東京セキュリティブリーフィング 2026年01月08日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年1月8日、木曜日の配信です。

本日も昨日公開されたセキュリティニュースの中から、皆さまの業務に関連する重要なトピックをお届けします。今日は、大手自動車メーカーへのサイバー攻撃による甚大な影響、英国政府のサイバーセキュリティ政策の大転換、そして多要素認証の欠如が招く深刻な被害など、注目すべきニュースが多数ありました。それでは、まずヘッドラインからご紹介します。

ヘッドライン

本日お伝えする主なニュースです。

まず、ジャガー・ランドローバーがサイバー攻撃を受け、卸売台数が43%も急減したという衝撃的な報告がありました。この攻撃は英国のGDPにまで影響を及ぼしたとされています。

次に、英国政府が長年のサイバーセキュリティ政策の失敗を認め、2億1,000万ポンド規模の大規模な刷新計画を発表しました。

また、多要素認証を導入していなかったことが原因で、デロイトやKPMGを含む50社以上がインフォスティーラーの被害に遭ったことが明らかになりました。

さらに、D-Link製の旧式ルーターに深刻な脆弱性が発見され、すでに実環境で悪用されています。パッチは提供されないため、機器の交換が必要です。

そして、Veeam Backup & Replicationに複数の重大な脆弱性が発見され、rootレベルでのリモートコード実行が可能になる危険性があります。

それでは、各ニュースの詳細を見ていきましょう。

詳細解説

ジャガー・ランドローバーへのサイバー攻撃で卸売台数43%減

複数のメディアが報じたトップニュースからお伝えします。英国の高級自動車メーカー、ジャガー・ランドローバーが2025年9月に受けたサイバー攻撃の影響が、想像以上に深刻であることが明らかになりました。

同社の報告によると、会計年度第3四半期の卸売台数は前年同期比43%減の5万9,200台、小売台数は25%減の7万9,600台となりました。地域別に見ると、北米で64%減、欧州で48%減、中国で46%減と、主要市場すべてで大幅な落ち込みを記録しています。

この攻撃により、同社は生産停止を余儀なくされ、通常操業の完全回復は11月中旬までかかったとのことです。攻撃によるコストは1億9,600万ポンド、日本円で約350億円に上ると報じられています。

興味深いことに、イングランド銀行はこのサイバー攻撃を、同国第3四半期GDPの弱さの主因として挙げています。一企業へのサイバー攻撃が国家経済に影響を与えるという、極めて深刻な事態です。英国政府は、同社のサプライチェーン回復を支援するため、15億ポンドの融資保証を承認しました。

この事件の犯行声明は、Scattered Lapsus$ Huntersというグループが出しています。なお、このグループについては、後ほど別の興味深いニュースでも取り上げます。

日本の自動車関連企業にとっても、サプライチェーン全体のサイバーセキュリティ対策の重要性を再認識させる事例といえるでしょう。

英国政府がサイバーセキュリティ政策の失敗を認め方針転換

続いて、英国政府のサイバーセキュリティに関する大きな動きをお伝えします。

英国政府は「政府サイバー行動計画」を発表し、これまでのサイバーセキュリティへの取り組みが欠陥だったことを正式に認めました。2030年までの既存目標は達成不可能であると警告しています。

発表によると、政府技術システムの約3分の1がレガシープラットフォームに依存しているとのことです。この状況を改善するため、2億1,000万ポンド超の資金を投じて「政府サイバーユニット」を設置し、中央集権的で義務的なセキュリティモデルへの転換を図ります。

また、サプライヤーへの契約上のセキュリティ要件を強化し、史上初となる「政府サイバー職種」を創設して人材不足に対処するとしています。

計画は2030年までの段階的な実施で、2027年4月に最初のコンプライアンスチェックポイントが設けられます。Cisco、Palo Alto Networks、Sageなどがソフトウェア・セキュリティ・アンバサダーとして参加することも発表されました。

日本においても、デジタル庁を中心としたサイバーセキュリティ政策の見直しが進んでいますが、英国の経験から学べる点は多いのではないでしょうか。特に、レガシーシステムの刷新と人材育成は、日本でも共通の課題です。

MFA未導入で50社以上がインフォスティーラーの被害に

次は、多要素認証、いわゆるMFAの重要性を改めて示す事例です。

「Zestix」を名乗るハッカーが、デロイト、KPMG、サムスンなど50社以上から盗んだデータをオークションに出品していることが明らかになりました。Hudson Rockの報告によると、これらの被害組織に共通していたのは、MFAを導入していなかったことです。

攻撃者はRedLine、Lumma、Vidarといったインフォスティーラーマルウェアを使用して認証情報を窃取しました。被害組織の中には、パスワードが何年も更新されていなかったケースもあったとのことです。

具体的な被害例として、Pickett & Associatesからは約139GBの機密ファイルが流出したと報じられています。また、イベリア航空から77GB、Maida Healthからは2TB超の医療記録、Intecro Roboticsからは軍事関連の知的財産11GB超が盗まれたとされています。

攻撃者は主にShareFile、ownCloud、Nextcloudなどのコラボレーションツールを標的にしていました。これらのサービスを利用する組織に対して、MFAの有効化が強く推奨されています。

実際、ownCloudはこの報告を受けて、ユーザーにMFAの有効化を呼びかける声明を発表しました。Progress Software、Nextcloudも同様に全顧客にMFAの有効化を推奨しています。

この事例は、基本的なセキュリティ対策であるMFAの導入がいかに重要かを示しています。特にクラウドベースのコラボレーションツールを使用している組織は、今すぐMFAの設定状況を確認してください。

D-Link旧式ルーターの脆弱性が実環境で悪用中

続いて、ネットワーク機器に関する重要な脆弱性情報です。

CVE-2026-0625として追跡される脆弱性が、D-Link製のDSLゲートウェイルーターに影響しています。対象となる製品は、DSL-526B、DSL-2640B、DSL-2740R、DSL-2780Bです。

この脆弱性は、CGIライブラリにおける不適切な入力サニタイズに起因しており、認証されていない攻撃者がDNS設定パラメータを介してリモートからコマンドを実行できます。CVSSスコアは9.3と極めて深刻です。

重要な点として、この脆弱性は2025年11月以降、すでに実環境で悪用されていることが確認されています。

さらに深刻なのは、これらの製品が2020年以降サポート終了（End of Life）となっているため、パッチは提供されないということです。D-Linkは、脆弱な製品の廃棄とサポート対象モデルへの交換を推奨しています。

日本でもこれらのルーターを使用している環境があるかもしれません。該当する機器を使用している場合は、速やかにサポート対象のモデルへの置き換えを検討してください。また、当面の対策として、信頼できるDNSサーバーを手動で設定することが推奨されています。

Veeam Backup & Replicationに複数の重大な脆弱性

バックアップソリューションを使用している組織に重要なお知らせです。

Veeamは、Backup & Replicationソフトウェアに複数の脆弱性が存在することを公表し、セキュリティ更新をリリースしました。

最も深刻なのはCVE-2025-59470で、CVSSスコアは9.0です。この脆弱性を悪用すると、BackupまたはTape Operatorの権限を持つユーザーが、postgresユーザーとしてリモートコード実行が可能になります。

また、CVE-2025-55125は、悪意のある設定ファイルを通じてroot権限でリモートコード実行が可能になる脆弱性です。

影響を受けるのはバージョン13.0.1.180以前で、バージョン13.0.1.1071で修正されています。

過去にVeeamの脆弱性がランサムウェア攻撃で悪用された事例があります。Cubaランサムウェアグループや、FIN7として知られるサイバー犯罪グループが関連する脆弱性を悪用したことが報告されています。

Veeamを使用している組織は、速やかに最新バージョンへのアップグレードを実施してください。

Chrome拡張機能がAIチャットの会話を窃取

AIツールを業務で使用している方に注意喚起です。

OX Securityの研究者が、合計90万人超のユーザーを持つ2つの悪意あるChrome拡張機能を発見しました。これらの拡張機能は、ChatGPTおよびDeepSeekとの会話を30分ごとにC2サーバー（コマンド＆コントロールサーバー）へ流出させていました。

問題の拡張機能は「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」と「AI Sidebar with Deepseek, ChatGPT, Claude and more」という名前です。これらは正規のAITOPIA拡張機能になりすまし、「匿名分析データ」への同意を求める形で悪意ある機能を追加していました。

研究者はこの手法を「プロンプト・ポーチング」と呼んでいます。拡張機能は閲覧活動の監視、URL、セッショントークンの抽出も行っていました。

AIチャットボットには機密情報を入力するケースもあるため、この種の攻撃は深刻な情報漏えいにつながる可能性があります。ブラウザ拡張機能をインストールする際は、開発元の信頼性を十分に確認してください。

シャドーAIの利用が依然として広範に継続

関連して、生成AIの利用に関するセキュリティリスクについてお伝えします。

Netskopeのレポートによると、生成AIプラットフォーム利用者の47%が、企業の監督外にある個人アカウントを通じてAIツールを使用しているとのことです。これは「シャドーAI」と呼ばれる問題で、前年の78%からは改善したものの、依然として深刻なセキュリティリスクを構成しています。

さらに懸念されるのは、機微データをAIアプリに送信するインシデントが前年比で倍増し、平均的な企業で月223件発生しているという点です。送信されるデータには、ソースコード、機密データ、知的財産、ログイン認証情報が含まれています。

組織には、AIガバナンス方針の策定を優先し、AI利用に関する継続的な可視性を確保することが推奨されています。

業務効率化のためにAIツールを活用することは重要ですが、適切なガバナンスなしでの利用は、思わぬ情報漏えいにつながりかねません。

台湾へのサイバー攻撃が急増、エネルギー分野で10倍に

地政学的なサイバーセキュリティの動向について、重要な報告がありました。

台湾国家安全局の報告書によると、中国によるエネルギー部門への攻撃が2025年に前年比1,000%、つまり10倍に増加しました。また、緊急救助・病院部門への攻撃は54%増、通信・伝送分野は6.7%増となっています。

2025年に記録されたサイバー侵入の試みは合計9億6,062万609件で、2024年比6%増、2023年比では112.5%増という驚異的な増加です。

攻撃手法としては、ハードウェアおよびソフトウェアの脆弱性悪用、DDoS攻撃、ソーシャルエンジニアリング、サプライチェーン攻撃が報告されています。関与が指摘されているグループには、BlackTech、Flax Typhoon、Mustang Panda、APT41、UNC3886などがあります。

この報告は、重要インフラに対するサイバー攻撃が地政学的な緊張と密接に関連していることを示しています。日本においても、エネルギーや通信などの重要インフラを運営する組織は、これらの脅威グループの動向に注意を払う必要があります。

ハッカー集団がセキュリティ研究者のハニーポットに捕獲される

興味深いニュースをお伝えします。先ほどジャガー・ランドローバーへの攻撃で名前が出たScattered Lapsus$ Hunters、略称SLHというハッキング集団が、セキュリティ企業Resecurityのハニーポットに引っかかったことが明らかになりました。

SLHはResecurityへの侵害を主張しましたが、実際にはResecurityが意図的に用意した偽データだったのです。Resecurityは古い漏えいデータとAI生成コンテンツを組み合わせた合成データを用意し、攻撃者を欺くことに成功しました。

この作戦により、研究者はSLHメンバーのIPアドレス、Gmailアカウント、米国ベースの電話番号を特定することができました。これらの情報は法執行機関と共有され、逮捕の可能性が高まっているとのことです。

ただし、このアプローチには倫理的な疑問も提起されています。合成データを使った欺瞞戦術の是非については、セキュリティコミュニティ内でも議論があるようです。

macOSの脆弱性でプライバシー制御を回避可能

Macユーザーに重要な脆弱性情報です。

CVE-2025-43530として追跡されるmacOSの脆弱性により、攻撃者はTCC（Transparency, Consent, and Control）と呼ばれるプライバシー保護機能を完全に回避できることが判明しました。

この脆弱性は、VoiceOverスクリーンリーダーへの信頼を悪用し、ファイルベースの検証の弱点とTOCTOU（Time of Check to Time of Use）欠陥を組み合わせることで悪用されます。攻撃が成功すると、ユーザーの同意なしにマイク、カメラ、ドキュメントにアクセスすることが可能になります。

対策として、macOS 26.2以降へのアップグレードが推奨されています。Macを業務で使用している組織は、速やかにOSのアップデート状況を確認してください。

Open WebUIの重大な脆弱性

AIツールの自己ホスティングを行っている組織に関連するニュースです。

Open WebUIにCVE-2025-64496として追跡される脆弱性が発見されました。深刻度スコアは7.3から8.0と報告されています。

この脆弱性は、Direct Connections機能が有効な場合に影響します。悪意あるサーバーがServer-Sent Eventsを通じてJavaScriptを実行し、認証トークンを窃取することが可能です。これにより、アカウント乗っ取りやサーバー侵害につながる恐れがあります。さらに、Functions APIとの連鎖でリモートコード実行にも発展する可能性があります。

バージョン0.6.35でパッチが提供され、悪意あるexecuteイベントがブロックされるようになりました。workspace.tools権限の制限と、不審なツール作成の監視が推奨されています。

ホスピタリティ業界を狙うClickFixマルウェアキャンペーン

旅行・宿泊業界を狙った巧妙なフィッシングキャンペーンについてお伝えします。

SecuronixがPHALT#BLYXとして追跡しているこのキャンペーンは、Booking.comの予約キャンセルを装ったフィッシングメールでホスピタリティ業界を標的にしています。

攻撃の手口は非常に巧妙です。まず、偽のCAPTCHAプロンプトを表示し、その後ブルースクリーン（BSOD）のシミュレーションを行います。パニックになった被害者にPowerShellコマンドを実行させ、最終的にDCRatというマルウェアを展開します。

技術的には、MSBuild.exeを悪用し、aspnet_compiler.exeへのプロセス注入で活動を隠蔽します。さらに、Windows Defenderの除外設定も改ざんされるとのことです。

キリル文字のデバッグ文字列やユーロ建て請求が確認されており、ロシア語圏の攻撃者が欧州を標的にしていることが示唆されています。

ホテルや旅行会社など、予約システムを扱う組織では、従業員に対してこのような攻撃手法について周知することが重要です。

WordPress管理者を狙うフィッシング詐欺

ウェブサイト運営者に注意喚起です。

WordPress管理者を狙うフィッシングキャンペーンが確認されています。攻撃者はドメイン更新を装ったメールで、クレジットカード情報と2FAコードを窃取しようとします。

被害者は偽のWordPress決済ポータルへ誘導され、入力した情報はTelegram経由で攻撃者へリアルタイムで流出します。特に悪質なのは、偽の3D Secure認証画面で「認証失敗」を繰り返し表示し、複数のワンタイムパスワード（OTP）を収集する手口です。

対策として、フィッシング耐性のあるMFAの導入が推奨されています。WordPressサイトを運営している方は、ドメイン更新の通知は必ず公式サイトから直接確認するようにしてください。

TOTOLINK無線エクステンダーの脆弱性

家庭やオフィスで使用されている無線機器に関する脆弱性です。

CERT/CCがTOTOLINK EX200無線レンジエクステンダーの脆弱性CVE-2025-65606を公開しました。

この脆弱性は、ファームウェアアップロード時のエラー処理の不備に起因しています。認証済み攻撃者が不正なファームウェアファイルをアップロードすると、認証不要でroot権限を持つTelnetサービスが起動し、デバイスを完全に制御できてしまいます。

問題は、TOTOLINKがパッチを提供しておらず、この製品は2023年2月以降更新されていないことです。サポート対象モデルへのアップグレードが推奨されています。

Ledger顧客データ侵害とフィッシング警告

暗号資産ハードウェアウォレットのLedgerに関連するセキュリティインシデントです。

LedgerのEコマース提携先であるGlobal-eが侵害を受け、顧客データが不正アクセスされました。露出したデータには氏名、連絡先、注文履歴が含まれますが、パスワードや決済情報、リカバリーフレーズは漏えいしていないとのことです。

1月5日から影響を受けたユーザーへの通知が開始され、すでにフィッシング攻撃も発生しています。Ledgerは「リカバリーフレーズを求めることは決してない」と警告しています。

暗号資産を保有している方は、リカバリーフレーズの提供を求めるいかなる連絡も詐欺であると認識してください。

n8nワークフロー自動化プラットフォームの重大な脆弱性

最後に、ワークフロー自動化ツールに関する重大な脆弱性をお伝えします。

ワークフロー自動化プラットフォームn8nに、CVE-2026-21877としてCVSSスコア10.0の最大深刻度の脆弱性が発見されました。

この脆弱性により、特定条件下で認証済みユーザーが信頼できないコードを実行でき、インスタンスが完全に侵害される可能性があります。セルフホストとn8n Cloudの両方が影響を受け、バージョン0.123.0以降が対象です。

バージョン1.121.3で修正されていますので、n8nを使用している組織は速やかにアップグレードを実施してください。

クロージング

本日は、ジャガー・ランドローバーへのサイバー攻撃が英国経済にまで影響を与えた事例、英国政府のサイバーセキュリティ政策の大転換、そしてMFA未導入による大規模な情報漏えいなど、多岐にわたるニュースをお届けしました。

改めて強調したいのは、多要素認証の重要性です。今日ご紹介した複数の事例で、MFAが導入されていれば防げたであろう被害が報告されています。まだMFAを導入していないシステムやサービスがあれば、今すぐ対応を検討してください。

また、D-LinkやTOTOLINKなどの旧式ネットワーク機器については、サポート終了製品の使用継続がいかに危険であるかが示されました。パッチが提供されない以上、機器の交換が唯一の対策です。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。