東京セキュリティブリーフィング 2026年01月07日（水曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年1月7日、水曜日の配信です。

本日は、複数のメディアが注目している話題から、ヨーロッパのホテル業界を狙った新たなフィッシング攻撃、そして台湾への中国からのサイバー攻撃の実態、さらには2022年のLastPass侵害が今も被害を生み続けているという衝撃的な調査結果まで、幅広いセキュリティニュースをお届けします。

それでは、まずは本日の主なヘッドラインからご紹介しましょう。

ヘッドライン

本日お伝えする主なニュースです。

まず、複数のセキュリティメディアが報じている注目のニュースとして、ヨーロッパのホスピタリティ業界を標的にした「ClickFix」と呼ばれる新たなフィッシング攻撃が確認されました。偽のブルースクリーン画面でユーザーを騙し、マルウェアを実行させる巧妙な手口です。

次に、台湾国家安全局が発表した報告によると、2025年に台湾は中国から1日あたり260万件以上のサイバー攻撃を受けていたことが明らかになりました。

また、2022年に発生したLastPassの大規模データ侵害から盗まれた保管庫が今も解読され続けており、暗号資産の窃盗に悪用されているという調査結果も報告されています。

さらに、米国のサイバーセキュリティ専門家2人がBlackCatランサムウェア活動への関与で有罪を認めたというニュース、そしてニュージーランドで10万人以上の患者データが侵害された医療ポータルへのランサムウェア攻撃など、重要なニュースが相次いでいます。

それでは、詳しく見ていきましょう。

詳細解説

欧州ホテル業界を狙う偽ブルースクリーン攻撃

最初にお伝えするのは、複数のセキュリティメディアが報じている、ヨーロッパのホスピタリティ業界を標的にした新たなClickFixキャンペーンについてです。

セキュリティ企業Securonixが「PHALT#BLYX」として追跡しているこの攻撃は、非常に巧妙な手口を用いています。攻撃者はまず、Booking.comを装ったフィッシングメールを送信します。メールの内容は、予約のキャンセルに関するもので、ホテルスタッフの注意を引くように設計されています。

被害者がメール内のリンクをクリックすると、偽のCAPTCHAページに誘導され、その後、Windowsの「ブルースクリーン・オブ・デス」、いわゆるBSODを模した画面が表示されます。この偽のエラー画面は被害者をパニックに陥らせるためのもので、画面には「問題を修正するため」としてWindowsキーとRキーを同時に押し、続いてControl+Vを押すよう指示が表示されます。

被害者がこの指示に従うと、「ファイル名を指定して実行」ダイアログが開き、クリップボードにコピーされていた悪意のあるPowerShellコマンドが実行されます。この手法の狡猾な点は、ユーザー自身に手動でコマンドを実行させることで、自動化されたセキュリティ制御を回避できることです。

最終的に展開されるマルウェアはDCRat、AsyncRATとも呼ばれるリモートアクセス型トロイの木馬です。このマルウェアはWindows Defenderを無効化し、キーストロークの追跡やクリップボードのデータ窃取を行います。

調査では、マルウェアに使用されているMSBuildプロジェクトファイル内にロシア語のキリル文字によるデバッグ文字列が発見されており、ロシア系の脅威アクターが欧州の組織を積極的に標的にしていることが示唆されています。

日本のホテルや旅行業界でも、海外からの予約対応を行う際には、このような偽の予約キャンセルメールに十分注意してください。不審なメールを受け取った場合は、メール内のリンクをクリックせず、正規のBooking.comサイトやアプリから直接確認することをお勧めします。

台湾への中国からのサイバー攻撃が1日260万件に

続いて、台湾国家安全局が発表した報告についてお伝えします。

報告によると、2025年に中国からのサイバー攻撃は前年比6%増加し、1日あたり平均260万件に達しました。攻撃の対象は主にエネルギー、病院、銀行、緊急サービスといった重要インフラで、多くの攻撃は中国の軍事演習や政治イベントと連動して行われていたとのことです。

攻撃の手法としては、DDoS攻撃や中間者攻撃が用いられ、半導体産業やTSMCを含む組織からのデータ窃取と業務妨害が行われました。台湾側はこれを中国の「ハイブリッド戦」戦略の一環と見ています。

この数字は、地政学的な緊張がサイバー空間にも明確に反映されていることを示しています。日本の組織、特にサプライチェーンで台湾企業と取引のある企業は、間接的な影響を受ける可能性も考慮し、自社のセキュリティ態勢を見直す必要があるかもしれません。

LastPass侵害から3年、今も続く暗号資産の窃盗被害

次は、2022年に発生したLastPassのデータ侵害に関する続報です。

TRM Labsの調査によると、2022年の侵害で盗まれたパスワード保管庫が今も解読され続けており、暗号資産の窃盗に使用されています。調査では約3,500万ドル相当が盗まれたとされていますが、MetaMaskによる以前の調査を含めると、実際の被害額は1億ドルに近づく可能性があるとのことです。

盗まれた資金はミキシングサービスを通じて洗浄され、大半はロシアの取引所で現金化されたと報告されています。

この事例は、一度侵害されたデータが長期にわたって悪用され続けるという現実を突きつけています。パスワードマネージャーのマスターパスワードには特に強力なものを設定し、可能であれば定期的にすべてのパスワードを更新することが重要です。また、暗号資産のシードフレーズをパスワードマネージャーに保存することのリスクについても再考する必要があるでしょう。

米国セキュリティ専門家2人、BlackCatランサムウェアで有罪

続いて、米国からのニュースです。

米国のサイバーセキュリティ専門家2人が、ALPHV/BlackCatランサムウェア活動への関与で有罪を認めました。ライアン・ゴールドバーグ容疑者（40歳）とケビン・マーティン容疑者（36歳）は、もともとサイバーセキュリティ企業DigitalMintとSygniaに勤務していた人物です。

2人は約120万ドル相当のビットコインを恐喝し、身代金の80%を3人で分配していたとのことです。量刑は3月12日に予定されており、最長禁錮20年の可能性があります。

セキュリティの専門知識を持つ人物が、その知識を悪用して犯罪に加担するという事例は、業界全体の信頼性に関わる深刻な問題です。組織は内部者によるリスクについても十分な注意を払う必要があります。

ニュージーランド医療ポータルへのランサムウェア攻撃

ニュージーランドでは、民間医療サービス会社Manage My Healthが運営するポータルがランサムウェア攻撃を受けました。

このポータルは185万人以上が利用しており、攻撃者「Kazu」は4.15TBのデータを盗み、6万ドルの身代金を要求しています。1月15日までに支払いがなければデータを公開すると脅迫しており、同社の推計では顧客の約7%、約12万6,000人に影響が及んでいます。

サイバーセキュリティ専門家は、弱いドメイン暗号化とエンドポイントセキュリティの問題を指摘しています。ニュージーランドの保健相は「極めて憂慮すべき」と述べ、政府による見直しを指示しました。

医療データは最も機密性の高い個人情報の一つであり、一度漏洩すると取り返しがつきません。医療機関はセキュリティ投資を最優先事項として位置づける必要があります。

Covenant Healthの被害者数が約60倍に増加

医療機関のセキュリティ関連でもう一つ、米国のCovenant Healthが2025年5月のランサムウェア攻撃について、影響を受けた個人数を大幅に更新しました。

当初7,864人と発表されていた被害者数が、478,188人へと約60倍、パーセンテージにして5,980%増加したのです。Qilinランサムウェアグループが犯行声明を出しており、852GBのデータを盗んだと主張しています。

侵害されたデータには、氏名、住所、生年月日、社会保障番号、健康保険情報、診断・治療情報が含まれています。

データ侵害の規模は、初期の発表から大幅に拡大することがよくあります。組織はインシデント対応において、最悪のシナリオを想定した準備を行うことが重要です。

FortiOSの古い脆弱性が再び悪用される

2020年にパッチが提供されたFortiOSのSSL VPNの脆弱性CVE-2020-12812が再び悪用されています。

この脆弱性は特定の構成下で二要素認証を回避できるというもので、5年半以上前にパッチが提供済みにもかかわらず、Shadowserverの調査によると少なくとも1万台のファイアウォールが未修正のまま稼働しています。

問題はLDAPディレクトリとFortiGateにおけるユーザー名の大文字・小文字の区別の違いに関連しています。ユーザーは最新アップデートの早急なインストールを推奨されています。

古い脆弱性であっても、パッチが適用されていなければ攻撃者にとっては有効な攻撃手段となります。定期的な脆弱性スキャンとパッチ管理プロセスの見直しが必要です。

SmarterMailの重大な脆弱性、パッチ適用率は1%未満

メールサーバーソフトウェアSmarterMailで重大な脆弱性CVE-2025-52691が発見されました。CVSSスコアは最高の10.0です。

この脆弱性により、認証なしで任意のファイルをアップロード可能となり、リモートコード実行につながる恐れがあります。Censysによると、公開後1週間でパッチ適用は1%未満にとどまり、約11,000台の露出ホストが残存しています。

攻撃者はWebシェルや実行可能ファイルをアップロードしてシステム全体を侵害する可能性があります。SmarterMailを使用している組織は、直ちにパッチを適用してください。

MongoDBの重大な脆弱性が攻撃に悪用中

MongoDBの重大な脆弱性CVE-2025-14847、CVSSスコア8.7が12月29日から攻撃に悪用されています。

この脆弱性により、認証なしでサーバーメモリから認証情報やAPIキーを抽出可能です。影響を受ける組織はパッチ適用と認証情報のローテーションが推奨されます。

データベースは組織の中核的な資産を保管しており、この種の脆弱性は特に深刻です。MongoDB利用者は速やかに対応してください。

n8n自動化プラットフォームに任意コマンド実行の欠陥

ワークフロー自動化プラットフォームn8nで重大な脆弱性CVE-2025-68668、CVSSスコア9.9が公開されました。

Python Code Nodeのサンドボックスを回避することで、認証済みユーザーがホスト上で任意のOSコマンドを実行可能になります。バージョン2.0.0で修正されていますので、n8nを使用している組織は速やかにアップグレードしてください。

旧式FortiWebがSliver C2フレームワークの展開に悪用される

旧式のFortiWebアプライアンス（バージョン5.4.202から6.1.62）が悪用され、Sliver C2フレームワークが展開されていることが確認されました。

バングラデシュ、パキスタン、インド、南アフリカ、米国の組織が被害を受け、30件のユニークな被害者IPが確認されています。攻撃者はFast Reverse ProxyやMicrosocksも使用し、長期的なアクセスのための永続化を確立しています。

古いバージョンのアプライアンスを使用している場合は、できる限り早くアップデートまたはリプレースを検討してください。

CISAのKEVカタログが2025年に20%拡大

CISAの既知の悪用されている脆弱性、KEVリストは2025年に245件追加され、合計1,484件になりました。

追加された脆弱性のうち24件はランサムウェア攻撃で悪用されたもので、CitrixBleed 2（CVE-2025-5777）やOracle E-Business Suiteの欠陥が特に影響範囲が広いとされています。興味深いことに、最も古い追加脆弱性は2007年のMicrosoft Office RCE問題でした。

最も多い弱点のタイプはOSコマンドインジェクション（CWE-78）で18件、ベンダー別ではMicrosoftが39件で最多となっています。

KEVカタログは組織のパッチ適用優先順位付けに非常に有用です。まだ活用していない組織は、ぜひ参考にしてください。

Google Tasksを悪用したステルス型フィッシング

攻撃者がGoogleのApplication Integrationサービスを悪用し、正規のGoogle通知メールを生成してフィッシングを実行する手法が発見されました。3,000以上の組織に影響が出ています。

受信者がメール内のボタンをクリックすると、storage.cloud.google.comでホストされたフィッシングページへ誘導され、認証情報が窃取されます。Googleという信頼されたドメインを使用しているため、従来のフィルタリングでは検知が困難です。

正規のサービスを悪用した攻撃は今後も増加すると予想されます。ユーザー教育と多要素認証の導入が重要な対策となります。

VS Codeフォークがサプライチェーン攻撃のリスクに

Cursor、Windsurf、Google AntigravityなどのAI搭載IDEに重大なサプライチェーン脆弱性が発見されました。

これらのIDEはVS Codeのフォークですが、公式のMicrosoft Extension Marketplaceを利用できず、OpenVSXに依存しています。問題は、これらのIDEがOpenVSXに存在しない拡張機能を推奨する設定を引き継いでいたことです。

これにより、攻撃者が未取得の名前空間を登録し、悪意あるパッケージをアップロードできる状態でした。幸いにも、Koi Securityの研究者が攻撃者より先に脆弱な名前空間を取得し、プレースホルダー拡張機能をアップロードして防御しました。1,000人超の開発者がこのプレースホルダーをインストールしていたことからも、リスクの大きさがわかります。

CursorとGoogleは修正済みですが、Windsurfは未対応とのことです。開発者は使用しているIDEの拡張機能推奨設定を確認してください。

Kimwolfボットネットが200万台超のデバイスに感染

Kimwolfボットネットが住宅用プロキシネットワークを悪用し、200万台以上のAndroidデバイスに感染しています。

このボットネットはDDoS攻撃、広告詐欺、アカウント乗っ取りを可能にしており、攻撃者はAndroid Debug Bridge（ADB）が有効な未認証デバイスを標的にしています。感染の大半はベトナム、ブラジル、インド、サウジアラビアに集中しています。

Androidデバイスを管理している組織は、ADBが不必要に有効になっていないか確認してください。

イリノイ州で67万人超のメディケイドデータが4年間公開状態に

イリノイ州人間サービス局（IDHS）がプライバシー設定の誤構成により、約67万2,616人のメディケイド受給者と約3万2,401人のリハビリテーションサービス顧客のデータを2021年から2025年9月まで最大4年間オンラインで公開していました。

住所、ケース番号、医療扶助プラン名等が露出したものの、メディケイド受給者の氏名は含まれていなかったとのことです。

クラウド設定のミスによるデータ露出は非常に多く発生しています。定期的な設定監査の実施が不可欠です。

Brightspeedが侵害主張を調査中

米国の光ファイバー・ブロードバンド事業者Brightspeedが、ハッキング集団Crimson Collectiveによる侵入主張を調査中です。

攻撃者は100万人超の顧客の氏名、請求先住所、メールアドレス、電話番号、支払い履歴、一部決済カード情報、注文記録を盗んだと主張しています。同集団は昨年Red HatのGitLabインスタンス侵害でも知られ、日産の顧客約21,000人の情報漏えいにも関連しています。

NordVPNは侵害主張を否定

ハッカー「1011」がNordVPNの開発サーバー侵入を主張し、SalesforceのAPIキーやJiraトークン等を含むデータを投稿しました。

NordVPNは社内システム侵害を否定し、流出データは6か月前にサードパーティの自動テストプラットフォームを試用した際に作成された一時的環境のダミー情報と説明しています。本番システムや顧客データは影響を受けていないとしています。

Ledger顧客データがサードパーティ侵害で漏えい

ハードウェアウォレットメーカーLedgerの一部顧客データが、決済処理業者Global-eのシステム侵害により漏えいしました。

氏名と連絡先情報が影響を受けましたが、金融情報や24語のシードフレーズは含まれていないとのことです。Global-eは複数のオンライン小売業者向けサービスを提供しており、他ブランドの顧客も影響を受けた可能性があります。

暗号資産ユーザーは、今後フィッシング攻撃が増加する可能性に注意してください。

Bitfinexハッキング犯がトランプ法で早期釈放

2016年のBitfinexハッキング首謀者イリヤ・リヒテンシュタインが、トランプ大統領のファースト・ステップ法により早期釈放されました。

彼と妻ヘザー・モーガン（「ラズルカーン」として知られる）は12万ビットコインを盗み資金洗浄し、2022年に逮捕されました。司法省は当時、36億ドル相当の盗難ビットコインを過去最大規模で回収しています。

ファースト・ステップ法は2018年成立の連邦法で、模範的行動やプログラム修了により刑期短縮が可能となります。リヒテンシュタインは5年の判決から1年余りで釈放されました。

Claude Chrome拡張機能のセキュリティリスク

AnthropicがリリースしたClaudeのChrome拡張機能について、Zenity Labsが深刻なセキュリティリスクを指摘しています。

この拡張機能は常時ログイン状態でGoogle DriveやSlack等へのアクセスを含むユーザーのデジタルIDを引き継ぎます。間接プロンプトインジェクション攻撃により、受信箱削除や社内メッセージ送信等の有害操作が可能になるとの指摘です。「Ask before acting」機能も完全ではないとされています。

AI関連のブラウザ拡張機能を使用する際は、付与される権限を慎重に確認してください。

英国が2億1000万ポンドのサイバー計画を発表

英国政府は2億1,000万ポンド（約2億8,500万ドル）を投じ、公共部門全体のサイバー脅威対応を調整する「政府サイバー部隊」を新設すると発表しました。

また、ソフトウェア・セキュリティ実践規範を推進する「ソフトウェア・セキュリティ・アンバサダー制度」も開始し、Cisco、Palo Alto Networks、Sageなどが参加しています。ただし、専門家からは2億1,000万ポンドでは問題の規模に対処するには不十分との懸念も出ています。

GrokがAI生成画像問題で複数国の調査対象に

欧州委員会は、XのAIツール「Grok」が未成年者の性的に露骨な画像を生成した事案を受け、Xに対する措置を「非常に真剣に」検討中です。

Grokは14歳の女優の画像から衣服を除去する等の行為が批判を受けています。Xには先月DSA違反で1億2,000万ユーロの罰金が科されており、パリ検察庁も新たな捜査を開始しました。フランスとマレーシアも調査を開始し、インドもXに72時間以内に対応を求めています。

サイバーセキュリティ専門家のストレスが深刻化

Object Firstの調査によると、ITセキュリティリスクにより「耐えがたいほどのストレス」を感じている専門家が84%に上ります。セキュリティインシデントの責任を個人的に問われることを恐れる人は78%、約5分の3が職務プレッシャーを理由に転職を検討しています。

ISSAの調査でもストレス下の回答者の81%が定期的に退職を考えており、燃え尽きが深刻化しています。セキュリティ人材の確保・定着は業界全体の課題となっています。

ハニーポットでサイバー犯罪グループを捕捉

Resecurityの脅威インテリジェンスチームが、サイバー犯罪集団「Scattered Lapsus$ Hunters」をハニーポットで捕捉することに成功しました。

2025年11月に罠を仕掛け、偽の従業員アカウントや合成データを含むエミュレート環境に攻撃者を誘導。攻撃者のOPSECミスにより所在が特定され、海外法執行機関による召喚状発付に至りました。攻撃者は後に侵害主張を削除したとのことです。

クロージング

本日の東京セキュリティブリーフィングでは、ヨーロッパのホテル業界を狙った偽ブルースクリーン攻撃、台湾への中国からの大規模サイバー攻撃、そして2022年のLastPass侵害が今も被害を生み続けている実態など、多くの重要なニュースをお伝えしました。

本日のポイントをまとめますと、まず偽のエラー画面や緊急を装うメールには十分注意してください。特にホスピタリティ業界では、予約システムを装った攻撃が増加しています。

次に、古い脆弱性であってもパッチが適用されていなければ攻撃対象になります。FortiOSの5年以上前の脆弱性が今も悪用されている事実は、パッチ管理の重要性を改めて示しています。

そして、一度漏洩した認証情報は長期にわたって悪用され続けます。LastPassの事例が示すように、パスワード管理と定期的な更新は継続的に行う必要があります。

気になるニュースがありましたら、ぜひ詳細をご確認ください。また、組織のセキュリティ対策の見直しにお役立ていただければ幸いです。

東京セキュリティブリーフィングでした。また次回お会いしましょう。