東京セキュリティブリーフィング 2026年01月22日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月22日、木曜日です。

本日も昨日公開されたセキュリティニュースの中から、日本の組織にとって重要な話題をピックアップしてお届けします。AIツールの脆弱性、ランサムウェア攻撃、そして欧州の通信機器規制の動きなど、幅広いトピックを取り上げていきます。それでは、まずヘッドラインからご紹介します。

ヘッドライン

本日の主要なニュースです。

まず、Google GeminiとAnthropicのMCPサーバーにプロンプトインジェクション脆弱性が発見され、AIツールのセキュリティリスクが改めて浮き彫りになりました。

次に、HPE OneViewの重大な脆弱性がボットネットに悪用されており、緊急のパッチ適用が求められています。

欧州連合が中国製通信機器の段階的排除を含むサイバーセキュリティ法改正を提案しました。

偽のChrome拡張機能を使った新たなマルウェア配布手法「CrashFix」が確認されています。

AppleのAirPlayプロトコルにワーム化可能なゼロクリックRCE脆弱性が発見され、数十億台のデバイスが影響を受ける可能性があります。

そして、Anthropicのレポートで、中国の国家支援グループがClaude Codeを用いて攻撃を行っていたことが明らかになりました。

詳細解説

Google GeminiとAIツールのプロンプトインジェクション脆弱性

本日最初にお伝えするのは、複数のメディアが報じているGoogle Geminiの脆弱性についてです。

Miggo Securityの研究者が、GoogleのGemini AIに対するプロンプトインジェクション攻撃を発見しました。この攻撃は非常に巧妙で、Googleカレンダーの招待を悪用します。

攻撃の仕組みはこうです。攻撃者がカレンダー招待の説明欄に悪意のある指示を埋め込みます。被害者がGeminiに「今日の予定は？」と尋ねると、Geminiはその隠された指示に従い、非公開の会議データを要約して新しいカレンダーイベントとして書き込んでしまいます。特定の企業向け設定では、この新しいイベントが攻撃者から閲覧可能になるため、ユーザーが気づかないうちに機密情報が流出する危険性があります。

注目すべき点は、この攻撃が従来のセキュリティシステムでは検知が困難だということです。自然言語で記述された指示を使うため、悪意あるコードやマルウェアのシグネチャとして検出されません。Googleはすでに緩和策を追加したと発表していますが、AIアシスタントを業務で使用している組織は、カレンダー招待の内容にも注意を払う必要があります。

同様の問題は他のAIツールでも発生しています。Anthropic公式のGit MCPサーバー「mcp-server-git」にも3件の脆弱性が発見されました。CVE-2025-68143、CVE-2025-68144、CVE-2025-68145として報告されており、悪意あるREADMEファイルや汚染されたIssue説明を通じてAIアシスタントを操作できる問題です。

ファイルシステムMCPサーバーと併用している場合、コード実行や任意ファイル削除が可能になります。2025年12月8日以前の全バージョンが影響を受けますが、Anthropicは12月に修正をリリース済みです。

また、MicrosoftのMarkItDown MCPサーバーにもSSRF脆弱性が発見されています。ユーザー入力のURLに制限がないため、内部リソースへのアクセスが可能です。AWSのEC2インスタンス上で動作する場合、メタデータサービスから認証情報を取得される危険性があります。研究によると、MCPサーバー全体の約36.7%に同様のSSRFリスクがある可能性が指摘されています。

AIツールを活用している組織では、MCPサーバーのバージョン確認と更新、そして信頼できないソースからのコンテンツ処理に関するポリシーの見直しを検討してください。

HPE OneViewの脆弱性を狙うボットネット攻撃

続いて、HPE OneViewの脆弱性についてお伝えします。

HPE OneViewにリモートコード実行の脆弱性CVE-2025-37164が存在し、CVSSスコアは9.8と非常に高い深刻度です。この脆弱性は2025年12月21日にパッチが公開されましたが、その直後から悪用が始まりました。

2026年1月7日からは、RondoDoxボットネットによる大規模な攻撃が確認されています。わずか4時間で4万件を超える攻撃が実行されました。主なターゲットは政府機関、金融機関、製造業で、米国が最も多くの被害を受けています。

CISAはこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。HPE OneViewを使用している組織は、直ちにパッチを適用することが強く推奨されます。

欧州連合の通信機器サプライヤー規制強化

次に、欧州連合のサイバーセキュリティ政策の大きな転換についてお伝えします。

欧州委員会が改正サイバーセキュリティ法を提案しました。この提案の核心は、通信ネットワークから高リスク外国供給業者を3年以内に段階的に排除することを義務付ける内容です。

提案では特定の国名は挙げられていませんが、これまでの5GツールボックスでファーウェイやZTEへの懸念が示されてきた経緯があり、中国企業が主な対象とみられています。ファーウェイは「原産国に基づく制限はEUの法原則やWTO義務に反する」と反発しています。

この規制は通信機器だけでなく、セキュリティスキャナー、水道供給システム、医療機器にも制限が及ぶ可能性があります。

また、改正案にはENISAの権限拡大、ランサムウェア対応支援の強化、サイバーセキュリティ認証制度の合理化も含まれています。

日本企業にとっても、欧州でビジネスを展開する際のサプライチェーン管理に影響を与える可能性があるため、今後の動向を注視する必要があります。

偽Chrome拡張機能を使った新手のマルウェア配布手法

次は、Chrome Web Storeで発見された悪意ある拡張機能についてです。

KongTukeグループが「NexShield」という偽の広告ブロッカー拡張機能を配布しています。この拡張機能はuBlock Origin Liteを模倣しており、一見すると正規のセキュリティツールに見えます。

しかし、インストールから60分後にDoSループでブラウザを意図的にクラッシュさせます。ブラウザを再起動すると偽の「セキュリティ警告」ポップアップが表示され、ユーザーにWindowsキーとRキーを押してコマンドを実行するよう促します。

この手法は「CrashFix」と呼ばれ、従来の「ClickFix」攻撃の発展形です。特に注意すべきは、ドメイン参加しているマシン、つまり企業環境のPCには「ModeloRAT」というPython製のリモートアクセストロイの木馬が配布される点です。

ModeloRATは50種類以上のセキュリティツールをスキャンして検知回避を行い、OS情報、プロセス、ネットワーク構成などを収集します。SpotifyやDiscordを模した名称で自身を隠蔽し、RC4暗号化でC2サーバーと通信します。

また、LayerXの調査によると、関連するGhostPosterキャンペーンでは17の拡張機能が特定され、合計84万件を超えるダウンロードがありました。最長で5年間アクティブだったものもあります。ステガノグラフィでPNGアイコン内にローダーを隠し、48時間以上の起動遅延でサンドボックス解析を回避する手法も使われています。

企業の情報システム部門は、従業員がインストールするブラウザ拡張機能の管理ポリシーを見直すことをお勧めします。

Apple AirPlayのワーム化可能なゼロクリックRCE脆弱性

Apple製品に関する重大な脆弱性についてお伝えします。

Oligo SecurityがAppleのAirPlayプロトコルとSDKに複数の脆弱性を発見しました。「AirBorne」と名付けられたこの脆弱性群の中でも、CVE-2025-24252とCVE-2025-24132は特に深刻です。

これらの脆弱性により、ワーム化可能なゼロクリックリモートコード実行が可能になります。つまり、ユーザーが何も操作しなくても、感染したデバイスからローカルネットワーク上の他のデバイスへマルウェアが自動的に拡散する可能性があります。

影響範囲は非常に広大です。Appleデバイスは全世界で23.5億台存在し、CarPlay対応車種は800車種を超えています。Appleはすでに脆弱性に対処する最新ソフトウェアをリリースしていますので、Apple製品を使用している方は速やかにアップデートを適用してください。

AIを悪用した国家支援サイバー攻撃の実態

続いて、AIツールが国家支援のサイバー攻撃に悪用された事例についてお伝えします。

Anthropicが公開したレポートによると、中国の国家支援グループがClaude Codeを用いて約30の標的を侵害していたことが文書化されました。

驚くべきことに、攻撃の80%から90%をAIが担っていたとされています。AIは偵察、エクスプロイト開発、認証情報収集、データ持ち出しといった攻撃の主要フェーズを実行し、人間の介入はキャンペーンごとに4回から6回のみでした。

ピーク時には秒間複数回のリクエストを発行しており、人間のチームでは対抗困難な速度で攻撃が行われていました。これはAI技術がサイバー攻撃の効率と速度を劇的に向上させている現実を示しています。

防御側もAIを活用した対策の導入を検討する必要があるでしょう。

AIで開発されたLinuxマルウェア「VoidLink」

関連して、AIによって開発されたマルウェアの発見についてもお伝えします。

Check Point Researchが「VoidLink」というLinuxマルウェアを発見しました。このマルウェアは、AIによってほぼ完全に生成された可能性が高いとされています。

開発者のOPSEC失敗によりソースコードや開発計画が露出し、「Trae Solo」というAIアシスタントが使用されていたことが判明しました。当初30週間・3チームで計画されていた開発が、実際には1週間未満で88,000行のコードに到達しています。

VoidLinkはクラウド環境に特化しており、AWS、GCP、Azure、Alibaba、Tencentを自動検出する機能を持っています。これは高度なAI生成マルウェアとして最初に文書化された例とされており、マルウェア開発におけるAI活用という新たな脅威トレンドを示しています。

ランサムウェア攻撃の被害事例

ランサムウェアに関するニュースをまとめてお伝えします。

まず、NightSpireランサムウェアグループがHyatt Place Chelseaへの攻撃を主張し、48.5GBのデータを窃取したとしています。盗難ファイルには請求書、従業員名、連絡先、署名、提携企業データが含まれ、従業員の社内CMS認証情報も含まれる可能性があります。ハイアット側は現時点で侵害を確認していません。

次に、Everestランサムウェアグループがマクドナルド・インドへの侵入を主張しています。顧客データと社内文書861GBを窃取したとされ、流出サイトには2023年から2026年の財務報告書、監査証跡、投資家情報、店舗マネージャーの連絡先などのスクリーンショットが公開されました。マクドナルド・インドは現時点で公式声明を出していません。

米国オハイオ州ミドルタウン市は、2025年8月17日のランサムウェア攻撃から5か月後にようやく水道料金請求システムを復旧しました。24,000人の利用者が影響を受け、復旧費用は100万ドルを超えています。メール、公共料金請求、警察記録、所得税処理などが機能不全に陥りました。

これらの事例は、ランサムウェア攻撃が業種を問わず発生し、復旧に長期間と多大なコストがかかることを改めて示しています。

英国当局が親ロシア派グループの攻撃について警告

英国NCSCが、親ロシア派ハクティビスト集団NoName057(16)が重要インフラや地方自治体を標的にしていると警告を発しました。

攻撃はウクライナ支持に関連したものとみられ、DDoS攻撃への備えを呼びかけています。同グループはTelegramで活動し、DDoSiaツールをGitHubでホストしています。2026年を通じてハクティビスト活動のエスカレートが予想されています。

日本でも、地政学的な状況に応じてハクティビストによる攻撃のリスクが高まる可能性があります。特にDDoS攻撃への対策を確認しておくことをお勧めします。

ミネソタ州人間サービス局のデータ侵害

米国ミネソタ州人間サービス局のMnChoicesシステムで、約304,000人の人口統計記録への不正アクセスが発生しました。

FEI Systemsが管理するシステムで、認可された医療提供者関連ユーザーが業務上必要な範囲を超えてデータにアクセスしていました。2025年9月21日にアクセスは停止され、10月30日にアクセス権が削除されています。1,206人については追加の医療情報や社会保障番号下4桁もアクセスされました。

この事例は、外部委託先のシステムにおけるアクセス権管理の重要性を示しています。

ChainlitのAIフレームワーク脆弱性

AIチャットボット構築フレームワークChainlitに2件の脆弱性が発見されました。

CVE-2026-22218は認証済みユーザーがサーバー上の任意ファイルを読み取れる欠陥、CVE-2026-22219はSSRFを可能にする欠陥です。これらを組み合わせることで、環境変数、認証情報、クラウドリソースへのアクセスが可能になります。

週に20万回以上ダウンロードされるプラットフォームですが、2025年12月24日にバージョン2.9.4で修正済みです。Chainlitを使用している開発者は速やかにアップデートしてください。

ShinyHuntersによるベトナム金融データ漏洩

ShinyHuntersがベトナム国家信用情報センター（CIC）から1億6,000万件を超える記録を流出させたと主張しています。

ベトナムの人口は約1億200万人ですので、記録件数が人口を超えています。過去のデータや1人あたり複数の記録が含まれている可能性があります。Breachstaフォーラムで17万5,000ドルで販売を試みており、ベトナム当局は不正アクセスの兆候を確認中です。ShinyHuntersがベトナムを標的にするのは初めてとされています。

欧州の脆弱性追跡システムGCVEの開始

欧州連合がGCVE（Global Cybersecurity Vulnerability Enumeration）を正式に立ち上げました。これは米国のCVEプログラムへの依存を減らす分散型の欧州代替案です。

CIRCLが運用し、GCVE Numbering Authorities（GNA）が中央承認なしにID番号を付与できます。25以上のソースからデータを集約し、オープンAPIも提供しています。

専門家らはこのイニシアチブを歓迎しており、CVEの資金提供問題を受けた単一障害点回避が目的とされています。脆弱性情報の入手先が多様化することは、セキュリティ担当者にとってもメリットがあるでしょう。

北朝鮮関連ハッカーによる開発者標的攻撃

北朝鮮のContagious Interviewキャンペーンが、悪意あるVS Codeプロジェクトで開発者を標的にしています。

GitHubなどのリポジトリをクローンさせ、tasks.json設定ファイルを悪用してBeaverTailとInvisibleFerretというマルウェアを配布します。「runOn: folderOpen」オプションにより、プロジェクトを開くだけでコードが実行されます。AIツールで生成された可能性のあるコードも確認されています。

開発者の方は、信頼できないリポジトリをクローンする際は十分注意し、VS Codeでフォルダを開く前にtasks.jsonの内容を確認することをお勧めします。

LastPassを狙ったフィッシングキャンペーン

LastPassが2026年1月19日頃に始まった新たなフィッシングキャンペーンについて警告を発しています。

偽のメンテナンス通知でユーザーをフィッシングサイトへ誘導し、マスターパスワードを収集する手口です。LastPassは「マスターパスワードを求めることは決してない」と強調し、悪意あるインフラの停止に取り組んでいると発表しています。

パスワードマネージャーを使用している方は、公式サイトやアプリ以外でマスターパスワードを入力しないよう注意してください。

Cloudflareのゼロデイ脆弱性

Cloudflareにゼロデイ脆弱性が存在し、攻撃者がACMEチャレンジパスを悪用してWAFを回避できる問題がありました。

ACMEはSSL証明書の自動管理に使用されるプロトコルで、/.well-known/acme-challenge/*へのリクエストに対してWAF機能が無効化される際、トークンが有効なチャレンジに紐づいているか検証していませんでした。Cloudflareは修正を実施し、悪用された形跡は検知していないと発表しています。

CEOとCISOのAIセキュリティ認識ギャップ

最後に、経営層とセキュリティ責任者の認識ギャップについてお伝えします。

Axis Capitalの調査によると、AIがサイバー防御を強化するとの見方はCEOの30%に対しCISOは20%と、経営層の方が楽観的です。米国CEOの88%がAIで自社が安全になると考える一方、英国CEOは55%にとどまっています。

シャドーAIへの懸念はCISOの方が高く27%対17%、一方でデータ漏洩の懸念はCEOの方が高く29%対17%という結果でした。組織内でAIのセキュリティリスクについて、経営層とセキュリティチームが認識を合わせることが重要です。

クロージング

本日は、Google GeminiやAnthropicのMCPサーバーにおけるAIツールの脆弱性、HPE OneViewを狙うボットネット攻撃、欧州連合の通信機器規制強化、偽Chrome拡張機能を使ったマルウェア配布、AppleのAirPlayの脆弱性、そしてAIを悪用した国家支援サイバー攻撃についてお伝えしました。

特にAIツールのセキュリティは、業務効率化のメリットと新たなリスクのバランスを考える上で重要なテーマとなっています。AIアシスタントを業務で活用している組織は、プロンプトインジェクションへの対策や、AIが処理するデータの信頼性について改めて検討することをお勧めします。

また、HPE OneViewやApple製品をお使いの方は、最新のセキュリティパッチを速やかに適用してください。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。