東京セキュリティブリーフィング 2025年12月26日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2025年12月26日、金曜日です。クリスマスも終わり、年末に向けて忙しい時期かと思いますが、セキュリティの世界では休む暇もなく、重要なニュースが続々と入ってきています。

本日も、日本の組織や個人に影響を与える可能性のある最新のセキュリティ動向をお届けしてまいります。それでは、まず主要なヘッドラインからご紹介しましょう。

ヘッドライン

本日取り上げる主なニュースです。

まず、MongoDBが深刻なリモートコード実行の脆弱性について緊急のパッチ適用を呼びかけています。

次に、FortinetがFortiOS SSL VPNの5年前の脆弱性が現在も悪用されていると警告しています。

さらに、Evasive Pandaと呼ばれる高度な脅威アクターが、敵対者中間者攻撃とDNSポイズニングを組み合わせた巧妙な攻撃を展開しています。

また、FBIが米国民から銀行認証情報を盗むために使用されていたドメインを押収し、1460万ドルの被害が確認されました。

そして、悪意のあるGoogle Chrome拡張機能が170以上のサイトからデータを盗んでいたことが発覚しています。

その他にも、ServiceNowによるサイバーセキュリティ企業Armisの77億5000万ドルでの買収や、AI生成ランサムウェアの出現など、重要なトピックが目白押しです。

それでは、詳しく見ていきましょう。

詳細解説

MongoDBの深刻なリモートコード実行脆弱性

最初にお伝えするのは、世界中で広く使用されているデータベース管理システムMongoDBに関する重要なセキュリティ情報です。

MongoDBは、CVE-2025-14847として追跡される高深刻度の脆弱性について、IT管理者に対して直ちにパッチを適用するよう警告を発しています。このセキュリティ欠陥は、認証されていない攻撃者がユーザー操作なしに低複雑度の攻撃でリモートコード実行を行える可能性があるという、非常に危険なものです。

この脆弱性は、長さパラメータの不整合の不適切な処理に起因しており、攻撃者が任意のコードを実行して標的デバイスの制御を奪う可能性があります。

影響を受けるバージョンは非常に広範囲に及びます。MongoDB 8.2.0から8.2.3まで、MongoDB 8.0.0から8.0.16まで、MongoDB 7.0.0から7.0.26まで、そしてバージョン6.0、5.0、4.4の各シリーズ、さらにはMongoDB Server v4.2、v4.0、v3.6の全バージョンが影響を受けます。

MongoDBのセキュリティチームは、「サーバーのzlib実装に対するクライアント側のエクスプロイトにより、サーバーへの認証なしに初期化されていないヒープメモリが返される可能性があります」と説明し、できるだけ早く修正済みバージョンへアップグレードすることを強く推奨しています。

直ちにアップグレードできない場合の緩和策として、MongoDBはzlibを明示的に除外するオプションを指定してmongodまたはmongosを起動し、zlib圧縮を無効化することを推奨しています。

MongoDBは世界中で62,500社を超える顧客に利用されており、フォーチュン500企業も数十社含まれています。日本でも多くの企業がMongoDBを利用していますので、該当するバージョンを使用している場合は、速やかな対応が必要です。

FortiOS SSL VPNの二要素認証バイパス脆弱性

続いて、Fortinetからの重要な警告についてお伝えします。

Fortinetは水曜日、FortiOS SSL VPNに存在する5年前のセキュリティ欠陥が、実環境で「最近悪用」されているのを確認したと発表しました。

問題の脆弱性はCVE-2020-12812で、CVSSスコアは5.2となっています。これは不適切な認証の脆弱性であり、ユーザー名の大文字・小文字を変更した場合に、第二要素の認証を求められることなくログインに成功してしまう可能性があります。

この脆弱性が成立するには、特定の構成が必要です。具体的には、FortiGate上に二要素認証付きのローカルユーザーエントリがあり、それがLDAPを参照していること、そして同じユーザーがLDAPサーバー上のグループのメンバーであること、さらにそのLDAPグループが認証ポリシーで使用されていることが条件となります。

技術的には、FortiGateはユーザー名を大文字・小文字を区別して扱う一方で、LDAPディレクトリは区別しないという挙動の違いを悪用します。例えば、正規ユーザー「jsmith」が「Jsmith」や「JSMITH」といったバリエーションでログインすると、FortiGateはローカルユーザーエントリと一致させられず、二要素認証を強制しないままLDAPグループ認証へフォールバックしてしまいます。

悪用に成功すると、二要素認証なしで管理者権限やVPNアクセスが付与される可能性があります。

Fortinetは2020年7月にFortiOS 6.0.10、6.2.4、6.4.1で修正をリリースしています。これらのバージョンを導入していない組織は、認証バイパス問題を防ぐため、ユーザー名の大文字・小文字の区別を無効化するコマンドを実行することが推奨されます。

また、Fortinetは、管理者またはVPNユーザーが二要素認証なしで認証されている証拠を見つけた場合、環境が侵害されたものと見なし、LDAPやActive Directoryのバインドに使用するものを含め、すべての認証情報をリセットするよう助言しています。

日本でもFortiGateは広く導入されていますので、該当する構成を使用している組織は早急に対応状況を確認してください。

Evasive Pandaによる高度なサイバー諜報活動

次にお伝えするのは、高度な持続的脅威、いわゆるAPTグループによる巧妙なサイバー攻撃についてです。

Bronze Highland、Daggerfly、StormBambooとも呼ばれる「Evasive Panda」は、2012年から活動している脅威アクターで、2022年11月から2024年11月にかけて、中国、インド、トルコの被害者を標的にした2年間にわたるキャンペーンを展開していました。

このグループは、敵対者中間者攻撃、英語ではAdversary-in-the-Middle、略してAitMと呼ばれる手法とDNSポイズニングを組み合わせた非常に高度な攻撃を行っています。

攻撃の手口を詳しく見ていきましょう。まず、DNSポイズニングを用いて正規の更新要求を攻撃者が管理するIPアドレスへリダイレクトします。そして、SohuVA、iQIYI Video、IObit Smart Defrag、Tencent QQといった正規アプリケーションの更新を装ったローダーを配布し、馴染みのあるソフトウェアベンダーへのユーザーの信頼を悪用して初期のシステムアクセスを確立します。

技術的に興味深い点として、ローダーはXORベースの復号アルゴリズムを使用して設定要素を実行後にのみ露出させ、すべての重要な文字列は実行時まで暗号化されたままにすることで解析を回避しています。

さらに、このグループはMicrosoftのData Protection APIとRC5暗号を組み合わせたカスタムのハイブリッド暗号を実装し、ペイロードの復号が侵害されたシステム上でのみ行われるようにしています。これにより、フォレンジック復旧を試みる防御側に対して非対称な優位性を生み出しています。

一部の侵害システムでは1年以上にわたりアクティブな感染が維持されており、長期的な諜報活動を目的としていることがうかがえます。

このような高度な攻撃に対しては、ネットワーク監視の強化、DNSセキュリティの実装、そしてソフトウェア更新の検証プロセスの確立が重要です。

FBIによる銀行認証情報窃取ドメインの押収

続いて、米国での法執行機関の取り組みについてお伝えします。

米国政府は、サイバー犯罪者が米国民の銀行口座に侵入するために使用していたドメイン「web3adspanels.org」と関連データベースを押収しました。

このサイバー犯罪者らは、GoogleおよびBingの検索サービス上の不正な広告を通じて米国市民を標的にしたフィッシングキャンペーンで認証情報を収集し、偽の銀行ポータルへ誘導していました。

犯罪者は検索エンジン結果の目立つ枠を購入し、利用者に一見正規の銀行サイトに見えるが実際は偽サイトであるページを表示させていました。そこで事情を知らない利用者がパスワードを入力すると、それはデータベースに保存され、利用者は口座に到達できないまま放置されます。

この活動による確認済みの金銭的損失は1460万ドル、日本円で約22億円と推定されています。さらにFBIは、未遂損失が約2800万ドル、約42億円に上ると判断しています。

FBIは米国全土で少なくとも19人の被害者を特定しており、押収されたドメインには数千人の被害者から盗まれたログイン認証情報が収容されていたとのことです。

この押収はエストニアの法執行機関およびその他の国際的パートナーの支援を受けて実施されました。

2025年1月以降、FBIのインターネット犯罪苦情センターには銀行口座の乗っ取りに関連する苦情が5100件以上寄せられており、報告された損失は2億6200万ドル、約400億円を超えています。

日本のユーザーの皆様への教訓として、オンラインバンキングの利用時には、GoogleやBingで検索するのではなく公式の銀行ポータルをブックマークすること、またはプロモーション結果を非表示にする広告ブロッカーを使用することが推奨されています。

悪意あるChrome拡張機能によるデータ窃取

次に、Google Chromeの拡張機能に関する重要なセキュリティ情報です。

セキュリティ研究者らは、「Phantom Shuttle」という名前の悪意あるGoogle Chrome拡張機能が、攻撃者が管理するプロキシを介して密かにトラフィックを迂回させ、170以上の高価値ドメインから認証情報を収集していたことを発見しました。

この拡張機能は、表向きはプロキシサービス用のプラグインとして宣伝されており、ユーザーがトラフィックをプロキシ経由にしたりネットワーク速度をテストしたりできるもので、主に中国のユーザーを対象としていました。

驚くべきことに、これらのプラグインは2017年にストアへ最初にアップロードされ、月額1.40ドルから13.60ドルのサブスクリプションという価格設定まで持っていました。

しかしPhantom Shuttleは、うたっていた機能を果たすだけでなく、脅威アクターが所有するプロキシを介してユーザーのウェブトラフィックをルーティングしており、ログイン認証情報、決済カード情報、個人情報などを取得できる状態になっていました。

注目すべきは、すべてのトラフィックをルーティングしていたわけではなく、開発者向けプラットフォーム、クラウドサービスのコンソール、ソーシャルメディアサイト、アダルトコンテンツのポータルなど、およそ170の高価値ドメインを選別して監視し、価値のある情報だけを確実に拾い上げていた点です。

Googleはその後、両方の拡張機能をアプリストアから削除しています。

インターネットブラウザは現代のあらゆるコンピュータにおいて最も重要なソフトウェアであり、そのためサイバー犯罪者にとって大きな標的となります。アドオンは弱点になりやすく、巧妙な犯罪者が悪意あるコードをプログラムに忍び込ませる余地を与えてしまいます。

ユーザーの皆様には、ブラウザにプラグインや拡張機能をダウンロードしてインストールする際、特に注意することをお勧めします。

ServiceNowによるArmisの大型買収

企業買収のニュースをお伝えします。

サイバーセキュリティ企業Armisが、ソフトウェア大手ServiceNowにより77億5000万ドル、日本円で約1兆1600億円で買収されることが発表されました。

ServiceNowは火曜日にこの取引を発表し、買収によって同社のセキュリティ提供内容を拡充し、「AIネイティブで、プロアクティブなサイバーセキュリティと脆弱性対応」を前進させると説明しました。

Armisは2015年にイスラエル軍の退役軍人によって設立され、当初はIoTおよび運用技術、いわゆるOTのセキュリティ企業としてスタートし、その後サイバーエクスポージャー管理へと事業を拡大しました。同社は最近、年間経常収益が3億4000万ドルを超え、従業員は約950人いるとのことです。

ServiceNowは、2026年後半に完了予定のこの取引を現金と負債で賄う計画です。

この取引は、企業向けワークフロー企業がサイバーセキュリティ企業の買収を進める他社に追随しようとする動きの一環です。今年、GoogleはイスラエルのサイバーセキュリティWizを320億ドルで買収し、Palo Alto NetworksはCyberArk Softwareを250億ドルで買収しています。

サイバーセキュリティ市場の再編が進む中、今後もこのような大型買収が続くことが予想されます。

AI生成ランサムウェアの出現

次に、AIとサイバーセキュリティに関する重要なトピックです。

ESETの最新脅威レポートによると、生成AI、いわゆるGenAIがランサムウェアの暗号化プログラムのコーディングに使用されるようになっており、この技術がもはやフィッシングや詐欺コンテンツの作成だけに用いられているわけではないことが明らかになりました。

ESET Researchは、既知としては初のAI駆動型ランサムウェア「PromptLock」について詳述しています。PromptLockは「その場で悪意あるスクリプトを生成できる」もので、Ollama API経由でOpenAIモデルを用いて悪意あるスクリプトを生成し、その後それを実行します。

これには主に2つのコンポーネントが含まれます。AIモデルを動かすサーバーとの通信を担い、ハードコードされたプロンプトを保持する静的なメインモジュールと、プロンプトを通じてモデルが動的に生成するクロスプラットフォームのLuaスクリプトです。

ESETによると、これらのスクリプトはローカルファイルシステムの列挙からデータの流出、暗号化の実行まで、複数の機能を果たすことが確認されています。つまりPromptLockは被害者のシステムを自律的にスキャンし、特定したデータを流出させるべきか、暗号化すべきか、あるいは単に破壊すべきかを判断できるということです。

ESETのシニア・マルウェア研究者であるAnton Cherepanov氏は「PromptLockのようなツールの出現は、サイバー脅威の状況における大きな変化を浮き彫りにしています。AIの助けにより、高度な攻撃の立ち上げは劇的に容易になり、熟練した開発者チームの必要性がなくなりました」と述べています。

現時点でPromptLockは概念実証の段階であり、野放しの環境で遭遇するリスクは比較的低いとESETは付け加えていますが、その存在自体が今後のサイバー脅威の方向性を示しています。

AI搭載の脅威に対して安全を保つには、OSやブラウザ、セキュリティツールを完全に最新の状態に保つこと、振る舞い検知を有効にしたエンドポイント保護を使用すること、定期的なオフラインバックアップを行うこと、そして従業員教育を継続することが重要です。

macOS向け新型マルウェアMacSyncの登場

続いて、Macユーザーに関係するセキュリティ情報です。

サイバーセキュリティ研究者らは、MacSyncと呼ばれるmacOS向け情報窃取型マルウェアの新たな亜種を発見しました。このマルウェアは、メッセージングアプリのインストーラーを装った、デジタル署名済みで公証されたSwiftアプリケーションとして配布され、AppleのGatekeeperチェックを回避します。

Jamfの研究者によると、「主にドラッグ＆ドロップでターミナルに実行させる手口や、ClickFix風の手法に依存していた従来のMacSync Stealer亜種とは異なり、このサンプルはより欺瞞的で、ユーザーの操作を最小限にするアプローチを採用しています」とのことです。

最新バージョンは「zk-call-messenger-installer-3.9.2-lts.dmg」という名前のディスクイメージファイル内に、コード署名済みかつ公証済みのSwiftアプリケーションとして含まれて配布されています。

署名と公証が行われているため、GatekeeperやXProtectといった組み込みのセキュリティ制御にブロックされたり警告されたりすることなく実行できてしまいます。Appleはその後、コード署名証明書を失効させています。

Jamfは「この配布手法の変化は、macOSマルウェアの状況全体におけるより広い傾向を反映しています。攻撃者は、署名および公証された実行ファイルにマルウェアを紛れ込ませ、正規アプリケーションのように見せかけようとする試みをますます強めています」と警告しています。

Macユーザーの方は、信頼できるソース以外からのアプリケーションのインストールには十分注意してください。

LastPass侵害と暗号資産窃取の関連

次に、過去のデータ侵害が現在も影響を及ぼしている事例についてお伝えします。

TRM Labsによる新たな調査結果によれば、2022年のLastPassデータ侵害で盗まれた暗号化ボルトのバックアップは、弱いマスターパスワードの隙を突いて解読され、2025年後半に至るまで暗号資産を引き出すことを悪意ある者に可能にしてきました。

ブロックチェーン・インテリジェンス企業は、この活動にはロシアのサイバー犯罪者が関与していることを示す証拠があり、ロシアの取引所の一つは10月にもLastPass関連の資金を受け取っていたと述べています。

弱いマスターパスワードで保護されたボルトは、最終的にオフラインで復号され得るため、2022年の単一の侵入が、攻撃者が静かにパスワードを解読し、時間をかけて資産を引き出すための数年にわたる機会へと変わってしまいました。

流出したデジタル資産は3500万ドル超が追跡されており、そのうち2800万ドルはビットコインに換えられ、2024年後半から2025年初頭にかけてWasabi Walletを介して洗浄されました。

TRM Labsのポリシー部門グローバル責任者であるAri Redbord氏は「これは、単一の侵害が数年にわたる窃取キャンペーンへと発展し得ることを示す明確な例だ」と述べています。

この事例は、パスワードマネージャーを使用する際にも強力なマスターパスワードを設定することの重要性を改めて示しています。また、暗号資産を保有している方は、パスワードの定期的な変更と、二要素認証の活用を強くお勧めします。

ロボットのセキュリティリスク

次に、やや未来的に聞こえるかもしれませんが、非常に現実的な脅威についてお伝えします。

商用ロボットは、多くの人が想定しているよりもはるかに安全ではないことが証明されてきました。中国で最近開催されたGEEKConカンファレンスで、研究者はヒューマノイドおよび四足歩行ロボットに存在する脆弱性により、音声コマンドや無線インターフェースを介して完全な制御を奪えることを示しました。

最も厄介な点は、この種の攻撃が単一のデバイスにとどまらないことです。テストでは、侵害されたロボットがさらにエクスプロイトを拡散し、近隣の個体を攻撃に引き込みました。表向きはオフラインだった機体も含め、複数の機械に影響する連鎖反応へとエスカレートしたのです。

テストに使用されたのは中国製のUnitree製ヒューマノイドで、価格は約1万4000ドル。自律行動と空間認識を担う組み込みAIエージェントを実行していました。このコンポーネントの脆弱性を突くことで、研究者は安全対策を回避し、機体の完全な制御を獲得しました。

潜在的な結果を示すため、研究者は攻撃的な命令を出しました。ロボットは前進し、ステージ上のマネキンを殴打したとのことです。

通常のサイバー攻撃がデータ漏えいや金銭的損失に帰結するのに対し、ロボットの侵害は根本的に異なる種類の脅威をもたらします。これらの機械は移動し、力を加え、自律的に行動できるため、侵害されれば人や周囲の環境に直接影響を及ぼし得ます。

ロボティクスは、それを安全にするための枠組みよりも速いペースで進歩しています。今後、サービス現場や医療、介護などでロボットの導入が進む中、セキュリティ対策も同時に強化していく必要があります。

MENA地域を狙う偽求人詐欺

続いて、中東・北アフリカ地域を標的にした組織的な詐欺についてお伝えします。

Group-IBの調査により、中東・北アフリカ、いわゆるMENA地域各国を標的にした偽のオンライン求人広告の組織的な波が発覚しました。同地域で継続するリモートワークへの移行につけ込んでいます。

研究者は2025年に1500件を超える不正広告を特定し、最も集中して標的となったのはエジプト、湾岸諸国、アルジェリア、チュニジア、モロッコ、イラク、ヨルダンでした。

これらの詐欺は単発の試みではなく、大規模に運用されています。偽の求人広告は通常、Facebook、Instagram、TikTokに掲載され、著名なECプラットフォーム、銀行、政府機関になりすましています。

ユーザーが反応すると、会話はすぐにWhatsAppやTelegramへ移され、被害者は採用やオンボーディングを口実に個人情報や金融情報の共有を求められます。多くの場合、より高額な「タスク」にアクセスするために入金を要求され、最初は少額の支払いで信用を築いたうえで、やがて連絡が突然途絶えます。

日本でも同様の手口を使った求人詐欺は発生しています。非現実的な収入の約束には疑いを持ち、未確認の採用担当者に個人情報や金融情報を共有しないよう注意してください。

司法省のエプスタイン文書公開における黒塗りの失敗

次に、情報セキュリティの基本的な失敗事例についてお伝えします。

米国司法省は、12月19日のジェフリー・エプスタイン捜査ファイルの一括公開において、情報セキュリティの根本的な欠陥を露呈しました。

何千ページもの文書を「黒塗り」したつもりが、基礎データを削除せずに文字の上へ黒い長方形を置いただけだったのです。

結果として、ネット上の調査者たちは、機密扱いとされていた情報が単純なコピー＆ペースト操作で露出することを数時間以内に突き止めました。ハッキングは不要、高度なフォレンジックも不要、必要なのはハイライトしてCtrl+C、Ctrl+Vするだけでした。

適切なPDFの黒塗り処理では、文書構造から下層のテキストオブジェクトを恒久的に削除する必要があります。Adobe Acrobatの専用の黒塗りツールはこれを正しく行いますが、司法省は視覚的な遮蔽の下に元のテキストを完全に残したまま、検索も可能な「黒いボックスの重ね置き」を使ったようです。

これは日本の組織にとっても重要な教訓です。機密文書の黒塗りを行う際には、単に視覚的に隠すだけでなく、データそのものを削除する適切なツールを使用することが不可欠です。

Ciscoの調査が示すネットワーク機器の陳腐化問題

最後に、企業インフラの根本的な問題についてお伝えします。

Ciscoの調査によると、世界のネットワーク機器の48%が古く陳腐化しているという衝撃的な結果が明らかになりました。100万台を超えるデバイスを対象とした調査で、調査対象の42%のデバイスが製品寿命終了、いわゆるEnd of Lifeに達し、さらにそれを超えたソフトウェア上で動作しています。

パッチもサポートもない状態です。さらに31%はサポート終了すら過ぎたソフトウェアを使っており、これはメーカーが重大な脆弱性を見つけたとしても修正しないことを意味します。

CiscoのCISOであるStefan Lüders氏は「最も危険なリスクは、手遅れになるまで見えないものです。私たちは、誰かが存在に気づくまでの数か月、あるいは数年にわたり、攻撃者がレガシー機器を悪用してネットワーク内に潜伏していた事例を記録しています」と警告しています。

通信事業者に対するSalt Typhoonの攻撃でも、ライフサイクル末期のCisco機器が悪用されて重要ネットワークが侵害されました。

「まだ動く」はもはや戦略ではありません。日本の組織においても、ネットワーク機器の棚卸しを行い、サポート切れの機器がないか確認することをお勧めします。

クロージング

本日お伝えしたニュースを振り返りますと、いくつかの重要なテーマが浮かび上がってきます。

まず、MongoDBやFortinetの脆弱性に見られるように、パッチ管理の重要性は変わりません。特にFortinetの事例は、5年前の脆弱性が現在も悪用されていることを示しており、継続的なアップデートの重要性を再認識させられます。

次に、Evasive Pandaの攻撃手法は、国家支援の脅威アクターがいかに高度で執拗な攻撃を行っているかを示しています。DNSセキュリティやネットワーク監視の強化が求められます。

また、AI生成ランサムウェアの出現は、サイバー脅威の進化の速さを物語っています。防御側もAIを活用したセキュリティツールの導入を検討する時期に来ているかもしれません。

そして、LastPassの事例が示すように、過去の侵害が数年にわたって影響を及ぼし続けることがあります。強力なパスワードの設定と、定期的な認証情報の見直しが重要です。

年末年始は、攻撃者にとって格好の標的となりやすい時期です。休暇前に、パッチの適用状況、アクセス権限の見直し、バックアップの確認など、基本的なセキュリティ対策を再確認されることをお勧めします。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。