東京セキュリティブリーフィング 2026年02月13日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月13日、金曜日です。今週も世界中で様々なセキュリティ関連のニュースが報じられました。本日は特に、Microsoftの月例セキュリティ更新で修正された6件のゼロデイ脆弱性を中心に、Fortinetの複数の脆弱性、北朝鮮によるmacOSマルウェアキャンペーン、そしてGoogleによるWiz買収の承認など、重要なトピックをお届けします。それでは、本日のセキュリティブリーフィングを始めましょう。

ヘッドライン

本日の主要ニュースです。

まず、Microsoftが2月のPatch Tuesdayで6件のゼロデイ脆弱性を含む約60件の脆弱性を修正しました。これらのゼロデイはすでに実際の攻撃で悪用が確認されており、CISAも既知の悪用脆弱性カタログに追加しています。

次に、FortinetがFortiOSとFortiSandboxの複数の高深刻度脆弱性を公開しました。認証バイパスやリモートコード実行につながる問題が含まれています。

また、北朝鮮関連のハッカーグループUNC1069が、AIで生成したディープフェイク動画とClickFix技術を使用し、暗号資産セクターを標的にした攻撃を展開しています。

さらに、欧州委員会がGoogleによる320億ドルのWiz買収を承認しました。クラウドセキュリティ市場に大きな影響を与える動きです。

そして、BeyondTrustがリモートアクセスツールの重大な脆弱性CVSSスコア9.9を修正しました。認証不要でOSコマンド実行が可能な深刻な問題です。

詳細解説

Microsoftの6件のゼロデイ脆弱性修正

それでは詳細な解説に入ります。今週最も注目すべきニュースは、Microsoftの2月Patch Tuesdayです。複数のセキュリティメディアが一斉に報じたこのアップデートでは、約60件の脆弱性が修正され、そのうち6件がゼロデイ脆弱性として実際に悪用が確認されています。

まず、CVE-2026-21510はWindowsシェルとSmartScreenに影響するセキュリティ機能バイパスの脆弱性です。CVSSスコアは8.8と高く評価されています。この脆弱性により、攻撃者はMark of the Webと呼ばれるセキュリティ警告をバイパスし、ユーザーに警告を表示させることなく悪意のあるコードを実行できます。つまり、インターネットからダウンロードしたファイルが通常受けるセキュリティチェックを回避できてしまうということです。ランサムウェアや情報窃取マルウェアとの関連が報告されています。

CVE-2026-21513はMSHTMLフレームワーク、つまりInternet Explorerのコンポーネントに影響する脆弱性で、同じくCVSSスコア8.8です。悪意のあるサイトを訪問したり、細工された文書を開いたりすることでSmartScreenやゾーン保護をバイパスされる可能性があります。レガシーアプリケーションを使用している環境では特に注意が必要です。

CVE-2026-21514はMicrosoft Wordのセキュリティ機能バイパス脆弱性で、CVSSスコアは7.8です。悪意のあるWord文書を開くとセキュリティ保護がバイパスされ、機密性、完全性、可用性すべてに高い影響を与える可能性があります。

権限昇格の脆弱性も2件含まれています。CVE-2026-21519はDesktop Window Manager、略してDWMの型の混同脆弱性です。ローカルの攻撃者が低い権限からSYSTEMレベルの特権を取得できてしまいます。CVE-2026-21533はリモートデスクトップサービスの権限昇格脆弱性で、CrowdStrikeが詳細を公開しています。

最後にCVE-2026-21525は、WindowsリモートアクセスサービスマネージャーであるRasManのDoS脆弱性です。NULLポインター参照により、ローカル攻撃者がサービスを繰り返しクラッシュさせることが可能で、すべてのリモート接続が中断される可能性があります。

注目すべき点として、Google Threat Intelligence Groupがこれらのゼロデイの複数を発見しており、CISAは6件すべてを既知の悪用脆弱性カタログに追加しました。日本の組織においても、Windows環境を利用している場合は直ちにパッチ適用を検討してください。

また、今回の更新ではAzure SDKとAzure Front Doorに関するCVSSスコア9.8の重大な脆弱性も公開されています。クラウド環境を利用している組織も確認が必要です。

さらに、MicrosoftはSecure Boot証明書の更新も進めています。2011年に発行された元の証明書が6月に期限切れとなるため、世界中の10億台以上のデバイスのセキュリティを維持するための「世代交代の更新」が行われています。最新のコンピュータはWindows Update経由で自動的に新しい証明書を受信しますが、サポート外のバージョンやIoTデバイスでは手動での対応が必要な場合があります。

Fortinetの複数の脆弱性

続いて、Fortinetの脆弱性についてお伝えします。今週、Fortinetは8件のセキュリティアドバイザリを公開しました。

まず、FortiSandboxのクロスサイトスクリプティング脆弱性CVE-2025-52436です。CVSSスコアは7.9で、WebインターフェースのXSS欠陥により、認証されていない攻撃者がリモートでコード実行できる可能性があります。影響を受けるのはバージョン5.0.0から5.0.1、および4.4.0から4.4.7です。公開時点では悪用は報告されていませんが、該当バージョンを使用している場合はアップグレードが必要です。

次に、FortiOSの認証バイパス脆弱性CVE-2026-22153です。CVSSスコアは7.5の高深刻度です。fnbamdデーモンの欠陥により、特定のLDAP構成下で認証バイパスが可能となります。具体的には、LDAPサーバーが非認証バインドを許可している場合、攻撃者はパスワードなしでネットワークにアクセスできてしまいます。Agentless VPNやFSSOポリシーへの不正アクセスを許可する可能性があり、FortiOSバージョン7.6.0から7.6.4が影響を受けます。7.6.5以降へのアップグレード、またはLDAPサーバーでの非認証バインド無効化が推奨されています。

また、4日前にはFortiClientEMSの重大なSQLインジェクション欠陥CVE-2026-21643も修正されています。こちらはCVSSスコア9.1と非常に高い深刻度です。

Fortinet製品は日本でも多くの組織で利用されています。特にVPNやファイアウォールとして導入している場合は、該当するバージョンを確認し、速やかにアップデートを適用してください。

北朝鮮ハッカーのmacOSマルウェアキャンペーン

北朝鮮関連のハッカーグループによる新たな攻撃キャンペーンについてお伝えします。

UNC1069として追跡されているグループが、暗号資産やDeFi企業の従業員を標的にした攻撃を展開しています。この攻撃の特徴は、AIで生成したディープフェイク動画とClickFix技術を組み合わせている点です。

攻撃の流れを説明します。まず、Telegramでのソーシャルエンジニアリングから始まります。侵害されたTelegramアカウントを使用して、ターゲットをCalendlyの招待経由で偽のZoomミーティングページに誘導します。このページでは、著名CEOのAI生成ディープフェイク動画が使用され、ユーザーを信頼させます。そして、ClickFixスタイルと呼ばれる手法で、macOSのターミナルでコマンドを実行するよう誘導し、マルウェアに感染させます。

このキャンペーンでは、7つの異なるmacOSマルウェアファミリーが発見されています。WAVESHAPER、HYPERCALL、HIDDENCALL、SILENCELIFT、DEEPBREATH、SUGARLOADER、CHROMEPUSHという名前が確認されています。DEEPBREATHというマルウェアは、AppleのTCCフレームワークを操作し、ブラウザやキーチェーン、メッセージングデータを収集する機能を持っています。

また、Google Geminiなどの生成AIツールも攻撃の支援に使用されていると報告されています。

暗号資産関連の業務に従事している方は、不審なミーティング招待やターミナルコマンドの実行を求められる状況に特に注意してください。

GoogleによるWiz買収の承認

欧州委員会がGoogleによる320億ドルのWiz買収を承認しました。これはクラウドセキュリティ市場における重要な動きです。

欧州委員会は、GoogleのクラウドインフラにおけるAmazonやMicrosoftに対する比較的弱い立場と、信頼できる代替セキュリティプロバイダーの存在を理由に、競争上の懸念なしと判断しました。顧客はWizの相互運用性が低下しても他のプロバイダーに切り替え可能と評価されています。

アナリストは、クラウドの真の競争はインフラを超えて制御層に移行しており、Wizの中立性がGoogle所有下でどのように変化するか注目しています。買収は2026年中に完了する見込みです。

マルチクラウド環境でWizを利用している組織は、今後のサービス提供体制の変化に注目しておく必要があるかもしれません。

BeyondTrustの重大な脆弱性

BeyondTrustがRemote SupportとPrivileged Remote Accessの重大な脆弱性CVE-2026-1731を修正しました。CVSSスコアは9.9と非常に高い評価です。

この脆弱性により、認証不要でOSコマンド実行が可能となり、不正アクセス、データ流出、サービス中断につながる可能性があります。Hacktron AIによって発見され、現在約11,000のインスタンスがインターネットに公開されていると報告されています。

BeyondTrust製品については、2024年に中国のSilk Typhoonがゼロデイを悪用してインスタンスを侵害した前例もあります。該当製品を利用している組織は、早急にパッチを適用してください。

Google、防衛産業への「容赦ない」攻撃を警告

Google Threat Intelligence Groupが、防衛産業基盤への「容赦ない猛攻撃」について警告しています。

報告によると、中国、ロシア、イラン、北朝鮮の脅威アクターが主導して攻撃を行っています。特に中国関連グループは2020年以降、エッジインフラで20件以上のゼロデイを悪用しています。BRICKSTORMというキャンペーンでは、平均滞在日数が393日と非常に長期間にわたって検知を逃れています。

ロシアはウクライナ支援組織への侵入を継続しており、SignalやWhatsAppのデバイスリンク機能を悪用して、ドローン関連文書で認証情報を収集しています。

北朝鮮については、IT労働者を企業に配置するスキームが防衛プログラムとも交差していると指摘されています。

防衛関連産業に従事する組織は、特に高度な持続的脅威への対策を強化する必要があります。

Ivanti Endpoint Managerの脆弱性

IvantiがEndpoint Managerの2つの脆弱性を修正しました。

CVE-2026-1603はCVSSスコア8.6の認証バイパス脆弱性で、リモート攻撃者が認証なしで保存された認証情報にアクセス可能です。CVE-2026-1602はCVSSスコア6.5のSQLインジェクション脆弱性で、認証済み攻撃者がデータベースから任意のデータを読み取れます。

EPM 2024 SU5へのアップデートが必要です。現時点で野生での悪用は確認されていませんが、Ivanti製品は過去にも標的とされた実績があるため、早めの対応を推奨します。

GitLabの複数の脆弱性修正

GitLabがCommunity EditionとEnterprise Edition向けにセキュリティアップデートをリリースしました。

最も深刻なCVE-2025-7659はCVSSスコア8.0で、Web IDEの検証不備によりアクセストークンの窃取が可能です。CVE-2025-8099とCVE-2026-0958は共にCVSSスコア7.5のDoS脆弱性です。また、XSSやHTMLインジェクションの脆弱性も修正されています。

バージョン18.8.4、18.7.4、18.6.6へのアップグレードが推奨されています。セルフマネージド型のGitLabを利用している組織は、速やかにアップグレードを検討してください。

偽7-Zipサイトによるマルウェア配布

偽の7-Zipウェブサイトがトロイの木馬化されたインストーラーを配布していることが報告されています。

正規のサイトは7-zip.orgですが、7zip.comというドメインから7-Zipをダウンロードしたユーザーがマルウェアに感染しています。感染したPCは住宅用プロキシノードに変換され、第三者が被害者のIPアドレス経由でトラフィックをルーティングできるようになります。

Malwarebytesによると、HolaVPN、TikTok、WhatsAppなどのトロイの木馬化インストーラーも同様の手法で配布されています。ソフトウェアをダウンロードする際は、必ず公式サイトからダウンロードするよう注意してください。

新たなランサムウェアとボットネットの動向

最後に、新たに出現した脅威についてまとめてお伝えします。

まず、Goで開発されたランサムウェア「Cephalus」が2025年半ば以降に出現しています。MFAが設定されていないRDPサービスを悪用して初期アクセスを取得し、AES-256 CTRとRSA-1024のハイブリッド暗号化を使用します。暗号化前にMEGAなどにデータを流出させるダブル恐喝モデルを採用し、VeeamやSQL Serverなどのバックアップサービスを終了させる機能も持っています。

次に、「Coinbase Cartel」というランサムウェアグループが2025年9月に出現し、最初の数か月で60件以上の被害者を記録しています。このグループはファイル暗号化をスキップし、機密データを盗んで公開を脅迫するデータ流出優先型の恐喝を採用しています。ヘルスケア、テクノロジー、輸送が被害者の50%以上を占め、UAEのヘルスケア組織が集中的に標的とされています。

また、新しいLinuxボットネット「SSHStalker」がIRCをC2通信に使用していることが発見されました。SSHスキャンとブルートフォースで初期アクセスを取得し、約7,000件のボットスキャン結果が発見されています。Oracle Cloudインフラが主な標的で、暗号通貨マイニングとAWS認証情報の収集が目的とされています。

シンガポールの通信事業者へのサイバー攻撃

シンガポール政府が、UNC3886という中国の国家支援脅威アクターによる国内主要通信事業者4社への攻撃を確認しました。Singtel、M1、StarHub、Simbaが標的となりました。

攻撃は2025年7月に発見され、ルートキットとゼロデイファイアウォール脆弱性を使用した「意図的、標的型、綿密に計画された攻撃」と説明されています。6機関から100名以上の専門家が動員された「Operation Cyber Guardian」で対応し、顧客データ流出前に攻撃を無力化することに成功しました。機密データや個人データへのアクセス、流出、サービス中断の証拠はないと発表されています。

CVE件数の増加予測

FIRSTが2026年に約59,000件の新規CVEを予測しています。最大で約118,000件に達する可能性もあると報告されています。50,000件超は脆弱性開示史上初となります。

しかし専門家は、脆弱性の量がリスクと等しくないと指摘しています。2025年の約48,000件のCVEのうち、実際に野生で悪用されたのは約700件のみです。CISOは優先順位付け、自動化、キャパシティプランニングの見直しが必要と提言されています。

クロージング

本日は、Microsoftの2月Patch Tuesdayで修正された6件のゼロデイ脆弱性を中心に、Fortinetの複数の脆弱性、北朝鮮によるmacOSマルウェアキャンペーン、GoogleによるWiz買収の承認、BeyondTrustの重大な脆弱性など、多くの重要なセキュリティニュースをお伝えしました。

特に重要なアクションとして、Windowsを利用している組織は2月のセキュリティ更新を早急に適用してください。6件のゼロデイ脆弱性はすでに実際の攻撃で悪用されています。Fortinet製品を利用している場合も、FortiOSとFortiSandboxの脆弱性に対応してください。また、ソフトウェアのダウンロードは必ず公式サイトから行い、偽サイトによるマルウェア感染に注意してください。

気になるニュースがあれば、ぜひ詳細をご確認ください。本日も最後までお聴きいただきありがとうございました。東京セキュリティブリーフィングでした。また次回お会いしましょう。