東京セキュリティブリーフィング 2026年02月18日（水曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月18日、水曜日です。

昨日公開されたセキュリティニュースから、日本のセキュリティ担当者の皆様にお届けすべき重要な話題をお伝えしてまいります。本日は、Chromeのゼロデイ脆弱性から、パスワードマネージャーの重大な欠陥、そしてLockBitランサムウェアの新バージョンまで、幅広いトピックをカバーします。

それでは、本日の主要なヘッドラインから見ていきましょう。

ヘッドライン

まず、Googleが2026年最初のChromeゼロデイ脆弱性を修正しました。この脆弱性は既に悪用が確認されており、早急なアップデートが必要です。

次に、複数のクラウドベースのパスワードマネージャーで25件の重大な脆弱性が発見されました。Bitwarden、LastPass、Dashlane、1Passwordが影響を受けています。

LockBitランサムウェアがバージョン5.0をリリースし、Windows、Linux、ESXiの全プラットフォームを標的としています。

そして、日本のワシントンホテルがランサムウェア攻撃を受けたことを公表しました。

これらの詳細について、順番に解説してまいります。

詳細解説

GoogleがChromeのゼロデイ脆弱性を修正、早急な更新が必要

Googleは、野放しで悪用されていたChromeブラウザの高深刻度のゼロデイ脆弱性を修正しました。CVE-2026-2441として追跡されるこの脆弱性は、ブラウザのCSSエンジンにおけるUse After Freeの問題です。Use After Freeとは、プログラムが解放された後のメモリ領域にアクセスしてしまうソフトウェア脆弱性の一種で、攻撃者が任意のコードを実行できる可能性があります。

この脆弱性は、細工されたHTMLページを通じてサンドボックス内で任意のコードを実行することを可能にします。つまり、ユーザーが悪意のあるウェブページにアクセスするだけで、バグがトリガーされる可能性があるということです。

Googleのセキュリティ勧告では「CVE-2026-2441のエクスプロイトが野放しで存在することを認識しています」と明記されています。被害者が誰であったか、バグがどのように利用されたか、攻撃者が誰であるかについては、ブラウザの大多数がパッチ適用されるまで情報を意図的に差し控えているとのことです。

これは2026年に入ってから修正された最初の積極的に悪用されるChrome脆弱性です。昨年Googleは8つのゼロデイを修正しており、その多くは国家が支援する脅威アクターによって利用されていたことも報告されています。

影響を受けるのは、バージョン145.0.7632.75より前のWindows及びMac版Chrome、そしてLinuxではバージョン144.0.7559.75より前のバージョンです。組織のセキュリティ担当者の皆様は、できるだけ早くChromeの更新を確認し、最新バージョンへのアップデートを推奨いたします。

パスワードマネージャーに25件の重大な脆弱性が発見

スイスのETH ZurichとUSIの研究者チームが、Bitwarden、LastPass、Dashlane、1Passwordの4つの人気クラウドベースパスワードマネージャーで合計25件の重大な脆弱性を発見しました。これらのパスワードマネージャーは世界中で約6000万ユーザーにサービスを提供しており、すべて「ゼロ知識暗号化」を約束しています。

ゼロ知識暗号化とは、サーバーが侵害されてもユーザーのデータは読み取り不可能なままであるという前提に基づいています。しかし、研究結果はこの信頼を大きく揺るがすものでした。

研究チームは「悪意のあるサーバー脅威モデル」の下でテストを実施し、サーバーが侵害されたと仮定した場合にブラウザ拡張機能がどのように反応するかを観察しました。その結果、Bitwardenで12件、LastPassで7件、Dashlaneで6件、1Passwordで2件の脆弱性が見つかりました。

攻撃シナリオは4つのカテゴリに分類されます。まず鍵エスクロー機能を悪用した完全なボルト侵害、次にアイテムレベルの暗号化の欠陥を通じた整合性違反、そして認証されていない公開鍵による組織共有ボルトの侵害、最後にレガシー暗号化へのダウングレード攻撃です。

研究者の一人であるKenneth Paterson教授は「セキュリティ脆弱性の重要度に驚いた」と述べています。特に注目すべきは、1Passwordが他の3つとは異なり、鍵導出に高いエントロピーを持つ暗号鍵を含んでおり、ブルートフォース攻撃に対してより強い耐性を持っているという点です。

問題の多くは、パスワード回復や共有機能など、使いやすさを追求した機能の複雑さから生じています。また、多くのサービスが1990年代の時代遅れな暗号技術を使用し続けていることも指摘されています。

ベンダーは責任ある開示に従い、問題を修正するための90日間を与えられ、現在パッチが展開されています。ユーザーの皆様は、定期的な外部監査と明確なセキュリティ詳細を持つツールを選択することをお勧めします。

LockBitランサムウェアがバージョン5.0をリリース

LockBitランサムウェアの最新バージョン5.0がリリースされました。このバージョンは、Windows、Linux、ESXiの全プラットフォームを標的としており、特に多様なITインフラストラクチャに依存する業界にとって深刻なリスクとなります。

Windowsシステムでは、ランサムウェアはパッキング、プロセスホローイング、DLLアンフッキング、Windows Event Tracingのパッチなど、複数の防御回避技術を活用しています。さらにシステムログをクリアし、セキュリティソフトウェアの検出を妨害します。

LinuxとESXiバリアントは機能的には非常に似ていますが、パッキングを使用しないため検出が比較的容易です。ただし、これらのバージョンでは文字列を大量に暗号化して分析を妨害しています。

特筆すべきは、仮想化環境向けにカスタマイズされた機能です。ESXiの場合、LockBitは/vmfs/ディレクトリ内の仮想マシンファイルを検索し、暗号化中に仮想マシンを停止することができます。

暗号化にはXChaCha20とCurve25519を組み合わせたハイブリッド暗号化スキームを使用しており、非常に高速で、システムのCPUコアを最大限活用してパフォーマンスを最大化します。

LockBit 5.0は米国のビジネス部門に特に重点を置いており、民間企業、政府機関、教育機関、医療機関をターゲットにしています。分析時点で既に60以上の被害者がリストされており、法執行機関による継続的な混乱努力にもかかわらず、LockBitグループは依然として活動を続けています。

組織の皆様は、すべてのシステムを最新のセキュリティパッチで更新し、堅牢なサイバーセキュリティ対策を実装することが強く求められます。

日本のワシントンホテルがランサムウェア攻撃を受ける

日本のホテルチェーン「ワシントンホテル」が、2026年2月13日にランサムウェア攻撃を受けたことを公表しました。ワシントンホテルは藤田観光ブランドで運営されており、日本全国に30を超える拠点、約11,000室を持ち、毎年約500万人のゲストにサービスを提供しています。

攻撃は午後10時頃に始まり、ITチームが不正アクセスを発見しました。同社は迅速に外部ネットワークとの接続を遮断し、翌日には危機に対処するための特別タスクフォースを立ち上げました。現在、日本の警察および外部のサイバーセキュリティ専門家と協力して調査を進めています。

「サーバに保管されていた様々な業務データへの不正アクセスが確認されました」と同社は声明を出しています。ただし、会員組織「Washington Net」の顧客情報は社外のサーバーに位置しているため、現時点で顧客データが盗まれたことは確認されていません。

一部のホテルではPoS端末の不具合が報告されましたが、業務に大きな混乱はないとのことです。攻撃に使用されたランサムウェアの種類や、攻撃者が身代金を要求したかどうかについてはまだ情報がありません。

この事件は、ホスピタリティ業界がいかにランサムウェア攻撃の標的になりやすいかを示しています。ホテルは膨大なゲスト情報を保存し、予約と支払いのための複雑なシステムで運営されているため、攻撃者にとって魅力的な標的となっています。

北朝鮮のラザログループが求人詐欺で開発者を標的に

北朝鮮政府支援のハッカー集団「ラザログループ」が、Operation Dream Jobキャンペーンを進化させ、さらに多くのソフトウェア開発者を標的にしています。

セキュリティ研究者ReversingLabsは、2025年5月から始まったキャンペーンの変化を確認しており、「Graphalgo」と名付けられた新しい亜種を発見しました。この攻撃では、ラザロが正規のベアボーンプロジェクトを取得し、悪意のある依存関係を追加するという手法を使用しています。

攻撃者はLinkedInおよび他のプラットフォームで偽の求人広告を作成し、主にWeb3（ブロックチェーン）業界で働くソフトウェア開発者に魅力的な職を提供しています。「採用プロセス」中に、候補者にテスト課題を実行するよう要求し、被害者は悪意のあるコードをダウンロードして実行してしまいます。目的は常に暗号ウォレットを空にすることです。

これまでにReversingLabsはほぼ200個の悪意のあるパッケージを発見しています。これらのプロジェクトのほとんどはPyPIやnpmなどの正規プラットフォームでホストされており、被害者が攻撃を発見するのがより困難になっています。

悪意のあるパッケージの名前には「graph」というプレフィックスが付いており、graphlibなどの正規ライブラリになりすましています。より最近では「graph」は「big」に置き換わっているとのことです。

JavaScriptやPythonの開発者の皆様は、特に求人応募に関連するコードを実行する際には十分に注意してください。

産業システムを標的とするランサムウェア攻撃が急増

Dragosの2026年年次OTサイバーセキュリティレビューによると、2025年に産業組織を標的とするランサムウェアグループは合計119グループが追跡されました。これは2024年の80グループから49%の増加です。

2025年には世界中で3,300の産業組織がランサムウェアによる被害を受けており、2024年の1,693件から大幅に増加しています。最も狙われたセクターは製造業で、次いで輸送業、石油・ガス、電力、通信が続いています。

攻撃の最も一般的な侵入経路は、VPNポータル、ファイアウォールインターフェース、ベンダートンネルを含むリモートアクセスポータルでした。攻撃者は検出を回避するため、実在するユーザーの正当なログイン認証情報を利用することが多いとされています。

これらの認証情報はフィッシング攻撃、情報窃取マルウェア、またはダークウェブ上での初期アクセスブローカーからの購入により取得されています。OT環境でのランサムウェアの平均滞在期間は42日間でした。

DragosのCEO Robert M. Leeは「ランサムウェアグループはより多くの運用妨害と、OT固有の回復を必要とする複数日の停止を引き起こしている」と警告しています。

産業制御システムを運用する組織の皆様は、包括的なOT可視性の確立と、リモートアクセスの厳格な管理を今すぐ検討すべきです。

OpenClawがサイバーセキュリティの新たな脅威に

オープンソースの個人用AIエージェントツール「OpenClaw」（以前はClawdbotまたはMoltbotと呼ばれていました）がセキュリティ上の重大な懸念を引き起こしています。このツールはGitHubで160,000以上のスターを獲得し、週に720,000件のダウンロードがあるほど人気です。

OpenClawはローカルで実行でき、バックエンドで任意のLLMを使用するように構成でき、WhatsApp、Telegram、Discord、Slack、Teamsなどのチャットアプリを通じて通信できます。しかし、セキュリティ研究者はすでに42,000以上のインターネットに公開されたインスタンスを特定しており、検査されたシステムの93%が認証を迂回するための重大な脆弱性を抱えていました。

さらに深刻なことに、Hudson Rockの研究者は、インフォスティーラーマルウェアが被害者のOpenClaw構成から機密ファイルを盗んだライブ感染を発見しました。盗まれたデータには、エージェントのメール、ワークスペースの詳細、強力なゲートウェイトークン、そして秘密鍵が含まれていました。

セキュリティ専門家は、CISOはこれらのツールの使用を完全に禁止する必要があると警告しています。「セキュリティモデルがないため、現時点では許可すべきではない」とクラウドセキュリティ同盟のチーフアナリストは述べています。

AIエージェントが企業環境に統合されるにつれて、インフォスティーラー開発者がこれらのファイルを特別にターゲットにする専用モジュールをリリースする可能性が高いと予測されています。

ZeroDayRATスパイウェアがモバイルデバイスを標的に

2026年2月2日以降、Telegramチャネルで公然と販売されている新しいクロスプラットフォームスパイウェア「ZeroDayRAT」が発見されました。このツールキットはAndroid 5からAndroid 16、そしてiOS最新バージョン26までを対象としており、シンプルなブラウザパネルからリモートコントロール機能を提供しています。

ZeroDayRATは基本的なデータ取得を超えて、リアルタイム監視と直接的な金銭攻撃に対応しています。被害者がAndroidにAPKをインストールするか、iOSにペイロードをインストールすると、知らずにデバイスへの完全なアクセス権を譲り渡すことになります。

このスパイウェアは連絡先、メッセージ、通話ログ、位置情報、写真、ファイルを収集できます。さらに、WhatsApp、Instagram、Telegram、YouTubeなどすべてのアプリからの通知をリアルタイムでキャプチャし、Google、Facebook、Amazon、銀行アプリを含むすべての登録サービスをリストアップできます。

金融モジュールは特に危険で、MetaMask、Trust Wallet、Binance、Coinbaseなどの暗号ウォレットアプリを検索し、クリップボードのアドレスを交換して転送を乗っ取ることができます。また、UPIアプリ、Apple Pay、PayPalを認証情報オーバーレイを介して標的にします。

名前にもかかわらず、ZeroDayRATはデバイスに感染するために未公開の脆弱性には依存しておらず、主にソーシャルエンジニアリングで配布されています。

NCSCが中小企業のサイバーセキュリティ意識向上を呼びかけ

英国の国家サイバーセキュリティセンター（NCSC）の最高経営責任者リチャード・ホーン氏が、中小企業に対してサイバー脅威への警戒を呼びかけています。

「サイバー攻撃の対象にはならないと考えている中小企業は間違っています」とホーン氏は警告しています。中小企業は大規模で有名な組織が狙われると信じがちですが、実際にはほとんどのサイバー攻撃者は企業規模やブランド認知度を気にしません。

「彼らが探しているのは機会と弱点であり、ロゴではありません。防御が脆弱でシステムが公開されている場合、貴社は脆弱性を抱えており、その結果は壊滅的なものとなる可能性があります」と述べています。

ホーン氏は中小企業に対し、「サイバー・エッセンシャルズ」認証の取得を推奨しています。このスキームの5つの主要な原則は、セキュアな構成、ユーザーアクセス制御、マルウェア対策、セキュリティ更新管理、そしてファイアウォールです。

「組織は物理的なセキュリティと保険なしに運営されず、基本的なサイバー保護を怠ることも同じことです」とホーン氏は強調しています。日本の中小企業の皆様にとっても、この教訓は重要です。

欧州議会がAI機能をブロック、データ保護を強化

欧州議会は、議員およびスタッフが使用するコーポレートデバイスの組み込みAI機能を無効化しました。この予防措置は、AIツールの機密情報取り扱いに関する重大な脆弱性を明らかにした内部ITセキュリティ評価に基づいています。

制限の対象となったのは、ライティングアシスタント、テキスト要約ツール、強化された仮想アシスタント、およびウェブページ要約ツールです。これらの機能は多くの場合、入力をリモートAPIを経由して処理するため、機密データが外部サーバーに送信されるリスクがあります。

欧州議会は2023年にスタッフデバイスからTikTokを禁止しており、今回のAI機能制限もその一環として位置づけられています。この動きは、他の政府機関にも影響を与える可能性があります。

Starlinkの制限がロシア軍に打撃

ウクライナは今月初めに新たな国家検証システムをStarlink端末向けに展開し、登録および検証済みのデバイスのみがウクライナ支配地域で運用できるようになりました。

この措置は、ロシア軍が攻撃ドローンにStarlink技術を設置し、衛星接続を介してリアルタイムで操作できるようになったことへの対応です。ウクライナの当局者は、この取り締まりがロシアの作戦に既に影響を与えていると主張しています。

Starlink端末へのアクセスを失ったロシア軍のブロガーは、これらの障害がモスクワのドローン戦争能力を弱め、部隊間の調整を妨げる可能性があると警告しています。SpaceXの創設者イーロン・マスク氏は「ロシアによるStarlinkの無許可使用を停止するために取った措置が機能したようです」とX上で述べました。

一方、ウクライナの「256th Cyber Assault Division」と称するハッカーグループは、切断された端末を復旧できるサービスになりすまして、ロシア兵から情報を収集し、5,870ドルを受け取ったと主張しています。

クロージング

本日は、Chromeのゼロデイ脆弱性、パスワードマネージャーの重大な欠陥、LockBitランサムウェアの新バージョン、そして日本のワシントンホテルへのランサムウェア攻撃など、多くの重要なセキュリティニュースをお伝えしました。

特にChromeをお使いの皆様は、今すぐバージョン145.0.7632.75以降へのアップデートを確認してください。また、パスワードマネージャーを利用している組織は、ベンダーからの最新のセキュリティアップデートを適用することをお勧めします。

産業制御システムを運用する組織においては、ランサムウェア攻撃の急増に対応するため、OT環境の可視性確保とリモートアクセスの厳格な管理が急務です。

気になるニュースがあれば、ぜひ詳細をご確認ください。最新の脅威情報を把握し、適切な対策を講じることが、組織のセキュリティを守る第一歩です。

東京セキュリティブリーフィングでした。また次回お会いしましょう。