週次コラム: 重大インフラソフトウェアの脆弱性悪用が現実化 | 2026年6月21日

東京セキュリティブリーフィング 週次コラム 2026年06月21日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。今週は2026年06月21日（日曜日）のコラム回です。本日も、この1週間のセキュリティトレンドを分析し、日本の企業セキュリティに関わるリスクと対策をお伝えします。

先週を振り返ると、エンタープライズソフトウェアの重大脆弱性から、ハードウェアレベルのセキュリティ問題、さらにはAIエージェントのガバナンス課題まで、セキュリティの最前線が急速に拡大していることを改めて認識させられる1週間となりました。本日は、これらの動向を整理し、セキュリティ担当者の皆様にとって何が最優先課題なのかを考えていきます。

今週のセキュリティトレンド分析

重大インフラソフトウェアの脆弱性悪用が現実化

今週、最も深刻な警告を発した出来事は、複数のセキュリティメディアがSplunk Enterpriseの脆弱性悪用を報道したことです。CVE-2026-20253という脆弱性が指摘され、CISAが緊急警告を発令しました。この脆弱性は、Splunk Enterprise 10.2.4未満および10.0.7未満のバージョンに影響するもので、PostgreSQLサイドカーサービスに認証制御が不足しているため、任意のファイル作成や切り詰めが可能になるというものです。

重要な点は、この脆弱性がすでに実攻撃で悪用されていることです。CISAが既知の悪用脆弱性カタログに追加し、連邦機関に対して6月21日までのパッチ適用を義務付けています。Splunkはログ管理・分析のためにセキュリティ運用センター（SOC）やセキュリティチーム全体で広く導入されているため、組織内にこのツールを運用している場合は早急な対応が必須です。修正版はバージョン10.4.0、10.2.4、10.0.7以降で、最も手軽な緩和策はPostgreSQLサイドカーサービスを無効化することです。

Fortinetファイアウォール大規模侵害「FortiBleed」

次に注目すべきトレンドは、Fortinetファイアウォールの大規模侵害「FortiBleed」キャンペーンです。複数の報道により、インターネット上に公開されているFortiGateデバイス約73,932台の侵害が確認されたことが明らかになりました。脅威アクターが約11.6億回にも及ぶ認証試行を実施し、有効な認証情報を取得していたのです。

被害組織には、Accenture、Comcast、Foxconn、Lenovo、Oracle、Samsung、Siemens、PwCなど、グローバルな大企業が含まれています。攻撃の手口は、古いSHA-256ハッシュ方式で保護されたパスワードをGPUクラスターで大規模にクラックするというもので、ロシア語話者の脅威グループが関与していると推定されています。

この事案が意味することは、単なる脆弱性対応では不十分であり、強力な暗号化アルゴリズムの導入や、多要素認証の徹底、アクセスログの継続的監視が急務だということです。

16年続いたマルウェアネットワークの国際的摘発

もう一つの大きなニュースは、「Operation Endgame」と呼ばれる国際的な法執行活動により、SocGholish（別名FakeUpdates）というマルウェアネットワークが壊滅したことです。このネットワークは2017年から継続して活動し、Evil Corpと呼ばれるロシア関連の脅威グループに帰属していました。

操作では106台のサーバーとドメインが押収され、約14,971件の感染ウェブサイトが浄化されました。SocGholishの手口は、正規のウェブサイト訪問者に対して偽のブラウザアップデート通知を表示させ、マルウェアをインストールさせるというものでした。このマルウェアは、最終的にLockBitなどのランサムウェアを配布するための足がかりとなっていました。このネットワークの摘発により、約140万件のWordPressログイン認証情報が露出していたことも判明しました。

今後予想されるリスクと対策

エンタープライズソフトウェアへの継続的脅威

今週のトレンドから明確に見えるのは、攻撃者が組織全体に影響を与えるエンタープライズソフトウェアを標的にしていることです。Splunk、Fortinet、WordPressなど、広く導入されているツールに対して、脆弱性の悪用が加速しています。

対策としては、第一にベンダーからのセキュリティアドバイザリを継続的に監視することです。CISAの既知悪用脆弱性カタログも参考になります。第二に、重要なシステムについてはパッチ管理のプロセスを短縮化する必要があります。CISAが6月21日などの期限を設定する際は、その期限内にパッチを適用することが義務的になりつつあります。第三に、多要素認証の導入と、不正な認証試行の監視アラートの設定が必須です。

ハードウェアレベルの脆弱性への対応

今週、複数のセキュリティ報道がハードウェアレベルの脆弱性に言及しています。一つは、UEFI環境におけるSecureBootのバイパスが可能になる脆弱性で、ベンダー署名済みのブートアプリケーションの脆弱性を悪用するものです。Acer、AMD、ASUS、Gigabyte、Toshibaなどが影響を受けます。

もう一つは、iPhoneのBootROM脆弱性「usbliter8」で、A12およびA13チップを搭載する機種に影響します。このバグはハードウェア設計段階での欠陥であるため、パッチでは修正不可能です。

これらの脆弱性への対応は、従来のソフトウェアパッチのアプローチでは追いつきません。UEFI DBXの失効リスト更新の適用状況を確認し、古いハードウェアの段階的な更新計画を立てることが重要です。

クラウドAPIとサプライチェーン攻撃

複数の報道により、クラウドサービスのAPI侵害を通じたサプライチェーン攻撃が継続していることが明かになりました。Klueというマーケットインテリジェンスプラットフォームへの侵害がSalesforceデータ窃取に繋がったほか、Okendo Reviewsウィジェットの悪質なJavaScript注入により、複数のeコマースサイトが影響を受けました。

これらの攻撃から学ぶべきポイントは、単一のプロバイダーやSaaSツールへの依存度が高いほど、そのサービスが侵害された際の影響が大きいということです。重要なシステムについては、複数ベンダーの導入や、機能の部分的な内製化を検討する価値があります。

セキュリティ担当者へのアドバイス

優先順位の明確化

今週のセキュリティイベントから、セキュリティ担当者が取るべきアクションの優先順位が見えてきます。第一優先は、Splunk Enterpriseなど組織内のエンタープライズソフトウェアのパッチ状況を緊急確認することです。CVE-2026-20253への対応状況を把握し、修正版への更新スケジュールを立てることが急務です。

第二優先は、Fortinetファイアウォールの認証情報セキュリティです。組織がFortiGateを運用している場合は、管理者パスワードの強度を確認し、必要に応じて変更してください。同時に、SSL VPNやリモートアクセスのログを確認し、不正なアクセス試行や成功の痕跡がないか監視することが重要です。

第三優先は、導入しているSaaSツール全体の認証情報管理を見直すことです。Klueの事案から学べるように、長期間使用されていないAPIキーや認証トークンが放置されていないか監査してください。

報告ポイント

経営層やステークホルダーへの報告は、単なる技術的な脆弱性の説明では不十分です。記事で報道されているように、CISAが連邦機関に対して期限を設定している場合、日本国内の組織でも同様の対応が求められることを明確に伝えることが重要です。

また、FortiBleedの事案では、大企業であっても侵害の対象になることを示唆しています。組織のサイズに関わらず、適切なパッチ管理と認証セキュリティが必須であることをしっかり伝えるべきです。

監視ポイント

エンタープライズソフトウェアのベンダーから発表されるセキュリティアドバイザリの監視を自動化することをお勧めします。特にCISAの既知悪用脆弱性カタログへの追加は、実攻撃の脅威が高いことを意味しますので、このカタログを定期的に確認するプロセスを組織に組み込んでください。

クロージング

今週のセキュリティトレンドを振り返ると、攻撃者は確実に進化し、組織全体に影響を与える大型のターゲットに集中していることが分かります。Splunkのような組織の重要なインフラのセキュリティ事案から、FortiBleedのような広範な企業を狙った大規模なキャンペーン、さらにはサプライチェーン攻撃まで、複数のレイヤーでリスクが存在しています。

セキュリティ担当者の皆様にとって、これからの数週間は極めて重要です。パッチ管理の加速、認証セキュリティの強化、SaaSツールの監視体制の構築など、複数の課題に同時に対応する必要があります。しかし、これらの対応は、結果として組織全体のセキュリティ姿勢を大きく向上させるものになるでしょう。

各企業のセキュリティ体制は、常に最新の脅威動向に適応していく必要があります。本日ご紹介したトピックについては、ぜひ月曜日の組織内での議論の素材として活用してください。来週も引き続きセキュリティ動向にご注目ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。