3つの攻撃が同時に起きている

2026年4月第1週、セキュリティ業界で3つの重大事件が同時進行しています。それぞれ攻撃対象のレイヤーが異なり、合わせるとWebの全層がカバーされます。

  • ブラウザ層:Chromeのゼロデイ(今年4件目)
  • アプリケーション層:Next.jsの脆弱性を悪用した大規模攻撃
  • 開発基盤層:npmパッケージAxiosの北朝鮮による乗っ取り

① Chromeゼロデイ、2026年だけで4件目

Googleは2026年4月7日、Chrome 146のアップデートを公開し、WebGPU実装のDawnコンポーネントにおけるuse-after-free脆弱性(CVE-2026-5281)を修正しました。この脆弱性は実際の攻撃で悪用が確認されています。

これは2026年に入ってからパッチされた4件目のChromeゼロデイです。ブラウザのゼロデイは、ユーザーが悪意あるWebページを開くだけで攻撃が成立するため、添付ファイルを開く必要すらありません。認証情報の窃取やマルウェアの配布の起点として使われます。

② Next.jsの脆弱性が大規模に悪用されている

BleepingComputerは、Next.jsアプリケーションの脆弱性(React2Shell、CVE-2025-55182)を悪用した大規模な認証情報窃取キャンペーンが進行中であると報じています。

攻撃者は脆弱なNext.jsアプリを自動スキャンし、環境変数やAPIキー、データベース接続情報などを窃取しています。Next.jsは世界で最も広く使われているReactフレームワークのひとつであり、企業サイトからECサイトまで幅広く採用されています。

この脆弱性のパッチはすでに公開されていますが、適用されていないサイトが攻撃者にとっての標的になっています。パッチ未適用のNext.jsアプリは、攻撃者にとって『鍵のかかっていないドア』と同じです。

③ Axiosが北朝鮮に乗っ取られた

週間約1億ダウンロードを誇るnpmパッケージAxiosのメンテナーアカウントが、北朝鮮のハッカー集団(UNC1069)にソーシャルエンジニアリングで乗っ取られました。

攻撃者は正規のAxiosアカウントから悪意あるバージョンを公開し、WAVESHAPERと呼ばれるマルウェアを配布しました。AxiosはほぼすべてのモダンなWebアプリケーションで使われているHTTPクライアントライブラリです。1つのパッケージの侵害が、数万のWebサイトやサービスに波及する可能性があります。

ブラウザを開いても危険。サイトを運用していても危険。コードを書いていても危険。攻撃者はWebの全レイヤーを同時に攻撃している。

なぜ同時多発するのか

これらの攻撃は偶然同時期に起きたのではなく、攻撃の『産業化』が進んでいることの表れです。ゼロデイの発見と武器化は専門チームが行い、大量スキャンは自動化ツールで実行され、サプライチェーンの乗っ取りは国家レベルのアクターが組織的に遂行しています。

防御側が対応すべき範囲はブラウザの更新、アプリのパッチ適用、依存パッケージの監査と多岐にわたります。そしてこれらのどれかひとつでも漏れれば、侵入経路になります。

サイト運営者が今確認すべきこと

  • CMSやフレームワーク(Next.js、WordPress等)のバージョンが最新か
  • 使用しているnpmパッケージに悪意あるバージョンが含まれていないか
  • セキュリティヘッダー(CSP、HSTS、X-Frame-Options等)が設定されているか
  • SSL/TLS設定が最新の推奨構成か
  • 環境変数やAPIキーが公開ディレクトリに置かれていないか
  • 管理画面が外部からアクセスできる状態になっていないか

まず確認すべきこと

すべての攻撃に同時に対応するのは困難です。しかし自分のサイトが『外からどう見えているか』を確認することは、最も基本的で最もコスト対効果の高い対策です。セキュリティヘッダー、SSL設定、公開情報の露出を確認するだけでも、攻撃者にとっての『簡単な標的』リストから外れることができます。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

Acronis(Chrome・Axios・CareCloud等のまとめ): https://www.acronis.com/en/tru/posts/msp-cybersecurity-news-digest-april-7-2026/

The Hacker News(Axios乗っ取り・パスワードスプレー): https://thehackernews.com/

BleepingComputer(Next.js React2Shell・FortiClient EMS): https://www.bleepingcomputer.com/

SharkStriker(2026年4月データ侵害一覧): https://sharkstriker.com/blog/april-2026-data-breaches/