東京セキュリティブリーフィング 2026年01月06日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月6日、火曜日です。年明け最初の配信となりますが、年末年始にかけても世界中でサイバーセキュリティに関する重要なニュースが多数報告されています。本日も、日本のセキュリティ担当者の皆様にとって重要な情報をお届けしてまいります。

ヘッドライン

本日お伝えする主なニュースです。

まず、パスワード管理サービスLastPassの2022年の侵害に関連して、約3,500万ドル相当の暗号資産が盗まれ、ロシアのサイバー犯罪インフラに流れていたことが判明しました。

次に、RondoDoxボットネットがNext.jsの重大な脆弱性React2Shellを悪用し、数千台のデバイスを乗っ取っている状況が報告されています。

また、クリスマス休暇中にAdobe ColdFusionを標的とした大規模攻撃が発生し、250万件以上の悪意あるリクエストが確認されました。

さらに、ブラウザ拡張機能を通じた7年間にわたる攻撃キャンペーンが880万台のブラウザを侵害していたことが明らかになりました。

欧州宇宙機関のBitbucketリポジトリから約200GBのデータが流出したとされる事件も発生しています。

そのほか、香港の銀行が導入した「マネーセーフ」という新しい詐欺対策、WIREDマガジンの購読者情報流出、医療機関のデータ侵害など、多岐にわたるニュースをお伝えします。

詳細解説

LastPass侵害から3,500万ドルの暗号資産盗難が判明

ブロックチェーン分析企業TRM Labsの調査により、2022年に発生したLastPassパスワードマネージャーの大規模データ侵害が、その後数年にわたり暗号資産の窃取に悪用されていたことが明らかになりました。

2022年の侵害では、約3,000万人のユーザーに属する暗号化されたパスワード保管庫（ボルト）が流出しました。保管庫自体は暗号化されていたものの、攻撃者はこれをダウンロードし、弱いマスターパスワードで保護されていたものについてはオフラインで解読を試みることが可能でした。TRM Labsはこれを「ロングテールリスク」と表現しています。

調査によると、2024年から2025年にかけて新たな窃取の波が確認され、約2,800万ドルの盗難ビットコインがWasabi Walletというミキシングサービスを通じて資金洗浄され、さらに2025年9月には追加で約700万ドルが同様の経路で流出しました。

TRM Labsの分析で特に注目すべき点は、盗難資金の最終的な行き先です。初期フェーズの資金は、現在は閉鎖されたCryptomixer.ioを経由した後、2024年にOFACの制裁対象となったロシア拠点の取引所Cryptexを通じて現金化されました。その後の波では、Wasabi Walletを経由した後、サイバー犯罪活動との関連が指摘されている別のロシア取引所Audi6に到達していました。

攻撃者の手口には一貫したパターンが見られました。盗まれたビットコインの秘密鍵は同一のウォレットソフトウェアにインポートされ、SegWitの使用を含む共通のトランザクション署名が残されていました。また、ビットコイン以外の資産は即時スワップサービスを介して迅速にビットコインへ変換された後、ミキシングサービスに送られていました。

TRM Labsは独自の「デミキシング」技術を用いて、CoinJoinによる難読化にもかかわらず、攻撃者の入金と出金を突き合わせることに成功しました。そのタイミングと金額の一致は、偶然とは考えにくいものでした。

この事件から得られる教訓は明確です。パスワード管理サービスを利用する場合は、強力なマスターパスワードの設定と多要素認証の有効化が不可欠です。また、認証情報の漏洩が疑われる場合は、直ちにパスワードを変更する必要があります。2022年の単発の侵害が、数年後まで被害を生み続けているという事実は、認証情報漏洩のリスクがいかに長期にわたるかを示しています。

RondoDoxボットネットがReact2Shellを悪用し大規模攻撃を展開

CloudSEKの報告によると、RondoDoxボットネットが、ウェブサイト構築に広く使われるNext.jsに存在する重大な脆弱性React2Shell（CVE-2025-55182）を悪用し、数千台のデバイスを乗っ取っています。

この脆弱性は、パスワードなしでコンピュータやサーバーを乗っ取ることを可能にする非常に危険なものです。Shadowserver Foundationのデータによれば、この脆弱性が2025年12月に発見された時点で、90,300以上のシステムが無防備な状態で放置されていました。最もリスクの高いデバイスが多いのは米国で68,000台以上ですが、ドイツ、フランス、インドでも数千台が脆弱なままとなっています。

RondoDoxグループの攻撃は計画的で、3段階にわたって規模を拡大してきました。2025年初頭にはSQLインジェクションのような基本的なウェブサイトの脆弱性をテストし、夏までにはWordPressやDrupalといった人気プラットフォームや家庭用のWavlinkルーターを標的にした大規模スキャンを開始しました。年末には攻撃が完全に自動化されました。

研究者によると、6つのコントロールセンターが10種類の異なるマルウェア亜種を配布しており、高性能なクラウドサーバーから基本的な家庭用機器まで、ほぼあらゆる種類のマシンアーキテクチャを標的にしています。

侵入に成功すると、ハッカーは奇妙な名前の隠しプログラムをインストールします。「/nuts/poop」はデバイスの処理能力を奪ってデジタル通貨のマイニングを行い、「/nuts/x86」はMiraiマルウェアの亜種でボットネットの拡散を助けます。特に攻撃的なのは「/nuts/bolts」という「ヘルスチェッカー」で、45秒ごとにデバイスをスキャンし、競合する他のウイルスをすべて排除して、RondoDoxがデバイスの唯一の支配者となるようにします。

対策として、ウェブサイトを運営している場合は、Next.js向けの最新のセキュリティ修正を直ちに適用してください。家庭では、スマートカメラなどのIoTデバイスを別のWi-Fiネットワークに接続することが賢明です。そうすれば、ハッカーがカメラに侵入しても、個人のスマートフォンやコンピュータに到達できません。また、ルーターの設定を確認し、新しいソフトウェア更新があれば直ちにインストールしてください。

クリスマス休暇中にAdobe ColdFusionを標的とした大規模攻撃が発生

Greynoiseの研究者は、クリスマス休暇中に脆弱なAdobe ColdFusionサーバーを標的とした大規模サイバー攻撃を検知しました。短期間のうちに250万件を超える悪意のあるリクエストが記録され、47種類の異なる技術に影響を及ぼした協調的かつ技術的に高度な作戦であることが判明しています。

攻撃の初動は、Adobe ColdFusionにおけるおよそ12件の著名な脆弱性に焦点を当てており、約6,000件の直接的な悪用試行が観測されました。しかし、さらなる分析により、はるかに広範なキャンペーンであることが明らかになりました。

特に注目すべきは攻撃のタイミングです。トラフィックの約68%が12月25日に発生しており、多くの企業のセキュリティチームが人員を減らして運用する日を狙っていました。これは、組織の業務フローやセキュリティ監視の慣行に対する攻撃者の高い理解を示唆しています。

日本のプロバイダーCTG Server Limitedに登録された2つの主要IPアドレスが、約800件の個別脆弱性を探る数百万件のリクエストを生成していました。侵入の成功確認には約10,000のユニークなドメインが使用されました。

攻撃者は、ProjectDiscoveryのInteractshインフラを活用し、どのシステムが侵害されたかをリアルタイムで可視化していました。この機能により、影響を受けたネットワーク内での永続化やラテラルムーブメントの可能性を含む、作戦の後続フェーズが加速しました。

特に重視されたのは、リモートコード実行の欠陥であるCVE-2023-26359で、833回標的となりました。アクセス制御機構を回避できるCVE-2023-38205は654回、CVE-2023-44353は611件の悪用試行が確認されました。主要な侵入手法は、WDDXデシリアライズ機構を介したJNDI/LDAPインジェクションでした。

ColdFusionにとどまらず、このキャンペーンは広範な追加ターゲットへと拡大しました。Confluenceの脆弱性CVE-2022-26134だけでも12,000件を超える悪用試行があり、長年知られているShellshockの欠陥（CVE-2014-6271）でさえ8,500回以上悪用されました。

ColdFusionを運用する組織は、CVE-2023-26359およびCVE-2023-38205を含む脆弱性を修正するため、できるだけ早くセキュリティアップデートを適用するよう強く求められます。加えて、監視システムは、JNDIインジェクションの試行や不審なコールバックドメインを検知できるよう設定すべきです。

7年にわたるブラウザ拡張機能キャンペーンで880万台が侵害

DarkSpectreという名で活動するハッキング集団が、7年にわたり、Chrome、Edge、Firefoxブラウザを利用するユーザーのコンピュータに組織的に感染を広げてきたことがKoi Securityの調査で明らかになりました。880万台を超える固有デバイスがこれらの活動の被害に遭いました。

この作戦は、ShadyPanda、Zoom Stealer、GhostPosterという3つの異なるキャンペーンにまたがって展開され、高度な連携と潤沢なリソースの支援が見られました。合計で100を超えるブラウザ拡張機能が、公式の拡張機能ストアを通じて配布されました。

攻撃者は、天気表示や新しいタブのカスタマイズといった正当な機能に、ほとんどの審査・検知メカニズムから見えない悪意ある挙動を巧みに混ぜ込んでいました。

特に憂慮すべきは、攻撃者が明白に悪意あるペイロードを含まない「休眠」状態の拡張機能を、長期間にわたってブラウザにインストールされたまま維持できていた点です。場合によっては、有害なコードがインストールから1週間後にのみ有効化されました。それでも悪意ある挙動は選択的に発動され、およそ10回のサイト訪問に1回程度の頻度だったため、検知される可能性が大幅に低下していました。

マルウェアの隠蔽手法は高度に洗練されていました。拡張機能は、埋め込み・隠蔽されたJavaScriptを含むPNG画像をダウンロードしていました。拡張機能のロゴ自体がカモフラージュとして機能し、読み込み時に画像がデコードされ、隠されたコードが抽出され、ユーザーに気付かれないまま実行されました。

追加コードは、独自のエンコーディング方式、XOR暗号化、自動解析ツールを回避するために設計された特殊なパッキングなど、複数層の暗号化と難読化によって保護されていました。有効化されると、拡張機能はリモートサーバーに接続し、最大67キロバイトの追加JavaScriptを取得しました。

DarkSpectreのマルウェア配布手法が特に効果的だったのは、主要ペイロードがサーバー側で差し替えられるアーキテクチャによるものです。そのため、特定の拡張機能バージョンをブロックするだけでは無力化できません。悪意あるコンテンツは、ユーザーの関与なしに動的に変更されるからです。

組織においては、従業員がインストールするブラウザ拡張機能の管理と監視を強化することが重要です。

欧州宇宙機関から約200GBのデータ流出か

BreachForumsフォーラム上で、「888」という別名で活動する脅威アクターが、欧州宇宙機関（ESA）に関連するBitbucketリポジトリから約200ギガバイトのデータを入手したと主張し、販売に出しています。

宇宙・ロケット研究者のゲオルギー・トリシュキン氏の評価によると、この侵害は純粋に科学プロジェクトにとどまらず、Airbus Defence and Spaceに関連する防衛分野の開発も含まれています。アーカイブには、社内の技術文書、ソースコード、CI/CDインフラの断片、そしてパスワードやAPIトークンなどのアクセス認証情報を含む、極めて機微な情報が含まれていると説明されています。

公開されたスクリーンショットには、Airbusの専門家も貢献したJUICE科学探査機に関連するデータが含まれていたとされています。

欧州宇宙機関は本件を確認し、問題を把握しており内部調査を開始したと述べています。同機関によれば、本件は同機関の主要な社内ネットワークの外部に設置されたサーバーに影響するサイバーインシデントに関するものです。

予備的な調査結果では、侵害は科学プロジェクトにおける非機密の共同エンジニアリング作業に使用されていた少数の外部サーバーに限定されていた可能性が示唆されています。ESAは、本件は機密情報を含まず、同機関の中核インフラにも影響していないことを強調しました。

この規模のデータ漏えいは比較的まれであり、Bitbucketリポジトリは通常、共同でのソフトウェアおよびエンジニアリング開発に用いられるため、侵害されるとデータ露出にとどまらず、インフラの乗っ取りや、進行中のプロジェクトへの悪意ある変更の挿入につながる可能性があります。

WIREDマガジンから購読者230万件の記録が流出

皮肉な事件です。データ侵害を取り上げ、セキュリティの失敗を調査し、企業にユーザーデータ保護の責任を問うことでキャリアを築いてきた雑誌WIREDが、自社の購読者230万人分のデータを露出させてしまいました。

「Lovely」という別名を使う脅威アクターが、2025年11月22日にDataBreaches.netのDissent Doeに連絡を取り、コンデナストのシステムに深刻な脆弱性を発見したと報告しました。金銭は求めておらず、アカウントのプロフィールを露出させ、攻撃者がユーザーのパスワードを変更できてしまう可能性のある6つのセキュリティ欠陥を報告しようとしたのです。

脆弱性は根本的なものでした。安全でない直接オブジェクト参照（IDOR）と、破綻したアクセス制御の組み合わせです。誰でもユーザーIDを順番に試して総当たりし、認証チェックなしでプロフィールデータを引き出せてしまう状態でした。

Lovelyはあらゆる手段を試みました。コンデナストのセキュリティチームへの直接メール、WIREDの記者経由での連絡の試み、セキュリティ系ブロガーへの協力要請。しかし反応は一切ありませんでした。コンデナストにはsecurity.txtファイルすらなかったのです。これはRFC 9116で推奨される、脆弱性報告を受け取るための基本的な仕組みです。

1か月にわたる責任ある開示の試みの末、2025年12月20日、彼らはWIREDのデータベースをBreach Starsハッキングフォーラムに投稿しました。

流出したデータベースには、ユニークなメールアドレス2,366,574件、氏名284,196件、自宅住所194,361件、電話番号32,438件、誕生日67,223件が含まれていました。最新のエントリは2025年9月9日付で、稼働中で実際に使用されているライブなデータベースから取得されたことを示しています。

パスワードと決済カード情報は含まれていませんでしたが、ここにある情報だけで標的型攻撃には十分です。この事件は、脆弱性開示をどう扱ってはいけないかの模範例と言えるでしょう。

香港の銀行が「マネーセーフ」で詐欺対策を強化

香港の銀行が、詐欺師の手口を封じるための大胆な方法を導入しました。資金の一部を特別口座に移し、その口座からの出金や振込は、実店舗の支店を訪れて対面で行う場合にのみ可能とするものです。

香港金融管理局（HKMA）は、この仕組みを「マネーセーフ」と呼んでいます。2024年末に公表された書簡で、最高経営責任者のエディ・ユー氏が説明したところによれば、この措置は詐欺事案の急増を受けて導入されました。顧客の損失は、多くの場合、銀行口座から行われた不正な支払いに起因していたといいます。

規制当局によれば、主要な問題の一つは、犯罪者が口座名義人の知らないうちにインターネットバンキングを設定してしまうことがある点です。その結果、香港のすべての銀行はマネーセーフの導入を指示されました。支店網を持たないデジタル専業銀行は、対面での本人確認のために顧客を自社オフィスへ招くことが求められます。

理屈は明快です。顧客がこれらの資金にアクセスしようとする際、銀行は対面での不正対策レビューを実施し、その人物が詐欺師の影響下で行動している可能性がないかを見極めるための質問を行います。この会話が行われた後にのみ、振込や出金が許可されます。

銀行には12月31日までにマネーセーフを開発・実装する猶予が与えられ、当局はすべての機関が期限を守ったと報告しています。中には早期にサービスを開始し、モバイルアプリ内で直接マネーセーフ口座を作成できる機能を追加し、競争上の優位性として積極的に宣伝したところもあります。

このアプローチの中核的な狙いは、たとえ「デジタル」攻撃が成功したとしても、顧客が銀行に物理的に来店しない限り、詐欺師が短時間で多額の資金を吸い上げることをはるかに困難にする点にあります。香港にとっての利害は大きく、金融セクターは域内GDPのおよそ4分の1を占めています。

AIが発見したゼロデイで7万台のXSpeederデバイスが危険に

XSpeederデバイスに、認証なしで任意のコードをリモート実行できる可能性のある重大な脆弱性が発見されました。XSpeederは企業環境向けのネットワーク機器を製造する中国メーカーで、その製品は遠隔地の支社オフィスや産業インフラに配備されています。

技術プラットフォームPwn.aiによると、この欠陥はインターネットに直接露出している70,000台以上のデバイスに影響します。この脆弱性にはCVE-2025-54322が割り当てられ、攻撃者は資格情報を一切提示することなくスーパーユーザー権限を取得できます。

根本原因は、XSpeeder独自のオペレーティングシステムSXZOSを実行するデバイスのWebベース認証レイヤー内の欠陥にあります。攻撃の中心的な役割を担うのはeval()関数で、base64でデコードされ、リクエストパラメータを介して渡されるデータを実行します。Cookieセッションチェック、単純なペイロードスキャン、時刻同期ヘッダーといった脆弱な防御策では、悪用を防ぐには不十分でした。

攻撃者は単一のGETリクエストだけで任意のPythonコードを注入し、root権限でシステムコマンドを実行できます。さらに状況を悪化させているのは、脆弱性が特定されてから7か月が経過しているにもかかわらず、ベンダーが報告に応答せず、この問題に対処するパッチも公開していない点です。

研究者らは、この事案のより広い意義も強調しています。自律型の自動テストツールを用いてリモートコード実行の脆弱性が特定された既知の初の事例だというのです。

SXZOSを実行するXSpeederデバイスを使用している組織には、直ちにこれらのシステムへのアクセスを制限し、外部ネットワークから隔離し、ルーティングレベルでのトラフィックフィルタリングを実装することが強く推奨されます。

GlassWormマルウェアがmacOS開発者を標的に暗号資産を窃取

Open VSX拡張機能マーケットプレイスで、新たな悪意ある拡張機能の波が発見されました。Koi Securityの研究者は、攻撃者が一見「便利」そうなプラグインをカタログにばらまいているものの、実際には暗号資産、パスワード、その他の機微なデータを盗み出すと警告しています。特筆すべき点として、この最新キャンペーンはmacOSユーザーのみを標的にしています。

この発見はKoi Securityによって公表され、同社アナリストは、これは同社がGlassWormと名付けた自己増殖型マルウェア株の第4波に当たると報告しています。キャンペーン開始は約2か月半前ですが、悪意ある拡張機能がマーケットプレイスから削除されるまでに、すでに数千台のデバイスが侵害されました。

攻撃は周到に組み立てられたパターンに従っています。脅威アクターは、生産性向上ツールを装った拡張機能をOpen VSXに公開します。Open VSXはVisual Studio Codeおよびその多くのフォーク（Cursorを含む）向けのオープンな拡張機能マーケットプレイスです。インストール後、拡張機能はすぐには正体を明かしません。約15分間休眠し、通常は数分しかアプリの挙動を観察しない自動サンドボックスを回避します。

なぜmacOSなのか。Koi Securityの説明は明快です。暗号資産、web3、スタートアップのエコシステムにいる開発者はmacOSで作業することが多く、被害者がデジタルウォレットやトークン、重要インフラへのアクセス権を保有している可能性が高い環境だからです。

GlassWorm自体は、Ledger LiveやTrezor Suiteなどのハードウェアウォレットアプリを感染システム上でスキャンし、トロイの木馬化したバージョンに置き換えようとします。また、MetaMask、Phantom、Coinbase Wallet、Exodusを含む多数のブラウザ拡張機能やデスクトップウォレットも標的にできます。同時に、GitHubトークン、gitの認証情報、NPMトークン、SSHディレクトリ、macOSキーチェーンのパスワード、データベースファイル、VPN設定なども収集します。

研究者は、異例のコマンド＆コントロール機構も強調しています。サーバーアドレスを取得するために、攻撃者はSolanaブロックチェーンを悪用し、トランザクションのメモ欄にエンコードしたURLを埋め込みます。この手法は、ドメインブロックやホスティングのテイクダウンといった従来の方法では無力化がはるかに困難です。

ワトソン・クリニックのデータ侵害で1,000万ドルの和解

Watson Clinic LLCの現・元患者には、2024年初頭に発生した重大なデータ侵害を受けて提案された1,000万ドルの和解金の一部を受け取る機会があります。この侵害により個人データがダークウェブ上に露出しました。

2024年2月、ワトソン・クリニックは、権限のない第三者が患者に関する機微な情報へアクセスしていたことを発見しました。流出したデータには、氏名、住所、生年月日、社会保障番号、運転免許証番号、金融情報、さらには術前・術後の画像や診療記録といった医療情報まで含まれていました。

ワトソン・クリニックは大規模な医療ネットワークを運営しており、1,600人超のスタッフと350人超の医師を擁し、40の多様な内科・外科の専門分野にわたってサービスを提供しています。年間の外来受診は100万件を超えます。

補償額は、各侵害事案の具体的な内容により異なります。アクセスされた情報の性質に応じて、患者は1件の請求につき最大75,000ドルを受け取れる可能性があります。顔全体と機微部位の両方が写っている画像に該当する個人は75,000ドル、顔の一部と機微部位が写っている方は40,000ドル、顔は写っていないが機微部位を含む画像は10,000ドルとなっています。

請求書の提出期限は2026年2月5日です。この和解は、医療機関がいかに機微な情報を保有しているか、そしてデータ侵害が患者にもたらす影響がいかに深刻かを示しています。

Microsoft、24年続いた電話認証を終了

マイクロソフトは、WindowsおよびOfficeの電話による認証を完全に放棄しました。同社はサポート文書でこの方法に今なお言及しているものの、実際にはもはや機能しません。インターネット接続なしで製品を認証しようとするユーザーは、オンラインプラットフォームへ誘導する自動メッセージに直面するようになっています。

この変更の確認は、テック系ブロガーのベン・クラインバーグ氏が最近公開した動画で示されました。彼はOEMキーを使ってWindows 7とOffice 2010の認証を試みました。これら製品の元の認証サーバーはすでに稼働していないため、彼はおなじみの代替手段であるマイクロソフトへの電話に頼りました。しかし従来の音声ガイドによる手順の代わりに、専用ウェブサイトへ進むよう指示するメッセージが流れ、その後、認証ポータルへのリンクを含むSMSが送られてきました。

この結果は動画の作者をとりわけ苛立たせました。というのも、そもそもマイクロソフトに電話する必要が生じたのは、OS自体から認証を完了できなかったからです。事実上、かつてのオフライン代替手段は、追加の手順とアカウント必須要件が付け加えられただけの、同じオンライン手続きへと変質してしまいました。

今日では、Microsoftアカウントなしの認証はもはや不可能です。これは、ソフトウェアのライフサイクルのあらゆる段階を完全にデジタル化するという同社のより広範な戦略に沿った転換です。

サイバーセキュリティ企業がハニーポットで攻撃者を逆に捕捉

サイバーセキュリティ企業Resecurityは、ShinyHuntersとして知られるハッキンググループが同社のインフラに侵入し内部データを持ち出したと主張したことを受け、実際には攻撃者がアクセスできたのは意図的に構築されたデコイ（おとり）に過ぎなかったと明らかにしました。

Resecurityによると、攻撃者が主張を公にする前に、同社のセキュリティチームは2025年11月の時点で外部に露出したサービスを標的とする偵察活動を観測していました。セキュリティチームはエジプトおよびMullvad VPNサービスに関連するIPアドレスを追跡しました。

認識された脅威への対応として、Resecurityは偽データを投入した隔離環境を展開し、監視対象の侵入者にアクセスを与えるアカウントを意図的に埋め込みました。この環境には、28,000件を超える架空のユーザープロフィールや、Stripe APIに似せて構造化された190,000件超の取引など、捏造された記録が含まれていました。

12月、Resecurityは大規模な自動データ持ち出しの試みを観測しました。攻撃者はプロキシネットワークを介して動作し、約190,000件のリクエストを開始したといいます。作戦中、断続的な接続障害により一部の実IPアドレスが一時的に露出し、それらはその後、法執行当局と共有されました。

同社によれば、収集した証拠に基づき、国際的な法執行機関のパートナーの一つがすでに身柄引き渡し要請を開始したとしています。

ShinyHuntersは当初、Mattermost画面のスクリーンショットを共有し、侵入が成功したことを裏付けるものだと主張していました。しかし、実際のShinyHuntersグループは後に、この攻撃との関係がないことを確認しました。この事案は、ハニーポットと合成データがサイバー犯罪者に対する強力な防御メカニズムを生み出し得ることを示しています。

フィンランド、海底ケーブル損傷で貨物船乗組員を逮捕

フィンランド当局は、フィンランド湾を横断してヘルシンキとエストニアを結ぶ海底通信ケーブルを損傷させた疑いで、ロシアから航行していた貨物船を拘束しました。

セントビンセントおよびグレナディーン諸島の旗を掲げる同船Fitburgは、サンクトペテルブルクからイスラエルのハイファへ向かう途中、フィンランド沿岸警備隊がケーブルのルート付近で錨を引きずっているのを検知しました。

フィンランドの通信事業者エリサが所有するこのケーブルは機械的な損傷を受けましたが、ネットワークトラフィックが代替インフラへ自動的に迂回されたため、サービス提供には影響がなかったと確認されています。

フィンランド警察は、乗組員14人全員を事情聴取のため拘束しました。捜査当局は本件を「加重器物損壊」「加重器物損壊未遂」「電気通信への加重妨害」として捜査しています。当局は、船の錨が海底をこすって光ファイバーケーブルを切断したことが損傷の原因になった可能性があるとみています。

この事件は、近年複数の海底ケーブルが損傷しているバルト海地域で、ハイブリッド戦の戦術への懸念が高まる中で起きました。海底ケーブルは、欧州全域でデータやインターネットトラフィックを伝送する重要な通信の動脈として機能しています。

同日、エストニアは、同国とフィンランドを結ぶ2本目の通信ケーブルがダウンしたと報告しました。欧州委員会は、状況を綿密に監視しており、欧州のネットワークを標的とするハイブリッド脅威に対応する用意があると発表しています。

2025年のサイバーセキュリティ脅威動向の総括

2025年のサイバーセキュリティ環境について、重要な統計と傾向をまとめた報告が公開されています。

ボストン・コンサルティング・グループの世界調査では、企業の60%が過去1年にAIを用いたサイバー攻撃を受けたと考えている一方で、AI対応の防御を導入しているのは7%にとどまり、能力ギャップの大きさが浮き彫りになっています。

KELAのデータによれば、2025年1月から9月の間にランサムウェアのインシデントは4,701件に急増し、その半数が製造、医療、エネルギーといった重要インフラ分野を標的としていました。製造業は攻撃が前年比61%増加し、520件から838件へと急増しました。

第三者およびサプライチェーンの侵害は主要な初期侵入ベクターとなり、2025年の全侵害の44%を占め、前年の32%から大幅に増加しました。

ロシア、中国、北朝鮮、イランの国家主体アクターは、諜報、妨害、金銭目的のキャンペーンを継続して実施しており、重要サービスを標的にし、ハクティビスト集団を代理勢力として用いることも少なくありません。

組織の88%がAI対応の防御ツールを導入する計画を持つ一方で、実際に導入済みなのは7%にすぎません。この導入の遅れにより、多くの企業が高い露出状態に置かれています。この環境では受動的防御は時代遅れであり、能動的で多層的なセキュリティ戦略が求められています。

クロージング

本日お伝えしたニュースを振り返りますと、いくつかの重要なテーマが浮かび上がります。

まず、認証情報の管理とその長期的なリスクです。LastPassの事例が示すように、一度漏洩した認証情報は数年後まで悪用される可能性があります。強力なマスターパスワードと多要素認証の重要性を改めて認識する必要があります。

次に、攻撃者の戦術の巧妙化です。休暇中のタイミングを狙った攻撃、7年にわたる長期キャンペーン、AIを活用した脆弱性発見など、攻撃者は常に新しい手法を開発しています。

そして、サプライチェーンリスクの増大です。ブラウザ拡張機能やnpmパッケージを通じた攻撃は、開発環境そのものがリスクになり得ることを示しています。

年明け早々ですが、セキュリティ対策の見直しには良い機会です。特に認証情報の棚卸し、パッチ管理の状況確認、そしてサプライチェーンリスクの評価を検討されてはいかがでしょうか。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。