東京セキュリティブリーフィング 2026年01月16日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月16日、金曜日です。今週も様々なセキュリティニュースが飛び込んできました。本日は、国際的なサイバー犯罪インフラの摘発から、新たなLinuxマルウェアの発見、そして産業用制御システムへの脅威まで、幅広いトピックをお届けします。それでは、本日の主要なニュースを見ていきましょう。

ヘッドライン

本日お伝えする主なニュースです。

まず、Microsoftが国際法執行機関と連携し、サイバー犯罪サービス「RedVDS」のインフラを摘発しました。このサービスは4,000万ドル以上の詐欺被害に関与していました。

次に、Check Point Researchが「VoidLink」と呼ばれる新たなLinuxマルウェアフレームワークを発見しました。主要クラウドプロバイダーを標的にしています。

西側のサイバー機関が、産業用オペレーショナル・テクノロジー、いわゆるOTへの脅威について共同で警告を発しました。

フランスのデータ保護当局CNILが、通信事業者Freeに対し、データ侵害をめぐり4,200万ユーロの制裁金を科しました。

そして、Fortinet製品やElastic製品など、複数のセキュリティ製品に重大な脆弱性が公開されています。

それでは、詳しく見ていきましょう。

詳細解説

Microsoftがサイバー犯罪サービスRedVDSを摘発

複数のニュースソースが報じている本日最大のニュースです。Microsoftは、Europol、米国、英国、ドイツの法執行機関と連携し、サイバー犯罪サービス「RedVDS」のインフラを差し押さえました。

RedVDSは2019年に開始されたサービスで、月額わずか24ドルから使い捨てのWindowsベース仮想マシンを提供していました。サイバー犯罪者はこれらの仮想マシンを利用して、フィッシング攻撃やBEC、つまりビジネスメール詐欺を大規模に展開していました。

被害の規模は深刻です。2025年3月以降、米国だけで少なくとも4,000万ドルの詐欺被害が報告されています。製薬会社のH2-Pharmaは730万ドル以上を失いました。2025年9月以降、世界で19万1,000を超える組織のMicrosoftメールアカウントが侵害されています。

攻撃者は1か月で2,600台以上の仮想マシンを使用し、1日平均100万通ものフィッシングメールを送信していたとのことです。さらに注目すべき点として、攻撃者は生成AIツールを組み合わせ、標的の特定や説得力のあるフィッシングメールの生成に活用していました。顔のすり替えなどのディープフェイク技術も使用されていたと報告されています。

Microsoftはこの攻撃グループを「Storm-2470」として追跡しています。今回の摘発は、Microsoftが米国外で初となる大規模な民事訴訟を英国で提起して実現したもので、サイバー犯罪との戦いにおける国際連携の重要性を示しています。

日本の組織においても、不審なメールへの警戒を強化し、多要素認証の導入を徹底することが重要です。特に不動産取引や高額な支払いに関わる通信には細心の注意を払ってください。

新たなLinuxマルウェア「VoidLink」がクラウド環境を標的に

Check Point Researchが2025年12月に発見した「VoidLink」は、クラウドに特化した機能を持つ新たなLinux向けマルウェアフレームワークです。

VoidLinkの特徴として、まずAWS、Google Cloud、Microsoft Azure、Alibaba Cloud、Tencent Cloudといった主要クラウドプロバイダーの環境を検出する機能を備えています。また、SSHキーやGit認証情報を探索し、窃取する機能があります。

技術的な観点では、37個ものプラグインを持つモジュール型の構造で、カーネルモードのルートキットを備え、適応型のステルス機能を持っています。特に注目すべきは、マルウェア解析や改ざんを検知すると自己削除する機能を持っている点です。

開発者については、中国系の開発者によるものと分析されています。ただし、現時点では実環境での感染は確認されていないとのことです。

クラウド環境を利用している組織では、認証情報の管理を強化し、異常な活動の監視を徹底することが推奨されます。

西側サイバー機関が産業用OTへの脅威を警告

英国のNCSC、つまり国家サイバーセキュリティセンターを含む西側のサイバー機関グループが、産業用制御システムやセンサーなどのOT、オペレーショナル・テクノロジーに対するデジタル脅威の増大について警告を発しました。

この警告によると、ランサムウェア集団から国家支援のハッカーまで、幅広いグループが産業環境を標的にしているとのことです。

関連して、ポーランド政府が12月末にエネルギーインフラへの大規模なサイバー攻撃を阻止したことを発表しています。ハッカーは太陽光発電所や風力タービンと配電事業者間の通信を標的にしていました。ポーランドのデジタル化相は「すべてがロシアによる破壊工作を示している」と述べています。2025年最初の3四半期だけで、ポーランド全国で約17万件のサイバー事案が記録されたとのことです。

西側機関は対策として、ネットワークセグメンテーションの実施、強固な認証の導入、継続的な監視の重要性を強調しています。

日本でも製造業やエネルギー産業など、OT環境を持つ組織では、ITシステムとOTシステムの分離を徹底し、監視体制を強化することが求められます。

フランス、通信事業者に4,200万ユーロの制裁金

フランスのデータ保護当局CNILは、通信事業者FreeとFree Mobileに対し、合計4,200万ユーロ、日本円で約68億円の制裁金を科しました。

この制裁は、2024年10月に発生したデータ侵害に関連するものです。この侵害では、IBANを含む2,400万人を超える加入者の個人データが流出しました。

CNILが認定した違反事項は複数あります。まず、VPN認証の脆弱さです。次に、異常検知対策の不備が指摘されています。さらに、侵害発生時の通知の不十分さ、そしてデータ保持期間に関する違反も認定されました。

この事例は、GDPR違反に対する制裁が非常に高額になりうることを示しています。日本の組織においても、個人データの保護体制を見直し、特にVPN等のリモートアクセス認証の強化や、異常検知システムの導入を検討することが重要です。

Fortinet FortiSIEMに重大なコマンドインジェクション脆弱性

CVE-2025-25256として追跡されるFortinet FortiSIEMの脆弱性について、技術的詳細とエクスプロイトコードが公開されました。

この脆弱性は、リモートの未認証攻撃者が任意のコードを実行できるというもので、非常に深刻です。phMonitorサービス、TCPポート7900に影響します。Horizon3.aiが2025年8月に報告し、火曜日に修正が公開されました。

影響を受けるバージョンと対策について説明します。FortiSIEM 7.4.1、7.3.5、7.2.7、7.1.9以降のバージョンで修正されています。一方、FortiSIEM 7.0および6.7.0はサポート対象外となっていますので、これらのバージョンを使用している場合は早急なアップグレードが必要です。

Horizon3.aiによると、2023年以降、FortiSIEMのphMonitorサービスで同様の弱点が繰り返し発見されているとのことで、根本的な設計の見直しが求められる状況です。

また、別途MS-ISACが2026年1月13日にFortinet製品全般の複数脆弱性に関する勧告を発出しています。FortiSandbox、FortiWeb、FortiVoice、FortiOSなどが影響を受けており、大規模・中規模組織は高リスクと評価されています。

Fortinet製品を利用している組織は、すべての製品について最新のセキュリティアップデートを適用することを強くお勧めします。

Elasticの脆弱性でファイル窃取のリスク

ElasticがKibanaの4件の脆弱性に対処しました。最も深刻なCVE-2026-0532は、CVSSスコア8.6と高い深刻度で評価されています。

この脆弱性は、Google Geminiコネクタにおける外部ファイルパス制御とSSRF、つまりサーバーサイドリクエストフォージェリの組み合わせにより、認証情報の窃取が可能になるというものです。

影響範囲は広く、Kibanaのバージョン7.xから9.2.3までが影響を受けます。緊急のアップグレードが推奨されていますので、Kibanaを運用している組織は速やかに対応してください。

Microsoft SQL Serverに権限昇格の脆弱性

CVE-2026-20803として追跡されるMicrosoft SQL Serverの脆弱性が報告されています。この脆弱性により、高権限の攻撃者がネットワーク経由でアクセス権を昇格させ、システムメモリダンプを含むデバッグ権限を取得できます。

CVSSスコアは7.2で「重要」と評価されています。影響を受けるのはSQL Server 2022、2025など複数のバージョンで、パッチがすでに提供されています。

SQL Serverを運用している組織は、パッチの適用を速やかに実施してください。

Windowsデスクトップウィンドウマネージャーの脆弱性が実環境で悪用

CISAがCVE-2026-20805をKEV、つまり既知の悪用されている脆弱性カタログに追加しました。これはWindowsデスクトップウィンドウマネージャー、DWMに影響する脆弱性です。

CVSSスコアは5.5と中程度の深刻度ですが、Microsoftは実環境での悪用を確認しています。攻撃者がASLR、つまりアドレス空間配置のランダム化を回避できる可能性があり、他の脆弱性と組み合わせて悪用される恐れがあります。

Windows 10の特定バージョンが影響を受けます。CISAは連邦機関に対し、2月3日までの修正を要求しています。日本の組織でも、Windowsの最新セキュリティ更新プログラムを適用することが重要です。

Spring CLIの脆弱性でコマンド実行が可能に

CVE-2026-22718として追跡されるSpring CLIのVisual Studio Code拡張機能のコマンドインジェクション脆弱性が報告されています。攻撃者がユーザーのシステム上で任意のコマンドを実行できる可能性があります。

深刻度はMEDIUM、CVSSスコアは6.8です。重要な点として、この拡張機能は2025年5月14日にサポート終了、いわゆるEOLとなっており、唯一の対策は拡張機能のアンインストールです。

Spring CLIのVSCode拡張機能を使用している開発者は、速やかにアンインストールすることをお勧めします。

AIライブラリの脆弱性でリモートコード実行のリスク

Palo Alto Networksが、NVIDIAのNeMo、SalesforceのUni2TS、AppleのFlexTokという3つの主要なAI/MLツールで使用されるPythonライブラリに脆弱性を発見しました。

これらの脆弱性は、悪意あるモデルメタデータを介して任意のコードが実行可能になるというものです。HydraのInstantiate関数の使用方法の見落としが原因で、攻撃者がAIメタデータにコードを埋め込み、モデル読み込み時に自動実行できました。

2025年4月に通知され、7月末までに全て修正済みとのことです。2025年12月時点で悪用は確認されていません。

AIや機械学習を活用している組織では、使用しているライブラリが最新バージョンであることを確認し、外部から取得するモデルデータの信頼性を検証する体制を整えることが重要です。

ConsentFix：新たなOAuthフィッシング攻撃手法

Push Securityが12月に発見した「ConsentFix」は、ClickFix風のソーシャルエンジニアリングとOAuth同意フィッシングを組み合わせてMicrosoftアカウントを乗っ取る攻撃手法です。

この攻撃の特徴は、被害者にOAuth認可コードを共有させることで、パスワードやMFA、多要素認証を迂回できる点です。既定のセキュリティ制御やログ記録を回避できるため、非常に危険です。

関連して、Varonisの研究者が「Reprompt」と呼ばれる攻撃手法も公開しています。これはMicrosoft Copilotの正規リンクを1回クリックするだけで、プラグインや追加権限なしに個人データを流出させることが可能だったというものです。Microsoftは2026年1月14日時点で修正済みと確認しています。

OAuth認証を利用するサービスでは、ユーザーへのセキュリティ教育を強化し、不審な認可要求に応じないよう注意喚起することが重要です。

LinkedInでのフィッシング攻撃

偽のLinkedInプロフィールが、ユーザーがポリシー違反でアカウントが「一時的に制限」されていると主張するコメントを投稿するフィッシング攻撃が報告されています。

リンク先はLinkedInのログインページを模したフィッシングサイトで、認証情報を窃取する目的です。LinkedInはこの問題を把握しており対応中と確認しています。また、LinkedInは公開コメントでポリシー違反を通知することはないと強調しています。

LinkedInユーザーは、アカウント制限に関する警告がコメントで届くことはないことを認識し、不審なリンクをクリックしないよう注意してください。

PayPalを悪用したフィッシングとRMMツールの展開

Cyberproofが報告した攻撃では、偽のPayPalアラートでフィッシングを行い、被害者にLogMeIn RescueやAnyDeskなどのRMM、つまりリモート監視管理ツールをインストールさせる手口が確認されています。

注目すべき点として、従業員の個人PayPalアカウントから企業アクセスへエスカレートした事例もあります。また、EDR、エンドポイント検出・対応のアラートが発報されなかったとのことで、検知の難しさを示しています。

個人アカウントと業務システムの分離、および不審なリモートアクセスツールのインストール要求への警戒が必要です。

Palo Alto Networksファイアウォールにサービス拒否脆弱性

Palo Alto NetworksがCVE-2026-0227を修正しました。CVSSスコアは7.7です。

この脆弱性により、認証なしの攻撃者がDoS攻撃でファイアウォールをメンテナンスモードに強制することが可能です。GlobalProtectゲートウェイまたはポータルが有効な環境が影響を受けます。

PoCエクスプロイトが存在するため、早急なパッチ適用が推奨されます。回避策はなく、パッチ適用が唯一の緩和策です。

Salesforce Auraフレームワークの設定不備を検出するツール公開

MandiantがSalesforce Auraフレームワークのアクセス制御設定不備を特定するオープンソースツール「AuraInspector」を公開しました。

このツールは、未認証の攻撃者がクレジットカード番号や健康情報などの機微データにアクセスできる設定不備を検出できます。また、GraphQL Auraコントローラを用いた新手法も発見され、ページネーション制約を回避して全レコードを取得できる可能性があります。

Salesforce管理者は、Guest User権限の監査と最小権限原則の適用を推奨されています。

台湾Delta ElectronicsのPLCに重大な脆弱性

OPSWATの研究者が台湾Delta ElectronicsのPLC「DVP-12SE11T」で4件の脆弱性を発見しました。

CVE-2025-15102がCVSSスコア9.1、CVE-2025-15103がCVSSスコア9.8、CVE-2025-15359がCVSSスコア9.1と、いずれも重大な深刻度です。認証回避や任意コード実行のリスクがあります。

これらのPLCは水処理や食品加工など重要分野で使用されています。Delta Electronicsは修正ファームウェアを提供済みですので、該当機器を使用している組織は速やかにアップデートを適用してください。

AIエージェントが特権昇格の経路に

組織全体で共有されるAIエージェントは、個々のユーザーより広範なアクセス権限を持つことがあり、従来のアクセス制御モデルを破壊する可能性があるとの警告が出ています。

ユーザーがエージェント経由で、直接は許可されないアクションをトリガーしたりデータを取得したりできる特権昇格リスクが発生し得ます。

AIエージェントを導入している組織では、エージェントに付与する権限を最小限に抑え、アクセス制御を適切に設計することが重要です。

CrowdStrikeの投資家訴訟が却下

テキサス州の連邦判事が、2024年7月のソフトウェア更新障害をめぐるCrowdStrikeへの証券集団訴訟を却下しました。株主側が同社が意図的に投資家を欺いたことを立証できなかったためです。

ただし、デルタ航空との継続中の数千万ドル規模の紛争は未解決のままです。

CrowdStrikeがブラウザセキュリティ企業を買収

関連ニュースとして、CrowdStrikeがエンタープライズ向けブラウザセキュリティのスタートアップSeraphicを約4億2,000万ドルで買収予定と報じられています。SeraphicはあらゆるブラウザをAI対応のWeb活動可視化で保護できる強みを持ちます。取引は2026年4月末までに完了見込みとのことです。

その他の注目ニュース

トランプ大統領がNSCおよびエネルギー省元サイバー担当高官のショーン・プランキー氏をCISA長官に再指名しました。昨年は民主・共和両党上院議員のホールドで停滞し失効していました。CISA長官不在の1年間でCISAの評判と能力は損なわれたとの指摘があります。

カリフォルニア州司法長官がxAIのAIツール「Grok」による同意のない性的に露骨な素材の拡散について調査開始を発表しました。「スパイシーモード」機能で女性や子どもの画像が加工され、性的画像が作成されている報告があります。英国Ofcomやパリ検察庁も調査中です。

ウクライナ議会は、デジタル変革相のミハイロ・フェドロフ氏を新国防相に任命しました。「ドローン軍」構想の中心人物で、軍改革、AI活用、ロシアへのサイバー作戦の重要性を強調しています。

Allianz Commercialのレポートによると、サイバーセキュリティは5年連続で企業リーダーの最大リスク懸念となっています。一方、AIは10位から2位に急浮上し、新たなセキュリティ課題として認識されています。

クロージング

本日は、Microsoftと国際法執行機関によるサイバー犯罪サービスRedVDSの摘発、新たなLinuxマルウェアVoidLinkの発見、産業用OTへの脅威警告、フランスでのGDPR違反制裁、そして多数の製品脆弱性についてお伝えしました。

特にRedVDSの摘発は、サイバー犯罪者がAIを悪用してより巧妙な攻撃を展開している実態を浮き彫りにしました。また、OTセキュリティへの警告は、重要インフラを持つ組織にとって見過ごせないものです。

本日のアクションポイントとして、まずFortinet、Elastic、Microsoft製品を利用している組織は最新のセキュリティパッチを適用してください。OT環境を持つ組織はネットワーク分離と監視を強化してください。そして、AIツールを業務で使用している場合は、権限設定の見直しを検討してください。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。