東京セキュリティブリーフィング 2026年01月24日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月24日、土曜日です。

今週も多くのセキュリティニュースが報じられました。本日は、複数のメディアで取り上げられている注目度の高いトピックを中心に、皆様の組織に影響を与える可能性のある重要なセキュリティ情報をお届けします。

それでは、本日のヘッドラインから始めましょう。

ヘッドライン

本日お伝えする主なニュースです。

まず、Fortinetのファイアウォール製品に対する攻撃が複数のメディアで報じられています。パッチを適用済みのシステムでも攻撃が成功しているとのことで、緊急の対応が必要です。

次に、SmarterMailの認証バイパス脆弱性がパッチ公開からわずか48時間後に悪用されているという報告があります。攻撃者がパッチを解析して脆弱性を特定したと見られています。

続いて、Pwn2Own Automotive 2026で76件のゼロデイ脆弱性が発見され、100万ドルを超える賞金が支払われました。自動車業界のサイバーセキュリティの課題が浮き彫りになっています。

また、AIを悪用したサイバー犯罪の増加、ランサムウェアグループによる運用上のミスからデータ復旧に成功した事例、そしてMicrosoft Teamsに新しいブランドなりすまし防止機能が導入される予定など、重要なトピックが多数あります。

それでは、詳細な解説に移りましょう。

詳細解説

FortiGateファイアウォールへの攻撃とパッチ回避の問題

本日最も注目すべきニュースは、Fortinetのファイアウォール製品に対する攻撃です。複数のメディアが報じているこの問題について詳しく解説します。

Arctic Wolf Labsの報告によると、1月15日以降、世界中のFortiGateデバイスを標的とした悪意ある活動が確認されています。攻撃者は侵害されたシングルサインオン、いわゆるSSOアカウントを使用して管理インターフェースにログインし、管理者ユーザーの作成、VPNやファイアウォールルールの変更、設定ファイルの外部サーバーへの流出を行っています。

特に深刻なのは、Fortinetが12月にリリースしたCVE-2025-59718およびCVE-2025-59719に対するパッチを適用済みのデバイスでも、攻撃が成功しているケースが確認されていることです。Fortinetはこの問題を公式に認め、新たな攻撃ベクトルが発見されたとして、修正の開発に取り組んでいると発表しました。

この脆弱性の本質は、FortiCloud SSOの認証バイパスにあります。暗号署名の検証に不備があり、攻撃者が細工されたSAMLレスポンスを使用して認証を回避できてしまいます。

Fortinetは現時点で、一時的な緩和策としてFortiCloud SSOの無効化を推奨しています。具体的には、コマンドラインインターフェースからFortiCloud SSO機能を無効にし、管理インターフェースへのアクセスを制限することが求められています。また、バージョン7.4.11、7.6.6、8.0.0の追加リリースを準備中とのことです。

日本国内でもFortiGate製品は広く使用されているため、該当する製品を運用されている組織は、速やかにFortiCloud SSOの利用状況を確認し、必要に応じて無効化の対応を検討してください。

SmarterMailの認証バイパス脆弱性の悪用

次にお伝えするのは、メールサーバーソフトウェアSmarterMailの認証バイパス脆弱性についてです。

セキュリティ企業watchTowrが発見したこの脆弱性は、WT-2026-0001として追跡されています。force-reset-password APIエンドポイントに存在する検証の欠如により、攻撃者はIsSysAdminパラメータをtrueに設定するだけで、管理者のユーザー名を知っていれば認証なしでパスワードをリセットできてしまいます。

この問題の深刻さを際立たせているのは、パッチ公開からわずか48時間後には実際の悪用が確認されたという点です。セキュリティ研究者は、攻撃者がパッチのバイナリ差分を解析して脆弱性を再構築したと推測しています。つまり、パッチをリバースエンジニアリングすることで、修正された脆弱性の詳細を特定し、まだアップデートしていないシステムを狙った攻撃を迅速に開発したということです。

CVSSスコアは9.3と非常に高く、リモートコード実行にも悪用可能であるとwatchTowrは報告しています。SmarterMailを運用している組織は、Build 9511以降へのアップグレードを速やかに実施してください。

このインシデントは、パッチ管理の重要性を改めて示しています。脆弱性が公開されてからパッチが適用されるまでの期間、いわゆる「パッチギャップ」の間に攻撃者が動き出すケースが増えています。重要なシステムについては、パッチリリース後できるだけ早期に適用することが求められます。

Pwn2Own Automotive 2026の結果と自動車セキュリティ

東京で開催されたPwn2Own Automotive 2026について、複数のメディアが報じています。

この3日間のハッキングコンテストでは、セキュリティ研究者たちが合計76件のユニークなゼロデイ脆弱性を発見し、賞金総額は1,047,000ドル、日本円で約1億5000万円に達しました。

特に注目されたのは、EV充電ステーションへの攻撃です。優勝したFuzzware.ioチームは、充電ガン経由でAlpitronic HYC50 EV充電器を攻撃し、60,000ドルの賞金を獲得しました。これは「スーパーチャージャーの初の公開エクスプロイト」として注目されています。

その他にも、Grizzl-E、ChargePoint、Phoenix ContactなどのEV充電ステーション、Alpine、Sony、Kenwoodの車載インフォテインメントシステム、そしてAutomotive Grade Linuxが標的となりました。発見された脆弱性には、認証バイパス、コマンドインジェクション、バッファオーバーフロー、競合状態などが含まれています。

また、Synacktiv TeamはUSBベースの攻撃でTeslaのインフォテインメントシステムをハッキングし、35,000ドルを獲得しました。

これらの結果は、自動車業界のサイバーセキュリティにおける重大なギャップを露呈しています。EVの普及に伴い、充電インフラのセキュリティがますます重要になっています。また、車載システムの複雑化により、攻撃対象となる可能性のある箇所が増加していることも明らかになりました。

日本の自動車メーカーや関連企業にとっても、このような脆弱性研究の結果を注視し、自社製品のセキュリティ強化に活かすことが重要です。

AIを悪用したサイバー犯罪の急増

Group-IBのホワイトペーパーによると、AIを悪用したサイバー犯罪が急増しています。

ダークウェブ上でAIに言及する投稿は2019年以降、371%増加しました。Group-IBはこれを「サイバー犯罪の第5の波」と呼んでいます。大規模言語モデル、いわゆるLLMの悪用、自動化されたフィッシング、マルウェア開発がサービスとして販売されるようになっています。

特に注目すべきは、「ダークLLM」と呼ばれるサービスです。月額30ドルから200ドルのサブスクリプションで、悪意ある目的に特化したAIモデルへのアクセスが販売されています。また、「Deepfake-as-a-Service」では、合成IDキットがわずか5ドルから入手可能とのことです。

関連して、Akati Sekurityのレポートでは、AIエージェントが内部者によるサイバーセキュリティ脅威の40%に関与していると報告されています。平均的な企業では、非人間IDが人間を144対1の比率で上回っており、サイバー犯罪者が企業内のAIエージェントを悪用する可能性が警告されています。

UAEの調査では、組織の55%が過去1年にサイバー攻撃を経験し、93%がAI関連インシデントを経験したとされています。96%が脅威検知にAIを利用しているものの、セキュリティ準備態勢が成熟しているのはわずか30%で、87%がスキル不足に直面しています。

プロンプトインジェクションやモデル操作など、AIネイティブな攻撃ベクトルが出現しており、組織はAIセキュリティに関する新たな対策を検討する必要があります。

INCランサムウェアの運用ミスによるデータ復旧成功

興味深いニュースとして、ランサムウェア集団の運用上のミスを利用して、盗まれたデータの復旧に成功した事例が報告されています。

セキュリティ企業Cyber Centaursが、INCランサムウェア集団の運用セキュリティ上の失敗を発見しました。攻撃に使用されていなかったバックアップツールResticの痕跡から、盗まれたデータを保存していたAmazon S3クラウドストレージ基盤を特定することに成功したのです。

この発見により、米国の12組織から盗まれたデータを復旧することができました。影響を受けていた組織は、医療、製造、テクノロジー、サービス分野に及んでいました。

この事例は、ランサムウェア被害に遭った場合でも、攻撃者のインフラを分析することで復旧の可能性があることを示しています。組織においては、バックアップの精査と監査、暗号化データの送信先監視、バックアップソフトウェアの迅速なパッチ適用が推奨されています。

Microsoft Teamsにブランドなりすまし防止機能を追加

Microsoftは2026年2月中旬から、Microsoft Teamsに「Brand Impersonation Protection」機能を導入すると発表しました。

この機能は、外部からの初回VoIP通話でブランドなりすましの兆候を確認し、高リスクの通話として判定された場合に警告を表示するものです。ユーザーはフラグ付けされた通話について、受ける、ブロックする、終了するの3つの選択肢から対応を選べます。

この機能はすべての組織で既定で有効になります。管理者側での即時対応は不要ですが、社内への周知が推奨されています。

この新機能は、近年増加しているソーシャルエンジニアリング攻撃への対策として導入されます。特に、Oktaが警告している音声ベースのフィッシング、いわゆるビッシング攻撃への防御として有効です。

Oktaの報告によると、Google、Microsoft、Oktaなどを標的にした音声フィッシング用のカスタムフィッシングキットが販売されており、攻撃者はITヘルプデスクを装って電話をかけ、フィッシングページに誘導します。フィッシングキットは標的のページをリアルタイムで更新でき、番号一致を含むプッシュ型MFAも回避可能とのことです。

対策として、フィッシング耐性のあるMFA、具体的にはOkta FastPass、FIDO2、パスキーの使用が推奨されています。

GitLabの二要素認証バイパス脆弱性

GitLabがCVE-2026-0723として追跡される高深刻度の脆弱性を修正しました。CVSSスコアは7.4です。

この脆弱性により、被害者のクレデンシャルIDを知る攻撃者が、偽造されたデバイス応答を使用して二要素認証を回避し、アカウントを乗っ取ることが可能でした。

修正は、Community EditionおよびEnterprise Editionのバージョン18.8.2、18.7.2、18.6.4で提供されています。報告によると、約6,000件のGitLab Community Editionインスタンスがインターネット上に露出しているとのことです。

GitLabを運用している組織は、速やかに修正バージョンへのアップデートを実施してください。

Cisco Unified Communicationsのゼロデイ脆弱性

CiscoのUnified Communications製品にCVE-2026-20045として追跡されるゼロデイ脆弱性が発見され、実際に悪用されています。

この脆弱性は、HTTPリクエストのユーザー入力検証の不備に起因するもので、攻撃者がユーザーレベルのアクセスを取得した後、root権限への昇格が可能になります。CVSSスコアは8.2ですが、重大な影響度として分類されています。

CISAはこの脆弱性について、2月11日までのパッチ適用期限を設定しました。Cisco Unified Communications製品を利用している組織は、この期限に間に合うよう対応を進めてください。

VivotekカメラおよびTelnetの脆弱性

監視カメラに関する脆弱性も報告されています。

AkamaiのSIRTがVivotekのレガシーカメラファームウェアに、CVE-2026-22755として追跡されるコマンドインジェクション脆弱性を発見しました。upload_map.cgiスクリプトの不適切な入力検証により、認証なしでroot権限での任意コード実行が可能です。FD、FE、IB、IPシリーズなど33以上のカメラモデルが影響を受けています。

また、CVE-2026-24061として追跡されるTelnetの認証バイパス脆弱性も発見されています。USER環境変数に「-f root」を設定することで認証を回避し、rootとしてログインが可能です。この脆弱性はバージョン1.9.3以降、11年間コードベースに存在していたとのことです。

GreyNoiseの報告によると、既に悪用の試行が観測されています。Telnetサービスの無効化、またはIPホワイトリストによるアクセス制限が推奨されています。

レガシーデバイスやTelnetを使用しているシステムについては、セキュリティ設定の見直しを検討してください。

WordPressプラグインの脆弱性

WordPressに関する脆弱性も複数報告されています。

RealHomes CRMプラグインのバージョン1.0.0以前に、CVE-2025-67968として追跡される脆弱性が発見されました。サブスクライバー権限のユーザーがCSVインポート機能を通じて任意のファイルをアップロード可能で、サイトの乗っ取りにつながる恐れがあります。権限チェックとファイルタイプ検証が欠如していたことが原因で、約3万のWordPressサイトが影響を受けています。バージョン1.0.1で修正済みです。

また、LA-Studio Element Kit for Elementorプラグインにバックドア脆弱性CVE-2026-0920が発見されました。CVSSスコアは9.8と非常に高く、2万件以上のサイトが影響を受けています。報告によると、LA-Studioの元従業員が退職前に意図的にバックドアを注入していたとのことです。未認証の攻撃者が管理者アカウントを作成可能で、バージョン1.6.0への即時更新が必要です。

WordPressを運用している組織は、使用しているプラグインのアップデート状況を確認してください。

医療機関のデータ侵害

医療分野でのデータ侵害が複数報告されています。

コロンビア・メディカル・プラクティスは、2025年11月のランサムウェア攻撃で患者データが侵害されたことを確認しました。Qilinランサムウェアグループが犯行声明を出しており、氏名、社会保障番号、健康情報などが含まれる可能性があります。

ジュピター・メディカル・センターは、2025年1月のOracle Health（旧Cerner）関連の侵害で約75万人が影響を受けたと発表しました。社会保障番号を含む医療記録が露出しています。

また、フィラデルフィアのLaurel Health Centersも2025年7月のメール環境への不正アクセスにより、患者情報が漏えいした可能性があると通知しています。

医療機関はサイバー攻撃の主要な標的となっています。英国NHSはサプライヤーに対しサイバーセキュリティ基準の改善を求める公開書簡を発出し、パッチ適用、MFA適用、変更不可能なバックアップ、取締役会レベルの演習実施などの対策を要請しています。

アンダーアーマーのデータ侵害

スポーツ用品大手のアンダーアーマーがデータ侵害を受けた可能性について調査中です。

Everestランサムウェア集団が2025年11月にアンダーアーマーを攻撃し、交渉が決裂した後、7,220万件のアカウントデータをダークウェブに流出させたと主張しています。Have I Been Pwned?がこのデータを追加したと報告されています。

流出したとされるデータには、氏名、メールアドレス、生年月日、購入履歴、ロイヤルティプログラムの詳細が含まれる可能性があります。アンダーアーマーはパスワードや金融情報が盗まれた兆候はないとしていますが、詳細については沈黙を維持しています。この件に関して集団訴訟が提起されたとの報告もあります。

ランサムウェア集団のリーダーが有罪答弁

ランサムウェア関連の法執行に関するニュースです。

ロシア国籍のイアニス・アレクサンドロビッチ・アントロペンコが、2022年8月までの4年間に少なくとも50人の被害者を標的にしたランサムウェア共謀の首謀者として有罪答弁を行いました。ZeppelinやGlobeImposterを含む複数のランサムウェア亜種を使用し、被害者は少なくとも150万ドルの損失を被りました。マネーロンダリング共謀およびコンピュータ詐欺共謀で、最大禁錮25年と最大75万ドルの罰金に直面しています。

Kimwolfボットネットの拡散

Kimwolfと名付けられたIoTボットネットが200万台以上のデバイスに拡散し、DDoS攻撃や悪意あるトラフィックの中継に利用されています。

このボットネットは中国のプロキシサービスIPIDEAを悪用し、認証を受けていないAndroid TVストリーミングボックスを主な標的としています。ローカルネットワーク上の脆弱なデバイスをスキャンし感染を広げています。

Infobloxによると、同社の法人顧客の約25%がKimwolf関連ドメインへのクエリを記録しており、教育・医療から政府・金融まで幅広い業種に影響が及んでいます。

curlがバグバウンティプログラムを終了

オープンソースのデータ転送ツールcurlの開発者が、低品質なAI生成脆弱性報告の増加を受け、1月末でHackerOneバグバウンティプログラムを終了すると発表しました。

2026年に入ってから20件の提出があったものの、いずれも有効な脆弱性を特定していなかったとのことです。2月1日以降はGitHub経由での直接報告に移行し、金銭報酬は提供されません。「くだらない」報告を提出する人は追放され、公開で嘲笑されると警告しています。

関連して、Node.jsプロジェクトもHackerOneのバグバウンティプログラムで脆弱性報告に最低Signalスコア1.0を要求する品質管理措置を導入しました。12月15日から1月15日の間に30件を超える報告を受け取り、相当数が低品質または無効だったためとしています。

AIによる脆弱性報告の自動生成が増加し、セキュリティ研究のエコシステムに影響を与えている状況が伺えます。

採用詐欺と求職者を狙った攻撃

1月は雇用関連のメール詐欺が急増しているとBitwardenの専門家が警告しています。

詐欺師はAmazonなど評判の高い企業になりすまし、フォーマルな口調や緊急性を煽る文言で求職者をだまします。応募していない職についてのメッセージや即時の返信要求は警戒サインです。送信者の正当性確認、URLの点検、面接をライブで設定しない相手への警戒が推奨されています。

また、北朝鮮の脅威アクター集団PurpleBravoが、偽の採用プロセスを利用した「Contagious Interview」キャンペーンで、AI、暗号資産、金融など多分野の企業20社を攻撃したとの報告もあります。Visual Studio Codeプロジェクトや偽LinkedInプロフィールを悪用し、BeaverTailやGolangGhostなどのマルウェアを展開しています。

ReliaQuest Threat Researchも、LinkedInのダイレクトメッセージを通じて専門職をだまし、悪意あるファイルをダウンロードさせる新たなフィッシングキャンペーンを特定しています。DLLサイドローディングを用い、正規のPDFリーダーやPythonスクリプトにマルウェアを隠す手法で、TensorFlow.jsを活用したリモートアクセス型トロイの木馬をインストールします。

求職活動中の方は、予期しない連絡には十分注意し、正規のルートで企業の採用情報を確認するようにしてください。

監視技術の悪用とスパイウェア関連

監視技術の悪用に関する報告が複数あります。

Citizen Labの調査により、ヨルダン当局がCellebriteの携帯電話解析技術を用いて国内の活動家や人権擁護者の端末にアクセスしていたことが判明しました。2023年末から2025年半ばの間に、政治活動家、学生オーガナイザー、研究者、人権擁護者が標的にされていました。イスラエル拠点のCellebriteは調査中と回答しています。

スペイン高等裁判所は、イスラエルからの協力が得られないことを理由に、NSOグループのPegasusスパイウェアによる政府高官監視疑惑の捜査を打ち切りました。2022年5月に開始された捜査で、サンチェス首相やロブレス国防相の端末がスパイされた疑いがありましたが、イスラエルは5回の協力要請に応じませんでした。裁判官は「国際的義務の明白な違反」と指摘しています。

一方、アイルランド政府は法執行機関によるスパイウェア使用を合法化する法案を起草する計画を発表しました。重大犯罪や安全保障上の脅威への対処が目的で、傍受要請には裁判所の承認が必要とされています。

ページキャッシュ攻撃の最適化

グラーツ工科大学の研究者がLinuxのページキャッシュ攻撃を最適化し、従来の149ミリ秒に対して0.8マイクロ秒でキャッシュからページを削除可能にしたと発表しました。

研究者らは、フィッシング用オーバーレイの同期起動、キー入力間のタイミング攻撃、Docker環境での分離破壊、Firefoxの閲覧履歴特定など、複数の攻撃シナリオを実証しました。

この研究に関連してCVE-2025-21691として1件のみ緩和策が講じられていますが、根本的な問題は残っているとのことです。この研究は、OSレベルのセキュリティ課題が依然として存在することを示しています。

中国製電気バスのセキュリティリスク調査

オーストラリア政府が中国・宇通客車製電気バスの国家安全保障リスクを調査しています。

ノルウェーRuterの調査で、宇通がバスとOTA（Over-The-Air）接続を維持し、理論上は車両を停止させることが可能であることが判明しました。CANバスへの遠隔アクセスやインターネット経由でのハッカーによる攻撃への脆弱性が指摘されています。

ただし、中国製キルスイッチや侵襲的なデータ収集システムの証拠は見つかっていないとのことです。

コネクテッドカーやスマート交通システムのセキュリティは、今後ますます重要なテーマになると考えられます。

クロージング

本日は、Fortinetファイアウォールへの攻撃とパッチ回避の問題、SmarterMailの認証バイパス脆弱性の悪用、Pwn2Own Automotive 2026でのゼロデイ発見、そしてAIを悪用したサイバー犯罪の増加など、多くの重要なセキュリティニュースをお伝えしました。

特にFortiGate製品をお使いの組織は、FortiCloud SSOの利用状況を確認し、必要に応じて無効化の対応を検討してください。また、SmarterMailやGitLabなど、パッチが公開された製品については速やかなアップデートをお勧めします。

パッチ公開から悪用開始までの時間が短くなっている傾向が続いています。脆弱性情報を迅速にキャッチアップし、優先度の高いものから対応していく体制が重要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。