東京セキュリティブリーフィング 2026年01月29日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月29日、木曜日です。今週も重要なセキュリティニュースが多数入ってきています。本日は、複数のメディアで取り上げられている注目度の高いニュースを中心に、詳しく解説していきます。

ヘッドライン

まず本日お伝えする主なニュースです。

FortinetのFortiCloud SSOにおける深刻なゼロデイ脆弱性が実際に悪用されており、緊急対応が行われています。

Microsoft Officeにおいてもゼロデイ脆弱性が確認され、緊急パッチがリリースされました。

WinRARのパストラバーサル脆弱性が、国家支援型グループと金銭目的の攻撃者の両方から広範に悪用されています。

ShinyHuntersグループによる大規模なフィッシングキャンペーンで、100社以上の組織がOkta SSO認証情報を狙われています。

NikeがWorldLeaksランサムウェアグループによるデータ流出の主張を受けて調査を開始しました。

そしてWhatsAppがスパイウェア対策の新しいロックダウン機能を発表しています。

それでは詳しく見ていきましょう。

詳細解説

Fortinet FortiCloud SSOのゼロデイ脆弱性が悪用中

まずトップニュースとして、複数のメディアで大きく取り上げられているFortinetの深刻な脆弱性についてお伝えします。

FortinetはCVE-2026-24858として追跡される認証バイパスの脆弱性を確認しました。CVSSスコアは9.4と極めて高い深刻度です。この脆弱性により、FortiCloudアカウントを持つ攻撃者が、他の顧客のFortiOS、FortiManager、FortiAnalyzerデバイスへの管理者アクセスを取得できる状態でした。

実際に2つの悪意あるFortiCloudアカウントによる悪用が確認されています。攻撃者はcloud-noc@mail.ioとcloud-init@mail.ioというアカウントを使用しており、2026年1月22日にロックアウトされました。攻撃者はSSO認証後に「audit」「backup」「support」「itadmin」「secadmin」といった名称でローカル管理者アカウントを作成し、設定ファイルのダウンロードを行っていたことが判明しています。

Fortinetは1月26日から27日にかけてFortiCloud SSOを世界的に一時停止し、その後脆弱なバージョンからのログインをサポートしない形で再有効化しました。CISAもこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加しています。

Fortinet製品を使用している組織は、すぐに自社のデバイスで不審な管理者アカウントが作成されていないか確認してください。また、ファームウェアを最新バージョンに更新し、設定ファイルが不正にダウンロードされていないかログを確認することをお勧めします。

Microsoft Officeのゼロデイ脆弱性に緊急パッチ

続いて、こちらも複数のメディアで報じられているMicrosoft Officeの脆弱性についてです。

MicrosoftがCVE-2026-21509に対する緊急パッチをリリースしました。CVSSスコアは7.8で、深刻度は高いと評価されています。この脆弱性はMicrosoft OfficeのOLE緩和策を回避するもので、実際に悪用が確認されています。

影響を受ける製品は、Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024、そしてMicrosoft 365 Apps for Enterpriseです。この脆弱性はCOMおよびOLEコンポーネントの保護機構を無効化するもので、ユーザーが悪意あるファイルを開くだけでローカル攻撃が成立する可能性があります。

CISAはこの脆弱性をKEVカタログに追加し、2月16日までの対応を要求しています。

重要な点として、Office 2021以降のバージョンはサーバー側で自動的に修正されていますが、再起動が必要です。一方、Office 2016およびOffice 2019を使用している組織は手動でパッチを適用する必要があります。

Microsoft Office製品を利用している組織は、自社で使用しているバージョンを確認し、速やかにパッチを適用してください。また、不審な添付ファイルを開かないよう、従業員への注意喚起も重要です。

WinRARの脆弱性が国家支援型と金銭目的の両グループに悪用中

次に、これも複数のメディアで報告されているWinRARの脆弱性についてです。

CVE-2025-8088として追跡されるWinRARのパストラバーサル脆弱性が、ロシアおよび中国関連の国家支援グループと金銭目的のアクターによって広範に悪用されています。Google Threat Intelligence Groupによると、少なくとも金銭目的の攻撃者3者、ロシアの国家支援グループ4つ（UNC4895、APT44、Turlaなど）、そして中国拠点の攻撃者1者がこの脆弱性を悪用しています。

この脆弱性は2025年7月に発見されパッチが提供されていますが、6か月経った現在も未更新の組織が標的となっています。攻撃者は悪意あるRARアーカイブを開かせることで、Windowsスタートアップフォルダーにファイルを書き込み、システム再起動時にマルウェアを自動実行させる永続化手法を使用しています。

ロシア系グループはウクライナの軍・政府機関を標的にしており、金銭目的のアクターはXWormやAsyncRATなどのマルウェアを配布しています。悪用は「zeroplayer」というエクスプロイト販売者から入手した可能性も指摘されています。公開されたツールで悪意あるアーカイブを迅速に作成できるため、参入障壁が低い状態です。

WinRARを使用している組織は、直ちに最新バージョンにアップデートしてください。また、不審なRARアーカイブを開かないよう従業員に周知することも重要です。

ShinyHuntersが100社超を標的にOkta認証情報を窃取

続いて、大規模なフィッシングキャンペーンについてお伝えします。

Silent Pushの調査により、ShinyHuntersグループが過去30日間で少なくとも100の組織を標的にしていることが判明しました。標的にはAtlassian、Canva、Epic Games、HubSpot、Moderna、Telstra、Mercury Insurance、ZoomInfoなどの大手企業が含まれています。

この攻撃グループは「Scattered LAPSUS$ Hunters（SLH）」とも呼ばれ、LAPSUS$やScattered Spiderの手法を踏襲しています。攻撃者は音声フィッシング（ビッシング）を使用し、OktaなどのSSO認証情報を狙っています。

彼らはLive Phishing Panelという手法を使用しており、被害者とIDプロバイダー間に割り込んでMFAプロンプトをリアルタイムで傍受します。これにより、多要素認証を導入していても認証情報とMFAトークンを同時に盗み取ることが可能になっています。

さらに攻撃者は、認証情報を入手した後にSlackやTeams上で他の従業員になりすまして権限を拡大する手口も使用しています。

また、ShinyHuntersはPanera Breadから1,400万件超、CarMaxから50万件超、Edmundsから「数百万」件のレコードを盗んだと主張しています。Microsoft Entra SSO経由でPaneraへアクセスを得たとされています。

Oktaは、OktaのSSOコードを盗む音声フィッシングキャンペーンが相次いでいると警告を発しています。

組織としては、従業員に対して電話による認証情報の確認要求には応じないよう教育することが重要です。また、不審な電話があった場合は、正規のIT部門の連絡先に直接確認するよう周知してください。

Nike、WorldLeaksによるデータ流出の主張を受け調査開始

次に、大手企業のデータ侵害の可能性についてです。

スポーツウェア大手のNikeは、WorldLeaksランサムウェアグループが1.4テラバイト超のデータ流出を主張したことを受け、潜在的なサイバーセキュリティインシデントを調査中です。

JustaBreachの報告によると、流出データには約188,347件のファイルが含まれ、社内文書、過去5年分のアーカイブ、サプライチェーン・製造情報、R&D、製品開発、戦略プレゼンテーションなどが含まれるとされています。

現時点では個人情報（PII）の露出を示す証拠はなく、主に「産業スパイ」の機会を示唆する内容とのことです。ただし、データの真正性は未検証の状態です。

興味深いことに、World Leaksは流出リストからNikeのエントリーを削除しており、これは交渉中または身代金支払い済みの可能性を示唆しています。

この事案は、サプライチェーンの情報がサイバー犯罪者の主要な標的になっていることを改めて浮き彫りにしています。製造業やサプライチェーンに関わる企業は、自社の機密情報の保護を見直す良い機会かもしれません。

WhatsAppがスパイウェア対策のロックダウン機能を発表

続いて、プライバシー保護に関する明るいニュースです。

WhatsAppが「厳格なアカウント設定（Strict Account Settings）」という新機能を発表しました。この機能は、「まれで高度なサイバー攻撃の標的となり得る」ジャーナリストや公的な立場の人物を想定した「ロックダウン形式の機能」です。

この機能を有効にすると、以下の設定が一括で適用されます。連絡先リストにない相手からの添付ファイルやメディアがブロックされます。最終ログイン・オンライン状態の表示が制限されます。グループへの追加が制限されます。リンクプレビューが無効化されます。未知のアカウントからの大量メッセージがブロックされます。そして二段階認証が自動的に有効化されます。

この機能は設定画面のプライバシー、詳細設定から主端末のみで有効化可能で、今後数週間で全ユーザーに段階的に展開される予定です。

高リスクな立場にある方は、この機能が利用可能になり次第、有効化を検討してください。

Telnetの認証バイパス脆弱性が活発に悪用中

続いて、レガシーシステムに関する重要な脆弱性についてです。

GNU InetUtilsのtelnetdサーバーにCVE-2026-24061として追跡される認証バイパス脆弱性が発見され、CISAがKEVカタログに追加しました。この脆弱性は2015年から存在していたもので、攻撃者は「-f root」という文字列を送信するだけでroot権限アクセスを取得できます。

世界中で約80万のtelnetインスタンスがインターネットに露出しており、特にOT環境やレガシーIoT機器でリスクが高いと指摘されています。製造、医療、政府部門の組織がtelnetを使用するデバイスを最も多く保有しているとのことです。

telnetは暗号化されていない古いプロトコルであり、本来であればSSHなどのセキュアなプロトコルに置き換えるべきです。しかし、レガシーシステムではtelnetが必要な場合もあるため、その場合はファイアウォールで適切にアクセスを制限し、可能であればVPN経由でのみアクセスできるようにすることをお勧めします。

医療業界へのサイバー攻撃が深刻化

次に、医療業界を取り巻くサイバーセキュリティの状況についてです。

Trellixのレポートによると、2025年に医療環境で検知された脅威は5,470万件に上り、そのうちメール関連が85%、米国が75%を占めました。特に注目すべきは「恐喝のみ」の攻撃、つまりファイルを暗号化せずにデータ窃取と脅迫だけを行う攻撃が2023年から300%増加し、医療機関への全攻撃の12%を占めるようになったことです。

2025年のランサムウェアは単なるファイル暗号化から、データ窃取と心理的圧力を組み合わせた恐喝キャンペーンへと進化しています。攻撃者は高規制地域の中小企業を標的にし、GDPRやHIPAAなどの規制違反コストを利用して交渉力を高めているとのことです。

病院の停止は1日あたり約190万ドルのコストとなり、平均停止期間は17日超に及ぶ可能性があると報告されています。攻撃がITシステムから臨床環境へ「連鎖効果」で広がり、患者ケアに直接影響を与えるリスクが高まっています。

医療機関は、メールセキュリティの強化、バックアップの定期的なテスト、インシデント対応計画の見直しを優先的に行うべきでしょう。

悪意あるChrome拡張機能による被害が相次ぐ

続いて、ブラウザ拡張機能に関するセキュリティリスクについてです。

ロシアのハッカー「Stenli」が「Stanley」と呼ばれるツールキットを2,000〜6,000ドルで販売しています。このツールキットは悪意あるChrome拡張機能を生成し、正規サイト訪問時に攻撃者制御のフィッシングページを全画面で重ね合わせます。アドレスバーには正規URLが表示されたままのため、ユーザーは気づきにくい仕組みです。販売者はChrome Web Storeの審査通過を保証するとしています。

また別の事例として、LayerX Securityが、ChatGPTの生産性向上ツールを装った16個の悪意あるブラウザ拡張機能を発見しました。これらは約900件のダウンロードが確認されており、すべて同一の脅威アクターが開発したものです。これらの拡張機能はユーザーがChatGPTにログインするのを待ってセッショントークンを盗み取り、ChatGPTの会話履歴やGoogle Drive、GitHubなど接続済みデータソースへのアクセスを攻撃者に提供します。

ブラウザ拡張機能をインストールする際は、公式ストアであっても信頼できる開発元かどうかを確認し、不要な権限を要求していないかチェックすることが重要です。また、定期的にインストール済みの拡張機能を見直し、使用していないものは削除することをお勧めします。

vm2 Node.jsライブラリに重大なサンドボックス脱出脆弱性

開発者の方に特に重要なニュースです。

vm2というNode.jsのサンドボックスライブラリにCVE-2026-22709として追跡されるCVSSクリティカルの脆弱性が発見されました。この脆弱性により、サンドボックスを脱出してホストシステム上で任意のコードを実行可能です。

原因は、async関数のPromise.prototype.thenおよびcatchのコールバックが適切にサニタイズされない問題にあります。この脆弱性はバージョン3.10.2で修正されています。

vm2を使用しているプロジェクトは、直ちにバージョン3.10.2以降にアップデートしてください。

同様に、Grist-CoreにもCVSSスコア9.1の重大なサンドボックス脱出脆弱性が発見されています。Pyodideサンドボックスを脱出し、単一の悪意あるスプレッドシート数式でリモートコード実行が可能です。この脆弱性はバージョン1.7.9でDenoベースの分離レイヤーを追加して修正されています。

中国関連グループが英首相補佐官をスパイしていた疑い

国際的なサイバースパイ活動についてのニュースです。

The Telegraphの報道によると、中国関連グループ「Salt Typhoon」が2021年以降、ボリス・ジョンソン、リズ・トラス、リシ・スナク各元首相の周辺にいる上級補佐官の携帯電話を標的にしていた疑いがあります。

攻撃者は通信事業者への侵入によりメタデータや通信内容にアクセスした可能性があり、この侵害は2024年に発見されたとのことです。

政府関係者や機密情報を扱う方は、通信のセキュリティについて改めて見直す必要があるかもしれません。

PeckBirdyフレームワークがアジアの組織を標的に

Trend Microが発見したJScriptベースのC2フレームワーク「PeckBirdy」についてです。このフレームワークは中国のサイバーキャンペーンに関連付けられており、2023年からアジアのギャンブル企業、政府機関、民間組織を標的にしています。

SHADOW-VOID-044とSHADOW-EARTH-045の2つのキャンペーンが特定され、HOLODONUTとMKDOORのモジュール型バックドアと組み合わせて使用されています。WebブラウザやMSHTAからNode.jsまで多数の実行形態をサポートし、永続的なファイル痕跡がないため検知が極めて困難とされています。

ATMマルウェア攻撃で31人を追加起訴

米国での法執行活動についてです。

ネブラスカ州連邦大陪審が、ベネズエラのギャング「トレン・デ・アラグア」のメンバー31人をPloutusマルウェアによるATMジャックポッティング共謀で起訴しました。2024年2月から2025年12月にかけて、少なくとも63台のATMから540万ドルを盗んだとされています。

攻撃者はATMのハードドライブを交換、またはUSBメモリでマルウェアをインストールし、現金を払い出させる手口を使用しました。司法省は過去6か月で同ギャングのメンバー計87人を起訴しています。

中国のマネーロンダラーが2025年に160億ドル超の不正暗号資産を移動

暗号資産に関するマネーロンダリングの動向です。

Chainalysisの調査によると、中国のマネーロンダリング・ネットワークは2025年に1日平均4,400万ドル、総額161億ドルの不正暗号資産を洗浄しました。全体で820億ドルがオンチェーンで洗浄されたと推計されており、「豚の屠殺」詐欺で盗まれた資金の推定10%を処理しているとのことです。

世界のマネーロンダリング・エコシステムは2020年の100億ドルから2025年には820億ドル超へと大幅に拡大しています。

暗号資産を扱う組織は、取引先のデューデリジェンスを強化し、不審な取引パターンの検知能力を高めることが重要です。

CISOが直面する4つの課題

セキュリティ組織のマネジメントに関する話題です。

ProofpointのVoice of the CISO Report 2025によると、CISOの76%が今後12カ月以内に重大なサイバー攻撃にさらされると考えており、58%が自社の準備不足を認識しています。

主な課題として4つが挙げられています。1つ目はチームメンバーへの権限付与不足です。2つ目はAI導入への対応遅れです。3つ目は取締役会との不整合です。そして4つ目は過剰なツールと低い統合度です。

CISOの方は、これらの課題に対して組織としてどう取り組むか、経営層との対話を進めることが重要でしょう。

シャドーAIが企業セキュリティリスクを増大

AI活用に関するセキュリティリスクについてです。

IBMの「2025年データ侵害のコスト」レポートによると、シャドーAIが関与するインシデントは侵害1件あたり推定308,000ドルの追加コストをもたらすとされています。

従業員が承認されていないAIツールで機密データを扱うことで、GDPR、CCPA、HIPAA違反のリスクが増大しています。可視性の欠如が検知を遅らせ、攻撃対象領域を拡大している状況です。

組織としては、承認されたAIツールの明確なガイドラインを策定し、従業員が安全にAIを活用できる環境を整備することが重要です。

偽CAPTCHAによるマルウェア配布が拡大

Censys研究者の分析により、約9,500の偽CAPTCHAエンドポイントが追跡され、その約70%が同一の視覚デザインを共有していることが判明しました。しかし、背後には30種類以上の異なるペイロード亜種が存在しています。

一部はクリップボード駆動の実行を使用し、他はブラウザ通知を悪用するサーバー駆動フレームワークを使用しています。

Webサイトで不審なCAPTCHAが表示された場合は注意が必要です。特に、CAPTCHAがコマンドの実行やクリップボードへのアクセスを要求する場合は、マルウェア配布の可能性が高いです。

医療機関のデータ侵害訴訟が和解

米国での医療データ侵害に関する訴訟の動向です。

テキサス州およびニュージャージー州の皮膚科診療所が、集団訴訟のデータ侵害訴訟で和解しました。ニュージャージー州のAffiliated Dermatologistsは373,630人分のデータ侵害で最大100万ドルの和解金を設定しました。テキサス州のU.S. Dermatology Partnersは13,986人分のデータ侵害で訴訟和解しています。

両社とも患者の氏名、生年月日、社会保障番号、医療情報などが露出し、クレジット監視サービスを提供することになりました。

フランスが米国製テクノロジーからの脱却を推進

最後に、デジタル主権に関する国際的な動きをお伝えします。

フランスが公的部門から米国製ビデオ会議サービスを締め出し、国産の「Visio」に置き換えることを決定しました。2027年までに約20万人の国家公務員の唯一のビデオ会議ツールにする計画です。

VisioはオープンソースのLiveKitに基づいており、ライセンス制サービスからの切り替えで利用者10万人ごとに100万ユーロを節約できるとされています。

各国でデジタル主権を重視する動きが広がっており、日本の組織も自社で使用するクラウドサービスの選定において、データの所在地や法的管轄権について検討する機会かもしれません。

クロージング

本日は、Fortinetの深刻なゼロデイ脆弱性、Microsoft Officeの緊急パッチ、WinRARの脆弱性の広範な悪用、そしてShinyHuntersによる大規模なフィッシングキャンペーンなど、多くの重要なセキュリティニュースをお伝えしました。

特に、FortinetとMicrosoft Officeの脆弱性については、すでに実際に悪用が確認されていますので、該当製品を使用している組織は早急な対応をお願いします。また、WinRARも半年前にパッチが提供されていますが、まだ更新していない組織が狙われていますので、この機会に確認してください。

ShinyHuntersによるOkta SSOを狙った攻撃は、多要素認証を導入していても音声フィッシングで突破される可能性を示しています。技術的対策だけでなく、従業員への教育も重要です。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。