国際法執行当局がランサムウェア初期アクセスボットネット「SocGholish」を解体 | 2026年6月20日

東京セキュリティブリーフィング 2026年06月20日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年06月20日、土曜日のお届けとなります。昨日公開されたセキュリティ関連のニュースをお届けします。本日も多くの重要なセキュリティインシデントが報告されていますので、最後までお付き合いください。

ヘッドライン

本日のヘッドラインです。国際法執行当局による大規模マルウェアネットワーク摘発、100万サイト以上に影響を及ぼすWordPressプラグインの重大脆弱性、Splunk Enterpriseの認証欠如脆弱性が積極的に悪用されている事態、そしてApple iPhoneの「パッチ不可能」とも言われるBootROM脆弱性の発見など、セキュリティ業界全体に大きな影響を与えるニュースが集中しています。さらに、大手通信企業による大規模な工作活動の摘発や、クリプトクリッパーマルウェアによる暗号資産窃取キャンペーンの実態解明など、脅威の多様化が進んでいる状況です。

詳細解説

国際法執行当局がランサムウェア初期アクセスボットネット「SocGholish」を解体

まず最初のニュースからお伝えします。オランダ、カナダ、米国、ドイツの当局がユーロポール支援のもとで実施した「Operation Endgame」において、大規模なランサムウェア配信インフラネットワークの摘発に成功しました。

摘発されたのは「SocGholish」というマルウェアで、別名「FakeUpdate」とも呼ばれています。このマルウェアは2017年以降、Evil Corpという組織に関連していることが確認されています。

今回の作戦では、106台以上のサーバーと101個のドメインが押収されました。さらに重要な点として、このSocGholishマルウェアによって侵害されたWordPressサイトが約15,000件以上あり、これらのサイトが修復されました。

SocGholishの仕組みですが、正規のWordPressサイトに侵入した後、訪問者に偽のブラウザアップデート通知を表示します。ユーザーがこの偽の通知をクリックすると、マルウェアがダウンロードされる仕組みになっていました。そして一度マルウェアに感染した端末は、LockBit、WastedLocker、RansomHub、Hadesなど、複数の主要なランサムウェアグループの初期侵入口として悪用されていたのです。

この摘発は、ランサムウェア攻撃の「サプライチェーン」を一気に遮断する意味で、極めて重要な成果と言えます。世界規模では30,000台以上のデバイスが影響を受けていた推定もされています。

暗号資産を狙うクリプトクリッパーマルウェアキャンペーンの大規模な展開

次に、暗号資産盗難を目的とした新種のマルウェアキャンペーンについてお伝えします。

Check Point Researchが発見した、Rust製クリップボードハイジャッカーと呼ばれるマルウェアキャンペーンが話題となっています。このマルウェアは「クリッパー」と呼ばれるタイプで、ユーザーのクリップボード内容を監視し、暗号資産のウォレットアドレスを攻撃者が用意したアドレスにすり替える仕組みになっています。

非常に注目すべき点は、このマルウェアが複数の正規性を装うための手法を使用していることです。

まず1つ目は、GitHubプラットフォーム上で偽のスターを大量に獲得させることで、人気のあるプロジェクトに見せかけていました。2つ目は、SourceForgeというダウンロードプラットフォームでのダウンロード数を水増しすることで、広く使われているツールであるかのように見せていました。

そして3つ目として、AIナレーションを使用したYouTubeチュートリアル動画を公開し、正規のツール紹介動画であるかのように装っていたのです。さらに、正規のニュースワイヤーサイトを通じたプレスリリース配信を悪用し、信頼性をさらに高めようとしていました。

マルウェア自体の機能ですが、WindowsとmacOS両方に対応しており、クリップボード内のビットコインアドレスを内蔵されている15,500件以上のウォレットアドレスリストから選定した攻撃者のアドレスに置き換えます。つまり、クリップボードに暗号資産のアドレスがコピーされている状態で送金操作を実行すると、自動的に攻撃者のアドレスに送金されてしまうという仕組みです。

さらに、より高度な亜種として、Windows Script Host、ActiveXObject、Torクライアント（ugate.exeという名前）を内蔵したバージョンも発見されています。このバージョンでは、BIP39シードフレーズや秘密鍵も監視対象となり、スクリーンショット送信機能やリモートコード実行機能も搭載されていました。Torクライアントを使用しているため、通信経路の追跡が困難になる特徴があります。

VirusTotalという脅威情報データベースでは、このマルウェアを検出しないようにするため、意図的に「安全」評価を投稿する工作もが実施されていました。

Splunk Enterpriseの認証欠如脆弱性が積極的に悪用中

次に、企業のセキュリティ運用に深刻な影響を与えている脆弱性についてお伝えします。

Splunk Enterpriseの脆弱性「CVE-2026-20253」が、実際の攻撃で悪用されていることがCISAによって確認されました。この脆弱性は「Known Exploited Vulnerabilities（KEV）」カタログに追加されており、連邦機関に対して2026年6月21日までの対応が指示されています。

脆弱性の詳細ですが、PostgreSQLサイドカーサービスのエンドポイントが認証を欠いているため、未認証の攻撃者が任意のファイル削除を実行できるというものです。これにより、Splunk Enterprise 10.2.0から10.2.3、および10.0.0から10.0.6が影響を受けます。

WatchTorというセキュリティリサーチ企業が概念実証（PoC）を公開し、Nuclei検出テンプレートも提供されています。この脆弱性の悪用は「パストラバーサル」と「PostgreSQL接続パラメータ操作」という2つの技術をチェーン化することで成立します。

CISAの警告によれば、Shadowserverが1,400以上のインターネット公開Splunkインスタンスを追跡しており、これらが潜在的な攻撃対象になる可能性があります。修正版はSplunk Enterprise 10.4.0、10.2.4、10.0.7以降で提供されています。

Apple iPhoneの「パッチ不可能」なBootROM脆弱性「usbliter8」

次に、Appleユーザーに極めて重大な影響を与える脆弱性についてお伝えします。

Paradigm Shiftというセキュリティリサーチグループが、「usbliter8」と命名された新たなBootROM脆弱性を公開しました。この脆弱性の最大の特徴は、タイトルにもあるように「パッチ不可能」である点です。

影響を受けるデバイスは、Apple A12、S4/S5、A13チップを搭載するiPhoneです。脆弱性の原因は、Synopsys製DWC2 USBコントローラのハードウェアバグとSecureROMの設定欠陥をチェーン化することで発生します。

具体的には、SetupパケットのDMA処理において、ポインタインクリメント不一致が生じることで12バイトのアンダーフロー状態が発生します。この結果、DART（デバイスアドレス解決テーブル）バイパスモードが有効化され、デバイスSRAM内への任意データ上書き、プログラムカウンタ制御、権限昇格が可能になります。

このBootROM脆弱性を悪用されると、DFUチェーン全体が制御される、未署名iBootのブートが可能になる、任意ファームウェアのエグゼキューションが実現するなど、デバイス全体が完全に制御される状況に陥ります。

なぜパッチ不可能かというと、BootROMはデバイス出荷時に焼き込まれており、その後変更することができないためです。つまり、これらのデバイスユーザーは、新機種への買い替え以外に根本的な対策がないということになります。ただし、悪用には物理的なアクセス、具体的にはRaspberry Piなどのハードウェアを使用した特殊な操作が必要とされているため、リスクレベルは一般的なソフトウェア脆弱性よりは低いと考えられます。

FortiGateファイアウォール大規模侵害「FortiBleed」

次に、企業のネットワークセキュリティに関わる重大なインシデントについてお伝えします。

Hudson Rockのセキュリティ研究者が、Fortinetのファイアウォール「FortiGate」に対する大規模な侵害を報告しました。このインシデントは「FortiBleed」と呼ばれています。

調査によると、194カ国の73,932台のFortiGateから侵害痕跡が特定されました。流出データセットからは、21,632の一意の企業ドメインが確認されています。

地域別の影響をみると、インド、米国、台湾、メキシコ、トルコなどで集中しており、攻撃ターゲットは通信企業、IT企業、金融機関、行政機関、医療機関に及んでいます。

流出データには、認証情報が約74,000件含まれており、これが攻撃者に悪用される可能性があります。また、ログデータから約11億6,000万回の認証試行と、163,650件のSQLサーバーに対するブルートフォース試行が記録されていました。

WordPressプラグイン「Avada Builder」の重大脆弱性

次に、100万サイト以上に影響するWordPressプラグインの脆弱性についてお伝えします。

「Avada Builder」というWordPressプラグインに、CVE-2026-8713という重大な脆弱性が発見されました。このプラグインは広く使用されており、バージョン3.15.3以前が影響を受けます。

脆弱性の重要度はCVSS 9.1と極めて高く、その内容は「パストラバーサル検証の不備による任意ファイル削除」というものです。具体的には、maybe_delete_files()という関数にバグがあり、認証なしでwp_ajax_nopriv_fusion_form_submit_ajaxというエンドポイントを経由して悪用されます。

攻撃者は、wp-config.phpというWordPressの設定ファイルを削除することで、サイトを強制的にリセットさせることができます。その後、悪意のあるデータベース設定を注入することで、任意のPHPコードを実行させることが可能になります。

Wordfenceというセキュリティ企業が、このプラグインについてファイアウォール保護を提供しており、バウンティとして3,600ドルが支払われています。修正版はバージョン3.15.4以降で提供されています。

Klueインテグレーション侵害によるSalesforceデータ窃取

次に、SaaSインテグレーション経由のデータ窃取インシデントについてお伝えします。

「Klue」というマーケットインテリジェンスプラットフォームのバックエンドが侵害され、その結果、Salesforce CRMから大量のデータが窃取されました。

侵害されたのは、Klueが所有していた長期間未使用のAPIクレデンシャルです。攻撃者がこれを悪用して、Salesforce REST APIに対して約1,000件/15分という集中的なクエリを実行しました。窃取データは24時間以内に完了し、Salesforce上の顧客データが盗まれています。

恐喝グループ「Icarus」が関連しており、6月11日の侵害から、わずか6月13日には被害企業への顧客アラートが発せられ、6月16日には「48時間以内に連絡するよう」という恐喝メールが送付されたとのことです。

これは、2025年のSalesloft Drift侵害、2026年のGainsight侵害に続く、SaaSインテグレーションを悪用したデータ窃取パターンです。Salesforceは、Klueとの接続を直ちに遮断するよう顧客に指示しました。

Huntress社も被害企業の一つであることを公式に認めており、同社従業員のメールボックスに恐喝メールが送付されたと報告されています。窃取されたデータは営業関連情報が中心ですが、製品、認証、エンジニアリング情報への影響はないと説明されています。

Microsoft 365 Copilot「SearchLeak」脆弱性

次に、新しいAI機能に関わるセキュリティ脆弱性についてお伝えします。

「SearchLeak」と呼ばれるMicrosoft 365 Copilotの脆弱性が、Varonisによって発見されました。この脆弱性は、複数のセキュリティ上の弱点がチェーン化することで成立します。

具体的には、URLパラメーターからプロンプトへのインジェクション、HTMLレンダリング競合状態、Bingベースのサーバーサイドリクエストフォージェリ（SSRF）脆弱性が組み合わさっています。

攻撃者が悪意のあるCopilotリンクを作成し、ユーザーがそのリンクを一度クリックするだけで、以下の情報が露出される可能性があります。企業メール、会議情報、セキュリティコード、ファイルへのアクセスなど、極めて機密性の高い情報です。

ただし、マイクロソフトがサーバー側で既にパッチ適用済みということが報告されており、脆弱性は「Critical」評価を受けています。

Accentureが42億ドルでセキュリティ企業買収――OTセキュリティに注力

次に、セキュリティ業界の大型M&Aについてお伝えします。

Accentureが、産業用サイバーセキュリティ強化に向けて3社の買収を発表しました。総投資額は41億8,000万ドルに上ります。

買収対象企業ですが、Dragosが32億5,000万ドル（過半数株式の取得）、runZeroが買収され、さらにNetRiseも買収されます。

これらの企業は、運用技術（OT）セキュリティの専門企業です。Dragosは過去のランサムウェア攻撃において、重要インフラの脆弱性を検知する専門企業として知られています。

Accentureがこのような大規模投資をする背景には、AI時代における重要インフラ防御がビジネス戦略の最優先事項になっているという判断があります。予測によると、OTセキュリティ市場は2031年までに590億ドルに達する見通しです。Dragosは、買収後も独立事業体として継続運営されることが発表されています。

北朝鮮による大規模な米国IT企業への潜入活動

次に、国家的な規模での大規模な工作活動についてお伝えします。

Nisosのセキュリティ企業が、22人の北朝鮮工作員による詐欺作戦を特定しました。この工作活動は「体制資金化」、つまり北朝鮮政権への資金流入を目的としたものです。

活動の規模は極めて大きく、166,893件の求人応募から21,645件を超える面接が実施され、76件の内定を獲得していました。

工作員らが使用した手法ですが、AI生成の履歴書、AIコーチングツール、現地での替え玉（身代わり）、ERC20トークン（暗号資産）による報酬支払いなど、極めて洗練された手法が用いられていました。

目標は、米国のIT企業に潜入し、給与を獲得することで、北朝鮮政権への資金流入ルートを構築することでした。このような大規模な工作活動は、従来のサイバー犯罪のみに依存しない、「もはや従来のサイバー犯罪だけに頼っていない」という新たな脅威トレンドを示しています。

その他の重要なセキュリティニュース

ここからは、その他の重要なセキュリティニュースをまとめてお伝えします。

**Node.jsセキュリティアップデート**
Node.js v22.23.0、v24.17.0、v26.3.1が2026年6月18日にリリースされ、合計12件の脆弱性が修正されました。このうちCVE-2026-48933（WebCryptoのAES整数オーバーフロー）とCVE-2026-48618（Unicodeドット処理によるTLSワイルドカード認証バイパス）が「高」優先度です。

**Oracleセキュリティパッチ**
Oracle Critical Security Patch Updateが245件の修正を公開し、すべてが「高優先度セキュリティ」評価です。Enterprise Manager、JD Edwards、Fusion、MySQL、PeopleSoftが影響を受けています。

**INTERPOL報告**
INTERPOL 2025/2026年レポートが、調査対象18カ国のうち半数以上でサイバー犯罪が全犯罪の30%超を占めることを報告しました。カンボジア、ラオス、ミャンマー、フィリピンの詐欺施設が年間約400億ドルを生み出しており、ディープフェイク関連議論が600%増加しています。

**Insikt Groupの監視リスク報告**
31カ国が外国人・企業従業員に対して「高リスク」または「非常に高いリスク」の国家デジタル監視を実施していることが報告されました。ネットワーク傍受、エンドポイント侵害、プラットフォームアクセス、公共監視、データ集約という5つのベクターが悪用されており、PegasusやPredatorなどの商用スパイウェアの参入障壁が低下しています。

クロージング

以上が、本日のセキュリティニュースの主要なトピックスです。

本日のまとめですが、国家的規模での大規模な工作活動、ランサムウェア供給チェーンの国際摘発、暗号資産盗難マルウェアの巧妙な正規化戦略、そして「パッチ不可能」とも言われるハードウェア脆弱性の発見など、セキュリティ脅威の多次元的な進化が続いています。

特に注目すべきは、従来のサイバー犯罪の枠を超えた、国家的規模の工作活動と、AIを活用したより巧妙な攻撃手法の組み合わせです。また、SaaSインテグレーション経由のデータ窃取も、今後の重要な攻撃パターンとして注視が必要です。

本日ご紹介した脆弱性や被害事案に関心がおありでしたら、ぜひ詳細情報をご確認いただくことをお勧めします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。