2026/04/10のセキュリティ動向

Marimo即時実悪用、Juniper管理面の危険、Rockwell PLC露出の現実、CPUID配布経路改ざん

2026/04/10の動向は、公開された管理面・研究用途ツール・OT露出資産・配布チェーンがそのまま侵入経路になる現実を改めて示した。特にMarimoでは、公開されたアドバイザリの内容だけを足場に10時間未満で実悪用へ至り、従来の「公開後に数日猶予がある」という前提がさらに崩れている。加えて、Juniperでは未認証での高権限アクセスにつながる設定不備系の重大欠陥が露出し、OTではRockwell系PLCのインターネット露出自体が被害条件になっていることが可視化された。供給網面では、CPUIDの事案が示した通り、正規サイト・更新導線・ダウンロードリンクへの信頼そのものが攻撃面になっている。

リード

4月10日のセキュリティ動向は、脆弱性そのものよりも**「どこがインターネットから見えているか」「どこを運用上信頼し切っているか」が被害の決定要因になっていた。Marimoはニッチ寄りのOSSでも即時実悪用され、Juniperは管理系アプライアンスの初期設定品質がそのままリスクになり、OTはゼロデイがなくても露出PLCが攻撃対象になりうることが確認された。さらにCPUIDでは、署名済み正規配布物ではなく配布導線の差し替え**が問題になり、利用者側が“公式サイトだから安全”と判断しやすい点が攻撃者に利用された。防御側は、パッチ適用、露出面の遮断、未侵害確認、更新導線の検証を同時に回す必要がある。

主要トレンド

• 公開アドバイザリから実悪用までの時間が“数時間”単位に縮小

  • Marimoでは、公開情報だけで攻撃者が動作するエクスプロイトを組み立て、短時間で資格情報窃取まで実行した。
  • これは大規模製品だけの話ではなく、ニッチな開発・分析ツールでも同様に成立する。

• 境界・管理プレーンは“未認証RCE”だけでなく“初期設定の弱さ”でも崩れる

  • Juniper JSI vLWCでは、初期高権限パスワードの変更が強制されない構造自体が重大欠陥として扱われた。
  • この種の問題は、パッチだけでなく展開済みインスタンスの実設定確認が必要になる。

• OTはゼロデイ依存ではなく“露出資産の直接操作”が主戦場

  • Rockwell/Allen-Bradley系PLCは、正規ベンダツールで工程や表示へ干渉されうる。
  • OTでは、脆弱性管理より前に“外から触れる状態をなくす”ことが第一防御になる。

• 供給網攻撃は“パッケージ改ざん”から“配布リンク差し替え”へ横展開

  • CPUID事案は、署名済み元ファイルを壊さずにダウンロード導線だけを汚染する構図を示した。
  • 利用者視点では正規更新と見分けづらく、SOC視点ではブラウザ、アップデータ、ダウンロードチェーンを横断して見る必要がある。

重点トピック（重要順）

1. Marimo：アドバイザリ公開から10時間未満で実悪用

• 何が起きたか

  • Marimoの /terminal/ws エンドポイントに認証検証が欠落しており、認証なしで対話型シェルを取得できる問題が公表された。
  • 4月10日時点では、公開内容だけを手掛かりにした攻撃者が実際に侵入し、.env やSSH鍵探索まで行っていたことが報告された。

• 何が危険か

  • 一発のHTTPペイロード型RCEではなく、継続的な対話型シェルを取られる点が危険。
  • notebook系はクラウド資格情報、DB接続情報、APIキーを抱えがちで、侵害直後に価値ある秘密情報へ届きやすい。

• 侵入〜実害までの流れ

  1. 公開されたMarimoインスタンスの /terminal/ws へ接続
  2. 認証不要でPTYシェル取得
  3. pwd whoami ls などで手動偵察
  4. .env、SSH鍵、構成ファイルを窃取してクラウドや内部資産へ波及

• 攻撃者の意図（分かる場合）

  • 少なくとも観測事例では、破壊よりも短時間で資格情報を抜くことに重点があった。
  • 持続化よりも、まず秘密情報を取って次の基盤へ移る効率重視の動きに見える。

• 防御側への示唆

  • Marimoを研究部門や開発部門が独自に外部公開していないかの棚卸しが急務。
  • 0.23.0以降への更新、/terminal/ws 監視、.env 参照痕跡、公開していた環境の秘密情報ローテーションが必要。

2. Juniper：初期高権限パスワードと弱パスワード運用が重大欠陥化

• 何が起きたか

  • Juniperは4月のセキュリティ情報で、JSI vLWCのCVE-2026-33784を公表した。
  • 問題は、初期高権限アカウントのパスワード変更が強制されないことで、未認証の遠隔攻撃者が不正アクセスから実質的な機器掌握に至りうる点にある。

• 何が危険か

  • これはメモリ破壊系のRCEではないが、境界・管理系で“高権限の入り口”が放置されるという意味で同等に危険。
  • さらに同タイミングでCTP OSの弱パスワード問題やApstraのSSH host key検証不備も報告されており、管理平面の信頼前提そのものが問われる。

• 侵入〜実害までの流れ

  1. 公開または到達可能な管理面へ接触
  2. 初期/弱パスワード条件を悪用して高権限アクセス
  3. 設定改変、監視停止、下流機器や管理対象の掌握
  4. 監視回避や横展開の足場として利用

• 攻撃者の意図（分かる場合）

  • こうした欠陥は大量破壊よりも、静かな管理面掌握と継続利用に向く。
  • とくに運用監視やサポート収集系の機器では、侵害が長く見逃されやすい。

• 防御側への示唆

  • パッチと同時に、実際に初期パスワードが変更されているかを現物確認すべき。
  • 管理UI/APIへの外部到達性、ログイン失敗/成功の偏り、設定変更、サポート用通信先の異常を重点確認したい。

3. Rockwell/Allen-Bradley PLC：露出そのものが被害条件

• 何が起きたか

  • 4月10日に可視化された分析では、Rockwell/Allen-Bradley系のインターネット露出ホストが全世界5,219、米国3,891に達していた。
  • 政府系注意喚起の文脈では、イラン系とされる攻撃者がこれらの露出PLCへアクセスし、プロジェクトファイル取得やHMI/SCADA表示改ざんを実施している。

• 何が危険か

  • ここでの本質は、ゼロデイではなく正規ベンダツールと露出構成だけで実害が出ること。
  • しかもセルラー網配下の遠隔設備が多く、現地での目視確認・資産把握・更新が遅れやすい。

• 侵入〜実害までの流れ

  1. EtherNet/IPで露出したPLCを探索
  2. 工学端末や関連サービスの有無を確認
  3. 正規ツールでプロジェクトや表示へ干渉
  4. 設備誤判断、停止、復旧遅延、財務損失へ接続

• 攻撃者の意図（分かる場合）

  • 公開情報からは、長期潜伏よりも妨害・威圧・現場負荷の増大に重心がある。
  • 表示改ざんは、現場の信頼できる“見える化”そのものを壊す点で効果が大きい。

• 防御側への示唆

  • PLC/HMI/SCADAの直接露出除去が最優先。
  • さらに、VNC、Telnet、Modbus、CodeMeter、工学端末由来の痕跡まで含めて“PLC単体ではなく周辺ごと”監視する必要がある。

4. CPUID：公式サイトの信頼を悪用した配布経路改ざん

• 何が起きたか

  • CPUIDでは、CPU-ZやHWMonitorのダウンロード導線が約6時間にわたり汚染され、利用者がHWiNFO_Monitor_Setup.exe という不審ファイルへ誘導されたと報じられた。
  • 公式説明では、署名済み元ファイル自体ではなく、side API／配布リンク表示側が侵害された可能性が高いとされる。

• 何が危険か

  • 利用者は“公式サイト・公式更新”だと認識したまま感染しうる。
  • しかも報道ベースでは、マルウェアは多段・インメモリ寄りで、ブラウザ資格情報窃取を目的とする可能性が高い。

• 侵入〜実害までの流れ

  1. 利用者が公式更新や公式ダウンロードを実行
  2. 汚染された導線から不正インストーラを取得
  3. DLL偽装やPowerShell等で次段階を取得
  4. ブラウザ資格情報やその他秘密情報を窃取

• 攻撃者の意図（分かる場合）

  • 大量破壊ではなく、広く使われるWindowsユーティリティ利用者から資格情報を集める狙いが濃い。
  • 公式配布元を踏み台にすることで、警戒を下げたまま感染数を伸ばしやすい。

• 防御側への示唆

  • 4月9日〜10日にCPU-Z/HWMonitorを更新・再取得した端末は、インストーラ実行有無まで確認したい。
  • ファイル名、署名、ハッシュ、実行後のPowerShell、外向き通信、ブラウザ保存資格情報アクセスを重点確認する。

SOC視点

優先CVE / グループ / マルウェア

• CVE
  • CVE-2026-39987（Marimo）
  • CVE-2026-33784（Juniper JSI vLWC）
  • CVE-2026-33771（Juniper CTP OS）
• 脅威アクター/活動
  • イラン系OT攻撃活動（Rockwell/Allen-Bradley PLC狙い）
  • CPUID配布経路改ざんに関与した不明脅威アクター
• 関連マルウェア/手口
  • /terminal/ws 悪用による対話型シェル
  • 多段・インメモリ型インフォスティーラー系挙動
  • HMI/SCADA表示改ざん
  • 配布リンク汚染 / side API compromise

IoC

• Marimo
  • /terminal/ws
  • 送信元IP 49.207.56.74（ただし代理/踏み台の可能性あり）
  • .env 参照、ls ~/.ssh、cat .env などの偵察痕跡
• Juniper
  • 静的IoCは薄く、JSI vLWC の公開管理面と初期高権限アカウント利用痕跡を重視
• Rockwell/OT
  • 185.82.73.160 〜 185.82.73.171 クラスタ（単一工学端末由来とされる）
  • 135.136.1.133
  • 証明書CN: DESKTOP-BOE5MUC
  • EtherNet/IP 44818/TCP、Modbus 502/TCP、VNC、Telnet 共露出
• CPUID
  • HWiNFO_Monitor_Setup.exe
  • supp0v3[.]com
  • CRYPTBASE.dll
  • Cloudflare R2 経由の不自然なダウンロード
• 注意
  • 共用インフラや短命インフラを含むため、単体一致だけで断定しない

Watchlist

• 研究・分析用途で外部公開されたMarimoや類似notebook
• JSI vLWC、CTP OS、Apstraを含むJuniper管理基盤
• 直接インターネット露出したPLC、HMI、SCADA、工学端末
• セルラー回線配下の遠隔OT設備
• 4月9日〜10日にCPU-Z/HWMonitorを取得・更新した端末
• 正規ユーティリティを頻繁に取得するヘルプデスク、IT運用、エンジニア端末

監視ポイント

初期侵入

• /terminal/ws への外部WebSocket接続
• Juniper管理面への通常外送信元からのアクセス
• EtherNet/IP露出資産への外部接続
• CPU-Z/HWMonitor更新直後の不審インストーラ実行
• Cloudflare R2や未知ドメインへの更新経路変更

権限昇格・認証情報奪取

• .env や秘密情報ファイルへの参照
• ~/.ssh 探索やクラウド資格情報取得
• Juniper管理アカウントの初期/弱パスワード利用
• ブラウザ資格情報ストアへのアクセス
• PowerShellやDLLロードを伴う不審な更新処理

横展開

• notebookサーバからクラウドAPI、DB、内部Gitへのアクセス
• 管理サーバから下流機器への想定外操作
• 工学端末から制御ネットワークへの異常セッション
• 感染端末から認証情報を用いた別資産アクセス

C2通信

• Marimoホストからの新規外向き通信
• OT環境で本来不要なインターネット向け発信
• supp0v3[.]com など未知インフラへの接続
• 更新直後に始まる短周期HTTPS通信

ハンティング観点

• WebSocketで /terminal/ws に接続したセッションの棚卸し
• cat .env、ls ~/.ssh、whoami、pwd など短時間の手動偵察連鎖
• Juniper機器で初期アカウント利用や設定変更ログがないか
• EtherNet/IP露出ホスト上のVNC/Telnet/Modbus共存
• HWiNFO_Monitor_Setup.exe 実行、未知のInno Setup系プロセス
• CRYPTBASE.dll の不自然なロード
• ダウンロード元URLと署名・ハッシュの不一致
• OT表示変更と実測値の不一致、プロジェクトファイル差分

優先ログソース

• Reverse Proxy / WAF / Webアクセスログ
• WebSocketセッションログ
• EDR / Sysmon / Windows Security / PowerShell Operational
• Juniper管理ログ / 監査ログ
• Firewall / Proxy / DNS / NetFlow
• OTファイアウォール、HMI/SCADA、工学WSログ
• ソフトウェア配布ログ、アップデータログ、ブラウザダウンロード履歴

必要ならATT&CK

• T1190 Exploit Public-Facing Application
• T1078 Valid Accounts
• T1552 Unsecured Credentials
• T1119 Automated Collection
• T1046 Network Service Scanning
• T1565 Data Manipulation
• T1195 Supply Chain Compromise
• T1105 Ingress Tool Transfer

サイバー攻撃予報（48〜72時間）

1. Marimoや類似notebookへの追随スキャン増加

   • /terminal/ws のような明確な到達点があるため、模倣攻撃が急増しやすい。
   • 公開研究基盤やPoC環境が優先標的になる。

2. Juniper管理系欠陥のPoC化と設定不備探索

   • デフォルト/弱パスワード問題は自動探索しやすく、管理面が露出している組織から順に狙われやすい。
   • “既知脆弱性”より“残存初期設定”が焦点になる可能性がある。

3. OT露出資産と配布導線への模倣攻撃

   • Rockwell露出資産の探索は継続し、同時にCPUID型のダウンロード経路改ざんを模倣する攻撃も増えやすい。
   • 今後数日は、PLC露出棚卸しとソフト配布経路検証の両方を前倒しすべき局面。

Evidence

• Marimo: Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass(https://github.com/advisories/GHSA-2679-6mx9-h9xc)
• Releases · marimo-team/marimo(https://github.com/marimo-team/marimo/releases)
• Critical Marimo Flaw Exploited Hours After Public Disclosure(https://www.securityweek.com/critical-marimo-flaw-exploited-hours-after-public-disclosure/)
• 2026-04 Security Bulletin: vLWC: Default password is not required to be changed which allows unauthorized high-privileged access (CVE-2026-33784)(https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-vLWC-Default-password-is-not-required-to-be-changed-which-allows-unauthorized-high-privileged-access-CVE-2026-33784)
• Juniper Networks Patches Dozens of Junos OS Vulnerabilities(https://www.securityweek.com/juniper-networks-patches-dozens-of-junos-os-vulnerabilities/)
• Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs(https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/)
• Nearly 4,000 US industrial devices exposed to Iranian cyberattacks(https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/)
• CPUID website hacked: users report HWMonitor and CPU-Z delivering malware(https://cybernews.com/security/cpuid-hwmonitor-hwinfo-cpuz-deliver-malware/)
• CPUID hacked to deliver malware via CPU-Z, HWMonitor downloads(https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/)
• Warning: CPUID Suspected of Being a Virus; Suspicious HWMonitor Downloads Raise Alarms(https://www.igorslab.de/en/warning-cpuid-suspected-of-being-a-virus-suspicious-hwmonitor-downloads-are-causing-alarm/)