東京セキュリティブリーフィング 週次コラム 2026年01月11日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月11日、日曜日のコラム回をお届けします。

今週は、セキュリティ業界にとって非常に示唆に富む一週間となりました。ボットネットの進化、AIを悪用した攻撃の高度化、そして重要インフラを標的とした国家支援型サイバー攻撃の激化など、2026年のサイバーセキュリティ環境がどのような様相を呈していくのか、その輪郭が見えてきた週でもあります。

特に注目すべきは、複数のニュースメディアが取り上げたKimwolfボットネットの大規模感染、そしてLastPass侵害に関連した暗号資産盗難の追跡結果です。これらの事案は、私たちセキュリティ担当者が日々直面している脅威の本質を浮き彫りにしています。

それでは、今週のセキュリティトレンドを詳しく分析していきましょう。

今週のセキュリティトレンド分析

Kimwolfボットネットが200万台超のデバイスに感染

今週最も注目を集めたのは、Kimwolfボットネットによる大規模感染です。複数のセキュリティメディアがこの脅威について報じており、その影響の深刻さが伺えます。

Kimwolfボットネットは、Aisuruマルウェアの亜種として200万台以上のデバイスに感染を広げています。特に問題なのは、感染デバイスの約67%が「未認証」の状態でAndroid Debug Bridgeがデフォルトで有効になっている点です。これらは主にAndroid TVセットトップボックスやストリーミングデバイスで、多くのケースで購入前から既に侵害されていたと報告されています。

感染経路として注目すべきは、住宅用プロキシネットワークの脆弱性を悪用している点です。攻撃者はDNSレコードを操作してプライベートIP範囲へのアクセス制限を回避し、内部ネットワークに侵入しています。IPIDEAプロキシネットワークのIPアドレスが悪用されていたことも確認されており、プロキシサービス事業者のセキュリティ対策の重要性を改めて示す事例となりました。

このボットネットは、DDoS攻撃、広告詐欺、そして住宅用プロキシネットワークの構築に悪用されています。約30Tbps規模のDDoS攻撃能力を持つとされ、攻撃者は帯域を1GBあたり0.20ドルで貸し出して収益を得ています。

日本企業にとっての示唆は明確です。IoTデバイスの調達において、サプライチェーンセキュリティの観点からベンダー選定を厳格化する必要があります。特に安価なノーブランド製品には、出荷時点でセキュリティリスクが内在している可能性があることを認識すべきです。

LastPass侵害と暗号資産盗難の関連性が明らかに

2022年に発生したLastPass侵害の影響が、今なお継続していることが明らかになりました。TRM Labsの分析によると、この侵害に関連して3,500万ドル以上の暗号資産が盗難されています。

注目すべきは、盗まれた保管庫がオフラインで復号され続けているという点です。弱いマスターパスワードで保護されていた保管庫が解読され、中に保存されていたシードフレーズが標的となりました。盗まれた暗号資産は、Wasabi Walletを通じてミキシングされた後、ロシアの取引所CryptexおよびAudi6を通じて現金化されています。

MetaMaskの調査によれば、実際の損失額は1億ドルに近づく可能性が示唆されています。この事案は、パスワードマネージャーの選定とマスターパスワードの強度がいかに重要であるかを如実に示しています。

日本企業のセキュリティ担当者は、従業員が使用しているパスワードマネージャーの選定基準を見直すとともに、マスターパスワードのポリシーを強化することを検討すべきでしょう。

台湾への中国からのサイバー攻撃が急増

台湾国家安全局の報告によると、中国からのサイバー攻撃は2025年に1日平均263万件に達し、年間約9.6億件を記録しました。これは前年比6%の増加です。

特に深刻なのは、エネルギー分野への攻撃が前年比10倍に急増している点です。また、緊急救助機関と医療施設への攻撃も54%増加しています。攻撃は人民解放軍の軍事演習や政治イベントと連動して行われており、サイバー作戦が統合作戦の一部として位置づけられていることが窺えます。

主要な脅威アクターとして、BlackTech、Flax Typhoon、Mustang Panda、APT41、UNC3886の5つのグループが特定されています。これらのグループは、半導体や防衛分野のサプライヤーも標的としており、サプライチェーン全体への脅威となっています。

日本企業にとって、この事案は地政学的リスクがサイバーセキュリティに直結することを示しています。特に台湾との取引や技術提携がある企業は、サプライチェーンリスクの再評価が必要です。

n8nワークフロー自動化プラットフォームに最大深刻度の脆弱性

ワークフロー自動化プラットフォームn8nに、CVSSスコア10.0の最大深刻度脆弱性が発見されました。CVE-2026-21858として追跡されるこの脆弱性は、「Ni8mare」と命名されています。

問題はContent-Type混同バグにあり、認証なしで任意ファイルへのアクセスが可能になります。攻撃者は機密シークレットの抽出、管理者アクセスの偽造、そして任意コマンドの実行が可能です。

n8nは様々なアプリケーションやデータベースを連携するツールであり、多くの企業システムと接続されているため、侵害された場合の影響範囲は甚大です。約10万台のサーバーが影響を受けるとされており、バージョン1.121.0で修正が提供されています。

自動化ツールの導入が進む中、このような脆弱性は業務継続性に直結するリスクとなります。パッチ管理の重要性を改めて認識させられる事例です。

React2Shell脆弱性の大規模悪用

Next.jsの重大な脆弱性CVE-2025-55182、通称React2Shellが大規模に悪用されています。Shadowserver Foundationによれば、90,300以上のシステムが脆弱な状態にあり、米国が68,000超と最多です。

攻撃は3段階で進化しており、6つのコントロールセンターが10種類のウイルス亜種を配布しています。810万件を超える攻撃セッションが記録されており、101か国、8,163のユニークIPから攻撃が行われています。AWSが悪用トラフィックの3分の1超を占めているという報告もあります。

PowerShellとAMSI回避手法を用いた暗号資産マイニングやリバースシェル展開が確認されており、Webアプリケーションフレームワークの脆弱性管理の重要性を示しています。

悪意あるChrome拡張機能によるAIチャットデータ窃取

90万人以上のユーザーに影響を与える悪意あるChrome拡張機能が発見されました。これらの拡張機能は、ChatGPTやDeepSeekとの会話内容を攻撃者のサーバーに流出させていました。

30分ごとにチャット内容とタブURLを収集する仕組みで、企業スパイやID窃取に悪用される恐れがあります。正規の拡張機能になりすまし、匿名データ収集への同意を求めて悪意ある機能を追加するという手口が使われていました。

AIツールの業務利用が増加する中、ブラウザ拡張機能のリスク管理が新たな課題として浮上しています。従業員が利用する拡張機能のホワイトリスト管理を検討すべき時期に来ています。

ClickFix攻撃がホスピタリティ業界を標的に

PHALT#BLYXと命名されたClickFixキャンペーンが、欧州のホスピタリティ業界を標的としています。Booking.comの予約キャンセルを装ったフィッシングメールから始まり、偽のブルースクリーンを表示してユーザーにPowerShellコマンドを実行させるという手口です。

最終的にDCRatというリモートアクセス型トロイの木馬を展開し、キリル文字のデバッグ文字列からロシア語圏の脅威アクターとの関連が指摘されています。

この攻撃は、繁忙期に焦る従業員の心理を巧みに突いたソーシャルエンジニアリングの典型例です。日本のホテル業界も同様の攻撃に備える必要があります。

今後予想されるリスクと対策

IoTデバイスのサプライチェーンリスク

Kimwolfボットネットの事例が示すように、IoTデバイスは出荷時点で既に侵害されている可能性があります。特に安価なノーブランド製品には注意が必要です。

対策として、調達時にはデバイスのセキュリティ認証を確認し、可能であれば信頼できるベンダーからの購入を優先すべきです。既存のIoTデバイスについては、Android Debug Bridgeなどのデバッグインターフェースが無効化されていることを確認してください。また、ネットワークセグメンテーションにより、IoTデバイスが重要システムに直接アクセスできない構成を検討すべきです。

パスワードマネージャーのセキュリティ強化

LastPass侵害の継続的な影響から、パスワードマネージャーの選定とマスターパスワードの強度が極めて重要であることが分かります。

対策として、マスターパスワードには十分な長さと複雑さを確保してください。可能であれば、パスフレーズ方式を採用することを推奨します。また、パスワードマネージャー自体への多要素認証の導入も検討すべきです。過去に侵害を受けたサービスを利用していた場合は、保存されていたすべての認証情報を更新することが必要です。

自動化ツールの脆弱性管理

n8nの最大深刻度脆弱性が示すように、業務効率化のために導入した自動化ツールが新たな攻撃対象となっています。

対策として、自動化ツールを含むすべてのソフトウェアのインベントリを維持し、脆弱性情報を継続的に監視してください。重大な脆弱性が発表された場合には、即座にパッチ適用できる体制を整備することが重要です。また、自動化ツールが接続するシステムの範囲を最小限に抑える「最小権限の原則」を適用してください。

MFA未導入環境への対応

今週報告された複数の事案で、多要素認証が導入されていないことが侵害を可能にした要因として指摘されています。ShareFile、OwnCloud、Nextcloudなどのクラウドサービスでは、MFAの導入が急務です。

ownCloudは緊急セキュリティ勧告を発出し、インフォスティーラーマルウェアで盗まれた認証情報によりMFA未設定のアカウントが不正アクセスされていると警告しています。即座にMFAを有効化し、パスワードをリセットし、アクセスログを確認することが推奨されています。

AIツール利用時のデータ保護

悪意あるChrome拡張機能によるAIチャットデータの窃取は、業務でAIツールを使用する際のリスクを浮き彫りにしました。

対策として、ブラウザ拡張機能の利用についてポリシーを策定し、承認されていない拡張機能のインストールを制限することを検討してください。また、機密情報をAIチャットボットに入力する際のガイドラインを従業員に周知することも重要です。

セキュリティ担当者へのアドバイス

経営層への報告ポイント

今週の動向から、経営層に報告すべき主要なポイントをまとめます。

まず、IoTデバイスのサプライチェーンリスクです。Kimwolfボットネットの事例は、安価なデバイスの調達がセキュリティリスクを伴うことを示しています。調達プロセスにセキュリティ評価を組み込むための予算と権限について、経営層の理解を得ることが重要です。

次に、レガシーシステムの脆弱性です。D-LinkのDSLルーターなど、サポートが終了した製品が依然として使用されており、パッチが提供されない脆弱性が悪用されています。レガシー機器の棚卸しと計画的な更新について、投資判断を仰ぐ必要があります。

また、AIツール利用に伴うリスクも報告すべきです。生成AIの業務利用が拡大する中、シャドーAIやデータ漏えいのリスクが高まっています。Netskopeの報告によれば、生成AIユーザーの47%が未承認の個人アカウントを使用しており、機密データ送信インシデントは前年比で倍増しています。

監視強化が必要な領域

今週の報告に基づき、以下の領域の監視を強化することを推奨します。

外部公開されたVPNやリモートアクセス機器については、FortiWebやSonicWallの脆弱性が悪用されている報告があります。これらの機器のログを重点的に監視し、不審なアクセスパターンを検出できる体制を整えてください。

また、ブラウザ拡張機能の挙動監視も重要です。悪意ある拡張機能がAIチャットデータを外部に送信している事例から、エンドポイントの通信パターン監視を強化することを検討してください。

さらに、クラウドサービスへの認証試行も注視すべきです。インフォスティーラーで盗まれた認証情報が利用される事例が増加しています。異常なログイン試行を検出するためのアラート設定を見直してください。

従業員への注意喚起

今週確認されたフィッシング手口について、従業員への注意喚起を検討してください。

Booking.comを装った予約キャンセルメールは、特にホスピタリティ業界の従業員を標的としています。予約システムに関する連絡は、必ず公式サイトから直接確認するよう周知してください。

また、QRコードを使用したフィッシング（クイッシング）も増加しています。FBIは北朝鮮のKimsukyがQRコードを悪用していると警告しています。不審なQRコードのスキャンは避け、リンク先のURLを確認してからアクセスするよう指導してください。

偽のブルースクリーンを表示して修復を装う手口も報告されています。予期しないエラー画面が表示された場合は、指示に従わず、IT部門に報告するよう徹底してください。

クロージング

今週のセキュリティ動向を振り返りますと、2026年のサイバー脅威環境がより複雑化・高度化していることが見て取れます。

Kimwolfボットネットの200万台感染は、IoTデバイスのサプライチェーンセキュリティがいかに脆弱であるかを示しました。LastPass侵害の影響が3年以上経過した今も続いていることは、認証情報管理の重要性を改めて認識させます。

台湾への中国からのサイバー攻撃の激化は、地政学的緊張がサイバー空間に直接反映されることを示しており、日本企業も無関係ではいられません。

セキュリティ担当者の皆様には、今週取り上げた脅威を自組織のリスクとして捉え、優先度に応じた対策を講じていただければと思います。特に、多要素認証の未導入環境、レガシーシステムの脆弱性、そしてIoTデバイスの管理状況について、改めて点検することをお勧めします。

東京セキュリティブリーフィングでした。また次回お会いしましょう。