆弱性(CVE-2026-33416)があることを公表した。影響を受ける可能性があるのは1.2.1から1.6.55のバージョンで、当該脆弱性を悪用することで任意コード実行が可能になる恐れがあるとのこと。
|
| 3月29日(日) | 脆弱性情報 | F5社は、BIG-IP Access Policy Managerの脆弱性(CVE-2025-53521)に関するセキュリティアドバイザリを更新した。当初はサービス運用妨害(DoS)を可能とする脆弱性として公表されたが、後に認証なしでリモートコード実行が可能なことが判明した。当該の脆弱性は既に悪用が確認されており、3月27日にはKEV Catalogに追加されている。
|
| 3月30日(月) | 脅威情報 | StepSecurity社は、数多く利用されているJavaScriptのライブラリであるaxiosについて、悪意のあるコードが依存関係に組み込まれたバージョンがnpmリポジトリに公開されていることを公表した。このインシデントは、axiosの主要なメンテナのnpmアカウントが侵害されたことで生じたとされる。影響を受けるバージョンは1.14.1及び0.30.4で、当該のバージョンをインストールした場合にはシステムがマルウェアに感染する恐れがある。
|
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
