東京セキュリティブリーフィング 週次コラム 2026年02月15日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月15日、日曜日です。

今週は、セキュリティ業界にとって非常に重要な一週間となりました。Microsoftの月例パッチチューズデーでは6件のゼロデイ脆弱性が修正され、そのすべてが既に実環境で悪用されていることが確認されました。また、欧州委員会やオランダ政府機関がIvanti製品の脆弱性を悪用した攻撃の標的となり、シンガポールでは中国関連の脅威アクターが同国の主要通信事業者4社すべてに侵入していたことが明らかになりました。

本日のコラムでは、今週報告された様々なセキュリティニュースを俯瞰しながら、攻撃者の戦術変化、エッジデバイスのリスク、そしてAI時代における新たな脅威について分析していきます。

今週のセキュリティトレンド分析

ゼロデイ脆弱性の悪用が加速

今週最も注目すべきトレンドは、ゼロデイ脆弱性の悪用スピードが加速していることです。Microsoftの2月パッチチューズデーでは、59件の脆弱性が修正されましたが、そのうち6件が既に実環境で悪用されていました。これは昨年3月の記録に並ぶ数字です。

悪用されていた脆弱性を見てみると、CVE-2026-21510はWindowsシェルのセキュリティ機能バイパス脆弱性で、CVSSスコア8.8という高い深刻度を持ちます。攻撃者はSmartScreenやMark of the Webをバイパスして、警告なしに悪意のあるコードを実行することが可能でした。CVE-2026-21513はMSHTMLフレームワークの脆弱性で、こちらもCVSSスコア8.8です。CVE-2026-21514はMicrosoft Wordの脆弱性で、悪意のあるWord文書を開くとセキュリティ機能がバイパスされます。

特に注目すべきは、これらの脆弱性がセキュリティ機能のバイパスに集中していることです。攻撃者は、システムに侵入するための最初の障壁を突破することに注力しており、フィッシングやマルウェアキャンペーンの成功率を高めるためにこれらの脆弱性を悪用しています。

VulnCheckのレポートによると、2025年に特定された既知の悪用された脆弱性の約29%が、公開開示前または当日に悪用されていました。これは2024年の23.6%から上昇しており、攻撃者が脆弱性情報を入手してから悪用を開始するまでの時間が短縮されていることを示しています。

Ivanti製品への大規模な攻撃キャンペーン

今週、欧州委員会、オランダのデータ保護当局、司法評議会、そしてフィンランドの政府機関が、Ivanti Endpoint Manager Mobileの脆弱性を悪用した攻撃の標的となりました。CVE-2026-1281およびCVE-2026-1340として追跡されるこれらの脆弱性は、いずれもCVSSスコア9.8という最も深刻なレベルの脆弱性です。

これらの脆弱性により、認証なしでリモートからシステムを完全に侵害することが可能でした。欧州委員会は攻撃を9時間以内に封じ込めましたが、職員の氏名や電話番号がアクセスされた可能性があると発表しています。オランダのデータ保護当局は、自らを監督当局に報告するという異例の事態となりました。

GreyNoiseのレポートによると、この攻撃の83%が防弾ホスティングインフラの背後にある単一のIPアドレスから発信されており、ロシアのProspero OOOに登録されていました。Shadowserverは92件の侵害されたインスタンスを検知し、Censysは3,700を超える露出したログインインターフェースを確認しています。

この事案は、モバイルデバイス管理インフラの保護がいかに重要であるかを示しています。多くの組織がリモートワークの増加に伴いMDMソリューションに依存していますが、これらのシステム自体が攻撃の標的になり得ることを認識する必要があります。

中国関連グループによる通信インフラへの攻撃

シンガポール政府は今週、中国関連のAPTグループUNC3886が同国の主要通信事業者4社すべてを標的にしていたことを公表しました。M1、SIMBA Telecom、Singtel、StarHubという主要通信事業者がすべて影響を受け、シンガポール政府は「オペレーション・サイバー・ガーディアン」と名付けた11か月に及ぶ対応作戦を実施しました。

攻撃者はゼロデイ脆弱性とカスタムルートキットを使用してファイアウォールを回避し、ネットワーク内に足場を築いていました。幸いにも、顧客データへのアクセスやサービス中断の証拠は見つかりませんでしたが、一部の技術的なネットワーク情報が標的にされていました。

この攻撃は、米国で報告されたSalt Typhoonキャンペーンとの類似性が指摘されています。ノルウェーの警察保安局も今週、Salt Typhoonが同国のネットワーク機器を侵害したことを発表しました。

Google Threat Intelligence Groupの報告によると、中国関連のグループは2020年以降、20件以上のエッジインフラ脆弱性を悪用しており、通信、防衛、政府機関を標的とした継続的なサイバースパイ活動を展開しています。

エッジデバイスのセキュリティリスク

今週、CISAは拘束力のある運用指令26-02を発出し、連邦機関に対してサポート終了のエッジデバイスを12か月以内に廃止するよう指示しました。この指令は、ファイアウォール、ルーター、VPNアプライアンス、IoTデバイスなどを対象としています。

CISAは、これらのデバイスが「連邦財産に対する不釣り合いで容認できないリスク」をもたらすと警告しています。実際、今週報告された多くの攻撃キャンペーンで、エッジデバイスが初期侵入点として悪用されていました。

12月に発生したポーランドのエネルギー網に対するサイバー攻撃についても、CISAは今週警告を発出しました。この攻撃では、多要素認証なしで露出したFortiGateセキュリティ機器から侵入し、デフォルトパスワードを使用してOT制御機器にアクセスしていました。攻撃者はワイパー型マルウェアを展開し、約30か所の風力・太陽光発電所の制御システムに損害を与えました。

TeamT5の報告によると、2025年のAPT活動は急増しており、攻撃者はファイアウォール、ルーター、VPNアプライアンスなどエッジデバイスの脆弱性を積極的に悪用しています。IoTデバイスを運用リレーボックスネットワークに組み込む手法も増加しており、エッジセキュリティの強化が急務となっています。

ランサムウェアグループの戦術変化

今週のPicus Securityの分析によると、ランサムウェアグループの戦術に大きな変化が見られます。ファイルの暗号化による影響は38%減少し、攻撃者は即時の混乱から静かな持続性と情報収集にシフトしています。

上位の手口の80%が回避と長期アクセス維持に集中しており、プロセスインジェクションが最も多く使用される手法として、サンプルの30%に出現しています。仮想化やサンドボックス回避の手法も急増しており、攻撃者がより長期間検知を回避しながらネットワーク内に潜伏することを優先していることがわかります。

Covewareの報告によると、データ流出のみの恐喝では被害者の支払い意欲が大幅に低下しており、MOVEit侵害の被害者のうち支払ったのは2.5%未満でした。このため、一部のランサムウェア集団は暗号化に回帰する可能性があるとも指摘されています。

北朝鮮による暗号資産セクターへの攻撃

北朝鮮関連の脅威アクターUNC1069による暗号資産セクターへの攻撃が、今週複数のセキュリティ企業から報告されました。攻撃者は侵害されたTelegramアカウントを使用して被害者に接触し、偽のZoom会議に招待します。

特筆すべきは、ディープフェイク動画を使用したソーシャルエンジニアリングの高度化です。被害者が偽のZoomサイトにアクセスすると、CEOのディープフェイク動画と思われるものが表示され、音声の問題があると偽って、被害者にターミナルコマンドを実行させます。これはClickFix攻撃と呼ばれる手法で、これにより複数のmacOSマルウェアが展開されます。

Mandiantは、WAVESHAPER、HYPERCALL、HIDDENCALL、SILENCELIFT、DEEPBREATH、SUGARLOADER、CHROMEPUSHという7つのmacOSマルウェアファミリーを確認しています。2025年だけで、北朝鮮は暗号資産攻撃から20億ドル以上を獲得したと報告されています。

AI時代の新たなセキュリティ課題

今週、AIに関連するセキュリティ課題がいくつか報告されました。SecurityScorecardは、約135,000件のOpenClawインスタンスがインターネットに露出していることを発見しました。OpenClawはAIエージェント向けのプラットフォームですが、デフォルト設定では0.0.0.0にバインドされ、すべてのネットワークインターフェースで待ち受ける状態になっています。

既知のRCE脆弱性に脆弱なインスタンスは5万を超え、過去の侵害に紐づくインスタンスも5万3,000超に急増しています。攻撃者がこれらのインスタンスを乗っ取れば、認証情報やシステムファイルへの完全アクセスが可能になり、ランサムウェア展開やデータ窃取に悪用される可能性があります。

また、LayerXの研究者は、Claude Desktop Extensionsにゼロクリックのリモートコード実行脆弱性が存在することを発見しました。CVSSスコア10.0という最高深刻度で、悪意のあるGoogleカレンダー予定を送るだけでシステムを侵害できます。DXTはサンドボックスなしでフルシステム権限で実行されるため、ファイル読み取り、システムコマンド実行、認証情報アクセスが可能です。

Zscalerの調査によると、企業向けAIシステムの90%が90分未満で侵害され得るとされ、最初の重大な障害発生までの中央値はわずか16分でした。AI導入は前年比91%増加し、企業データのAIアプリへの転送は93%増の18,033TBに達していますが、多くの組織が稼働中のAIモデルの基本的な棚卸しすら欠いている状況です。

今後予想されるリスクと対策

今週の報告から、いくつかの重要なリスクと対策が浮かび上がります。

まず、ゼロデイ脆弱性の悪用スピードが加速していることを踏まえ、パッチ管理プロセスの見直しが必要です。Microsoftの月例パッチは公開されてすぐに適用することが推奨されますが、特にセキュリティ機能のバイパスに関連する脆弱性は、攻撃の初期段階で悪用される可能性が高いため、優先的に対応すべきです。

次に、エッジデバイスのセキュリティ強化が急務です。CISAの指令にもあるように、サポート終了のデバイスは即座に置き換えを計画し、現行デバイスについても多要素認証の有効化、デフォルトパスワードの変更、ネットワークセグメンテーションの実施が必要です。特にVPNアプライアンス、ファイアウォール、ルーターなどは、攻撃者が初期侵入点として積極的に標的にしています。

モバイルデバイス管理インフラについても、今週の欧州委員会やオランダ政府機関への攻撃を教訓として、パッチ適用、アクセス制御の強化、監視体制の見直しが必要です。MDMシステムは多数のデバイスを管理するため、侵害された場合の影響は甚大です。

通信インフラを運営する組織は、中国関連の脅威アクターによる継続的な攻撃に備える必要があります。シンガポールの事例では、11か月に及ぶ対応作戦が必要でしたが、早期発見と迅速な対応により、顧客データの流出やサービス中断を防ぐことができました。ゼロデイ脆弱性の悪用に対しては、異常検知やネットワーク監視の強化が有効です。

ランサムウェア対策については、攻撃者の戦術変化を踏まえた見直しが必要です。暗号化を伴わないデータ窃取型の攻撃が増加しているため、データ流出の検知と防止に注力すべきです。エンドポイントでの異常な大量データ転送やクラウドストレージへの不審なアップロードを監視することが重要です。

暗号資産関連の組織は、北朝鮮関連グループからの攻撃リスクが特に高いことを認識すべきです。偽のビデオ会議への招待やClickFix攻撃に対する従業員教育を強化し、不審なリンクのクリックやターミナルコマンドの実行を避けるよう周知することが重要です。

AIシステムのセキュリティについては、デプロイメント設定の見直しが急務です。OpenClawのようなAIエージェントプラットフォームを使用している場合は、インターネットへの露出を制限し、認証を強化する必要があります。AI拡張機能やアドインについても、信頼できるソースからのみインストールし、定期的にセキュリティ評価を行うことが推奨されます。

セキュリティ担当者へのアドバイス

今週のニュースを踏まえ、セキュリティ担当者の皆様に以下のアドバイスをお伝えします。

経営層への報告においては、ゼロデイ脆弱性の悪用加速と、パッチ適用の優先順位付けの重要性を説明することが重要です。特に、Microsoftの6件のゼロデイが既に悪用されていることは、迅速なパッチ適用の必要性を示す具体的な事例として活用できます。

エッジデバイスの棚卸しを実施し、サポート終了のデバイスを特定してください。CISAは3か月以内の棚卸しと12か月以内の撤去を求めていますが、リスクの高いデバイスについては前倒しで対応することを検討すべきです。

Ivanti EPMMを使用している組織は、即座にパッチを適用し、侵害の兆候がないか確認してください。CVE-2026-1281およびCVE-2026-1340は既に広範に悪用されており、パッチ未適用のシステムは高いリスクにさらされています。

AIシステムの導入状況を把握し、セキュリティ設定を確認してください。特に、インターネットに露出しているAIインスタンスがないか、デフォルト設定のまま運用されていないかを確認することが重要です。

フィッシング対策の教育を強化し、特にディープフェイク動画を使用したソーシャルエンジニアリングについて従業員に周知してください。偽のビデオ会議への招待や、不審なコマンドの実行を求める要求には注意が必要です。

サプライチェーンリスクの管理も重要です。今週報告されたConduentの侵害では、Volvo Group North Americaの約17,000人の従業員データが流出しました。サードパーティベンダーのセキュリティ体制を定期的に評価し、契約にセキュリティ要件を含めることが推奨されます。

クロージング

今週は、ゼロデイ脆弱性の悪用加速、エッジデバイスへの攻撃、国家支援型の脅威アクターによる通信インフラへの攻撃など、多くの重要なセキュリティニュースがありました。

攻撃者は戦術を継続的に進化させており、即時の破壊から静かな持続性と情報収集へとシフトしています。また、AIの普及に伴い、AIシステム自体が新たな攻撃面となっています。

セキュリティ担当者の皆様には、今週お伝えした内容を参考に、自組織のセキュリティ態勢を見直していただければ幸いです。特に、パッチ管理の迅速化、エッジデバイスのセキュリティ強化、AIシステムの適切な管理については、早急に対応することをお勧めします。

来週も引き続きセキュリティ動向にご注目ください。最新の脅威情報を把握し、適切な対策を講じることで、組織のセキュリティを維持していきましょう。

東京セキュリティブリーフィングでした。また次回お会いしましょう。