東京セキュリティブリーフィング 2026年01月13日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年1月13日、火曜日の配信です。

本日は、複数のメディアで報じられた注目度の高いニュースから、重要な脆弱性情報、そして国際的なサイバー犯罪組織の摘発まで、幅広いトピックをお届けします。それでは、まずヘッドラインから見ていきましょう。

ヘッドライン

本日の主要なニュースです。

まず、Instagramで約1,700万件のユーザーデータ流出が主張される中、Metaがデータ侵害を否定。パスワードリセット機能の脆弱性を修正したと発表しました。

次に、ランサムウェアグループEverestが日産自動車への侵害を主張し、約900GBのデータを流出させたと報告されています。

セキュリティツール関連では、Trend MicroのApex Centralにリモートコード実行の脆弱性、HPE OneViewにCISAが警告を発した最大深刻度の脆弱性、そしてApache Struts 2にXXEインジェクションの脆弱性が発見されています。

また、2025年の不正暗号資産取引が過去最高の1,540億ドルから1,580億ドルに達したとの分析結果が複数の調査会社から報告されました。

さらに、スペイン警察がユーロポールと連携し、悪名高いサイバー犯罪組織「ブラック・アックス」のメンバー34人を逮捕。FBIは北朝鮮のKimsukyグループによるQRコードフィッシング、いわゆる「クイッシング」について警告を発しています。

それでは、詳しく見ていきましょう。

詳細解説

Instagramデータ流出疑惑とMetaの対応

複数のメディアが報じているInstagramのデータ流出問題について解説します。

Metaは、1,700万件を超えるInstagramアカウントデータが流出したとの主張を否定しました。同社によると、外部の第三者がパスワードリセットメールを要求できるバグが存在していましたが、これは修正済みとのことです。重要なのは、このバグを悪用しても、攻撃者が認証フローを完了したりアカウントを乗っ取ることはできなかったという点です。

一方、Hackread.comの調査によると、この約1,750万件のInstagramデータは、2022年に収集されたスクレイピングデータの再投稿であることが確認されました。このデータは2023年に最初に流出し、2026年に再び投稿されたものとされています。

Have I Been Pwnedの報告では、このデータセットには620万件のメールアドレス、ユーザー名、位置情報データ、電話番号が含まれているとのことです。パスワードは含まれていませんが、標的型フィッシングのリスクは高まっています。

日本の組織への影響としては、日本のInstagramユーザーも含まれている可能性があります。対策として、二要素認証の有効化が強く推奨されています。不審なパスワードリセットメールを受け取った場合は、メール内のリンクをクリックせず、直接Instagramアプリからセキュリティ設定を確認してください。

日産自動車へのランサムウェア攻撃主張

ランサムウェアグループEverestが日産自動車への侵害を主張しています。

2026年1月10日に報告されたこの主張によると、同グループは日産自動車から約900GBのデータを流出させたとしています。サンプル証拠は提示されましたが、詳細は未開示の状態です。日産は現時点で公式に肯定も否定もしていません。

Everestは二重恐喝モデルで活動するRaaS、つまりRansomware as a Serviceグループとして知られています。この侵害が事実であれば、運用面、従業員記録、知的財産、顧客情報に影響を及ぼす可能性があります。

日本の自動車メーカーへの攻撃という点で、国内企業は自社のサプライチェーンも含めたセキュリティ対策の再確認が重要です。現在、独立した検証待ちの状態ですので、続報に注意が必要です。

不正暗号資産取引が過去最高水準に

2025年の不正暗号資産取引について、複数の調査会社から分析結果が報告されました。

Chainalysisの分析によると、2025年の不正暗号資産取引は推定1,540億ドルに達し、前年比で約1.5倍に増加しました。TRM Labsの報告ではさらに高く、約1,580億ドル、前年比145%増と推定されています。

特に注目すべき点として、制裁対象エンティティの取引が694%増加しています。北朝鮮は約20億ドルを強奪したとされ、その中でもBybitからだけで15億ドルが盗まれたとのことです。また、ステーブルコインが不正取引の84%を占めており、中国系マネーロンダリング・ネットワークが支配的勢力となっています。

TRM Labsによると、ロシア等による制裁回避活動が前年比400%以上急増しており、これが総額増加の大きな要因となっています。ただし、総オンチェーン取引量に占める違法活動の割合は1.5%に低下したとも報告されています。

暗号資産を扱う組織は、KYC、つまり本人確認やAML、マネーロンダリング対策の強化が一層重要になっています。

Trend Micro Apex Centralの重大な脆弱性

Trend MicroはApex Centralオンプレミス版の重大な脆弱性CVE-2025-69258を修正しました。

この脆弱性により、認証なしのリモート攻撃者がSYSTEM権限で任意コードを実行可能となります。攻撃経路はTCPポート20001を監視するMsgReceiver.exeです。Critical Patch Build 7190では、この脆弱性に加えて2件のDoS脆弱性も修正されています。

Apex Centralは多くの企業でエンドポイントセキュリティの集中管理に使用されているため、この脆弱性は特に危険です。セキュリティ製品自体が攻撃の足がかりになりうるという点で、早急なパッチ適用が必要です。

HPE OneViewに最大深刻度の脆弱性

CISAがHPE OneViewの脆弱性CVE-2025-37164について警告を発しています。

この脆弱性はCVSSで最大深刻度と評価されており、認証なしのリモートコード実行が可能です。HPEは12月にパッチを公開済みですが、多数のシステムが依然として露出している状態です。米国の連邦機関には1月28日までの修正が義務付けられました。

HPE OneViewはデータセンターのインフラ管理に使用される重要なツールです。日本国内でも利用している組織は、早急にパッチの適用状況を確認してください。

Apache Struts 2のXXEインジェクション脆弱性

Apache Struts 2のXWorkコンポーネントにCVE-2025-68493が発見されました。

これはXML外部エンティティ、いわゆるXXEインジェクション脆弱性で、重要度は「Important」と評価されています。この脆弱性により、データ漏えい、DoS、SSRF攻撃の可能性があります。具体的には、ローカルファイルの読み取りや内部ネットワークリソースへのアクセスが可能になる恐れがあります。

対策として、Struts 6.1.1以降へのアップグレードが推奨されています。Apache Strutsは日本でも多くのWebアプリケーションで使用されているフレームワークですので、利用している組織は速やかにバージョンを確認してください。

React RouterとRemixの重大な脆弱性

React RouterおよびRemixフレームワークにCVE-2025-61686が発見されました。CVSSスコアは8.8です。

createFileSessionStorage()の未署名Cookie処理に問題があり、ディレクトリトラバーサル攻撃が可能です。攻撃者は設定ファイルやソースコードなど、サーバー上の機密ファイルの読み書きが可能になります。

この脆弱性はユーザー操作不要のネットワークベース攻撃ベクターであるため、自動化された悪用キャンペーンの標的となりやすいとされています。対策として、署名付きCookieの実装が推奨されています。ReactやRemixを使用したWebアプリケーションを運用している開発者は、早急に対応を検討してください。

ブラック・アックス犯罪組織の摘発

スペイン国家警察がユーロポール等と連携し、ブラック・アックス犯罪シンジケートの関係者34人を逮捕しました。

逮捕はセビリア、マドリード、マラガ、バルセロナで行われました。同組織はBEC、つまりビジネスメール詐欺、ロマンス詐欺、虚偽の遺産相続話などで590万ユーロ超の被害をもたらしたとされています。捜査では約12万ユーロの口座凍結、6万6,000ユーロの現金押収が行われました。

ブラック・アックスは1977年にナイジェリアで発祥した組織で、約3万人のメンバーを擁するとされています。サイバー詐欺だけでなく、人身売買や武装強盗にも関与しており、スペインの貧困地域でマネー・ミュールを勧誘していた疑いもあります。

国際的な連携による摘発が進んでいますが、こうした組織犯罪は引き続き警戒が必要です。

FBIが北朝鮮のクイッシングキャンペーンに警告

FBIが北朝鮮のKimsukyグループによるQRコードフィッシング、いわゆる「クイッシング」について警告を発しています。

この手法では、QRコード内に悪性リンクを隠し、Microsoft 365やOktaを模倣した偽の認証ポータルへ誘導します。主な標的はシンクタンク、学術機関、政府機関です。QRコードを使用することで、従来のメールセキュリティフィルターを回避できるという特徴があります。

日本でもQRコードは日常的に使用されています。不審なQRコードをスキャンしないよう、組織内での注意喚起が重要です。特に認証情報を求めるページへ誘導された場合は、URLを慎重に確認してください。

LLMインフラを狙う大規模スキャン活動

GreyNoiseがLLMサービスへの不正アクセスを狙うスキャン活動を報告しました。

2025年10月から2026年1月にかけて、Ollamaハニーポットで91,403件のアクセス試行が捕捉されました。73を超えるLLMエンドポイントが偵察され、GPT-4o、Claude、Llama 3などが標的となっています。攻撃にはSSRFやMediaURLパラメータの悪用が確認されました。

AIを業務に導入する組織が増える中、LLMインフラのセキュリティ設定は重要な課題です。設定不備のプロキシサーバーがないか、APIアクセスの認証が適切か、確認が必要です。

GoBruteforcerボットネットの脅威

Check Pointの評価によると、GoBruteforcerボットネットが5万台超のサーバーを脆弱な状態にしています。

このボットネットは、LLM生成の設定テンプレートに含まれる予測可能なユーザー名を悪用しています。具体的には、appuserやmyuserといった一般的なユーザー名が総当たり攻撃に使われています。XAMPPのFTPサービスやMySQLの設定不備が主な侵入口となっています。

また、暗号資産・ブロックチェーン関連プロジェクトのデータベースも標的にしており、認証情報リストにはcryptouser、appcryptoなど暗号資産に特化したユーザー名も含まれています。TRONブロックチェーンのアドレス残高を照会するモジュールも確認されています。

デフォルト設定や予測可能な認証情報の使用は避け、強力なパスワードポリシーを適用することが重要です。

jsPDFライブラリの重大な脆弱性

jsPDFライブラリにCVE-2025-68428が発見されました。CVSSスコアは9.2です。

これはローカルファイルインクルージョン脆弱性で、Node.js向け実装のloadFile関数がパストラバーサル攻撃に脆弱です。addImage、html、addFont関数も影響を受けます。jsPDF 4.0.0で修正されていますので、使用している場合はアップグレードしてください。

jsPDFはPDF生成によく使用されるライブラリです。サーバーサイドでPDF生成を行っているアプリケーションは、早急にバージョンを確認してください。

InputPlumberの脆弱性

SteamOSで使用されるInputPlumberにCVE-2025-66005とCVE-2025-14338の脆弱性が発見されました。

不十分なD-Bus認可チェックにより、非特権ユーザーが仮想キーボードの作成やキーストローク注入が可能になります。v0.69.0で修正され、SteamOS 3.7.20でパッチが提供されています。Steam Deckユーザーは最新版へのアップデートを確認してください。

Cisco ISEの脆弱性に公開エクスプロイト

CiscoがIdentity Services Engine、ISEの脆弱性CVE-2026-20029を修正しました。

管理者資格情報を持つ攻撃者が、XMLファイルの不適切な処理を悪用し、通常アクセスできないファイルを読み取ることが可能です。公開PoCエクスプロイトが既に存在しており、バージョン3.2から3.4でパッチが提供されています。Cisco ISEを使用している組織は早急にパッチを適用してください。

豚の屠殺詐欺のサービス化

Infobloxが「豚の屠殺詐欺のサービス化」、いわゆるPBaaSの経済を支えるプロバイダーを特定しました。

PenguinやUWORKといったサービスプロバイダーが、ターンキー型の詐欺プラットフォームを販売しています。盗難PII、事前登録済みSIM、偽投資サイトテンプレート、決済処理サービスが提供され、完全な詐欺運用パッケージは約2,500ドルで入手可能とのことです。

参入障壁が劇的に低下しており、詐欺の産業化が進んでいます。投資詐欺への警戒を強め、SNS経由の投資勧誘には十分注意してください。

EDRStartupHinderの公開

研究者がWindows Bindlink APIを悪用し、起動時にアンチウイルスやEDRの起動を阻止するPoC「EDRStartupHinder」を公開しました。

この手法はDLLの署名を無効化し、PPL保護プロセスを自己終了させるもので、Windows Defenderおよび複数の商用EDR製品で有効性が確認されています。Windows 11 25H2が対象で、学習目的の概念実証として公開されています。

セキュリティ製品の防御を回避する新しい手法として、防御側も認識しておく必要があります。

WhatsAppのメタデータ漏えい問題

WhatsAppのマルチデバイス機能の暗号実装に脆弱性が発見されました。

暗号鍵パラメータの生成方法の違いにより、受信者のデバイス種類、AndroidかiOSかを識別可能になっていました。GoogleはAndroid版のSigned PK ID生成を確率的に変更しましたが、One-Time PK IDには脆弱性が残存しているとのことです。

これは標的型攻撃において、攻撃対象のプラットフォームを特定する情報として悪用される可能性があります。

世界経済フォーラムのサイバーセキュリティ報告

世界経済フォーラムの「2026年版グローバル・サイバーセキュリティ・アウトルック」が発表されました。

回答者の77%がサイバー詐欺とフィッシングが増加していると報告し、ランサムウェアを上回りビジネスリーダーの最大の懸念となりました。最も一般的な形態はフィッシング攻撃で62%、次いで請求書詐欺が37%、身元詐欺が32%です。また、リーダーの94%が2026年にサイバーセキュリティを形作る最大の力はAIになると予想しています。

ハワイ大学がんセンターのランサムウェア攻撃

ハワイ大学がんセンターが8月にランサムウェア攻撃を受け、研究参加者の社会保障番号などが流出しました。

大学は12月まで州議会への報告を遅らせ、影響を受けた個人への通知も4か月以上行われませんでした。大学は「脅威アクターと関与する困難な決断」を下し、復号ツールを入手したと報告しています。

インシデント発生時の迅速な通知の重要性を示す事例として、日本の組織も参考にすべきです。

中国関連グループが欧州の通信事業者を標的に

Cisco Talosが、中国関連の脅威グループUAT-7290が東南ヨーロッパの通信事業者を標的にしていると報告しました。

同グループはSilentRaidマルウェアとBulbatureを使用し、侵害サーバーをOperational Relay Boxes、ORBsとして活用しています。少なくとも2022年から活動しており、ワンデイエクスプロイトやSSH認証情報収集を悪用しています。

通信事業者を狙う国家支援の脅威グループの活動は、日本の通信インフラにとっても警戒すべき情報です。

BreachForumsのデータベース流出

サイバー犯罪フォーラムBreachForumsが2025年8月に侵害され、約323,986人のユーザーメタデータが流出しました。

流出データにはメールアドレス、ユーザー名、Argon2ハッシュ化パスワードが含まれています。現管理者「N/A」は、復元プロセス中にユーザーテーブルが一時的に保護されていないフォルダに保存されていたことが原因と説明しています。

サイバー犯罪者自身のフォーラムが侵害されるという皮肉な事態ですが、このデータは法執行機関にとって有用な情報源となる可能性があります。

マレーシアとインドネシアがXを遮断

マレーシアとインドネシアは、同意なき性的ディープフェイク画像への対策不備を理由にXへのアクセスを停止しました。インドも同様の警告を発出しています。

英国の通信規制当局Ofcomも、AIチャットボット「Grok」が同意なく性的に加工された画像やCSAMに該当し得る画像を生成しているとの報告を受け、Xに対してオンライン安全法違反の可能性について正式調査を開始しました。違反した場合、最大1,800万ポンドまたは全世界売上高の10%の罰金が科される可能性があります。

n8n自動化プラットフォームの脆弱性

ワークフロー自動化プラットフォームn8nに最大深刻度の脆弱性CVE-2026-21858が発見されました。

不適切な入力検証により、未認証のリモート攻撃者がローカル展開のn8nインスタンスを制御可能になります。Shadowserverによると、オンラインで公開された未修正インスタンスは約59,558件とのことです。バージョン1.121.0以降へのアップグレードが推奨されています。

また、n8nの連携機能を装った悪意のあるnpmパッケージも発見されており、OAuthトークンやAPIキーを攻撃者のC2サーバーへ流出させる手法が確認されています。n8nを利用している組織は、サプライチェーン攻撃にも注意が必要です。

GoogleのAOSPソースコード公開削減

GoogleはAOSPソースコード公開を年4回から年2回、第2四半期と第4四半期に削減すると発表しました。

「安定したメインブランチ」開発モデルの採用が理由とされていますが、カスタムROM開発者からは、サードパーティOS開発を妨げる意図があるとの批判が出ています。

Android関連の開発者にとっては影響のある変更です。

MicrosoftのCopilot削除ツール

MicrosoftがWindows 11 Insiderビルドで新グループポリシー「RemoveMicrosoftCopilotApp」を導入しました。

Microsoft 365 CopilotとMicrosoft Copilotが両方インストールされ、後者が28日以内に起動されていない場合に削除可能になります。Enterprise、Pro、Educationエディションで利用可能です。AI機能の管理に悩む管理者にとっては有用なツールとなりそうです。

クロージング

本日は、Instagramのデータ流出疑惑、日産自動車へのランサムウェア攻撃主張、不正暗号資産取引の過去最高水準到達、そして複数の重要な脆弱性情報をお伝えしました。

特に注目すべきは、セキュリティ製品自体の脆弱性です。Trend Micro Apex CentralやHPE OneViewなど、インフラを守るための製品が攻撃の足がかりになりうるという点は、改めてパッチ管理の重要性を示しています。

また、QRコードを使ったフィッシング「クイッシング」や、LLMインフラを狙うスキャン活動など、新しい攻撃手法にも警戒が必要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。そして、今日お伝えした脆弱性情報については、該当するシステムをお使いの場合は早急にパッチの適用状況を確認されることをお勧めします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。