東京セキュリティブリーフィング 週次コラム 2026年02月08日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年2月8日、日曜日のコラム回をお届けします。

今週は、非常に多くの重要なセキュリティトピックが報じられました。特に注目すべきは、複数のメディアが一斉に報じたNotepad++のサプライチェーン攻撃、ShinyHuntersによるビッシングキャンペーンの急拡大、そしてIvantiの重大なゼロデイ脆弱性です。さらに、ファイルレスLinuxマルウェア「ShadowHS」の出現、APT28によるMicrosoft Officeゼロデイの悪用、そして非人間アイデンティティのリスクなど、攻撃手法の高度化と攻撃対象の多様化が鮮明になった一週間でした。

今日のコラムでは、これらの動向を横断的に分析し、日本のセキュリティ担当者の皆さんが来週以降取るべきアクションについて考えていきます。

今週のセキュリティトレンド分析

Notepad++サプライチェーン攻撃が示すインフラ侵害の脅威

今週、最も多くのメディアが取り上げたのが、Notepad++のアップデート機能が中国の国家支援が疑われるハッカーに乗っ取られていた事案です。この攻撃の特筆すべき点は、ソフトウェアのコード自体に欠陥があったわけではなく、ホスティングプロバイダーのレベルで侵害が行われたということです。

攻撃は2025年6月に開始され、特定ユーザーの更新トラフィックが攻撃者の管理するサーバーへ選択的にリダイレクトされていました。9月のメンテナンスで一時的にアクセスが途絶えたものの、変更されていなかった認証情報を利用して12月2日までアクセスが継続されていたと報告されています。複数の独立した研究者が、中国の国家支援グループの関与の可能性が高いと評価しています。

この事案が示す教訓は重要です。いくら自社のソフトウェアコードを堅牢にしても、共有ホスティング基盤が侵害されれば、更新メカニズム全体が攻撃の経路になり得るということです。Notepad++の開発者は、新しいホスティング事業者への移行を完了し、バージョン8.8.9以降でインストーラーの署名と証明書の検証を導入、さらにバージョン8.9.2で証明書検証が必須強制される予定です。

同じ週に報じられた「速く動いて壊せ」がサプライチェーンのサイバーリスクを高めているという記事でも、中国支援のAPTによるSharePointやIvanti VPNの悪用、Trust Walletの侵害されたChrome拡張機能による約850万ドルの暗号資産窃取など、信頼されたチャネルの悪用事例が紹介されています。SCA、SAST、DASTなどのセキュリティテストの優先が求められていると指摘されています。

ShinyHuntersのビッシング攻撃が急拡大

今週、GoogleのGTIGとMandiantが、ShinyHunters恐喝グループに関連する攻撃の大幅な増加を報告しました。この話題も複数のメディアが取り上げており、注目度の高さがうかがえます。

攻撃の手口は非常に巧妙です。攻撃者はITヘルプデスク担当者になりすまし、音声フィッシング、いわゆるビッシングで従業員からSSO認証情報とMFAコードを窃取します。そしてSharePoint、Salesforce、DocuSignなどのクラウドアプリケーションから機密データを奪取するのです。UNC6661、UNC6671、UNC6240という3つのクラスターとして追跡されており、被害者への嫌がらせやDDoS攻撃も行われています。

特に注目すべきは、UNC6661が2026年1月上旬にOktaユーザーを標的にし、ToogleBox Recallでメールを削除して痕跡を隠蔽するという高度な手口を使っていた点です。さらに、侵害したメールアカウントから暗号資産企業にフィッシングメールを送信するなど、攻撃の連鎖が確認されています。UNC6240は72時間期限のビットコイン身代金を要求し、DDoS攻撃や従業員への嫌がらせも実施しています。Silent Pushは100の標的組織を列挙し、150件のスプーフィングドメインが確認されたと報告しています。

対策として、FIDO2キーやパスキーなどフィッシング耐性のあるMFAへの移行が強く推奨されています。

Ivantiのゼロデイ脆弱性が示す境界デバイスの危険性

Ivanti Endpoint Manager Mobile、EPMMに2つの重大なコードインジェクション欠陥が発見されました。CVE-2026-1281およびCVE-2026-1340で、CVSSスコアは9.8という最高レベルの深刻度です。認証なしのリモートコード実行が可能であり、既にゼロデイとして悪用されています。

watchTowrの調査によると、根本原因はWebリクエストをBashスクリプトで処理するという設計にあるとのことです。現在の修正は暫定的なRPMパッチで、恒久的なバージョン12.8.0.0は2026年第1四半期後半に提供予定です。

Ivantiの脆弱性は今週だけの問題ではありません。別の記事では、FortinetがCVE-2025-32756、CVSSスコア9.6のFortiVoiceに影響するスタックベースのオーバーフロー脆弱性を公開し、実環境での悪用が確認されています。また、CISAがSonicWallの2つの脆弱性をKEVカタログに追加したことも報じられています。CVE-2024-38475はCVSSスコア9.8で、SonicWall SMA 100シリーズに影響し、WatchTowr Labsによれば、これらの脆弱性は組み合わせて使用されています。

境界デバイスやネットワークアプライアンスが攻撃者の主要な標的となっている傾向は、Googleのゼロデイレポートでも裏付けられています。2024年に実環境で悪用されたゼロデイは75件で、企業向け技術が標的の44%を占め過去最高の割合となりました。特にセキュリティ製品やネットワーキング製品が企業向けゼロデイの60%超を占めています。

APT28によるMicrosoft Officeゼロデイの悪用

APT28、UAC-0001として知られるロシアの国家支援グループが、Microsoft OfficeのゼロデイCVE-2026-21509を悪用し、ウクライナ政府機関およびEU機関を標的とするサイバー諜報キャンペーンを展開しています。Microsoftの公表から72時間以内にエクスプロイトが開発されたという迅速さが際立ちます。

武器化された文書はWebDAVプロトコルで攻撃者インフラに接続し、COMハイジャックで永続化を確立、COVENANTポストエクスプロイト・フレームワークを展開します。C2通信にはFileCloudストレージが利用されており、60件以上のメールアドレスが標的となりました。

同じくロシア関連では、Void Blizzardという新たなグループがNATO加盟国とウクライナの組織を標的にしていることがマイクロソフトにより報告されています。2025年4月にはAitM型スピアフィッシングに進化し、欧州防衛サミットを装ったフィッシングを展開していたとのことです。

ファイルレスマルウェアとAI活用の新たな脅威

ShadowHSというファイルレスLinuxマルウェアが複数のメディアで報じられました。このマルウェアは完全にメモリ上で動作し、AES-256-CBC暗号化でペイロードを復号、プロセス名を偽装して検知を回避します。CrowdStrike、Cortex XDR等のセキュリティツールをフィンガープリントし、競合マルウェアを停止させるという高度な機能を持っています。SSHブルートフォースで自動拡散し、GSocketトンネル上のrsyncでデータを窃取する設計です。

一方、ESETの研究者が発見した「PromptLock」は、Ollama API経由でローカルホスト型AIモデルを利用し、悪意あるLuaスクリプトを動的に生成するランサムウェアです。概念実証または開発途上段階と見なされていますが、AIを活用したランサムウェアの出現は今後の脅威の方向性を示唆しています。また、AnthropicはClaudeが恐喝キャンペーンの自動化や北朝鮮の偽身元作成に悪用されたケースも報告しています。

非人間アイデンティティと拡張機能の悪用

非人間アイデンティティ、いわゆるNHIのリスクに関する記事も注目に値します。サービスアカウント、APIキー、AIエージェントなどのNHIが、多くの企業で人間の従業員数を100対1から500対1の比率で上回っていると報告されています。Azure環境の監査で、793日間休眠していたオーナーレベル権限のサービスアカウントや類似の47アカウントが発見された事例が紹介されています。OWASP NHI Top 10では不適切なオフボーディングが最大リスクとされています。

関連して、Chrome拡張機能「Amazon Ads Blocker」がAmazonのアフィリエイトリンクを密かに乗っ取っていた事案や、VS Codeマーケットプレイスの少なくとも9つの悪意ある拡張機能がPowerShellスクリプトを密かに実行してXMRig暗号資産マイナーをインストールしていた事案も報じられています。OpenClawのマーケットプレイスでも341件の悪意あるスキルが発見されるなど、拡張機能やプラグインのエコシステムが攻撃者に積極的に狙われています。

産業制御システムと重要インフラへの攻撃

ポーランドのエネルギー施設に対する破壊的攻撃の報告は深刻です。ロシア関連ハッカーが約30拠点を攻撃し、Fortinet FortiGate機器のデフォルト認証情報とMFA未導入が初期侵入経路となりました。Hitachi Energy RTU560、Relion保護リレー、MoxaのNPortシリアルデバイスサーバーなど、いずれもデフォルト認証情報で保護されていた機器が標的となりました。停電は発生しなかったものの、一部ICS機器は恒久的に損傷したと報告されています。

CISAもJohnson Controls、ABB、Hitachi Energy、Schneider Electric等の複数ベンダーにまたがるICS脆弱性に関する勧告を公開しており、商業施設、エネルギー、交通、製造業、医療セクターが影響を受けるとしています。

今後予想されるリスクと対策

まず、サプライチェーン攻撃のリスクが引き続き高まっています。Notepad++の事案は、ソフトウェアのコード自体ではなく、ホスティングインフラの侵害という新たな攻撃経路を示しました。対策として、ソフトウェアの更新時に完全性検証を実施すること、SCA、SAST、DASTなどのセキュリティテストをパイプラインに組み込むことが記事で推奨されています。また、サードパーティの拡張機能やプラグインの導入前監査を徹底する必要があります。

次に、音声フィッシング、ビッシングへの対策が急務です。ShinyHuntersの活動拡大を受け、FIDO2キーやパスキーなどフィッシング耐性のあるMFAへの移行が強く推奨されています。日本企業においても、ITヘルプデスクを装った電話による認証情報の窃取は十分に起こり得るシナリオです。従業員への啓発と、認証基盤の強化を同時に進める必要があります。

境界デバイスの脆弱性管理も重要です。Ivanti、Fortinet、SonicWallと、今週だけでも複数のネットワークアプライアンスの重大な脆弱性が報じられています。これらのデバイスは組織のネットワーク境界に位置し、侵害されれば組織全体へのアクセスを許してしまいます。パッチの迅速な適用に加え、CISAが推奨するICTツールの実行や、場合によっては工場出荷時リセットも検討すべきです。

産業制御システムのセキュリティも看過できません。ポーランドの事案では、デフォルト認証情報が初期侵入経路となっています。ICS機器のデフォルト認証情報の変更とMFAの導入は、最も基本的かつ効果的な対策です。CVE-2024-2617のような署名のないファームウェア更新を可能にする欠陥も確認されており、ファームウェアの完全性検証も重要です。

非人間アイデンティティの管理も見直しが必要です。OWASP NHI Top 10で指摘されている不適切なオフボーディング、ソースファイルへのAPIキーのハードコード、過剰権限の長寿命トークンなどの問題に対し、定期的な監査と適切なライフサイクル管理を実施する必要があります。

セキュリティ担当者へのアドバイス

経営層への報告ポイントとして、まずサプライチェーンリスクの再評価を提案してください。Notepad++の事案は、自社が利用するソフトウェアだけでなく、そのソフトウェアを提供するインフラ全体のセキュリティを考慮する必要があることを示しています。

次に、認証基盤の見直しを優先課題として位置づけてください。ShinyHuntersによるビッシング攻撃はSMSベースや時間ベースのMFAを回避できる手口を使っています。FIDO2セキュリティキーやパスキーへの移行計画を策定し、経営層の承認を得ることが重要です。

チーム内での共有事項として、ポーランドのICS攻撃事案は、デフォルト認証情報がいかに危険かを如実に示しています。自社環境のネットワーク機器やICS機器でデフォルト認証情報が残っていないか、改めて確認してください。

監視ポイントとしては、まずShadowHSのようなファイルレスマルウェアへの対応が挙げられます。メモリ上で動作し、プロセス名を偽装し、セキュリティ製品をフィンガープリントして回避するという手口に対し、従来のファイルベースの検知だけでは不十分です。振る舞い検知やEDRの適切な運用が求められます。

また、Microsoft OneDriveのファイルピッカーが過剰なOAuth権限を要求する問題も報告されています。ChatGPT、Slack、Trelloなど数百のWebアプリが影響を受けるとのことで、自社環境でのOAuth権限の棚卸しも検討してください。

英国で「サイバーセキュリティおよびレジリエンス法案」が約1000の組織に新たなコンプライアンス要件を課すと報じられています。日本企業で英国やEUに拠点を持つ場合は、国境を越えた規制要件の動向にも注意が必要です。

最後に、脆弱性開示プロセスについても考えてみてください。責任ある脆弱性開示が無償労働となっている問題が記事で指摘されています。報奨金の欠如や応答の遅延は、研究者のモチベーションを下げるだけでなく、組織自身のリスク管理にも影響します。CISOにとってこれは倫理の問題ではなく、ガバナンスとリスク管理の問題であると記事は論じています。自社の脆弱性開示ポリシーが適切に機能しているか、見直す良い機会かもしれません。

クロージング

今週は、Notepad++のサプライチェーン攻撃、ShinyHuntersのビッシング急拡大、Ivantiのゼロデイ脆弱性、APT28によるMicrosoft Officeゼロデイの悪用、そしてファイルレスマルウェアやAI活用型ランサムウェアの出現と、多岐にわたる脅威が報告されました。共通するテーマは、攻撃者が信頼されたチャネルやインフラを巧みに悪用し、従来の防御を迂回しているという点です。

リスナーの皆さんには、特にフィッシング耐性のあるMFAへの移行検討、境界デバイスのパッチ適用状況の確認、そしてサプライチェーン全体のセキュリティ評価の3点について、来週のアクションとして取り組んでいただければと思います。

東京セキュリティブリーフィングでした。また次回お会いしましょう。