東京セキュリティブリーフィング 2026年01月23日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月23日、金曜日です。今週も重要なセキュリティニュースが多数報告されています。Ciscoの重大なゼロデイ脆弱性、Fortinetファイアウォールへの攻撃、そしてAIを活用したマルウェア開発の新たな脅威など、実務に直結する情報をお届けします。それでは、本日のブリーフィングを始めていきましょう。

ヘッドライン

本日お伝えする主なニュースです。

まず、Cisco Unified Communications製品にゼロデイ脆弱性が発見され、すでに実環境での悪用が確認されています。CISAは連邦機関に対し、2月11日までの対応を求めています。

次に、FortiGateファイアウォールに対する新たな自動化攻撃が発生しています。パッチ適用済みの環境でも攻撃を受けているとの報告があり、注意が必要です。

続いて、LastPassを狙ったフィッシングキャンペーンが米国の祝日週末を狙って開始されました。マスターパスワードの窃取を目的とした巧妙な手口が使われています。

また、AIを活用したマルウェア開発の事例として、わずか1週間で8万8000行以上のコードを持つマルウェアフレームワークが作成されたことが報告されています。

さらに、ZoomとGitLabから重大な脆弱性の修正パッチが公開されています。Zoomの脆弱性はCVSSスコア9.9と非常に深刻です。

それでは、各ニュースの詳細を見ていきましょう。

詳細解説

Cisco Unified Communicationsのゼロデイ脆弱性が実環境で悪用中

今週最も緊急性の高いニュースとして、Cisco Unified Communications製品に影響する重大なゼロデイ脆弱性についてお伝えします。CVE-2026-20045として追跡されるこの脆弱性は、CVSSスコア8.2と評価されていますが、root権限を取得できるため、Ciscoはこれをクリティカルと分類しています。

この脆弱性はHTTPリクエストの不適切な検証が原因で発生します。認証されていないリモートの攻撃者が、Webベースの管理インターフェースに対して細工されたHTTPリクエストを送信することで、任意のコマンドを実行し、root権限を取得できる可能性があります。

影響を受ける製品は、Unified CM、Unified CM SME、IM and Presence Service、Unity Connection、そしてWebex Calling Dedicated Instanceなど、多岐にわたります。CISAはすでにこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加しており、連邦機関に対して2026年2月11日までの対応を求めています。

重要な点として、この脆弱性に対する回避策は存在せず、バージョン12.5向けのパッチは提供されていません。バージョン12.5を使用している組織は、サポート対象のリリースへの移行が必要です。修正済みバージョンとして、Unified CM 14SU3.10000-5および15SU5.10000-32以降がリリースされています。

Unified Communications製品を運用している組織は、インターネットに露出しているインスタンスがないか確認し、直ちにパッチの適用または移行を検討してください。報告によると、約1,300件のインスタンスがインターネットに露出している状態とのことです。

FortiGateファイアウォールへの新たな自動化攻撃

続いて、FortiGateファイアウォールを標的とした新たな攻撃の波についてお伝えします。セキュリティ企業Arctic Wolfによると、2026年1月15日頃から自動化された攻撃キャンペーンが開始されています。

攻撃者はFortiCloud SSOログイン機能を悪用し、悪意のあるSSOログインを通じて管理者アカウントを作成しています。「helpdesk」などの名前で不正なアカウントが作成され、ファイアウォールの設定データが数秒でエクスポートされる事例が確認されています。

特に懸念されるのは、CVE-2025-59718およびCVE-2025-59719のパッチを適用済みの環境でも攻撃が成功しているという報告です。これは、12月にリリースされたパッチが不完全である可能性を示唆しています。FortiOS 7.4.9や7.4.10を適用済みでも被害が発生しているとの報告があります。

Fortinetは完全な修正を含むFortiOS 7.4.11、7.6.6、8.0.0を近日中にリリースする予定としています。暫定対策として、FortiCloud SSOログイン機能（admin-forticloud-sso-login）の無効化が強く推奨されています。

12月時点で25,000台を超えるデバイスがSSO有効状態でインターネットに公開されていたとの報告もあります。FortiGateファイアウォールを運用している組織は、不正な管理者アカウントの存在を確認し、設定変更の監査を行うことを推奨します。

LastPassを狙うフィッシングキャンペーン

パスワード管理サービスのLastPassが、ユーザーを標的としたフィッシングキャンペーンについて警告を発しています。このキャンペーンは2026年1月19日頃、米国のマーティン・ルーサー・キング・ジュニア・デーの週末を狙って開始されました。

攻撃者はLastPassを装った偽のメンテナンス通知メールを送信し、「24時間以内にボルト（保管庫）をバックアップする必要がある」と緊急性を煽っています。メール内のリンクをクリックすると、mail-lastpass[.]comという偽サイトに誘導され、マスターパスワードの入力を求められます。

この手口は典型的なソーシャルエンジニアリングで、偽の緊急性を作り出すことで、ユーザーに考える時間を与えずに行動させようとしています。メールはAWSサブドメイン経由でリダイレクトされるため、一見すると正規のものに見える可能性があります。

LastPassは重要な注意喚起として、同社がマスターパスワードを顧客に尋ねることは決してないと強調しています。マスターパスワードが窃取された場合、ボルト内に保存されているすべてのアカウント認証情報が侵害される可能性があります。LastPassは3,300万人のユーザーと10万社を超える法人顧客を抱えており、影響範囲は非常に大きいといえます。

不審なメールを受け取った場合は、メール内のリンクをクリックせず、直接LastPassの公式サイトやアプリからアクセスするようにしてください。

AIで作成されたVoidLinkマルウェアフレームワーク

Check Point Researchが、AIによってほぼ全面的に開発されたLinux向けマルウェアフレームワーク「VoidLink」を発見しました。この事例は、AI生成マルウェアが運用可能な成熟度に達した初めてのケースとされています。

開発者のOPSEC（運用上のセキュリティ）の失敗により開発アーティファクトが露出し、このマルウェアがAIによって作成されたことが判明しました。開発者は「Trae Solo」というAIアシスタントを使用し、1週間未満で8万8000行を超えるコードを持つ機能するインプラントを完成させました。

注目すべき点として、開発者は3つの開発チームにまたがる計画をAIに作成させ、実装を進めたとのことです。これは、経験豊富な開発者がAIツールを活用することで、非常に短期間で高度なマルウェアを作成できることを示しています。

VoidLinkはクラウド環境やコンテナ化環境を標的とするモジュール型設計を持ち、サーバーサイド・ルートキット・コンパイル技術により、被害者のカーネルに合わせたカスタムルートキットを動的に生成します。また、14種類のセキュリティ製品を検知して回避戦略を調整する機能や、ファイルレス実行で痕跡を最小化する能力を備えています。

この発見は、AI生成マルウェアの新時代の始まりを示しており、防御側にとっても新たな課題となります。

ZoomとGitLabの重大な脆弱性修正

ZoomとGitLabから重大なセキュリティ更新がリリースされています。

まずZoomについて、Node Multimedia Routers（MMR）にCVE-2026-22844として追跡される重大なコマンドインジェクション脆弱性が発見されました。CVSSスコアは9.9と非常に高く、バージョン5.2.1716.0より前が影響を受けます。

この脆弱性により、会議参加者がネットワークアクセスを介してリモートコード実行を行える可能性があります。Zoom Node HybridまたはMeeting Connectorを運用している組織は、即時にパッチを適用する必要があります。

次にGitLabについて、複数の高深刻度の脆弱性が修正されています。特に注目すべきは、CVE-2026-0723（CVSSスコア7.4）という二要素認証バイパスの脆弱性です。被害者のID認証情報を知る攻撃者が、偽造デバイス応答で二要素認証を回避できる可能性があります。

GitLabはソースコード管理の中核を担うプラットフォームであり、アカウントが乗っ取られた場合、サプライチェーン攻撃やクラウド基盤へのアクセスにつながるリスクがあります。SaaS版・Web版はすでにパッチが適用されていますが、オンプレミス版を運用している組織は最新バージョンへの更新が必要です。

また、DoS脆弱性としてCVE-2025-13927およびCVE-2025-13928（ともにCVSSスコア7.5）も修正されています。

Oracle四半期アップデートで337件のセキュリティ修正

Oracleの四半期セキュリティアップデートで337件のセキュリティ修正が公開されました。そのうち27件がクリティカル評価となっています。

最も深刻なのは、CVE-2026-21962でCVSSスコアは最高の10.0です。この脆弱性はOracle HTTP ServerとWebLogic Server Proxy Plug-inに影響し、WebLogicプロキシ層を介して認証されていない攻撃者が公開システムを侵害できる可能性があります。影響を受けるバージョンは12.2.1.4.0、14.1.1.0.0、14.1.2.0.0です。

また、CVE-2025-66516（CVSSスコア9.8）はApache Tikaの問題に対処しています。

現時点で実環境での悪用は確認されていませんが、Oracle製品を運用している組織は、影響範囲を確認し、優先度を付けてパッチ適用を進めることを推奨します。

北朝鮮のハッカーがVisual Studio Codeを悪用

北朝鮮のLazarusグループによる「Contagious Interview」と呼ばれるキャンペーンが、Visual Studio Codeを悪用した新たな攻撃手法を展開しています。

このキャンペーンでは、攻撃者が偽の求人面接を装い、被害者に悪意のあるGitリポジトリを開かせます。被害者がプロジェクトを信頼すると、tasks.json設定ファイルを通じてJavaScriptペイロードが実行され、macOS上で永続的なC2（コマンド＆コントロール）通信が確立されます。

Recorded Futureの報告によると、2024年8月から2025年9月にかけて3,136件のIPアドレスが標的となり、AI、暗号資産、金融サービス分野で20の潜在的被害組織が確認されています。求職者が企業デバイスで悪意あるコードを実行した可能性があり、個人だけでなく組織全体が露出するリスクがあります。

また、別の事例として、DarktraceがVS Codeの内蔵トンネリング機能を悪用した北朝鮮の攻撃を発見しています。韓国の標的に対し、政府機関を装ったフィッシングメールを送り、HWPX文書に偽装したJSEファイルでVS Codeをインストール。Microsoftの信頼されたインフラを経由して被害者マシンの完全遠隔操作を確立する手法が使われました。

開発者の方は、不審なリポジトリを開く際には十分注意し、信頼できないソースからのプロジェクトは仮想環境で検証することを推奨します。Jamfは高度な脅威対策の有効化を推奨しています。

LinkedInを利用したフィッシング攻撃

ReliaQuestが、LinkedInのプライベートメッセージを通じた高度なフィッシング攻撃を発見しました。この攻撃は特に経営幹部やIT管理者を標的としています。

攻撃者は偽の求人広告や採用担当者を装い、武器化されたWinRAR自己解凍アーカイブを配布します。被害者がファイルを開くと、正規のPDFリーダーを介したDLLサイドローディングで悪意あるコードが実行されます。

その後、Pythonインタープリタとレジストリのrunキーで永続性が確立され、RAT（リモートアクセストロイの木馬）型のC2通信でラテラルムーブメント（横方向への移動）が可能になります。

この攻撃の特徴は、Windows標準ツールのみを使用する「環境寄生型」の手法を採用している点です。forfiles.exe経由でmshtaを実行し、PowerShellでPDFに偽装したTARアーカイブをダウンロードするなど、正規ツールを悪用することで検知を困難にしています。

ReliaQuestは、フィッシングはメールにとどまらず、ソーシャルメディアプラットフォームでも発生していると警告しています。LinkedInなどのビジネスSNSでの不審なメッセージにも十分注意が必要です。

GNU InetUtilsのtelnetd脆弱性

GNU InetUtilsのtelnetd（telnetデーモン）に、認証バイパスの脆弱性が発見されました。CVE-2026-24061として追跡され、CVSSスコアは9.8です。

この脆弱性はバージョン1.9.3から2.7に影響し、約11年前の2015年3月のコード変更で導入されたものです。攻撃者はUSER環境変数に「-f root」を注入することで、パスワードなしでrootアクセスを取得できます。

セキュリティ企業GreyNoiseによると、この脆弱性はすでに実環境で悪用が進行中とのことです。複数の国家機関がtelnetdの廃止とSSHへの移行を推奨しています。

telnetは暗号化されていない通信を使用するため、そもそもセキュリティ上のリスクが高いプロトコルです。まだtelnetを使用している環境がある場合は、この機会にSSHへの移行を検討してください。緊急の対応として、telnetdの無効化またはパッチの適用が推奨されます。

Chainlit AIフレームワークの脆弱性

会話型AIアプリケーション構築フレームワーク「Chainlit」に、2件の高深刻度脆弱性が発見されました。Chainlitは月間70万ダウンロードを記録する人気のフレームワークです。

CVE-2026-22218は任意ファイル読み取りの脆弱性でCVSSスコアは9.1、CVE-2026-22219はSSRF（サーバーサイドリクエストフォージェリ）の脆弱性でCVSSスコアは8.8です。

これらの脆弱性はユーザー操作なしで悪用可能で、攻撃者はAPIキー、機密ファイル、クラウド認証情報を窃取できる可能性があります。特にAWS EC2環境では、IMDSv1経由でロール認証情報を取得し、横展開できる危険性があります。

バージョン2.9.4で修正済みですので、Chainlitを使用している開発者は直ちにアップグレードを行ってください。この事例は、AIインフラにおける従来型脆弱性の組み込みリスクを示しています。

WordPressプラグインの権限昇格脆弱性

WordPressプラグイン「Advanced Custom Fields: Extended」に深刻度9.8の権限昇格脆弱性が発見されました。約10万サイトが影響を受けると報告されています。

この脆弱性により、認証されていない攻撃者が管理者アカウントを作成できます。フォームにロールフィールドが追加されている場合、認証されていないユーザーでも管理者に昇格可能とのことです。

バージョン0.9.2.1以前が脆弱で、0.9.2.2で修正されています。約50,000サイトが脆弱なまま残っているとの報告もあります。このプラグインを使用しているWordPressサイトの管理者は、直ちにアップデートを適用してください。

Under Armourへのランサムウェア攻撃

Have I Been Pwned（HIBP）によると、Everestランサムウェア集団による2025年11月の攻撃で、Under Armourの7,270万アカウントが影響を受けた可能性があります。

漏えいしたとされるデータには、氏名、メールアドレス、生年月日、性別、地理的所在地、購入詳細が含まれています。Everestはリークサイトでデータ公開を主張し、約1億9,100万件のレコードを含むとされるデータセットがフォーラムに投稿されました。

Under Armourは現時点で漏えいを認めていません。Everestは2020年から活動するベテランのランサムウェア集団です。Under Armourのサービスを利用している方は、パスワードの変更、二要素認証の有効化、なりすましメールへの警戒を推奨します。

Black Bastaランサムウェアグループの首謀者特定

ドイツ警察がBlack Bastaランサムウェアグループの首謀者として、ロシア国籍のオレグ・エフゲニエヴィチ・ネフェドフ（35歳）を特定しました。ネフェドフはユーロポールとインターポールの最重要指名手配リストに追加されています。

ウクライナとドイツの当局は、グループの関係者2人の自宅を捜索し、データと暗号資産を押収しました。Black Bastaは世界中の組織に大きな被害をもたらしてきたランサムウェアグループであり、今回の摘発は国際的な法執行機関の連携による成果といえます。

GDPRデータ侵害通知が増加

DLA Piperの調査によると、2025年のGDPRデータ侵害通知件数は前年比22%増加し、1日平均443件に達しました。これは初めて400件を超えた記録です。

一方、制裁金総額は約12億ユーロで前年と同水準でした。2025年最大の制裁金はTikTokへの5億3,000万ユーロで、欧州のデータを中国サーバーに保存していた問題が原因です。

累計の制裁金ではアイルランドが40億ユーロで首位、フランスが11億ユーロで2位となっています。GDPR施行以来の累計制裁金は71億ユーロに達しています。

この統計は、データ侵害が依然として増加傾向にあることを示しています。欧州でビジネスを展開する組織は、GDPRコンプライアンスの継続的な見直しが必要です。

CISA予算削減の提案

米国議会がCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）に大幅な予算削減を提案しています。上下両院の資金法案では、CISAの総額は約26億ドルに削減され、前年比約2億6,800万ドルの減少となります。

具体的には、脅威ハンティングに1,750万ドル、脆弱性管理に2,220万ドルの削減が含まれています。一方で、選挙セキュリティには4,000万ドルが計上されています。

CISA長官代行のマドゥ・ゴットゥムッカラは、トランプ政権発足後に998人が退職・解雇・異動したことについて議会で追及を受けましたが、「必要な職員は確保できている」と述べ、離職率は7.5%と政府平均より低いと主張しています。

民主党は削減が「防御を弱体化」させたと批判しており、サイバーセキュリティ能力への影響が懸念されています。

ダークウェブでのAIツール拡散

Group-IBの調査によると、サイバー犯罪者向けのAIツールがダークウェブで30ドル程度から入手可能になっています。「DarkLLM」と呼ばれる制限のないAIモデルが販売されており、「deepfake-as-a-service」は最安5ドルから提供されています。

AIがサイバー犯罪ツールキットの中核要素として統合され、サイバー犯罪の産業化が進行しているとGroup-IBは警告しています。低コストで高度な攻撃ツールが入手可能になることで、攻撃者の裾野が広がる恐れがあります。

ギリシャで偽携帯基地局を使う詐欺組織を摘発

ギリシャ警察が、車のトランクに隠した偽の移動体基地局（SMSブラスター）を使ってフィッシングメッセージを送信していた詐欺組織を摘発しました。

この装置は周辺の携帯電話を4Gから2Gにダウングレードさせ、銀行や宅配業者を装った詐欺SMSを送信する仕組みです。容疑者は偽造身分証を提示した中国籍者とされています。

このような物理的なインフラを使用したSMSフィッシングは、従来のネットワークベースの対策では検知が困難です。不審なSMSを受け取った場合は、リンクをクリックせず、公式アプリや正規のウェブサイトから直接アクセスするようにしてください。

クロージング

本日は、Cisco Unified Communicationsのゼロデイ脆弱性、FortiGateファイアウォールへの攻撃、LastPassを狙うフィッシング、AIで作成されたマルウェアなど、多くの重要なセキュリティニュースをお伝えしました。

特に、Cisco製品とFortinet製品を運用している組織は、直ちにパッチの適用状況を確認し、必要な対策を講じてください。CiscoのCVE-2026-20045は回避策がなく、パッチ適用が唯一の対策です。FortiGateについては、FortiCloud SSOログイン機能の無効化を暫定対策として検討してください。

また、LastPassのフィッシングキャンペーンに見られるように、緊急性を煽るメールには十分注意が必要です。正規のサービスがマスターパスワードをメールで求めることはありません。

AIを活用したマルウェア開発の事例は、攻撃者の能力が急速に向上していることを示しています。防御側も継続的なセキュリティ対策の見直しと、最新の脅威情報の収集が重要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。