ロシア国家支援のサイバー攻撃、重要インフラを継続標的 | 2026年7月15日
2026年7月15日のセキュリティニュースをお届けします。
トークスクリプト
東京セキュリティブリーフィング 2026年07月15日(水曜日)
オープニング
こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年07月15日、水曜日の放送です。昨日公開されたセキュリティニュースを中心に、本日も重要な情報をお届けします。では早速、本日のニュースをご紹介していきましょう。
ヘッドライン
本日のトップニュースは、ロシア国家支援のサイバー攻撃グループが欧州各地の重要インフラを標的にしているという、複数の報道機関が伝える重大な警告です。
その他の主要ニュースとしては、Joomlaの拡張機能に見つかった深刻な脆弱性が実際に悪用されているほか、Microsoft Entra IDに関連する新たな攻撃手法の発見、MacOS向けの新種マルウェア「CrashStealer」の流行、SAP製品に含まれる複数の深刻な脆弱性、そして日本国内ではタクシー大手の日本交通がサイバー攻撃を受けるなど、多岐にわたるセキュリティインシデントが報告されています。
それでは詳しく見ていきましょう。
詳細解説
ロシア国家支援のサイバー攻撃、重要インフラを継続標的
複数のメディアが報道している通り、ロシアの国家支援サイバー攻撃グループが、欧州の重要インフラを継続的に標的にしています。EUと英国は共同で、ロシア関連のサイバー犯罪者やハクティビスト、民間企業など、数十の組織や個人を制裁対象に指定しました。
特に注目されるのは、ロシアFSB第16センターが指揮する脅威グループTurlaの活動です。このグループは、欧州の政府ネットワークと重要インフラを標的にしており、2025年12月にはポーランドの電力施設30カ所以上を攻撃しました。この攻撃によって最大50万人が停電の可能性があったと言われています。
EUと英国は、この攻撃がロシアFSB第16センターの犯行であると正式に断定しており、ロシア個人9名および団体4団体を制裁対象に指定しています。英国も個人・団体合わせて24件を制裁対象としました。
また、米国の国防安全保障局NSAと連携する18の国際パートナー機関も、ロシアFSB第16センターの警告を発表しています。設定不備やパッチが未適用のルーターが、重要インフラへの侵入口として悪用されていることが明らかになりました。防衛産業基盤、通信、エネルギー、金融、医療が主な標的です。
攻撃の手法としては、SNMPv1・v2プロトコルの悪用や、Cisco Smart Installの脆弱性を利用した攻撃が確認されています。さらに、CVE-2018-0171やCVE-2008-4128といった旧来の脆弱性が依然として悪用されていることも報告されています。
リスナーの皆様の組織でも、特にルーターやネットワーク機器の設定・パッチ状況の確認が急務と言えるでしょう。
Joomla拡張機能の脆弱性が実際に悪用中
Joomlaの拡張機能に含まれる深刻な脆弱性が、実際に悪用されていることがCISAから警告されました。
問題となっている拡張機能は2つです。まずiCagendaの脆弱性はCVE-2026-48939で、CVSS10.0という最高スコアが付与されています。次にBalbooa Formsの脆弱性はCVE-2026-56291で、こちらもCVSSスコア10.0です。いずれも任意ファイルアップロードの脆弱性です。
特に深刻なのは、iCagendaではパッチリリースの数時間前に既に攻撃が確認されていることです。Balbooa Formsについても、7月8日から悪用が確認されており、パッチリリース前の段階でゼロデイ攻撃として利用されました。
これらの脆弱性を悪用されると、PHPコード実行が可能になり、最終的にはウェブサイト全体を乗っ取られる危険があります。Joomlaを使用されているサイト運営者の皆様は、緊急にパッチを適用されることを強くお勧めします。
Microsoft Entra IDへの新たな攻撃手法
Microsoft Entra IDを標的にした新たな攻撃キャンペーンが複数確認されています。
攻撃者が詐称OAuthクライアントIDを使用して、Entra IDから大規模にユーザー情報を収集しています。1月のキャンペーンでは、約70万件の詐称クライアントID、100万件以上のユーザーデータが収集されました。さらに12月のキャンペーンではより大規模で、370万件の詐称クライアント、200万人超のユーザーが標的になりました。
この攻撃が特に厄介なのは、ログに記録されないため検知が困難であることです。攻撃者は偽造クライアントIDを悪用することで、ユーザーの認証情報やトークンを検証できてしまいます。
また、新たなフィッシングキットも確認されており、Microsoft 365アカウントを標的にしています。これらのツールはMFAを回避し、デバイスコードフローを悪用してアクセス獲得を試みています。
MacOS向け新種マルウェア「CrashStealer」
MacOS向けの新しい情報窃取マルウェア「CrashStealer」が確認されました。
このマルウェアの最大の特徴は、Appleのクラッシュレポートツールに偽装していることです。「Werkbit Setup」という名前のディスクイメージを通じて配布され、公証済みのマルウェアドロッパーとして振る舞っています。これによってGatekeeper保護を回避しています。
マルウェアの被害としては、キーチェーンデータの盗出、暗号資産ウォレット情報の窃取が挙げられます。実に80種以上の暗号資産ウォレットが標的になっており、5月から追跡が始まり、7月上旬には実際の攻撃での使用が確認されました。
MacOS利用者の皆様は、不審なアプリケーションのインストールに十分注意してください。
SAP製品に含まれる複数の深刻な脆弱性
SAPが2026年7月のセキュリティパッチで、複数の深刻な脆弱性を修正しました。
NetWeaver ABAPのCVE-2026-44747はCVSSスコア9.9で、メモリ破損が発生する脆弱性です。Approuterに含まれるCVE-2026-27690はCVSSスコア9.1で、HTTPスマグリング攻撃を可能にします。Commerce CloudのCVE-2026-44761もCVSSスコア9.1で、安全でないサンプル認証情報を含んでいます。
これらの脆弱性は認証が不要でリモートコード実行が可能になるケースもあり、非常に危険です。SAP製品を使用されている企業の情報システム部門は、至急パッチの適用を検討してください。
日本国内での大型インシデント:日本交通のシステム停止
日本を代表するタクシー事業者である日本交通が、マルウェア感染によるシステム停止を経験しました。
2026年7月11日の攻撃により、貸切車のウェブ注文・予約管理システムと電話配車サービスが利用不可となりました。陣痛タクシーなどの特別サービスも機能停止してしまいました。日本交通は売上高1,550億円という日本最大手のタクシー事業者です。
現時点でデータ流出調査が進められており、外部セキュリティ専門家と調査が進行中です。犯行声明はまだ確認されていません。このインシデントは、国内の重要なサービス基盤がサイバー攻撃にどの程度脆弱であるかを示す事例となります。
Lidlの顧客データ漏洩
ドイツの小売大手Lidlが、システムプロバイダーからのデータ漏洩を経験しました。
影響を受けたのはドイツ、ベルギー、オランダのLidlオンラインショップ顧客です。流出したデータには、敬称、姓名、電話番号、メールアドレス、生年月日、顧客番号が含まれています。幸いなことにパスワード・銀行情報の漏洩可能性は低いとされていますが、フィッシングやなりすまし詐欺のリスクは存在します。
Entra ID認証方式の大転換予定
Microsoftが重要な発表を行いました。2026年9月1日からMicrosoft Entra IDの標準認証方式をパスキーに変更する予定です。
これに伴い、SMS・音声認証方式は段階的に廃止されます。2027年2月1日以降、MFAユーザーはパスキーの登録が必須になります。既にFIDO2やWindows Helloなどのフィッシング耐性認証を使用しているユーザーは引き続き利用可能です。
この変更は、フィッシング攻撃への耐性を大幅に向上させるための施策です。
データ流出のリスク:生成AI利用によるコピー&ペース問題
従業員がChatGPTなどの生成AIツールに機密データをコピー&ペーストする行為が、データ漏洩の主要な原因となっていることが指摘されました。
従来のDLPツールではユーザーのデジタルワークスペース内の行動を制御できず、エンタープライズブラウザレベルの制御が必要とされています。組織のセキュリティポリシーを徹底し、従業員教育の強化が重要です。
その他の重要なセキュリティニュース
AIチャットボットを利用した自然言語からのマルウェア作成が新たな脅威として浮上しています。低スキルの攻撃者でもAIを使用して固有のペイロードを生成可能になり、シグネチャベースの防御をすり抜けるため、行動分析が重要になります。
CISAからは、GitHub上に内部認証情報844MBが公開されたインシデントから学ぶ教訓が発表されました。2026年5月、CISAのコントラクターが公開GitHubにAWS Govcloud管理者キーを含む情報を掲載し、6ヶ月間放置されるという事態が発生しました。複数の独立した報告チャネル整備の必要性が明らかになっています。
ロシアのジャーナリスト、クセニヤ・ソプチャク氏のTelegramチャンネルが、メール侵害を経由してハッカーに一時的に乗っ取られ、Black Mirrorハッカー集団が350GB以上のデータを窃取したと主張しています。
クロージング
本日は、ロシアの国家支援サイバー攻撃から日本国内のインシデントまで、多岐にわたるセキュリティの脅威についてお伝えしました。
特にロシアによるインフラ攻撃、Joomla脆張機能の悪用、Microsoft Entra IDへの新たな攻撃手法、そして日本交通のシステム停止など、どれもが重大な事案です。
皆様の組織では、ネットワーク機器のパッチ適用状況の確認、Webアプリケーションの脆弱性管理、クラウド認証方式の見直しなど、複数のレイヤーでのセキュリティ対策強化が必要な状況です。気になるニュースがあれば、ぜひ詳細をご確認ください。
本日も東京セキュリティブリーフィングをお聴きいただき、ありがとうございました。また次回お会いしましょう。