東京セキュリティブリーフィング 2026年01月10日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月10日、土曜日です。

今週も世界中で様々なセキュリティ関連のニュースがありました。本日は、複数のメディアで大きく取り上げられた重要なトピックを中心にお伝えしていきます。それでは、まずヘッドラインから見ていきましょう。

ヘッドライン

本日の主要なニュースをお伝えします。

まず、CrowdStrikeがアイデンティティセキュリティ企業SGNLを7億4,000万ドルで買収するという大型案件が発表されました。

続いて、中国関連の脅威アクターによる活動として、VMware ESXiのゼロデイ脆弱性が公開の1年以上前から悪用されていた可能性、そして南アジアの通信事業者を標的としたサイバー諜報活動が報告されています。

また、Cisco製品に複数の脆弱性が発見され、ISE、Snort 3、さらには複数のスイッチモデルに影響する問題が明らかになりました。

英国政府が2億1,000万ポンド規模の新たなサイバー行動計画を発表し、公共部門のセキュリティ強化に乗り出しています。

そして、ChatGPTに関連する新たな脆弱性「ZombieAgent」が発見され、ゼロクリック攻撃によるデータ流出の危険性が指摘されました。

それでは、詳細を見ていきましょう。

詳細解説

CrowdStrikeによるSGNL買収とアイデンティティセキュリティの強化

本日最初にお伝えするのは、CrowdStrikeによる大型買収のニュースです。複数のメディアが報じているように、CrowdStrikeはアイデンティティセキュリティのスタートアップSGNLを約7億4,000万ドル、主に現金で買収することを発表しました。

SGNLは、静的な認証情報を排除し、リアルタイムでアクセス判断を行うソリューションを構築している企業です。従来のアクセス管理では、一度権限を付与するとその権限が恒常的に維持されることが多いのですが、SGNLの技術では、ユーザーの行動やデバイスの状態、脅威インテリジェンスなどのコンテキストデータを用いて、アクセス要求をリアルタイムで評価し、動的に権限を付与したり取り消したりすることが可能になります。

注目すべき点は、この技術が人間のアイデンティティだけでなく、非人間のアイデンティティ、つまりNHIと呼ばれるサービスアカウントやAPIキー、そしてAIエージェントに対するアクセス制御にも対応していることです。業界の推計では、機械のアイデンティティが人間を最大82対1で上回っているとされており、AIエージェントが増加する中でこのような対策は非常に重要になってきています。

CyberArkの調査によると、サイバーセキュリティリーダーの63%が従業員がセキュリティ制御を回避し続けていると認めており、最新のジャストインタイム特権アクセスモデルを完全に実装しているのはわずか1%という状況です。91%の組織が特権アクセスの半分以上が常時有効と回答しており、54%の組織が毎週「シャドー特権」、つまり管理されていないアカウントやシークレットを発見しているとのことです。

この買収は2027年度第1四半期中に完了予定とのことです。日本の組織においても、アイデンティティ管理の見直しは重要な課題であり、静的な認証情報から動的なアクセス制御への移行を検討する良い機会かもしれません。

中国関連脅威アクターによるVMware ESXiゼロデイの長期悪用

続いて、非常に深刻なニュースをお伝えします。セキュリティ企業Huntressの分析によると、VMware ESXiの脆弱性3件が、公開よりも1年以上前から悪用されていた可能性があることが判明しました。

対象となる脆弱性は、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226として追跡されている3件で、2025年3月に公開されたものです。これらはゲストVMからハイパーバイザーへの脱出を可能にする重大な欠陥です。

Huntressが発見したエクスプロイトバイナリのPDBパス、つまりデバッグ情報のパスに「2024_02_19」というフォルダ名が含まれており、少なくとも2024年2月頃からエクスプロイトが開発・使用されていたことを示唆しています。

攻撃者は中国語話者の脅威アクターとみられ、侵害されたSonicWall VPN経由で配布を行っていました。ツールキットにはMAESTROやVSOCKpuppetなどのコンポーネントが含まれ、155のESXiビルドをサポートするほど洗練されたものでした。

この事例は、ゼロデイ脆弱性が公開される前から長期間にわたって悪用されている可能性があることを改めて示しています。仮想化基盤を運用している組織は、パッチ適用の迅速化はもちろんのこと、異常な挙動の検知やネットワークセグメンテーションなど、多層防御の重要性を再認識する必要があります。

中国関連のUAT-7290による通信事業者への諜報活動

中国関連の脅威について、もう一つ重要なニュースがあります。Cisco Talosの報告によると、UAT-7290として追跡される中国系脅威アクターが、2022年以降、南アジアおよび南東ヨーロッパの通信事業者を標的にスパイ活動を実施していることが明らかになりました。

このグループは、RushDrop、DriveSwitch、SilentRaid、Bulbatureなど複数のLinuxマルウェアを使用しています。初期アクセスの獲得には、いわゆる1-dayエクスプロイト、つまり既知だがパッチ適用が遅れている脆弱性の悪用と、SSHブルートフォース攻撃を組み合わせて使用しています。

特に注目すべきは、このグループがORBノード、つまりOperational Relay Boxesと呼ばれるインフラを構築していることです。侵害したシステムを中継ノードに変換し、他の中国関連グループに提供している可能性があります。また、APT10関連のRedLeavesやShadowPadなど、他の中国系マルウェアとの重複も観測されています。

通信事業者は重要インフラとして特に狙われやすい標的です。日本の通信事業者においても、エッジネットワークデバイスの脆弱性管理や、SSHアクセスの強化、そして異常な通信パターンの監視が重要となります。

Cisco製品における複数の脆弱性

ここからは、Cisco製品に関する複数の脆弱性についてまとめてお伝えします。

まず、Cisco Identity Services Engine、略してISEに関する脆弱性です。CVE-2026-20029は深刻度4.9で、XMLの不適切な解析に起因するXXE型の欠陥です。管理者権限を持つ攻撃者が悪意あるXMLファイルをアップロードすることで、本来アクセスできないシステムファイルを読み取ることが可能になります。Trend MicroのZero Day InitiativeのBobby Gouldが報告したもので、PoCエクスプロイトが公開済みです。回避策は存在せず、修正版へのアップグレードが必要です。

次に、Snort 3に関する2つの脆弱性です。CVE-2026-20026はCVSSスコア5.8のuse-after-free状態でDoSを引き起こす欠陥、CVE-2026-20027はCVSSスコア5.3の境界外読み取りで機密データ漏えいの可能性がある欠陥です。これらはDCE/RPC処理における問題で、Cisco Secure Firewall、Snort 3、IOS XE、Merakiアプライアンスに影響します。回避策は存在せず、Snort 3.9.6.0へのアップグレードが必要です。

さらに、複数のCiscoスイッチモデルでDNSクライアントのファームウェアバグにより再起動ループが発生する問題も報告されています。DNSルックアップの失敗が致命的エラーとして扱われ、CBS250/350、Catalyst C1200、SG350/550Xシリーズなどに影響します。一時的な回避策として、DNS解決やSNTPの無効化、外向きインターネットアクセスの遮断が有効とされています。

Cisco製品を利用している組織は、これらの脆弱性の影響を確認し、必要に応じてパッチ適用を検討してください。

CISAがHPE OneViewと旧式PowerPointへの攻撃を警告

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁、CISAがKnown Exploited Vulnerabilities、略してKEVカタログに2件の脆弱性を追加しました。

1件目は、HPE OneViewの脆弱性CVE-2025-37164です。これはCVSSスコアが10点満点という最大深刻度の脆弱性で、未認証のリモートコード実行が可能です。HPE OneViewはサーバー、ストレージ、ネットワーク機器に管理者レベルの制御を提供するソフトウェア定義型管理プラットフォームであるため、悪用されると壊滅的な結果につながる可能性があります。パッチ公開の翌日にPoCが公開されており、バージョン5.20から10.20が影響を受けます。12月17日にホットフィックスがリリースされていますので、該当する組織は早急に適用してください。

もう1件は、興味深いことに2009年のMicrosoft PowerPointの脆弱性CVE-2009-0556です。15年以上前の欠陥が、レガシーOffice環境を狙って再浮上しています。古いシステムを運用している組織は、このような過去の脆弱性にも注意が必要です。

英国政府の新サイバー行動計画

英国政府が、政府向けの新たなサイバー行動計画を発表しました。これは2022年の計画を早期に刷新したもので、「デジタル・レジリエンスにおける繰り返しの構造的な失敗」を指摘し、2億1,000万ポンド、日本円で約400億円規模の投資を行うものです。

背景には深刻な課題があります。政府技術資産の約28%がレガシー技術で攻撃に対して脆弱と推定されており、英国会計検査院の報告書では、政府IT資産の約3分の1がレガシーシステムで、半数には十分な是正計画がないと警告されていました。

この計画では、科学・イノベーション・技術省内に新たなサイバーユニットを立ち上げ、政府CISOのベラ・パウエル氏が率いることになります。また、サイバーセキュリティおよびレジリエンス法案と連携し、重要サービスの保護を義務化するとともに、重要サプライチェーンにもサイバー強靭性要件を義務化します。ソフトウェア・セキュリティ・アンバサダー制度の導入も予定されています。

日本においても政府システムのレガシー問題は存在しており、英国のこの取り組みは参考になる事例かもしれません。

ChatGPTの脆弱性「ZombieAgent」とゼロクリック攻撃

AIセキュリティに関する重要なニュースです。Radwareの研究者がChatGPTの脆弱性「ZombieAgent」を発見しました。この脆弱性により、ユーザー操作なしでデータを盗み出すゼロクリック攻撃が可能になります。

この攻撃は、事前構築された静的URLを用いてOpenAIのURL改変防御を回避し、Gmail、Google Driveなどから1文字ずつデータを持ち出すというものです。悪意あるメールを送るだけで攻撃が成立するため、非常に危険です。

さらに、ChatGPTのコネクタ機能とメモリ機能を悪用することで、攻撃をより持続的かつ広範にできることも示されました。メールに添付されたファイルでChatGPTにメモリを植え付け、以後のメッセージで悪意ある指示を実行させることが可能です。長期メモリにより、間接的プロンプトインジェクション、いわゆるIPIが持続的になるという問題があります。

OpenAIは2025年12月中旬にこの問題を修正したとのことですが、ChatGPTをGmailやGoogle Drive、OneDrive、Jira、Slack、GitHubなどに接続している場合は、接続設定の見直しや、不審なメールの取り扱いに一層の注意が必要です。

ランサムウェア攻撃の継続的増加

セキュリティ企業Emsisoftのレポートによると、2025年もランサムウェア攻撃は増加を続け、リークサイトに掲載された被害者は世界で8,000件を超え、2023年比で50%以上増加しました。活動中のランサムウェア集団も、2023年の数十から100を大きく超える水準へと増加しています。

派手なテイクダウン作戦が行われているにもかかわらず攻撃が減少しないのは、ギャングの人員が新しい名前で再浮上するためと分析されています。つまり、グループが解散しても、その構成員が別のグループを立ち上げたり、既存のグループに参加したりすることで、攻撃活動は継続されているのです。

ムーディーズの2026年見通しレポートでも、AIを活用したサイバー攻撃がより危険化し、「自律的攻撃の初期兆候」が現れると予測されています。AI主導の防御投資を行わない企業は脆弱になると警告しており、さらに3〜5年でファイアウォールなどの静的防御が時代遅れになる可能性も指摘されています。

React2Shell脆弱性への大規模攻撃

React Server ComponentsのFlightプロトコルにおけるリモートコード実行脆弱性CVE-2025-55182、通称React2Shellが大規模な悪用キャンペーンの標的になっています。

GreyNoiseによると、810万回を超える攻撃セッションが記録され、8,163のユニークIPアドレス、101カ国にまたがるインフラが観測されています。AWSが送信元の3分の1超を占め、70,000を超えるペイロードが生成されています。

Next.jsを保守するVercelのCTOタリク氏らは、この脆弱性への対応で数週間にわたり24時間体制で対応したとのことです。Vercelは100万ドルのバグバウンティを支払い、600万回を超えるエクスプロイト試行を遮断しました。

Reactを使用したアプリケーションを運用している組織は、この脆弱性の影響を確認し、必要に応じてアップデートを行ってください。

北朝鮮KimsukyによるQRコードフィッシング

FBIは、北朝鮮の国家支援ハッカー集団Kimsukyが、悪意あるQRコードを使用したスピアフィッシングキャンペーンで米国のシンクタンク、学術機関、政府機関を標的にしていると警告しました。

「クイッシング」と呼ばれるこの手口は、QRコードを使用するため従来のメールセキュリティフィルターを回避しやすく、さらにセッショントークンを窃取することで多要素認証も回避できる可能性があります。

攻撃者は外国人アドバイザーや大使館職員になりすまし、偽のアンケートやログインページへ誘導するメールを送信します。対策として、従業員へのトレーニング、モバイルデバイス管理の導入、フィッシング耐性のある多要素認証の必須化が推奨されています。

日本においても、研究機関や政府関連組織はこのような攻撃の標的となる可能性があります。QRコードを含むメールには特に注意が必要です。

n8nワークフロー自動化プラットフォームの重大な脆弱性

ワークフロー自動化プラットフォームn8nに、CVE-2026-21877およびCVE-2026-21858として追跡される重大な脆弱性が発見されました。CVSSスコアは最大の10.0です。

この脆弱性は認証済みのリモートコード実行を可能にするもので、任意ファイル書き込みの状態により、バージョン0.123.0から1.121.3が影響を受けます。約10万台のサーバーが影響を受ける可能性があり、Cyeraの研究者が発見しました。

対策として、version 1.121.3以上へのアップデートが必要です。また、Gitノードの無効化とワークフロー変更権限の制限も推奨されています。n8nを使用している組織は、早急にバージョンを確認してください。

Microsoft 365管理センターでのMFA必須化

Microsoftは2026年2月9日から、Microsoft 365管理センターにアクセスするすべてのユーザーに多要素認証を必須化することを発表しました。

MFAが有効化されていない管理者はサインインできなくなります。適用対象はportal.office.com/adminportal/home、admin.cloud.microsoft、admin.microsoft.comの3つの管理エンドポイントです。

対応する認証方法には、Microsoft Authenticator、SMS確認コード、ハードウェアセキュリティトークンが含まれます。これはゼロトラスト・アーキテクチャの基礎的コントロールとして、認証情報ベースの攻撃を抑止する狙いがあります。

Microsoft 365を利用している組織は、2月9日までにMFAの設定を完了させる必要があります。管理者アカウントのMFA設定を確認してください。

悪意あるChrome拡張機能による90万人への被害

悪意のあるGoogle Chrome拡張機能2つが、AITopiaの正規拡張機能を装い、ChatGPTやDeepSeekとのチャット機能を提供すると見せかけて、約90万人のユーザーからデータを盗み出していたことが判明しました。

Ox Securityの調査で発見されたこの攻撃では、盗まれたデータには大規模言語モデルとの会話内容やブラウザデータが含まれ、独自ソースコード、事業戦略、企業URLなどが含まれていました。これらは企業スパイや標的型フィッシングに悪用される可能性があります。

AI関連の拡張機能やツールをインストールする際は、開発元の信頼性を十分に確認することが重要です。

データプライバシーに関する注目すべき動き

最後に、データプライバシーに関するいくつかの動きをお伝えします。

まず、テキサス州がSamsungに対し、ACR技術によるテレビ視聴データ収集を禁止する一時的差止命令を取得しました。裁判所は、500ミリ秒ごとのスクリーンショット取得、欺瞞的な登録手続き、「ダークパターン」の使用を問題視しました。ただし、この命令は翌日に同じ裁判官によって取り消され、1月9日に審理が予定されています。

また、カリフォルニア州プライバシー保護局がテキサス拠点のデータブローカーDatamastersに4万5,000ドルの罰金を科しました。同社はアルツハイマー病、薬物依存などの医療状態を持つ数百万人の情報を購入・再販売していたとのことです。

イリノイ州では、人間サービス局が公開アクセス可能な地図を通じて70万人超の機微データを誤って公開していたことが発覚しました。約3万2,000人のリハビリテーションサービス利用者と67万人超のメディケイド・メディケア受給者の情報が含まれていました。

データの取り扱いに関する規制は世界的に強化される傾向にあり、日本の組織も自社のデータ管理体制を見直す必要があるでしょう。

クロージング

本日は、CrowdStrikeによるSGNL買収からアイデンティティセキュリティの重要性、中国関連脅威アクターによるVMware ESXiゼロデイの長期悪用と通信事業者への諜報活動、Cisco製品の複数の脆弱性、英国政府の新サイバー行動計画、そしてChatGPTの脆弱性やランサムウェアの継続的増加など、幅広いトピックをお伝えしました。

今週の傾向として特に注目すべきは、アイデンティティセキュリティの重要性の高まりです。人間だけでなく、AIエージェントを含む非人間のアイデンティティが増加する中、静的な認証からリアルタイムの動的なアクセス制御への移行が求められています。

また、ゼロデイ脆弱性が公開前から長期間悪用されていた事例は、パッチ適用だけでなく、多層防御と継続的な監視の重要性を改めて示しています。

気になるニュースがあれば、ぜひ詳細をご確認ください。また、Microsoft 365をご利用の組織は2月9日までのMFA設定完了を、Cisco製品やn8nをご利用の組織は脆弱性対応を忘れずにお願いいたします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。