東京セキュリティブリーフィング 週次コラム 2026年02月22日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月22日、日曜日のコラム回をお届けします。

今週は非常に多くの重要なセキュリティニュースが飛び込んできました。特に注目すべきは、Google Chromeのゼロデイ脆弱性、Dellの重大な脆弱性を悪用する中国関連の脅威グループ、そしてAIを活用した攻撃の加速という3つの大きなトレンドです。また、日本企業に直接関係するニュースとして、ワシントンホテルへのランサムウェア攻撃、アドバンテストへのサイバー攻撃、そしてTengaのデータ侵害も報告されています。

今週のコラムでは、これらのニュースを深掘りしながら、セキュリティ担当者の皆様が明日から実践できる具体的な対策についてお話ししていきます。

今週のセキュリティトレンド分析

Chromeゼロデイ脆弱性CVE-2026-2441の緊急対応

今週、最も多くのメディアが取り上げたのがGoogle Chromeのゼロデイ脆弱性CVE-2026-2441です。複数のセキュリティニュースサイトがこの問題を報じており、その深刻さを物語っています。

この脆弱性はCSSコンポーネント内のuse-after-free欠陥で、CVSSスコアは8.8と高い深刻度を持っています。攻撃者は悪意のあるウェブページを通じて任意のコード実行が可能となります。セキュリティ研究者Shaheen Fazim氏が2月11日に報告し、Googleはわずか2日後にアップデートをリリースしました。

重要なのは、この脆弱性が既に実際の攻撃で悪用されているという点です。2026年の安定チャンネルにおけるChromeの初めて悪用されたゼロデイとなりました。CISAもこの脆弱性をKEVカタログに追加し、連邦機関に対して緊急の対応を求めています。

影響を受けるのはChrome、Edge、Opera、Vivaldi、Braveなど、Chromiumベースのブラウザ全般です。バージョン145.0.7632.75または76より前のWindows/Mac版Chrome、Linux版144.0.7559.75より前のバージョンが危険な状態にあります。

日本企業においても、ブラウザの更新管理は最優先事項として位置づける必要があります。特にBYOD環境や在宅勤務者のデバイス管理が課題となるでしょう。

Dellゼロデイを18ヶ月間悪用した中国APT

今週もう一つの重大なニュースは、Dell RecoverPoint for Virtual Machinesの脆弱性CVE-2026-22769が、中国関連の脅威グループUNC6201によって2024年半ばから約18ヶ月間にわたって悪用されていたことが明らかになったことです。

この脆弱性はCVSSスコア10.0という最高レベルの深刻度を持ち、Apache Tomcat Manager設定のハードコードされた認証情報に起因しています。Google/Mandiantの調査によると、攻撃者はBrickstormやGrimboltといったバックドアを展開し、「ゴーストNIC」と呼ばれる技術でVMwareサーバー上に偽のネットワークインターフェースを作成して検出を回避していました。

特に注目すべきは、2025年9月にBrickstormからより検出困難なGrimboltに移行したという点です。GrimboltはC#とネイティブAOTコンパイルを使用しており、静的分析を困難にしています。

CISAは連邦機関に対して土曜日までのパッチ適用を命じており、Dellは今週パッチをリリースしました。クラウドホスト型は自動パッチが適用されていますが、自社ホスト型は手動での更新が必要です。

この事例は、ゼロデイ脆弱性が長期間にわたって悪用され続けるリスクを改めて示しています。

AIを活用した攻撃の加速と防御側の課題

今週、Palo Alto Networksの2026年レポートが公開され、AIを活用した攻撃の実態が明らかになりました。最も衝撃的な数字は、初期アクセスからデータ流出までの最速時間が72分に短縮されたという点です。これは2024年の約5時間と比較して大幅な短縮であり、1年前の4倍の速さで攻撃者が活動していることを示しています。

しかしながら、レポートは興味深い指摘もしています。攻撃成功の主因は実はAIではなく、弱い認証、可視性の欠如、設定ミスといった基本的な落ち度であり、分析されたインシデントの90%にアイデンティティの問題が関与しているのです。

AI駆動型フィッシング攻撃も2025年に著しく増加しました。AIと機械学習を使用して対象者の行動を分析し、高度にパーソナライズされた攻撃を作成しています。QRコードを使用した「クイッシング」攻撃も増加しており、AIが被害者を高度にカスタマイズされたフィッシングサイトに導く標的QRコードを生成しています。

Unit 42は「ヴァイブ恐喝」という新しい現象も報告しています。低スキルの脅威アクターがLLMを使用して恐喝スクリプトを作成し、酔った状態でベッドからAI生成スクリプトを読み上げる脅迫ビデオを録画するケースも観察されています。

ランサムウェアの進化と産業セクターへの脅威

今週、ランサムウェアに関する複数の重要なニュースがありました。まず、Searchlight Cyberのレポートによると、2025年のランサムウェア被害者数は7,458件で過去最高を記録し、前年比30%増加しました。アクティブなグループ数は124に達し、そのうち73が新規グループです。

LockBit 5.0がWindows、Linux、ESXiシステムをターゲットにリリースされ、XChaCha20とCurve25519のハイブリッド暗号化スキームを採用しています。データ漏洩サイトには60以上の犠牲者がリストされています。

また、Dragosの報告によると、産業組織を標的とするランサムウェアグループは2025年に119に増加し、2024年の80から大幅に増えました。3,300の産業組織が被害を受け、製造業と輸送業が最も狙われています。OT環境でのランサムウェアの平均居住期間は42日と報告されています。

Arctic Wolfの報告では、データのみの恐喝攻撃が前年比11倍に増加し、対応ケースの22%を占めるようになりました。ハッカーはデータを暗号化せずに公開脅迫で恐喝するという新しい手法にシフトしています。

日本企業への直接的な影響として、ワシントンホテルが2月13日にランサムウェア被害を受け、外部ネットワークリンクを遮断しました。また、半導体テスト装置メーカーのアドバンテストも複数の社内システムに影響するランサムウェア攻撃を受けたと発表しています。

Chrome拡張機能とサプライチェーン攻撃の深刻化

今週、ブラウザ拡張機能を通じた攻撃の深刻さが複数のニュースで明らかになりました。

独立系セキュリティ研究者が287個のChrome拡張機能がユーザーの閲覧履歴を外部サーバに送信していることを発見しました。推定3,700万件のインストール数を持ち、Similarweb、データブローカー、中国の行為者など様々な受信者にデータを送信しています。ペイロードはbase64、RSA-OAEP、AES-256暗号化など様々な難読化スキームで隠蔽されていました。

また、VKontakteのカスタマイズツールに偽装した5つのChrome拡張機能が50万以上のアカウントをハイジャックするキャンペーンも発見されました。GitHubの「2vk」というアクターによる攻撃で、2025年6月から活動していました。

さらに、AI開発アシスタント「Cline CLI」のnpmパッケージが侵害され、約8時間の間にcline@2.3.0をインストールしたユーザーのマシンにOpenClawが密かにインストールされるサプライチェーン攻撃も発生しました。侵害されたバージョンは約4,000回ダウンロードされました。

AIエージェントOpenClawの公式マーケットプレイスClawHubでも1,184個以上の悪質なプラグインが発見されています。

パスワードマネージャーの脆弱性とゼロナレッジの限界

ETH ZurichとUSIの研究者がBitwarden、LastPass、Dashlane、1Passwordで計27の攻撃シナリオを発見したというニュースも重要です。

サーバーが侵害された場合、ゼロ知識暗号化の約束にもかかわらず、パスワードの表示や変更が可能であることが判明しました。多くのパスワードマネージャーが1990年代の時代遅れな暗号技術を使用しており、認証されていない公開鍵、暗号文整合性の欠如、不十分な鍵の分離などの問題が発見されています。

Bitwardenは12件、LastPassは7件、Dashlaneは6件、1Passwordは2件の脆弱性が報告されました。90日間の開示後、複数がパッチを適用済みです。

国家支援グループによる高度な攻撃

今週、複数の国家支援グループの活動が報告されました。

中国のVolt Typhoonは2025年も米国電力・石油・ガス企業への侵入を継続しており、OTネットワーク内部に侵入し、制御システム操作や操業停止方法の情報を窃取しています。FBI当局者は「Salt Typhoonからの脅威は依然として非常にアクティブ」であり、80カ国以上に影響を与えていると述べています。

国家支援の脅威グループLotus Blossomは2025年6月から12月の間にNotepad++の公式ホスティングインフラに侵入しました。WinGUpコンポーネントの脆弱性を悪用し、選ばれた被害者にCobalt Strike BeaconやChrysalisバックドアを配信していました。これを受けて、Notepad++はバージョン8.9.2で署名付きXML検証を追加し、アップデートプロセスを「事実上、悪用不可能」と宣言しました。

北朝鮮のラザログループはOperation Dream Jobキャンペーンを進化させ、「Graphalgo」亜種でWeb3開発者をターゲットにしています。正規のベアボーンプロジェクトに悪意のある依存関係を追加し、PyPI/npmでホストしています。ReversingLabsは約200個の悪意のあるパッケージを発見しました。

今後予想されるリスクと対策

ブラウザセキュリティの強化

今週のChromeゼロデイ脆弱性を受けて、組織はブラウザの更新管理を最優先事項として位置づける必要があります。

具体的なアクションとして、まずすべてのChromiumベースブラウザをバージョン145.0.7632.75以降に更新してください。拡張機能の棚卸しも重要です。287個の拡張機能が閲覧履歴を外部送信していたことを考えると、インストールされている拡張機能の監査と、不要な拡張機能の削除を検討すべきです。

また、Chromeの「ページプリロード」機能がプライバシーリスクとなる可能性も報告されています。クリック前にページをバックグラウンドでロードするこの機能は、悪意あるサイトへの接続を引き起こす可能性があるため、設定でオフにすることが推奨されています。

仮想化環境とリモートアクセスツールの緊急点検

Dell RecoverPoint for Virtual Machinesの脆弱性が18ヶ月間も悪用されていた事実は、仮想化環境のセキュリティ監視の重要性を示しています。

自社ホスト型のDell RecoverPoint環境を使用している組織は、直ちにパッチを適用してください。また、VMware環境において不審なネットワークインターフェースが作成されていないか確認することも重要です。

BeyondTrust Remote SupportとPrivileged Remote AccessのCVE-2026-1731も悪用が検出されています。認証不要なリモートコード実行脆弱性により、攻撃者はドメイン全体の支配を獲得可能です。クラウドホスト型は2月2日に自動パッチ済みですが、自社ホスト型は手動更新が必要です。

AIセキュリティポリシーの策定

AIの企業利用が進む中、セキュリティポリシーの整備が急務となっています。

Tinesの調査によると、50%の組織が正式なAIポリシーを導入し、42%が策定中です。正式ポリシーがある場合、65%がAI出力のガードレールに非常に自信を持つのに対し、ポリシーなしでは17%に低下します。

Teleportの調査では、過度な権限を持つAIを持つ組織のインシデント率は76%で、最小権限制御を持つ組織の17%と比較して約4.5倍高いことが判明しています。AIエージェントには最小権限の原則を適用することが極めて重要です。

欧州議会は議員・スタッフのコーポレートデバイスの組み込みAI機能を無効化しました。内部ITセキュリティ評価でAIツールが機密情報を外部サーバーに送信するリスクが判明したためです。

Check Point Researchによると、GrokやMicrosoft CopilotなどウェブブラウジングCをを持つAIアシスタントがC2チャネルとして悪用される可能性も報告されています。攻撃者が悪意のあるサイトを取得させ、応答にコマンドを埋め込むことができるのです。

ICS/OT環境の防御強化

産業制御システムへの攻撃が増加している中、いくつかの重大な脆弱性が報告されています。

CISAがZLAN5143Dシリアル・イーサネット変換デバイスサーバの深刻な脆弱性について勧告を発表しました。CVE-2026-25084とCVE-2026-24789はCVSS 9.8で、認証バイパスまたはパスワードリセットによる完全な管理者制御奪取が可能です。製造業で広く使用されています。

Airleader MasterソフトウェアのCVE-2026-1358もCVSS 9.8で、危険なタイプのファイルの無制限アップロードにより、攻撃者はリモートコード実行が可能です。化学工場、製造施設、エネルギーグリッド、医療施設など重要セクターに影響します。

Forescoutによると、2025年に508件のICSアドバイザリーで2,155件のCVEが公開され過去最高を記録しました。平均CVSSスコアは8.0以上に上昇しています。

モバイルデバイスのセキュリティ

新たなモバイル脅威も報告されています。

「ZeroDayRAT」というクロスプラットフォームスパイウェアがTelegramで商用販売されています。Android 5-16およびiOS最大バージョン26をターゲットにし、位置情報追跡、通知キャプチャ、SMS傍受、カメラ/マイク監視、暗号ウォレット盗難機能を備えています。

Kasperskyが発見した「Keenadu」バックドアはデバイスファームウェアにプリインストールされており、ユーザーが削除できません。13,000台以上が感染し、ロシア、日本、ドイツ等で検出されています。すべてのアプリに感染可能で、ブラウザ検索クエリ監視、銀行認証情報へのアクセスが可能です。

AppleはiOS 26.4ベータでRCSメッセージのエンドツーエンド暗号化サポートを導入し、盗難デバイス保護をデフォルト有効化しています。Android 17ベータ版もクリアテキストトラフィックをデフォルトブロックするなど、セキュアバイデフォルトアーキテクチャを導入しています。

セキュリティ担当者へのアドバイス

経営層への報告ポイント

今週の情報を経営層に報告する際は、以下の点を強調することをお勧めします。

まず、Chromeゼロデイ脆弱性への緊急対応が必要であること。CISAがKEVカタログに追加し、連邦機関に緊急対応を命じている事実は、この脆弱性の深刻さを示す強力な根拠となります。

次に、サプライチェーンリスクの増大です。Notepad++のホスティングインフラ侵害、Cline CLIのnpmパッケージ侵害など、信頼されていたツールを通じた攻撃が増加しています。オープンソースレジストリには基本的なセキュリティを実装するための十分な資金がないという報告もあり、2019年から2025年1月まで845,000のマルウェアパッケージが検出されています。

また、AIセキュリティポリシーの必要性も伝えるべきです。AIの企業利用が進む中、過度な権限を持つAIはインシデント率を4.5倍に増加させるというデータは、適切なガバナンスの重要性を示しています。

優先すべき監視ポイント

今週の情報に基づき、以下の監視を強化することをお勧めします。

ブラウザ拡張機能の異常な通信パターンの監視が重要です。287個の拡張機能が閲覧履歴を外部送信していた事例を考えると、拡張機能からの外部通信を監視対象に加えるべきです。

仮想化環境における不審なネットワークインターフェースの作成も監視すべきです。「ゴーストNIC」技術による検出回避が報告されています。

npmやPyPIなどのパッケージレジストリからのダウンロードパターンの監視も有効です。サプライチェーン攻撃の早期発見に役立ちます。

また、Microsoft 365環境でのOAuthデバイス登録を悪用した攻撃も報告されていますので、異常なデバイス登録活動の監視を推奨します。

日本企業特有の注意点

今週、日本企業に直接関係するインシデントが複数報告されました。

ワシントンホテルへのランサムウェア攻撃、アドバンテストへのサイバー攻撃、Tengaのデータ侵害などがありました。これらの事例から、業種を問わずランサムウェアの標的となりうることが改めて確認されました。

NCSC最高経営責任者リチャード・ホーン氏が指摘しているように、サイバー犯罪者は企業規模やブランド認知度ではなく、機会と弱点を探しています。中小企業がサイバー攻撃の対象にならないと考えるのは間違いです。

暗号資産詐欺がアジアを襲っているという報告もあります。日本を含むアジアでマルバーティジングと「豚飼育」投資詐欺を組み合わせたキャンペーンが拡大しており、23,000以上のドメインが特定され、個人の被害額は1000万円に達した例もあるとのことです。

クロージング

今週のセキュリティニュースを振り返りますと、攻撃者側のAI活用による攻撃の高速化と、基本的なセキュリティ対策の欠如という構図が浮かび上がってきます。Palo Alto Networksのレポートが示すように、インシデントの90%にアイデンティティの問題が関与しているという事実は、高度な対策を講じる前に、まず基本を固めることの重要性を示しています。

また、Chromeゼロデイ、Dell RecoverPoint、BeyondTrustなど、広く使用されているソフトウェアの脆弱性が次々と明らかになっています。パッチ管理の重要性は年々高まっており、特にCISAがKEVカタログに追加した脆弱性については、最優先で対応することを強くお勧めします。

来週も引き続きセキュリティ動向にご注目ください。皆様の組織のセキュリティ強化に、本日のコラムが少しでもお役に立てれば幸いです。

東京セキュリティブリーフィングでした。また次回お会いしましょう。