東京セキュリティブリーフィング 2026年01月27日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年1月27日、火曜日の配信です。

本日も、日本の企業や組織のセキュリティ担当者の皆さまに向けて、昨日公開された重要なセキュリティニュースをお届けします。本日は、ロシアの国家支援ハッカーによるインフラ攻撃、重大なゼロデイ脆弱性、そして北朝鮮関連グループによる巧妙な攻撃手法など、注目すべきトピックが数多くあります。それでは、まずヘッドラインからご紹介していきましょう。

ヘッドライン

本日の主要ニュースです。

まず、複数のセキュリティメディアが報じている重要なニュースとして、ロシアのSandwormグループによるポーランド電力網へのワイパー攻撃が挙げられます。ESETの調査により、この攻撃はGRU傘下のAPT44によるものと特定されました。

次に、CISAがVMware vCenterの重大な脆弱性が積極的に悪用されていると警告を発しています。連邦機関には2月13日までのパッチ適用が命じられました。

また、CiscoのUnified Communications Managerにゼロデイ脆弱性が発見され、認証不要でリモートコード実行が可能な状態でした。緊急パッチが公開されています。

さらに、GNU InetUtilsのtelnetdにCVSSスコア9.8の重大な脆弱性が見つかり、約80万件のインスタンスがインターネット上に露出していることが判明しています。

そして、東京で開催されたPwn2Own Automotive 2026では、76件のゼロデイ脆弱性が発見され、賞金総額は100万ドルを超えました。

それでは、各ニュースの詳細を見ていきましょう。

詳細解説

ロシアSandwormによるポーランド電力網へのワイパー攻撃

本日最も注目すべきニュースは、ロシアの国家支援ハッカー集団Sandwormによるポーランド電力網への攻撃です。複数のセキュリティメディアがこの話題を取り上げており、その重要性の高さを示しています。

セキュリティ企業ESETの報告によると、2025年12月にポーランドの電力会社を標的としたサイバー攻撃が発生しました。攻撃にはDynoWiperと呼ばれるワイパーマルウェアが使用されました。ESETはこの攻撃を、ロシアGRU傘下のSandworm、別名APT44によるものと「中程度」の確信度で帰属させています。

この攻撃は、再生可能エネルギー関連ハードウェアと送配電事業者間の通信を妨害することを試みたものでしたが、妨害は成功しなかったとされています。興味深いことに、この攻撃は2015年にSandwormがウクライナの電力網を攻撃してからちょうど10周年のタイミングで実施されており、象徴的な意味合いがあると分析されています。

日本の組織にとって、この事例はいくつかの重要な教訓を示しています。まず、重要インフラを運用する組織は、国家支援の高度な攻撃者からの標的となる可能性があるということです。また、ワイパー型マルウェアによる破壊的攻撃への備えが必要です。エネルギーセクターの組織は、OTネットワークのセグメンテーションと監視を強化することが推奨されます。

VMware vCenterの重大な脆弱性が積極的に悪用中

続いて、こちらも複数のメディアが報じている重要なニュースです。CISAとBroadcomが、VMware vCenter Serverの重大な脆弱性CVE-2024-37079が積極的に悪用されていると警告を発しています。

この脆弱性はCVSSスコア9.8と極めて深刻で、vCenter ServerのDCERPCプロトコルにおけるヒープオーバーフロー、具体的にはアウト・オブ・バウンズ書き込みの脆弱性です。攻撃者は認証なしでリモートからコード実行が可能となります。

CISAはこの脆弱性を既知の悪用脆弱性カタログ（KEV）に追加し、連邦機関に対して2026年2月13日までにパッチを適用するよう命じています。Broadcomも実環境での悪用を確認しています。

注目すべき点として、この脆弱性に対するパッチは2024年6月に既に公開されていました。つまり、パッチ適用が遅れている組織が攻撃者の標的となっているということです。

VMware vCenter Serverを運用している日本の組織は、直ちにパッチ適用状況を確認し、未適用の場合は最優先で対応する必要があります。仮想化基盤は多くの企業システムの根幹を担っているため、この脆弱性の悪用は甚大な被害につながる可能性があります。

Cisco Unified Communications Managerのゼロデイ脆弱性

Ciscoは、Unified Communications Managerなどの製品に影響するゼロデイ脆弱性CVE-2026-20045に対する緊急パッチを公開しました。

この脆弱性は、認証不要でOSレベルのリモートコード実行が可能という極めて危険なものです。既に攻撃が進行中であることが確認されており、CISAは既知の悪用脆弱性カタログに追加しています。

Cisco Unified Communications Managerは企業の電話システムやビデオ会議システムの基盤として広く使用されています。日本でも多くの企業がCisco製品を採用しているため、該当製品を使用している組織は速やかにパッチを適用することが強く推奨されます。

GNU InetUtils telnetdの重大な脆弱性

古くから使われているプロトコルであるTelnetに、深刻な脆弱性が発見されました。GNU InetUtilsのtelnetdにおけるCVE-2026-24061は、CVSSスコア9.8の重大な脆弱性です。

この脆弱性は、USER変数を検証せずにloginコマンドに渡してしまう問題で、攻撃者は「-f root」というようなパラメータを送信することで認証を回避し、root権限を取得できてしまいます。驚くべきことに、この脆弱性は2015年から約11年間も潜伏していたとされています。

さらに深刻なのは、この脆弱性に対するPoCエクスプロイトが既に公開されており、公開から18時間以内に60件の悪用試行が観測されたことです。Shadowserver Foundationによると、約80万件のtelnetdインスタンスがインターネット上に露出しています。

Telnetは全てのデータを平文で送信するため、認証情報の盗聴やさらなる横展開に悪用される可能性があります。まだTelnetを使用している組織は、直ちにSSHへの移行を検討すべきです。移行が困難な場合は、少なくともファイアウォールでアクセスを厳しく制限する必要があります。

東京開催のPwn2Own Automotive 2026で76件のゼロデイ発見

明るいニュースもお伝えしましょう。東京で開催されたPwn2Own Automotive 2026では、76件のゼロデイ脆弱性が発見され、賞金総額は100万ドルを超えました。

優勝したのはFuzzware.ioチームで、215,500ドルの賞金を獲得しています。テスラのインフォテインメントシステムやEV充電器などが攻撃対象となりました。

Pwn2Ownは、ホワイトハッカーが管理された環境で製品の脆弱性を発見し、ベンダーに報告する競技会です。発見された脆弱性は悪意ある攻撃者に悪用される前に修正されるため、自動車業界全体のセキュリティ向上に貢献しています。コネクテッドカーのセキュリティが注目される中、このような取り組みの重要性は増しています。

北朝鮮関連グループによるAI活用攻撃

北朝鮮関連の脅威アクターによる攻撃手法の進化についても、複数の報告がありました。

まず、KONNIグループが生成AIを活用してPowerShellバックドアを作成し、ブロックチェーン開発者を標的にしていることがCheck Point Researchにより報告されています。攻撃は日本、オーストラリア、インドにも拡大しており、Discord経由でZIPファイルを配布し、API認証情報や暗号資産ウォレットを狙っています。このマルウェアは40種類以上の解析ツールをチェックして検知を回避する機能を持っています。

また、BlueNoroffグループは2016年のバングラデシュ中央銀行強奪で8100万ドルを盗んで以来、手法を進化させています。現在は偽の採用活動やサプライチェーン攻撃を展開し、Web3や暗号資産分野を標的にデジタル通貨とAPI認証情報の窃取を狙っています。

さらに、LazarusグループはOperation DreamJobの一環として、欧州の防衛請負企業、特にUAV（ドローン）製造関連企業を標的としています。偽の求人オファーとトロイの木馬化されたPDFリーダーを使用し、ScoringMathTeaマルウェアを展開しています。ESETは2025年3月下旬から3社への攻撃を特定しています。

日本の組織、特にブロックチェーン開発、防衛関連、暗号資産を扱う企業は、これらの攻撃手法に注意が必要です。求人オファーやLinkedIn経由の接触には慎重に対応し、不審なファイルの実行を避けることが重要です。

WordPressプラグインにバックドア、2万サイトに影響

WordPress用プラグイン「LA-Studio Element Kit for Elementor」に、CVE-2026-0920というCVSSスコア9.8の重大な脆弱性が発見されました。

この脆弱性は、認証不要で悪意ある管理者ユーザーを作成できるバックドアが仕込まれていたというものです。ベンダーの説明によると、元従業員が退職間際にバックドアコードを挿入したとのことです。アクティブインストール数は2万以上とされており、多くのサイトが影響を受ける可能性があります。

バージョン1.6.0で修正されているため、このプラグインを使用しているWordPressサイト管理者は、直ちにアップグレードを行う必要があります。また、不審な管理者アカウントが作成されていないかの確認も推奨されます。

Stanleyマルウェアツールキット、正規URLを偽装

セキュリティ企業Varonisが「Stanley」と呼ばれる新たなマルウェアツールキットを発見しました。このツールキットはロシアのサイバー犯罪フォーラムで2,000ドルから6,000ドルで販売されています。

Stanleyの特徴的な機能は、ChromeブラウザのURLバーに正規のドメインを表示したまま、全画面のiframeでフィッシングページを重ねて表示できることです。Notelyという拡張機能を装い、Chromeウェブストアの審査を通過することを保証しているとされています。BinanceやCoinbaseなどの暗号資産取引所が標的となっています。

このような攻撃は、URLを確認するという従来の防御策を無効化します。ブラウザ拡張機能の管理を厳格化し、信頼できるソースからのみインストールを許可することが重要です。

Microsoft、BitLocker暗号化キーをFBIに提供

Microsoftが、司法令状に基づきBitLocker回復キーをFBIに引き渡す慣行を確認したことが報じられています。

グアムでの詐欺捜査において、3台のノートPCの復号キーが提供されました。Microsoftによると、年間約20件の要請があり、クラウドに保管されているキーのみ対応可能とのことです。ただし、多くはローカルアカウントのため応じられないケースも多いとされています。

プライバシー擁護者からは批判の声が上がっています。ワイデン上院議員は「まったく無責任」と述べています。

この報道は、BitLockerの回復キーをMicrosoftアカウントにバックアップする機能のリスクを示しています。機密性の高いデータを扱う組織は、回復キーの保管方法を見直し、必要に応じてローカルでの管理を検討すべきかもしれません。

偽CAPTCHAによるマルウェア配布

偽のCAPTCHA検証を装ったマルウェア配布が複数報告されています。

Blackpoint Cyberが発見した手口では、偽CAPTCHAページでユーザーにWindowsキー+Rを押してコードを貼り付けさせ、Amatera Stealerをインストールさせます。正規のMicrosoftスクリプトを悪用し、GoogleカレンダーやPNG画像に悪意あるコードを隠すステガノグラフィ手法が使われています。

また、別の報告では9,494件の追跡資産を分析したところ、70%が1つの視覚グループにクラスタリングされ、VBScript、PowerShell、MSIなど32種類のペイロード亜種が確認されています。

さらに、MacSyncというmacOS向け情報窃取マルウェアは、ClickFix手口でユーザーにターミナルコマンドを貼り付けさせてGatekeeperを回避します。ブラウザ認証情報、暗号資産ウォレット、Keychainデータ、LedgerやTrezorのリカバリーフレーズを窃取します。

従業員教育において、CAPTCHAと称してコマンドの実行を求める手口への警戒を呼びかけることが重要です。

1Passwordがフィッシング警告機能を追加

パスワードマネージャーの1Passwordが、フィッシング対策として新機能を追加しました。タイポスクワッティングなどの偽サイトにアクセスした際、ポップアップ警告を表示してユーザーに注意を促します。

1Passwordの調査によると、61%がフィッシング被害を経験しており、75%がURLを確認しないことが判明しています。個人・ファミリープランでは自動有効化され、企業は管理コンソールから設定可能です。

パスワードマネージャーにこのような保護機能が組み込まれることで、エンドユーザーのセキュリティ意識に依存せずにフィッシング被害を軽減できる可能性があります。

SansecのAIがEコマース拡張機能で353件の脆弱性を発見

セキュリティ企業SansecがAI駆動のパイプラインを使用し、Packagistの上位5,000件のEコマース拡張機能を分析しました。その結果、353件の脆弱性が特定されました。

内訳は、認証バイパスが265件、SQLインジェクションが50件、リモートコード実行（RCE）が15件などです。総コストは約1万ドル、1件あたり約2ドルという驚くべき効率で実施されました。

この取り組みは、AIを活用した脆弱性発見の可能性を示すとともに、Eコマースプラットフォームを運用する組織に対して、使用している拡張機能やプラグインのセキュリティ評価の重要性を示しています。

EmEditorユーザーを狙ったウォータリングホール攻撃

テキストエディタEmEditorのダウンロードページが侵害され、改ざんされたMSIインストーラが配布されていたことが判明しました。

このインストーラはPowerShellベースの多段階スティーラーマルウェアを展開します。ジオフェンシングによりCIS諸国（旧ソ連圏）を除外しており、攻撃者がロシアまたはCIS圏由来である可能性を示唆しています。年末年始の休暇期間が悪用されました。

正規のソフトウェアダウンロードサイトが侵害される事例は、サプライチェーン攻撃の一形態として注意が必要です。ソフトウェアのダウンロード時はハッシュ値の検証を行い、可能であれば公式サイト以外からのダウンロードを避けることが推奨されます。

Linuxとコンテナの隔離を破るキャッシュ攻撃

NDSS 2026で発表された研究により、新たなページキャッシュ攻撃が報告されています。posix_fadviseやpreadv2システムコールを悪用することで、最小限の権限でサイドチャネル攻撃が可能になります。

この攻撃により、Dockerコンテナ内の活動検出やキーストローク記録などに悪用される可能性があります。CVE-2025-21691が割り当てられ、修正済みとなっています。

コンテナ技術を活用している組織は、カーネルのアップデートを適用し、コンテナ環境のセキュリティを継続的に監視することが重要です。

プライバシーとデータ漏えい関連

データ漏えいに関するニュースもお伝えします。

研究者Jeremiah Fowler氏が保護されていないデータベースを発見しました。1億4,940万件のログイン情報とパスワードが露出しており、Gmail 4,800万件、Instagram 650万件の記録が含まれていました。Facebook、政府系ドメインのデータも含まれ、インフォスティーラーマルウェアの出力が保存されていたことが判明しています。96GBのデータが公開状態でした。

また、Crunchbaseは、ShinyHuntersグループによる200万件超の記録を含むデータ侵害を確認しました。流出データにはPII、契約書、企業データが含まれています。

さらに、ナイキからWorldLeaksグループが1.4TB・188,347件のファイルを持ち出したと主張しています。流出データには製品設計や製造ワークフローに関するものが含まれており、ナイキは調査中と認めています。

Microsoft Windows 11の起動障害と修正パッチ

Microsoftは1月の更新プログラム適用後に発生した深刻な問題に対処するため、緊急パッチKB5078127およびKB5078132を公開しました。

KB5074109により「UNMOUNTABLE_BOOT_VOLUME」エラーで起動失敗が発生する問題が報告されていました。物理デバイスのみ影響し、仮想マシンは問題ありません。また、OneDrive等のクラウドストレージ障害やOutlookのフリーズも発生していました。

Windows 11のバージョン25H2、24H2、23H2が対象です。Windows回復環境からのアンインストールが対処法として案内されていますが、緊急パッチの適用が推奨されます。

OTネットワーク保護のガイドライン

CISAが国際パートナーと連携し、OT（Operational Technology）ネットワーク保護の8原則フレームワークを公表しました。

推奨事項には、DNP3-SAv5やCIP Securityなどの安全なプロトコルの使用、マイクロセグメンテーション、レガシー技術の管理などが含まれています。特に、旧式製品は「信頼できない存在として扱う」よう指示されています。

産業制御システムを運用する日本の組織は、このフレームワークを参考にOTネットワークのセキュリティ態勢を見直すことが推奨されます。

クロージング

本日は、ロシアSandwormによるポーランド電力網へのワイパー攻撃、VMware vCenterやCisco製品の重大な脆弱性、telnetdの11年間潜伏していた脆弱性、そして北朝鮮関連グループによるAIを活用した攻撃手法など、多くの重要なニュースをお伝えしました。

特に、VMware vCenterの脆弱性は2024年6月にパッチが公開されているにもかかわらず、今なお悪用が続いています。パッチ管理の重要性を改めて認識させられる事例です。

また、北朝鮮関連グループがAIを活用して攻撃手法を進化させていることも注目に値します。ブロックチェーン開発者や暗号資産関連企業を狙った攻撃が日本にも拡大しているため、該当する業界の方は特に警戒が必要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。パッチ適用状況の確認、不審なメールや求人オファーへの警戒、そしてセキュリティ監視の強化を心がけていただければと思います。

東京セキュリティブリーフィングでした。また次回お会いしましょう。