過去の台本のスタイルを確認しました。「こんにちは」で始まるオープニング、ヘッドラインで各ニュースを簡潔に紹介、詳細解説で深掘り、クロージングで締めるパターンです。では最終的な台本を作成・出力します。

東京セキュリティブリーフィング 2026年02月10日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年2月10日、火曜日の配信です。本日もセキュリティの最新動向をお届けしてまいります。Ivanti EPMMのゼロデイ脆弱性が欧州の政府機関に直撃したニュース、BeyondTrustのリモートアクセス製品に見つかったCVSSスコア9.9の脆弱性、元GoogleエンジニアのAI営業秘密窃取に対する有罪判決、さらにはSignalを悪用した国家支援型の標的型攻撃への警告まで、重要なニュースが目白押しです。それでは早速、本日のヘッドラインから見ていきましょう。

ヘッドライン

まず最初のニュースです。Ivantiのモバイルデバイス管理製品EPMMにCVSSスコア9.8のゼロデイ脆弱性が2件見つかり、オランダ政府機関と欧州委員会が被害を受けました。

続いて、BeyondTrustのRemote SupportとPrivileged Remote AccessにCVSSv4で9.9の脆弱性が確認されています。認証なしでリモートコード実行が可能という極めて深刻な問題です。

3つ目です。元Googleエンジニアのリンウェイ・ディンが、中国のためにAI関連の営業秘密を窃取した罪で有罪判決を受けました。

ドイツの連邦憲法擁護庁と連邦情報セキュリティ庁が、Signalを悪用した国家支援型の攻撃について警告を発しています。軍関係者や政治家が標的です。

CISAがサポート終了したエッジデバイスの廃止を求める拘束力のある運用指令BOD 26-02を発出しました。

ポーランドでは、Sandwormによる再生可能エネルギー施設への大規模なワイパー攻撃が明らかになっています。

そして、ShinyHuntersによるSaaS恐喝キャンペーンがMatch GroupやPanera Breadなどに拡大していること、Notepad++の更新サーバーが半年間にわたり国家支援型のサプライチェーン攻撃を受けていたことも報告されています。

それでは、各ニュースの詳細を見ていきましょう。

詳細解説

Ivanti EPMMゼロデイで欧州政府機関に被害

最も注目すべきニュースから始めます。Ivantiのモバイルデバイス管理製品EPMM、正式名称Endpoint Manager Mobileに、2件の重大なゼロデイ脆弱性が発見されました。CVE-2026-1281とCVE-2026-1340で、いずれもCVSSスコアは9.8です。認証不要のコードインジェクションの脆弱性で、リモートからコード実行が可能になります。影響を受けるバージョンは12.5.0.0から12.7.0.0までで、社内アプリ配布機能とAndroidファイル転送設定機能に問題があります。

すでに限られた数の顧客環境で実際の悪用が確認されており、その被害は欧州の政府機関にまで及んでいます。オランダのデータ保護当局APと司法評議会が侵害を受け、職員の氏名、業務用メールアドレス、電話番号にアクセスされました。データ保護当局が自ら侵害を報告するという異例の事態です。欧州委員会のモバイル端末管理環境も1月30日に攻撃を検知しましたが、こちらは9時間以内に封じ込めに成功し、職員のモバイル端末へのマルウェア感染は確認されなかったとしています。ただし、一部職員の氏名と携帯電話番号にアクセスされた可能性があります。

EPMM は2023年にもノルウェー政府への攻撃で悪用された経緯があり、繰り返し高価値の標的として狙われている製品です。恒久的な修正となるバージョン12.8.0.0は2026年第1四半期にリリース予定ですが、パッチ適用に加えてネットワーク制限の実施が推奨されています。CISAもこの脆弱性をKEVカタログに追加しており、カナダ、シンガポール、英国NHSなど各国からも警告が出ています。該当製品をお使いの組織は直ちに対応をお願いします。

BeyondTrustリモートアクセス製品にRCEゼロデイ

続いて、BeyondTrustのRemote SupportとPrivileged Remote Accessに、CVE-2026-1731として重大な脆弱性が報告されました。CVSSv4スコアは9.9と極めて深刻です。OSコマンドインジェクションの脆弱性で、認証やユーザー操作なしにリモートからコード実行が可能です。

Remote Supportはバージョン25.3.1以前、Privileged Remote Accessはバージョン24.3.4以前が影響を受けます。クラウドおよびSaaS版の顧客については2月2日にパッチが適用済みですが、セルフホスト版を利用している場合はRS 25.3.2以降、PRA 25.1.1以降へのアップグレードが必要です。

BeyondTrust製品については、2年前にCVE-2024-12356とCVE-2024-12686のゼロデイが悪用され、中国のSilk Typhoonグループが米国財務省を侵害した前例があります。特権アクセス管理の中核を担うシステムだけに、侵害された場合の影響は極めて大きくなります。世界100か国以上で2万社超の顧客を持つ同社製品を利用されている方は、速やかにアップグレードを検討してください。

元GoogleエンジニアがAI営業秘密窃取で有罪

元Googleエンジニアのリンウェイ・ディン、38歳が、経済スパイ7件と営業秘密窃取7件で有罪判決を受けました。2022年5月から2023年4月にかけて、GoogleのTPUチップ、GPU統合、SmartNIC仕様、AIスーパーコンピュータ運用ソフトウェアに関する2,000ページを超える機密文書を、個人のGoogle Cloudアカウントに持ち出していました。

ディンは中国でAIスタートアップを設立してCEOに就任し、投資家に対してGoogleの技術を複製して開発できると明言していたとされています。窃取の隠蔽手段として、Apple Notesにコピーした後にPDFに変換するという手口を使い、さらには同僚にバッジを通させて出勤を偽装していました。経済スパイの各罪状は最長15年の禁錮刑に相当します。

このケースは、内部脅威がいかに深刻かを改めて示すものです。特にAI分野の技術は国家間の競争が激化しており、知的財産の保護体制の見直しが求められます。

Signalを悪用した国家支援型攻撃にドイツが警告

ドイツの連邦憲法擁護庁BfVと連邦情報セキュリティ庁BSIが、暗号化メッセージアプリSignalを標的とした国家支援が疑われる攻撃について警告を発しました。政治家、軍関係者、外交官、調査報道記者が標的とされています。

確認されている攻撃手法は2つあります。1つ目は、Signalのサポートを装った偽メッセージでPINやSMSの確認コードを騙し取り、アカウントを乗っ取る手法です。2つ目は、QRコードを使って攻撃者の端末をリンク済み端末としてペアリングする手法です。この場合、被害者はアカウントへのアクセスを失わないため発見が困難で、攻撃者は過去45日分のメッセージ履歴と連絡先にリアルタイムで継続的にアクセスできます。

WhatsAppでも同様の悪用が可能とされています。対策として、Signalの「登録ロック」機能の有効化と、リンク済み端末の定期的な確認が強く推奨されています。マルウェアや技術的脆弱性は使用されておらず、利用者の油断のみが狙われているという点が特徴的です。

CISAがエッジデバイス廃止の運用指令を発出

CISAが拘束力のある運用指令BOD 26-02を発出し、サポートが終了したファイアウォール、ルーター、VPN機器などのエッジデバイスが「不釣り合いで容認できないリスク」をもたらすとして、連邦機関に対して3か月以内の棚卸し、12か月以内の撤去開始、18か月以内の完了を求めています。さらに24か月以内にエッジデバイスの継続的な発見プロセスを確立することも義務付けられています。

この指令の背景には、国家主体の攻撃者がエンドポイントからネットワークインフラへと戦術を移行しており、エッジデバイスの脆弱性悪用が8倍に増加しているという実態があります。Cisco、Fortinet、Palo Alto Networksなどのデバイスが標的となっています。この指令は米国連邦機関向けですが、CISAはすべての組織にこの指針に従うよう呼びかけています。サポート終了機器のリスクは日本の組織にとっても同じですので、自社環境の棚卸しを改めて検討されることをお勧めします。

ポーランドの再生可能エネルギー施設にSandworm攻撃

2025年12月29日から30日にかけて、ロシアGRU第74455部隊と関連するSandworm、別名ELECTRUMが、DynoWiperと呼ばれるワイパーマルウェアを使用して、ポーランド全土の30か所以上の風力・太陽光発電所と、約50万人に電力を供給するCHPプラントを協調攻撃しました。RTU（遠隔端末装置）のファームウェア改ざんやシステムファイルの消去が行われ、遠隔監視・制御が麻痺しましたが、発電停止には至りませんでした。ポーランド当局が大規模停電を未然に阻止したとされています。

この攻撃は、この10年で欧州の重要インフラに対する最も重大なサイバー攻撃の一つと評価されています。同時期にはデンマークに対してもロシアの攻撃者連合がDDoS攻撃を開始しており、エネルギー分野を中心に攻撃が激化しています。

ShinyHunters恐喝キャンペーンが拡大

セキュリティ企業Mandiantが、ShinyHuntersによる大規模な恐喝キャンペーンの拡大について報告しました。UNC6661、UNC6671、UNC6240の3つの脅威クラスターとして追跡されているこのグループは、IT部門を装ったvishing、つまり音声フィッシングで従業員からSSO認証情報とMFAコードを騙し取ります。音声クローン技術も使用されているとされます。

盗んだ認証情報でOkta、Microsoft Entra、GoogleのSSOダッシュボードにログインし、複数のSaaSアプリケーションからデータを窃取します。Match Groupから1,000万件、Panera Breadから1,400万件のレコード窃取が主張されており、Bumbleの委託業者アカウントも侵害されました。標的はSalesforceだけでなく、Microsoft 365、SharePoint、Slackなどより広範なSaaSプラットフォームへ拡大しています。恐喝では共通のToxアカウントが使われ、72時間以内の支払いが要求されています。ヘルプデスクでは受電時にアクセスを提供せず、帯域外承認やライブビデオ通話などの高保証検証が推奨されています。

Notepad++更新サーバーに半年間のサプライチェーン攻撃

テキストエディタNotepad++の共有ホスティングサーバーが2025年6月から12月にかけて侵害されていたことが判明しました。攻撃者は特定ユーザーの更新リクエストのみを悪意あるサーバーへリダイレクトする精密な標的化を行っていました。getDownloadUrl.phpスクリプトを制御して特定のリクエストを選別する手法が使われ、WinGUpアップデーターの旧バージョンが署名検証を厳格に行っていなかったことが悪用されました。

複数の独立したセキュリティ研究者は、運用上の抑制と長期的な永続性から中国の国家支援グループの関与の可能性が高いと評価しています。Notepad++はバージョン8.8.9でXMLDSig署名検証を導入し、新しいホスティングプロバイダーへ移行済みです。

その他の注目ニュース

ここからは、その他の注目すべきニュースをまとめてお伝えします。

Cisco Talosが発見したDKnifeは、少なくとも2019年から活動する中国関連のスパイウェアフレームワークです。7つのLinux ELFコンポーネントで構成され、中間者攻撃でAndroidやWindowsの正規の更新をShadowPadやDarkNimbusバックドアに置き換えます。WeChatやQQ等の中国サービスを監視し、360 Total Securityの通信を妨害して検知を逃れる機能も備えています。2026年1月時点でもまだ稼働が確認されています。

ノルウェーの警察保安局PSTが、Salt Typhoonキャンペーンによりノルウェーのネットワーク機器が侵害されたことを確認しました。PSTは「第二次世界大戦以来最も深刻な安全保障状況」と述べています。シンガポールでも、中国関連のUNC3886が通信4社すべてを標的にしたことが公表されました。「サイバー・ガーディアン」作戦で100人超が対応し、サービス中断は確認されていませんが、少なくとも1件でゼロデイが悪用されました。

日本のソフトウェア開発コミュニティで広く使われているEmEditorの公式配布ポータルが2025年12月下旬に侵害され、正規インストーラがマルウェアを含む改変版に差し替えられていたことが判明しています。Trend Microの分析によると、認証情報の流出や画面キャプチャなどの機能が含まれており、日本の開発者を狙った可能性があります。

日本と英国のサイバー協力も進展しています。高市首相とスターマー首相が新たなサイバー戦略的パートナーシップの立ち上げと重要鉱物サプライチェーンの強靱性強化で合意しました。中国の地域的影響力が増す中での連携強化です。

脆弱性関連では多数の対応が必要な状況です。FortiCloud SSOのゼロデイCVE-2026-24858で別組織のデバイスへのログインが可能になる認証バイパス、FortiClient EMSのCVE-2026-21643でCVSS 9.1のSQLインジェクション、NVIDIA GPUドライバーの5件の脆弱性修正、OpenSSLのCVE-2025-15467でスタックバッファオーバーフローによるリモートコード実行の可能性、n8n自動化プラットフォームの6件の脆弱性うち4件がCVSS 9.4、SmarterMailのCVE-2026-24423がCISAのKEVに追加されランサムウェアで積極的に悪用中、F5のBIG-IP Advanced WAFとNGINXのCVE-2026-22548およびCVE-2026-1642がいずれもCVSS v4.0で8.2、さらにWireshark 4.6.3で4件の脆弱性が修正されています。該当製品をお使いの方は最新版への更新を検討してください。

Covewareの報告によると、ランサムウェアグループがデータ流出のみの恐喝戦術から暗号化主導の攻撃に回帰する傾向が見られます。MOVEit侵害での支払い率が2.5%未満と収益性が低下したことが背景にあります。一方、第4四半期の平均身代金支払い額は約60万ドルと前四半期比57%増加しました。最も活発だったのはAkiraが約14%、次いでQilinが13%です。

MongoDBデータベースの恐喝も拡大しています。208,500台以上の公開MongoDBサーバーのうち3,100台が認証なしでアクセス可能で、その45.6%にあたる1,416台がすでに侵害されています。48時間以内に0.005 BTC、約500ドルを要求する手口で、98%のケースで同一のビットコインウォレットが使用されていることから単一の脅威アクターの関与が示唆されています。

クロージング

本日は以上です。Ivanti EPMMとBeyondTrustのゼロデイ脆弱性は影響範囲が広く、該当製品を利用されている組織は直ちにパッチ適用と緩和策の実施をお願いします。Signalのアカウント乗っ取りへの警告は、暗号化メッセージアプリであっても利用者の行動次第でセキュリティが無力化されることを示しています。リンク済み端末の確認と登録ロックの有効化を今一度ご確認ください。EmEditorの侵害は日本の開発者にとって身近な脅威です。正規のソフトウェアであっても配布元が侵害される可能性があることを念頭に、署名の検証やハッシュの確認を習慣づけていただければと思います。気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。