東京セキュリティブリーフィング 週次コラム 2026年02月01日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月1日、日曜日です。週次コラムをお届けいたします。

今週は、サイバーセキュリティの世界で非常に多くの重要な動きがありました。特に注目すべきは、ロシアの国家支援グループによるポーランド電力網への攻撃、Fortinetの重大なゼロデイ脆弱性、そしてMicrosoft Officeのゼロデイが実際に悪用されているという警告です。また、北朝鮮関連のハッキンググループの進化や、AIを活用した新たな攻撃手法の台頭も見逃せません。

今週のコラムでは、これらのトレンドを分析し、日本のセキュリティ担当者の皆様が今後取るべきアクションについて考察していきたいと思います。

今週のセキュリティトレンド分析

ポーランド電力網へのロシア国家支援攻撃

今週、複数のセキュリティメディアが一斉に報じた最も注目すべきトピックは、ロシアの国家支援グループSandworm（APT44とも呼ばれる）によるポーランド電力網への攻撃です。ESETの分析によると、この攻撃は2025年12月29日から30日にかけて発生し、「DynoWiper」と命名された新種のワイパーマルウェアが使用されました。

この攻撃が特に注目される理由は複数あります。まず、タイミングです。この攻撃はSandwormが2015年にウクライナの電力網を攻撃してからちょうど10周年という節目に発生しました。攻撃者がこの象徴的なタイミングを意図的に選んだ可能性が高いと考えられています。

次に、攻撃の手法です。従来の電力網攻撃とは異なり、今回は太陽光発電所や風力タービンなど多数の小規模な分散型電源を同時に標的としました。これは再生可能エネルギーへの移行が進む中で、新たな攻撃対象領域が生まれていることを示しています。

幸いにも、攻撃は成功せず、実際の停電は発生しませんでした。しかし、攻撃が成功していれば最大50万人が電力や暖房を失う可能性があったとされています。この事案は「政府はあなたを守れない」という戦略的シグナルを送っているとも分析されており、欧州全体で能動的サイバー防御の強化が必要だと専門家は警告しています。

日本においても、電力インフラを含む重要インフラへの攻撃は現実的な脅威です。特に分散型電源やOT（運用技術）システムのセキュリティ対策の見直しが急務となっています。

FortinetとMicrosoft Officeのゼロデイ脆弱性

今週は、エンタープライズ環境で広く使用されている製品における重大なゼロデイ脆弱性が相次いで公表されました。

まず、Fortinetについてです。CVE-2026-24858として追跡されるFortiCloud SSOの認証バイパス脆弱性は、CVSSスコア9.4という極めて深刻な評価を受けています。この脆弱性により、攻撃者は他の顧客のデバイスに管理者アクセスを取得できる可能性があります。Fortinetは1月26日から27日にかけてFortiCloud SSOを一時的に無効化する緊急措置を取りました。完全にパッチが適用されたシステムでも悪用される別の認証経路が発見されており、攻撃者は「audit」や「backup」といった名前でローカル管理者アカウントを作成していたことが確認されています。

CISAは連邦機関に対し、1月30日までにパッチを適用するよう要請しました。328万台超のFortinetデバイスがインターネット上に露出しているとされ、影響範囲は非常に広範です。

一方、Microsoft OfficeのCVE-2026-21509も実際に悪用されているゼロデイ脆弱性として報告されました。CVSSスコアは7.8で、OLE緩和策を回避してマルウェア実行が可能となる脆弱性です。攻撃者は悪意のあるOffice文書をフィッシングで配布し、ファイルを開くだけで不正なコード実行が可能になります。

Microsoftは緊急のセキュリティ更新プログラムを公開し、Office 2021以降はサーバー側で自動修正されますが、Office 2016および2019は手動でパッチを適用する必要があります。CISAはKEV（既知の悪用脆弱性）カタログに追加し、連邦機関に2月16日までの対処を命じています。

これらのゼロデイ脆弱性は、パッチ管理の重要性を改めて浮き彫りにしています。特にFortinetのケースでは、完全にパッチ適用済みのシステムでも新たな認証経路が発見されるなど、ベンダーの対応後も継続的な監視が必要であることを示しています。

北朝鮮ハッキンググループの進化と分裂

今週、CrowdStrikeの分析により、北朝鮮関連のハッキンググループLabyrinth Chollimaが3つの専門化したグループに分裂していることが明らかになりました。

元のLabyrinth Chollimaはサイバー諜報活動を継続し、産業・物流・防衛分野を標的としています。Golden Chollimaは暗号資産窃取に特化し、フィンテック企業を標的としています。そしてPressure Chollimaは中央集権型取引所への攻撃を担当し、記録破りの暗号資産強奪を実行しています。

この専門化は、北朝鮮が軍事計画の資金調達のため収入を必要としていることを反映しています。各グループは異なるマルウェアフレームワークを使用しつつも、ツールとインフラを共有しているとされています。

また今週は、北朝鮮関連のKONNI APTグループがAI生成のPowerShellバックドアでAPAC地域のブロックチェーン開発者を標的にしていることも報告されました。日本、オーストラリア、インドへ攻撃範囲を拡大しており、Discord経由でZIPファイルを配布する手法を使用しています。Check Point Researchによると、このバックドアは「異例なほど洗練された構造」を持ち、AIで生成された痕跡が確認されています。

さらに、BlueNoroff脅威集団も暗号資産市場やWeb3組織を標的にした攻撃を展開しています。2016年のバングラデシュ中央銀行強奪（8100万ドル）で悪名を高め、現在はGhostCallやGhostHire作戦で採用担当者やVCになりすまし、開発者の端末を侵害しています。

これらの動きは、北朝鮮のサイバー攻撃能力が継続的に進化・専門化していることを示しており、特に暗号資産関連企業や開発者は注意が必要です。

AIを活用した攻撃手法の台頭

今週は、AIが攻撃者によってどのように武器化されているかについて、複数の興味深い報告がありました。

Palo Alto NetworksのUnit 42は、生成AIを悪用したフィッシング攻撃を報告しました。攻撃者はLLM APIを利用し、被害者のブラウザ上で動的にフィッシング用JavaScriptを生成します。静的なペイロードが残らないため、従来のシグネチャベースの検知を回避できるという特徴があります。LogoKitのような実際の攻撃手法を再現しており、防御側にとって新たな課題となっています。

一方、防御側もAIを活用した興味深い取り組みを行っています。SansecはClaude Opus 4.5を活用したAI駆動パイプラインで、Packagistの上位5,000パッケージから353件の脆弱性を特定しました。認証バイパス265件、SQLインジェクション50件、RCE15件が確認され、全作業コストは約1万ドル（1件あたり2ドル）、79%の精度を達成したとされています。

また、Symantecの分析では、PureRATマルウェアのコードに絵文字や詳細なコメントが含まれており、AI生成の痕跡が確認されました。ベトナム語の使用やハノイへの言及から、攻撃者がベトナムに拠点を置いていることが示唆されています。

AIはサイバーセキュリティの攻防両面で急速に浸透しており、2026年のCISO予測でも、AIガバナンスの拡充やAIエージェントをアイデンティティとして扱う必要性が主要テーマとして挙げられています。Gartnerの予測によると、2028年までに組織の50%が「未検証のAI生成データ」の増加を受けてゼロトラスト・データガバナンスを実装するとされています。

重大なレガシー脆弱性の悪用継続

今週は、長年存在していた脆弱性が依然として積極的に悪用されているという報告が目立ちました。

GNU InetUtilsのtelnetdにCVE-2026-24061（CVSSスコア9.8）の脆弱性が発見されました。USER変数を検証せずloginに渡すため、「-f root」を送信するだけで認証なしにroot権限を取得可能です。この欠陥は約11年間潜伏していたとされ、公開後18時間以内に60件の悪用試行が観測されました。Shadowserverによると、約80万台のTelnetサーバーがインターネット上に露出しており、GreyNoiseは18のIPアドレスによる悪用を検出し、83%が「root」ユーザーを標的としていました。

また、VMware vCenter ServerのCVE-2024-37079（CVSSスコア9.8）も依然として積極的に悪用されています。これは2024年6月にパッチが公開されたDCERPCプロトコルにおける境界外書き込み脆弱性ですが、実環境での悪用が確認されたためCISAはKEVカタログに追加しました。悪用成功時、仮想マシンやホストの完全制御につながる恐れがあります。

さらに、WinRARのパストラバーサル脆弱性CVE-2025-8088も広範に悪用されています。2025年7月に発見・パッチ提供されたにもかかわらず、ロシアや中国関連の国家支援グループと金銭目的のアクターが継続的に悪用しています。Windowsスタートアップフォルダーへ悪意あるファイルを配置し永続化を確立する手法が使用されています。

これらの事例は、パッチ公開後も脆弱性が長期間悪用され続ける現実を示しています。特にレガシーシステムやあまり注目されないコンポーネントの脆弱性管理が重要です。

大規模フィッシングキャンペーンの高度化

今週は、複数の大規模かつ高度なフィッシングキャンペーンが報告されました。

ShinyHuntersグループを名乗る攻撃者が、100社以上の大企業を標的にしたOkta SSO認証情報窃取キャンペーンを展開しています。Atlassian、Canva、Epic Games、Telstra、American Waterなどが標的リストに含まれています。「ライブ・フィッシング・パネル」と呼ばれる手法で、リアルタイムに認証情報とMFAトークンを傍受します。また、音声フィッシング（ビッシング）でITサポートを装い、偽のログインページで認証情報を窃取し、標的がMFAプッシュ通知に応じると攻撃者はセッションを乗っ取りアカウントを掌握できます。

別の報告では、「Stanley」というマルウェア・アズ・ア・サービスがロシアのサイバー犯罪フォーラムで2,000〜6,000ドルで販売されていることが発見されました。このツールキットは、ブラウザのアドレスバーに本物のドメインを表示したまま、隠しiframeで偽サイトを重ねて表示し、ログイン認証情報を窃取します。最上位プランにはChrome ウェブストア掲載保証が付いており、Googleの審査を回避できると主張しています。

また、1Passwordがフィッシング対策として、タイポスクワッティングなど疑わしいURLを訪問した際にポップアップ警告を表示する新機能を追加しました。同社の調査では、61%がフィッシング被害経験があり、75%がURL確認をしないことが判明しています。

ハッカーが「rn」のタイプミス手口を悪用し、MarriottとMicrosoftになりすますホモグリフ攻撃も報告されています。文字「m」を「rn」に置き換えたrnarriottinternational.comやrnicrosoft.comなどのドメインが使用され、モバイル端末では特に見分けが困難とされています。

今後予想されるリスクと対策

重要インフラへの攻撃リスクへの対応

ポーランド電力網への攻撃事例から学ぶべきことは多くあります。CISAが今週公開したOTネットワーク接続保護のための8つの重要原則は、日本の組織にとっても参考になります。

具体的には、DNP3-SAv5やOPC UAなど安全なプロトコルの使用、マイクロセグメンテーションの実装、隔離計画の策定が推奨されています。レガシー技術は信頼できない存在として扱い、資産置換のタイムラインを設定すべきとされています。

日本の製造業やエネルギー企業においても、OTシステムのセキュリティ評価と、分散型電源を含む新しいインフラへのセキュリティ対策の組み込みが急務です。

ゼロデイ脆弱性への迅速な対応体制の構築

FortinetとMicrosoft Officeのゼロデイ脆弱性の事例は、緊急パッチ適用の体制整備の重要性を示しています。CISAはFortinet脆弱性について1月30日まで、Microsoft Office脆弱性について2月16日までという厳しい期限を設定しています。

組織として以下の対策を検討すべきです。まず、脆弱性情報の収集と評価を迅速に行う体制を整備すること。次に、緊急パッチ適用のためのプロセスとテスト環境を整えること。そして、パッチ適用が間に合わない場合の緩和策（ネットワーク分離、アクセス制限など）を事前に準備しておくことです。

特にFortinetのケースでは、ベンダーがサービスを一時停止するという異例の措置を取りました。このような状況に備え、代替手段や事業継続計画の見直しも重要です。

北朝鮮関連脅威への対策強化

北朝鮮のハッキンググループが専門化・高度化している中、特に以下の分野では注意が必要です。

暗号資産関連企業、フィンテック企業、ブロックチェーン開発者は、偽の求人オファーやDiscord経由の攻撃に警戒すべきです。採用プロセスにおける本人確認の強化や、開発者への啓発活動が重要です。

また、防衛産業や重要インフラ企業は、サイバー諜報活動の標的となる可能性が高いため、APT対策の強化が必要です。ESETの報告によると、Lazarusグループは東南欧・中欧の防衛企業を標的としたOperation DreamJobを展開しており、偽の求人オファーでトロイの木馬化されたPDFリーダーを配布しています。

AIリスクへのガバナンス整備

シャドーAIの問題が深刻化しています。BlackFogの調査によると、従業員の58%が未承認のAIツールを使用しており、33%が研究データ、27%が従業員情報、23%が財務データを未承認AIに共有しています。

組織として、AIツールの利用ポリシーを明確化し、承認されたAIツールのリストを作成・周知する必要があります。また、未承認AIツールの検知・ブロック機能の導入も検討すべきです。TenableがリリースしたTenable One AI Exposureのような、エージェント型・生成AIプラットフォームの利用を検知・可視化・ガバナンスするツールの導入も一つの選択肢です。

耐量子暗号への移行準備

CISAが今週、耐量子暗号（PQC）標準をサポートする製品カテゴリの初期リストを公開しました。クラウドサービス、Webブラウザ、メッセージングソフトウェア、エンドポイントセキュリティが含まれています。

「今収集して後で復号（HNDL）」キャンペーンへの懸念が高まっており、NISTの耐量子暗号標準への移行準備を開始することが推奨されています。特に長期間保護が必要な機密データを扱う組織は、暗号化アルゴリズムの棚卸しと移行計画の策定を検討すべきです。

セキュリティ担当者へのアドバイス

経営層への報告ポイント

今週の動向から、経営層に報告すべき重要なポイントをまとめます。

まず、国家支援型攻撃のリスクについてです。ポーランド電力網への攻撃は、重要インフラへの国家支援型攻撃が現実的な脅威であることを示しています。日本の重要インフラ企業においても、同様の攻撃に備えた体制整備と投資が必要であることを伝えるべきです。

次に、ゼロデイ脆弱性への対応コストについてです。Fortinetのケースでは、サービス停止という事業影響が発生しました。緊急パッチ適用体制の整備や代替手段の確保にはコストがかかりますが、対応が遅れた場合のビジネスリスクはより大きいことを説明すべきです。

また、AIガバナンスの必要性についてです。シャドーAIの利用が拡大する中、適切なガバナンスなしにはデータ漏えいやコンプライアンス違反のリスクが高まります。AI利用ポリシーの策定と技術的対策への投資が必要です。

監視強化すべきポイント

今週の報告に基づき、以下の監視を強化すべきです。

Fortinetデバイスについては、「audit」「backup」などの名前で新規作成されたローカル管理者アカウントがないか確認してください。設定ファイルのダウンロードなど異常な管理操作がないか監視することも重要です。

Microsoft Office文書については、外部からの添付ファイルに対するサンドボックス解析の強化、マクロ実行の制限、保護ビュー設定の確認を行ってください。

ネットワーク監視については、Telnetサービスの露出状況を確認し、不要なサービスは停止してください。また、C2通信の兆候として、異常なDNSクエリやHTTPSトラフィックパターンを監視することも有効です。

今週中に確認すべきこと

Fortinetデバイスを使用している場合は、最新のパッチ状況を確認し、CISAが設定した期限までに対応を完了してください。パッチ適用が間に合わない場合は、FortiCloud SSOの無効化を検討してください。

Microsoft Office環境については、Office 2016/2019を使用している場合、手動でパッチを適用する必要があります。自動更新に依存せず、対応状況を確認してください。

VMware vCenter Serverについては、2024年6月のパッチが適用されているか再確認してください。パッチ公開から時間が経過していますが、今なお悪用が継続しています。

WinRARについては、最新バージョンへのアップデート状況を確認してください。多くの組織で見落とされがちなアプリケーションですが、国家支援型グループによる悪用が継続しています。

クロージング

今週は、ポーランド電力網へのロシア国家支援グループによる攻撃、FortinetとMicrosoft Officeの重大なゼロデイ脆弱性、北朝鮮ハッキンググループの進化、AIを活用した攻撃手法の台頭など、非常に多くの重要なトピックがありました。

これらの動向は、サイバー脅威が継続的に高度化・専門化していることを示しています。特に国家支援型攻撃者は、従来の標的だけでなく、再生可能エネルギーシステムのような新しいインフラも視野に入れています。

セキュリティ担当者の皆様には、今週報告された脆弱性への対応を優先しつつ、中長期的なセキュリティ体制の強化も並行して進めていただければと思います。特にOTセキュリティ、AIガバナンス、耐量子暗号への移行準備は、今から検討を始めることが重要です。

来週も引き続きセキュリティ動向にご注目ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。