東京セキュリティブリーフィング 2026年01月20日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月20日、火曜日です。今日も昨日公開されたセキュリティニュースの中から、日本のセキュリティ担当者の皆さんに特に重要なトピックをお届けします。

本日は、CiscoとAWSの深刻度10.0の脆弱性、ServiceNowのAIエージェントに発見された重大な欠陥、そしてMandiantが公開したNTLMv1のレインボーテーブルなど、非常に重要なニュースが多数ありますので、最後までお付き合いください。

ヘッドライン

本日の主なニュースです。

まず、Ciscoが深刻度10.0の脆弱性を修正しました。中国関連のAPTグループによる悪用が確認されています。

次に、AWSのCodeBuildサービスで「CodeBreach」と呼ばれる重大な脆弱性が発見されました。わずか2文字の欠落がAmazonのGitHubリポジトリ乗っ取りを可能にしていました。

ServiceNowでは「BodySnatcher」と呼ばれる脆弱性により、メールアドレスだけで任意のユーザーになりすますことが可能でした。

WordPressプラグイン「Modular DS」にCVSS 10.0の脆弱性が発見され、実環境で悪用されています。

MandiantがNTLMv1認証情報を12時間未満で解読できるレインボーテーブルを公開しました。

そして、Chrome拡張機能を悪用したマルウェアキャンペーンが複数報告されています。

それでは、詳しく見ていきましょう。

詳細解説

CiscoのAsyncOS脆弱性と中国関連APTによる悪用

まずトップニュースは、Ciscoの深刻度10.0の脆弱性についてです。

CiscoはAsyncOSの最大深刻度の脆弱性を修正しました。この脆弱性はSecure Email GatewayとSecure Email and Web Managerに影響し、攻撃者がroot権限でコマンドを実行できる状態でした。

特に重要なのは、Cisco TalosがUAT-9686グループ、これは中国関連のグループとされていますが、このグループによる悪用を確認したことです。2025年11月下旬から侵入が継続していたということで、メールセキュリティ製品を使用している組織は早急なパッチ適用が必要です。

AWSのCodeBreach脆弱性

次に、AWSで発見された重大な脆弱性「CodeBreach」についてです。

セキュリティ企業Wizが発見したこの脆弱性は、AWS CodeBuildサービスに存在していました。驚くべきことに、WebhookフィルターのACTOR_IDにわずか2文字、アンカリング記号が欠落していたことで、AmazonのGitHubリポジトリを完全に乗っ取ることが可能な状態でした。

記事によると、この脆弱性は2025年9月に修正され、SolarWindsを上回る規模のサプライチェーン攻撃が防がれたとされています。クラウドサービスにおける小さな実装ミスが、いかに大きな影響を及ぼし得るかを示す事例です。

ServiceNowのBodySnatcher脆弱性

続いて、ServiceNowで発見された「BodySnatcher」と呼ばれる脆弱性についてです。

ServiceNowのVirtual Agent APIとNow Assist AI Agentsに重大な脆弱性、CVE-2025-12420が発見されました。この脆弱性により、攻撃者はメールアドレスだけで任意のユーザーになりすますことができ、MFAやSSOを回避して管理者アカウントを作成することも可能でした。

原因として、ハードコードされた共有トークンと自動リンク機構が挙げられています。ServiceNowは2025年10月末に修正済みですが、オンプレミス顧客は修正版への即時アップグレードが必要とされています。

この脆弱性は、AIエージェントの過剰な権限付与のリスクを示す事例として、拙速なAI統合の危険性を浮き彫りにしています。

WordPressプラグイン「Modular DS」の脆弱性

WordPressプラグイン「Modular DS」にCVSS 10.0の重大な脆弱性、CVE-2026-23550が発見されました。

この脆弱性は実環境で既に悪用されており、未認証の攻撃者が管理者権限を奪取可能な状態です。4万件超のインストールが影響を受けており、バージョン2.5.2で修正されています。WordPressサイトを運用している組織は、このプラグインの使用有無を確認し、使用している場合は即時の更新が推奨されます。

MandiantによるNTLMv1レインボーテーブルの公開

MandiantがNet-NTLMv1認証情報を解読するためのレインボーテーブルを公開しました。

このレインボーテーブルを使用すると、600米ドル未満のハードウェアで12時間未満でパスワードを復元できるとされています。ResponderやPetitPotamなどのツールでハッシュを取得後、このテーブルを使用して解読が可能です。

Net-NTLMv1は20年以上前から危険性が知られているレガシープロトコルですが、いまだに多くの環境で使用されています。Mandiantはこのレインボーテーブルの公開により、レガシープロトコルの廃止を促進する狙いがあるとしています。

組織は直ちにNet-NTLMv1の使用を無効化し、グループポリシーでNTLMv2のみを強制すべきです。また、Event ID 4624を監視して認証イベントを監査することが推奨されています。

Palo AltoファイアウォールのDoS脆弱性

Palo Alto NetworksがファイアウォールのDoS脆弱性、CVE-2026-0227を修正しました。

GlobalProtectのポータルまたはゲートウェイが有効な場合、未認証の攻撃者がデバイスをメンテナンスモードに移行させ、トラフィックフィルタリングを停止させることが可能でした。記事によると、約6,000台が露出している可能性があるとされています。Palo Altoファイアウォールを使用している組織は、パッチの適用状況を確認してください。

Chrome 144のセキュリティアップデート

Google Chromeがバージョン144をリリースし、10件の脆弱性を修正しました。

修正された脆弱性には、V8の境界外メモリアクセス、CVE-2026-0899やBlinkの脆弱性などが含まれています。自動更新が有効でない場合は即時確認が推奨されます。ブラウザは日常業務で常に使用するため、最新版への更新を徹底してください。

DNS CNAMEを悪用したKerberosリレー攻撃

新たなKerberosリレー手法が発見されました。DNS CNAMEレコードを悪用したこの攻撃は、CVE-2026-20929として報告されています。

この手法の特徴は、NTLMが無効な環境でも認証情報リレー攻撃が可能な点です。SMBやHTTPのクロスプロトコル悪用が可能で、すでにPoCも公開されています。Microsoftは2026年1月の更新でHTTP.sysのチャネルバインディングを実装しましたが、CNAME操作自体は未修正の状態です。Windows環境を運用する組織は、1月のセキュリティ更新プログラムの適用を確認してください。

Chrome拡張機能を悪用した複数のマルウェアキャンペーン

Chrome拡張機能を悪用したマルウェアキャンペーンが複数報告されています。

まず「GhostPoster」キャンペーンでは、17の悪意ある拡張機能で84万回以上ダウンロードされました。PNGアイコン内にペイロードを隠すステガノグラフィと、48時間以上の遅延実行で検知を回避しています。アフィリエイト詐欺やクリック詐欺を実行するもので、MozillaとMicrosoftは削除対応済みですが、既存インストールは有効なままです。

次に「CrashFix」キャンペーンでは、「NexShield」という偽の広告ブロッカーを使い、意図的にブラウザをクラッシュさせた後、偽のセキュリティ警告を表示してユーザーにPowerShellコマンドを実行させ、「ModeloRAT」というPythonベースのRATを配布します。企業ネットワークを標的としており、ドメイン参加マシンには完全なバックドアを展開するとされています。

さらに、Workday、NetSuite、SAP SuccessFactorsを標的とした5つの悪意あるChrome拡張機能も発見されました。合計2,300回以上インストールされ、セッションCookieを60秒ごとに攻撃者サーバーへ送信します。管理ページをブロックしてインシデント対応を妨害する機能も搭載されています。

組織では、ブラウザ拡張機能のインストールポリシーを見直し、許可リスト方式の導入を検討してください。

AIを悪用した企業侵入事例

ペネトレーションテスターのロブ・シャプランド氏が、AI音声クローンを使った興味深い事例を紹介しています。

シャプランド氏は、わずか5分のYouTube動画からCEOの声を採取し、ElevenLabsで音声を複製。そのクローン音声を使いサービスデスクに電話し、パスワードリセットに成功したとのことです。

また、物理侵入についてはコーヒーと「揺るぎない自信」で十分と述べ、従業員教育の重要性を強調しています。AI技術の進歩により、音声なりすまし攻撃のハードルが大きく下がっていることを認識し、電話でのパスワードリセット手続きの見直しや、従業員への教育強化が必要です。

カナダ投資規制機構のデータ侵害

カナダ投資規制機構、CIROが2025年8月のデータ侵害により約75万人のカナダ人投資家が影響を受けたと発表しました。

流出した情報には生年月日、電話番号、社会保険番号、投資口座番号などが含まれます。CIROは影響を受けた投資家に2年間の無料クレジットモニタリングサービスを提供するとしています。

金融機関を標的としたサイバー攻撃は引き続き活発であり、顧客データの保護強化が求められています。

AMDプロセッサのStackWarp脆弱性

CISPAの研究者がAMDプロセッサのSEV-SNP技術を損なう脆弱性「StackWarp」、CVE-2025-29943を発見しました。

この脆弱性はAMD Zen 1から5までのプロセッサに影響し、単一ビットの切り替えでスタックポインタを操作し、機密情報を流出させることが可能です。悪意あるVMホストがSEV-SNPで保護されたVM内でリモートコード実行と権限昇格が可能になります。

AMDは2025年7月と10月にマイクロコード更新をリリース済みですが、深刻度は「低」と位置付けています。クラウド環境でAMDプロセッサを使用している組織は、最新のマイクロコード更新が適用されていることを確認してください。

Black Bastaランサムウェアグループの首謀者指名手配

ドイツの連邦刑事庁とインターネット犯罪対策中央機関が、ランサムウェア集団Black Bastaの首謀者とみられるロシア国籍の人物を指名手配しました。

2022年3月から2025年2月にかけて、ドイツ国内で100社超を恐喝し2,000万ユーロ超を得たとされています。標的には病院や当局も含まれており、ユーロポールの最重要指名手配リストに追加されました。

また、ウクライナとドイツの法執行機関がBlack Bastaランサムウェアグループのメンバーとみられる2人の自宅を捜索し、「ハッシュクラッカー」としてパスワード抽出を担当していた人物を特定しています。

Microsoftの緊急アップデート

Microsoftは2026年1月のPatch Tuesday更新で発生した2つの問題を修正する緊急更新プログラムをリリースしました。

1つ目はMicrosoft 365 Cloud PCセッションへの接続時の資格情報プロンプト失敗で、Windows Appを使用したAzure Virtual DesktopやWindows 365への接続で認証失敗が発生していました。

2つ目はWindows 11 23H2でSecure Launch有効時にシャットダウンや休止状態への移行ができなくなる問題です。

更新プログラムはMicrosoft Update Catalogから手動ダウンロードが必要です。管理者は即時展開が推奨されますが、1月の更新は114件の脆弱性に対処しているため、更新プログラム自体の展開は重要です。

PDFSIDERマルウェア

高度なバックドア型マルウェア「PDFSIDER」が発見されました。

このマルウェアは正規のPDF24 Creatorを悪用するDLLサイドローディングで拡散し、AES-256-GCM暗号化のC2通信を確立します。メモリ上で動作してディスク痕跡を最小化し、GlobalMemoryStatusExでRAMを確認してサンドボックスを検知、IsDebuggerPresentでデバッガ環境を回避する機能も実装しています。

正規ソフトウェアを悪用する手法は検知が困難であり、EDRソリューションの監視強化とともに、ソフトウェアの入手元の確認が重要です。

StealCマルウェアパネルの脆弱性を研究者が悪用

CyberArk研究者がStealCインフォスティーラーの管理パネルにXSS脆弱性を発見し、脅威アクター「YouTubeTA」の活動を監視することに成功しました。

調査の結果、このアクターは39万件のパスワードと3000万件のクッキーを盗んでいたことが判明しました。攻撃者はAdobe製品のクラック版に偽装してYouTube経由でマルウェアを配布しており、ウクライナのISPを使用するApple M3搭載マシンを使用していたとのことです。

この事例は、MaaSモデルがサプライチェーンリスクにも脅威アクター自身をさらすことを示しています。

Fast Pairプロトコルの脆弱性WhisperPair

GoogleのFast Pairプロトコルに「WhisperPair」と呼ばれる脆弱性群が発見されました。

Sony、Jabra、JBLなど10社17モデルのヘッドホン・スピーカーが影響を受け、約14メートル以内から音声乗っ取りやマイク起動、位置追跡が可能です。該当製品を使用している場合は、ファームウェア更新が推奨されます。Bluetoothデバイスのセキュリティにも注意が必要です。

英国企業のサイバーセキュリティ意識調査

Nardello & Co.の調査によると、英国ビジネスリーダーの58%がサイバー侵害を最大のリスクに挙げましたが、75%がその管理能力に自信がないと回答しています。

また、コンプライアンスが37%、金融犯罪が30%と続いています。採用前スクリーニング実施企業は44%、内部通報制度整備は48%にとどまり、準備不足が指摘されています。

日本企業においても、リスク認識と実際の対策のギャップを埋めることが重要です。

研究者によるハッカードメイン乗っ取り

Infoblox研究者が「lame nameserver delegation」、これは不完全なネームサーバー委任のことですが、この欠陥を悪用し、悪意あるプッシュ通知広告ネットワークの120以上のドメインを乗っ取りました。

2週間で5,700万件のログを傍受し、60言語以上で展開される欺瞞的広告の全容を解明。興味深いことに、1日約350ドルの収益がありましたが、クリック率は1/80,000と極めて低かったとのことです。

セキュリティ研究者がこうした手法で脅威アクターのインフラを調査・妨害できることは、防御側にとって朗報です。

クロージング

本日は、CiscoとAWSの深刻度10.0の脆弱性、ServiceNowのAIエージェントの脆弱性、そしてMandiantによるNTLMv1レインボーテーブルの公開など、多くの重要なニュースをお伝えしました。

特に注目すべきは、複数のChrome拡張機能を悪用したマルウェアキャンペーンです。企業のHRやERPシステムを標的にしたものもあり、拡張機能のインストールポリシーの見直しが急務です。

また、ServiceNowのBodySnatcher脆弱性は、AIエージェントの権限管理の重要性を改めて示しています。AIの導入を進める組織は、セキュリティ設計を慎重に検討する必要があります。

本日ご紹介したニュースの中で気になるものがあれば、ぜひ詳細をご確認ください。皆さまの組織のセキュリティ対策の参考になれば幸いです。

東京セキュリティブリーフィングでした。また次回お会いしましょう。