Fortinet FortiSandboxの重大脆弱性が悪用中 | 2026年6月17日
2026年6月17日のセキュリティニュースをお届けします。
トークスクリプト
東京セキュリティブリーフィング 2026年06月17日(水曜日)
オープニング
こんにちは。東京セキュリティブリーフィングへようこそ。本日も、世界で起きているセキュリティに関するニュースをお届けします。今日は2026年06月17日、水曜日です。昨日公開されたセキュリティニュースから、皆さんに知っていただきたい重要な情報をピックアップして、分かりやすくご解説していきます。
ヘッドライン
本日のヘッドラインです。
**Fortinet FortiSandboxで複数の重大脆弱性が実環境で悪用されています。** CVE-2026-39813など3件の脆弱性が過去24時間以内に攻撃に使われているという緊急報告です。
**製薬大手ノボ ノルディスクがサイバー攻撃を受け、患者データとAI資産が流出しました。** 約16.7GBのAIモデルを含む機密情報が窃取され、身代金が要求されています。
**WordPressの複数の人気プラグインが改ざんされ、最大120万のサイトが悪意あるコードに感染しています。** OptinMonster、TrustPulse、PushEngageが特に影響を受けています。
**中国関連の脅威グループが、医療・研究機関のREDCapサーバーを狙った1年以上にわたるスパイキャンペーンを実施していました。** 1年以上検知されていなかったという極めて深刻な状況です。
それでは、これらのニュースの詳細をご解説していきます。
詳細解説
Fortinet FortiSandboxの重大脆弱性が悪用中
まず、最も緊急性の高いニュースからお話しします。Fortinet社の「FortiSandbox」という製品に複数の重大な脆弱性が見つかり、実際の攻撃に悪用されています。
該当する脆弱性は、**CVE-2026-39813、CVE-2026-39808、CVE-2026-25089**の3件です。特にCVE-2026-39813はCVSSスコア9.8という最高レベルの深刻度が付与されています。これらの脆弱性を悪用すると、攻撃者は認証なしに権限を昇格させたり、任意のコードを実行したりすることが可能になります。
より具体的には、これらの脆弱性によってサンドボックスの保護機能を回避し、分析結果を改ざんすることができるという大変危険な状況です。
影響を受ける対象は、バージョン5.0.0から5.0.5、そしてバージョン4.4.0から4.4.8となります。Fortinetは既に2026年4月にパッチをリリースしており、現在は「利用可能な修正済みリリースへのアップグレード」を強く推奨しています。
FortiSandboxはサンドボックス環境でマルウェアを分析・検証する製品ですので、これが突破されてしまうと、実装されているセキュリティ検証システム全体の信頼性が失われてしまいます。企業のシステム管理者の方は、至急パッチの適用状況をご確認ください。
ノボ ノルディスクのデータ流出事件
次に、デンマークの製薬大手ノボ ノルディスクがサイバー攻撃を受けた事件についてお話しします。
ノボ ノルディスクは、サイバー犯罪グループによる攻撃を受け、複数の重要なデータが窃取されました。流出したデータの内容は以下の通りです:
1. **患者データ**:臨床試験患者の仮名化データが含まれており、患者ID、バイオマーカー、生活習慣情報などが流出しています。
2. **AI資産**:実に16.7GBのマルチモーダルAIモデルが窃取されました。
3. **トレーニングデータセット**:407MBの生物学的・化学的トレーニングデータセットが流出しています。
4. **ソースコード**:50MB以上のソースコードも盗まれています。
この攻撃は2026年6月11~12日に発生し、攻撃者は身代金を要求して恐喝を続けているとのことです。患者データについては、直接的な個人を特定できる情報(氏名や住所など)は含まれていないと報告されていますが、それでもバイオマーカーや生活習慣情報などの機密性の高い医療情報が含まれているため、プライバシー侵害のリスクは非常に高いものです。
特に注目すべき点は、16.7GBのAIモデルが盗まれたということです。医薬業界では、AIモデルは競争力の源となる知的財産ですので、これが敵対企業や悪意のある行為者に渡ることは、企業の競争優位性を失うだけでなく、新薬開発にも影響を与える可能性があります。
WordPressプラグイン大量改ざん事件
続いて、WordPressの複数の人気プラグインが改ざんされた事件についてご説明します。
影響を受けたのは、**OptinMonster、TrustPulse、PushEngage**の3つのプラグインです。これらはすべてAwesome Motiveという企業が提供しており、世界中で広く使用されています。
この事件の攻撃フロー:攻撃者がAwesome MotiveのCDN(コンテンツデリバリーネットワーク)アカウントの認証情報を窃取し、JavaScriptファイルを改ざんしました。その結果、最大120万のWebサイトに悪意あるスクリプトが配信されてしまいました。
その悪意あるスクリプトの動作:サイト管理者がページを訪問した際に作動し、以下の3つのことが行われました:
1. **認証トークンの窃取**:管理者のセッション情報が盗み出されます。
2. **不正管理者アカウントの作成**:盗んだ認証情報を使用して、攻撃者が新たな管理者アカウントを作成します。
3. **バックドアの設置**:バックドアプラグインをインストールして、サイトへの恒久的なアクセスを確保します。
CDNを通じて配信されるプラグインは、事実上、百万規模のサイトに同時にコードを配信できるため、サプライチェーン攻撃としては非常に破壊力が大きいものです。このような「ソフトウェアをインストールしているからには安全だろう」という信頼が、逆に攻撃の足がかりになってしまうという点で、非常に危険な事例と言えます。
WordPressを運用されている皆さんは、このような改ざんが発生していないかどうか、管理者アカウントに不正なアカウントが作成されていないかを確認されることを強くお勧めします。
中国関連グループによる医療・研究機関への長期スパイキャンペーン
次に、Google Threat Intelligence(GTI)が報告した、中国関連の脅威グループによる大規模なスパイキャンペーンについてお話しします。
**脅威アクターの名称**:UNC6508という脅威アクターグループです。
**活動期間**:2023年9月から2025年11月まで、実に1年以上にわたって活動していました。
**標的**:北米の学術機関、医療機関、軍事研究機関が標的にされました。
**攻撃手法**:REDCapというオープンソースの臨床研究データ管理システムが狙われました。REDCapの旧バージョンの脆弱性を悪用してダウングレード攻撃を仕掛け、研究機関のネットワークに足がかりを確立しました。その後、help.phpというシェルを展開し、「Infinitired」というカスタムマルウェアを使用して、研究データを大規模に窃取しました。
**窃取されたデータの内容**:
- AI・無人機(ドローン)・防衛作戦・医療研究に関する機密データ
極めて深刻な点は、この侵害が2023年9月から1年以上にわたって検知されなかったということです。つまり、攻撃者は長期間にわたって、対象組織のネットワークに潜伏したままデータを持ち出していたということです。医療・軍事研究機関のデータは国家の安全保障に関わる機密情報であり、このような長期にわたるスパイキャンペーンは、極めて深刻な脅威です。
SimpleHelp RMMの認証バイパス脆弱性
続いて、リモートアクセス管理製品「SimpleHelp」の脆弱性についてお話しします。
**脆弱性番号**:CVE-2026-48558
**深刻度**:「Critical(極めて危険)」
**影響**:OpenID Connect認証が有効なサーバーでは、認証されていない攻撃者であっても、新たな「テクニシャン」アカウント(特権を持つ管理者アカウント)を作成することができます。
つまり、まったく認証情報を持たない外部攻撃者が、SimpleHelpサーバーに直接アクセスして、特別な権限を持つアカウントを自由に作成できてしまうということです。これは重大な認証バイパスの脆弱性です。
**現在の状況**:バージョン5.5.16で修正されています。セキュリティ管理者の皆さんは、SimpleHelpを利用されている場合、至急このバージョン以降へのアップグレードをお勧めします。
インターネット公開のSimpleHelpサーバーのうち、約7.2%がこの脆弱な認証設定を使用しているとも報告されており、今なお多くのシステムが危険にさらされている可能性があります。
Cisco SD-WAN Catalyst ManagerのゼロデイCVE-2026-20262
次に、Cisco製の「SD-WAN(Software-Defined WAN)」製品の脆弱性についてお話しします。
**製品**:Catalyst SD-WAN Manager
**脆弱性番号**:CVE-2026-20262
**深刻度**:CISSAが「既知の悪用脆弱性カタログ」に追加するほど、積極的に悪用されています。
**内容**:パストラバーサル脆弱性により、低権限のリモート攻撃者がroot権限を取得することができます。つまり、認証情報を持たなくても、特定の操作を行うことで、システムを完全に掌握されてしまうリスクがあります。
**対応**:Ciscoはパッチをリリースしており、修正済みリリースへのアップグレードが推奨されています。
企業ネットワークの心臓部とも言えるSD-WANが攻撃対象になることは、ネットワーク全体のセキュリティリスクとなります。
iRythmによるデータ侵害
心臓病患者の医療情報管理を行うデジタルヘルスケア企業「iRythm」がサイバー攻撃を受け、患者の機密情報が窃取されました。
**流出した情報の内容**:
- 患者の個人情報(氏名、連絡先など)
- 保護医療情報(PHI)
**攻撃の経路**:ソーシャルエンジニアリングを通じて、サードパーティ製ビジネスアプリケーションから侵入しました。
**身代金の動き**:攻撃者は2026年6月9日に iRythmに接触し、身代金を要求しています。
iRythmのサービス利用者は1,200万人以上に及ぶと報告されており、潜在的に多数の患者の情報が流出している可能性があります。医療情報の特性上、一度流出すると、その情報がなりすまし詐欺や医療詐欺に利用されるリスクが極めて高いため、非常に深刻な事態です。
Microsoft Teamsを悪用した隠蔽通信
次に、興味深い攻撃手法についてお話しします。ランサムウェアグループのDragonForceが「Backdoor.Turn」というマルウェアを使用して、Microsoft Teamsのインフラを悪用して、悪意ある通信を隠蔽していたというニュースです。
**攻撃内容**:
1. まず、SQLサーバーの脆弱性を利用して、企業ネットワークに侵入します。
2. その後、複数のBYOVD(Bring Your Own Vulnerable Driver)脆弱性を悪用して、セキュリティツールを無効化します。Huawei、Topaz、Tower of Fantasy、K7など、複数のドライバーが利用されているということです。
3. 「Backdoor.Turn」というカスタムマルウェアを展開します。
4. このマルウェアが、Microsoft Teamsのリレーサーバー(TURN Relay)にアクセスして、匿名のアクセストークンを取得します。
5. その後、正規のMicrosoftのリレー経由で、攻撃者のコマンド・アンド・コントロール(C2)サーバーとの通信を隠蔽します。
この手法が極めて巧妙な点は、攻撃のトラフィックが見かけ上、正規のMicrosoft Teamsのインフラを通じた通信に見えるということです。つまり、ファイアウォールのログを見ても、Microsoftとの通信としか見えないため、検知が非常に難しいのです。
実際に、攻撃者は最大2か月間、セキュリティツールに検知されずにシステムに潜伏し、その後ランサムウェアを実行したとのことです。
FBI警告:配達業者を使った暗号資産詐欺
続いて、FBI公共サービスアナウンスが警告した、暗号資産投資詐欺の手口についてお話しします。
**詐欺の流れ**:
1. 詐欺師が被害者にメッセージで「投資利益」を表示し、信用を得ます。
2. 銀行の送金システムが詐欺検知機能を強化した結果、銀行送金がブロックされるようになってきました。
3. そこで詐欺師は、対面での現金受け取りに被害者を誘導し始めました。
4. 詐欺師が宅配業者を利用して、被害者の自宅に「現金受け取り担当者」を派遣します。
5. 被害者は架空の投資利益を信じて、現金を詐欺師に引き渡します。
6. その後も「追加の利益を受け取るには、さらに現金を支払う必要がある」と繰り返し要求されます。
**被害規模**:2025年の投資詐欺だけで、全米で73,000件、被害額は86億ドルを超えています。これはサイバー犯罪の中でも最大規模の被害を記録しています。
この手口が厄介な点は、銀行の送金システムでは検知できず、受け渡しが対面・現金で行われるため、従来の詐欺検知システムの網をすり抜けてしまうということです。
Microsoft 365 CopilotとSearchLeak脆弱性
次に、Microsoftの「Copilot」という生成AI機能に関連する深刻な脆弱性についてお話しします。
**脆弱性名**:「SearchLeak」
**CVE番号**:CVE-2026-42824
**内容**:ユーザーが悪意あるリンクをクリックするだけで、以下の機密情報が自動的に窃取されます:
- メール
- MFAコード(多要素認証のワンタイムパスワード)
- 会議メモ
- OneDriveファイル
- カレンダー情報
このリンクは、一見すると正規のMicrosoftドメインに見えるため、ユーザーは警戒心を持たずにクリックしてしまいます。
**現状**:Microsoftはすでにサーバー側で修正を実施しているため、クライアント側でのパッチ適用は不要ですが、この脆弱性により、メール、MFAコード、ファイルなどの最機密情報が1クリックで窃取される可能性があったという点で、極めて深刻な問題です。
OAuth 2.0デバイスフロー悪用フィッシング
次に、OAuth 2.0という認証メカニズムの新しい悪用手法についてお話しします。
**攻撃名**:EvilTokens
**標的**:Microsoft 365のユーザー
**手法**:OAuth 2.0の「デバイス認可フロー」(Device Authorization Grant)を悪用します。通常、このフローは、スマートフォンやテレビなど、テキスト入力が難しいデバイスでの認証に使用されます。攻撃者は、ユーザーに確認コードの入力を促すフィッシングメールを送付し、ユーザーが入力した確認コードを使用してMicrosoft 365アカウントを乗っ取ります。
極めて巧妙な点は、パスワードを盗む必要がないということです。確認コード(6桁の数字)だけで、アカウント全体を掌握することができてしまいます。
**活動規模**:2026年3月に340以上の組織を標的にしたキャンペーンが確認されています。
Fortinet FortiSandboxに関する追加情報
先ほどお話ししたFortinetの脆弱性について、追加情報があります。
Symantecが、悪意あるIPアドレス141.11.43.175からの攻撃がこれらの脆弱性を悪用していることを確認しました。これは、すでにサイバー犯罪者がこれらの脆弱性を実環境で悪用している、という何よりの証拠です。
TAKE IT DOWN法に基づく初めての差し押さえ
米司法省が、「TAKE IT DOWN法」に基づいてディープフェイク関連のドメインを差し押さえるという、この法律初の執行を実施しました。
**差し押さえされたドメイン**:
- CFAKE.com
- SOCFAKE.com
**内容**:著名人のAI生成ヌード画像を掲載していました。
**背景**:フランスの司法当局がニース在住の容疑者を逮捕しており、同サイトには約30万枚の画像と7,000本の動画が掲載されており、14,000人以上の人物が描写されていたとのことです。容疑者は広告収入約64,000ドル分のイーサリアムを保有していたと報告されています。
TAKE IT DOWN法は、権利を侵害するディープフェイク画像・動画について、プロバイダーに迅速な削除を義務付ける新しい法律です。今回の差し押さえは、その初適用となります。
その他の主要なセキュリティニュース
この他にも、複数の重要なセキュリティニュースがあります。
**Google Certificate失効**:Microsoftの「connectivity.office.com」というドメインのSSL/TLS証明書が失効し、システム管理者の接続確認ツールに影響を与えています。証明書は6月14日に失効し、35時間以上経過しても更新されていないとのことです。証明書のライフサイクル管理の重要性が改めて浮き彫りになっています。
**SprySOCKSマルウェアの拡大**:LinuxOSに対するSprySOCKSマルウェアが、Windowsにも拡大してきました。Windowsバージョンは「WIN_DRV」と呼ばれ、カーネルドライバでファイルやプロセスを隠蔽します。ホンジュラス、台湾、タイ、パキスタンの政府機関が2023~2024年に標的にされました。
**プロスポーツクラブへの攻撃**:Darktraceのレポートによると、過去1年間でプロスポーツクラブの84%がサイバーインシデントを経験しており、そのうち83%が攻撃にAIの使用を確認しています。インシデント1件あたりのコストは約17万ドル、年間損失は最大170万ドルに上っています。
**英国の新方針**:英国が16歳未満のSNS利用を禁止する方針を発表しました。オーストラリアを超える水準の年齢確認手法の導入を予定しており、2027年春までに施行される見込みです。
**FTC警告:成りすまし詐欺**:2025年の成りすまし詐欺被害が35億ドルに達し、詐欺報告の約3件に1件を占めるようになりました。銀行を装った詐欺が約10億ドル、政府機関を装った詐欺が約9.2億ドルです。特にFacebook等のソーシャルメディア経由の被害が21億ドル以上で、2020年比で8倍に増加しています。
クロージング
本日のセキュリティニュースブリーフィングをお届けしました。
ご紹介した通り、Fortinet FortiSandboxの脆弱性悪用、ノボ ノルディスクのAIモデル流出、WordPressプラグインへの大規模改ざん攻撃、中国関連グループによる医療・研究機関への長期スパイキャンペーン、Microsoft Teamsのインフラを悪用した隠蔽通信など、極めて深刻なセキュリティインシデントが相次いで報告されています。
また、OAuth 2.0のデバイスフローを悪用したフィッシング、配達業者を使った暗号資産詐欺、CVE-2026-42824「SearchLeak」脆弱性によるメールやMFAコード窃取、SimpleHelp RMMの認証バイパス脆弱性など、新しい攻撃手法も次々と出現しています。
セキュリティリスクは常に進化・増加していますが、以下の基本が重要です:
- 脆弱性パッチは速やかに適用する
- サプライチェーン企業(CDN、プラグイン開発企業など)のセキュリティアナウンスに注視する
- 長期的な侵害(APT攻撃)への検知体制を整備する
- フィッシングメールへのユーザー教育を継続する
- 多要素認証(MFA)の導入を進める
気になるニュースがあれば、ぜひ詳細をご確認ください。皆さんの組織のセキュリティ強化にお役立てください。
東京セキュリティブリーフィングでした。また次回お会いしましょう。
