東京セキュリティブリーフィング 週次まとめ 2026年01月05日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年1月5日、月曜日の週次まとめをお届けします。

先週は年末年始を挟んだ週でしたが、サイバーセキュリティの世界に休みはありませんでした。MongoDBの重大な脆弱性「MongoBleed」が実際に悪用され、世界中で87,000件以上のインスタンスが危険にさらされています。また、React 19の深刻なリモートコード実行脆弱性「React2Shell」、Ubisoftのゲームサーバー侵害、テキストエディタEmEditorのサプライチェーン攻撃など、インパクトの大きなニュースが続出しました。

それでは、先週の重要ニュースを詳しく見ていきましょう。

重要ニュースTOP

MongoBleed脆弱性が積極的に悪用中、87,000台が露出

先週最も注目を集めたのは、MongoDBの重大な脆弱性「MongoBleed」です。CVE-2025-14847として追跡されるこの脆弱性は、CVSSスコア8.7と高い深刻度を持ちます。

この脆弱性は、MongoDBのzlib圧縮処理における不具合に起因しています。細工されたリクエストを送信することで、認証なしでサーバーの未初期化ヒープメモリにアクセスでき、認証情報、セッショントークン、APIキー、個人情報などの機密データが漏えいする可能性があります。

影響を受けるバージョンは非常に広範で、MongoDB 3.6.xから8.2.xまでの多くのバージョンが該当します。Censysの調査によると、公開インターネット上に約87,000件の脆弱なインスタンスが存在しています。また、Wizの調査では、クラウド環境の約42%が影響を受けるバージョンを持つと報告されています。

CISAは本脆弱性を既知の悪用されている脆弱性カタログに追加し、連邦機関に対して2026年1月19日までのパッチ適用を命令しました。オーストラリアのサイバーセキュリティセンターも実環境での悪用を確認しています。

修正パッチはMongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30で提供されています。MongoDB Atlasをご利用の場合は自動でパッチが適用されていますが、自己管理のインスタンスをお持ちの場合は、即座にアップグレードするか、zlib圧縮を無効化することを強く推奨します。

セキュリティ研究者Neo23x0がMongoBleed検出ツールをオープンソースで公開しており、オフラインでMongoDBログを分析し、悪用を特定することができます。正規ドライバーは接続直後にメタデータを送信しますが、悪用はメタデータなしで接続・切断するため、この行動異常を検出基盤としています。

React2Shell：React 19の最大深刻度RCE脆弱性が実環境で悪用

React 19のReact Server Componentsに、未認証のリモートコード実行脆弱性「React2Shell」が発見されました。公開から数時間以内にGoogle脅威インテリジェンスグループやAWSが実環境での悪用を確認しており、非常に深刻な状況です。

根本原因は、サーバーサイドレンダリングパイプラインにおける安全でないデシリアライズ処理にあります。標準ツールで生成されたアプリケーションがデフォルトで脆弱な状態となっており、攻撃者はバックドアやトンネリングツールを展開し、持続的なアクセスベクターとして利用しています。

React 19を使用している開発者の皆さんは、至急対策を講じる必要があります。

Ubisoftのゲームサーバー侵害とMongoBleed悪用

ゲーム大手UbisoftのRainbow Six SiegeサーバーがMongoBleed脆弱性を悪用され侵害されました。攻撃者はゲーム内通貨を不正付与し、プレイヤーに数十億のR6クレジットを配布しました。仮想資産で約339.96兆ドル相当が配布されたと報告されています。

さらに、VX-Undergroundの調査により、外部委託ヘルプデスク要員が2021年以降、パネルアクセスの見返りに賄賂を受け取っていたことも暴露されました。別の脅威アクターが約900GBのソースコードやSDKを含む機密データを流出させたとも報告されています。

この事案は、脆弱性管理の重要性とともに、内部者脅威のリスクを改めて浮き彫りにしています。

EmEditorサプライチェーン攻撃で情報窃取マルウェアが配布

日本でも広く使われているテキストエディタEmEditorの公式サイトが、2025年12月19日から22日の間に改ざんされました。公式サイトの「Download Now」ボタンが偽のインストーラーにリダイレクトされ、「WALSHAM INVESTMENTS LIMITED」という別会社の証明書で署名された悪意あるインストーラーが配布されました。

このマルウェアは非常に高機能で、VPN設定、ブラウザ情報、Discord、Slack、Teamsなどのアプリ認証情報、暗号資産アドレスなどを窃取します。さらに「Google Drive Caching」という偽のブラウザ拡張機能をインストールし、永続的なアクセスを確保します。この拡張機能はDGA機能付きのC2通信を確立し、30種類以上の暗号資産ウォレットを標的としています。

興味深いことに、このマルウェアは旧ソ連諸国やイランでは動作しないよう設計されています。

該当期間にEmEditorをダウンロードされた方は、システムの再インストールを含む徹底的な対応が必要です。

Trust Walletブラウザ拡張機能の侵害で700万ドルの暗号資産が盗難

12月25日、Trust Walletのブラウザ拡張機能v2.68に影響するセキュリティインシデントが発生し、推定700万ドルの暗号資産が盗まれました。約2,596件のウォレットアドレスが影響を受けたことが確認されています。

漏えいしたChrome Web Store APIキーを使用して悪意あるJavaScriptファイルが追加された可能性があります。Binance創業者CZは全額補償を表明しています。モバイルアプリと他バージョンは影響を受けていません。

Trust Walletユーザーはv2.69への即時更新が推奨されています。また、攻撃者によるフィッシングキャンペーンも開始されているため、公式チャネル以外からの連絡には十分注意してください。

休暇明けのランサムウェア急増、48時間で15社以上が被害

2025年12月26日から28日の間に、Qilin、Akira、The Gentlemenなど複数のランサムウェアグループが少なくとも15の新たな被害者を攻撃しました。12月26日だけで63件の新規被害者が確認されています。

具体的な被害として、Qilinはタイのエネルギー大手Bangchakを標的にし、Akiraは米国の地方電力協同組合を攻撃しました。また、ルーマニア最大の石炭火力発電事業者オルテニア・エナジー・コンプレックスがGentlemenランサムウェア攻撃を受け、ERPシステム、文書管理アプリ、メールサービス、ウェブサイトが影響を受けました。

年末年始の休暇期間はセキュリティチームの対応が手薄になりやすく、攻撃者はこのタイミングを狙って攻撃を仕掛けてきます。組織として、休暇期間中のセキュリティ監視体制を見直す必要があります。

XSpeeder SD-WANデバイスにCVSSスコア10のゼロデイ

中国ベンダーXSpeederのSXZOSファームウェアに、事前認証不要のリモートコード実行脆弱性CVE-2025-54322が発見されました。CVSSスコアは最大の10.0で、認証なしでHTTPリクエスト1回でroot権限を完全掌握可能です。

脆弱な/webInfos/エンドポイントで、chkidパラメータがbase64デコード後にeval()関数に渡されており、任意のシステムコマンドを実行できます。世界中で7万台以上のネットワーク機器がインターネット上に公開されています。

pwn.aiの自律型AIエージェントがこの脆弱性を発見し、7か月以上ベンダーに連絡を試みましたが、返答がなかったためゼロデイのまま公開されました。現時点でパッチは未提供です。XSpeeder製品をお使いの場合は、外部からのアクセスを遮断するなどの緩和策が必要です。

Fortinetの5年前の2FAバイパス脆弱性が再び悪用

Fortinetは2020年に公開された脆弱性FG-IR-19-283（CVE-2020-12812）が再び悪用されていると警告しました。FortiGateがユーザー名を大文字小文字区別で扱う一方、LDAPは区別しないため、ユーザー名の大文字・小文字を変更するだけで二要素認証をバイパスできます。

この脆弱性は2020年7月に修正されていますが、LDAPが有効な特定の構成では依然として悪用可能な状態のシステムが存在しています。2021年にはCISAが既知の悪用されている脆弱性カタログに追加しています。

影響を受けるFortiOS環境では、6.0.10、6.2.4、6.4.1以降への更新が推奨されています。また、侵害されたシステムのすべての認証情報をリセットすることも重要です。

Bluetoothヘッドホンの脆弱性でスマートフォン乗っ取りが可能に

AirohaベースのBluetoothヘッドホンに3つの重大な脆弱性（CVE-2025-20700、CVE-2025-20701、CVE-2025-20702）が発見されました。CVSSスコアは8.8から9.6と非常に高く、Sony、Marshall、JBL、Jabra、Boseなど30以上のモデルが影響を受けます。

RACEプロトコルの認証不備により、攻撃者はペアリングなしで暗号リンクキーを抽出し、接続されたスマートフォンになりすますことが可能です。これにより、音声アシスタントの起動、通話の傍受、連絡先へのアクセスなどが可能になります。

Airohaは2025年6月にパッチをリリースしましたが、各ヘッドホンメーカーの対応は不均一です。ファームウェアアップデートが提供されているか確認し、公共の場所でのBluetooth使用には注意が必要です。

LastPass侵害の影響が3年後も継続、3,500万ドル規模の暗号資産窃取

2022年のLastPass侵害で盗まれた暗号化保管庫のバックアップが、3年経った今も暗号資産窃取に利用され続けています。TRM Labsの推定によると、2024年から2025年にかけて2,800万ドル超がWasabi Wallet経由で洗浄されました。

弱いマスターパスワードがオフラインで解読され続けていることが原因です。LastPassを使用していた方で、暗号資産のシードフレーズやウォレット情報を保存していた場合は、至急ウォレットの移行を検討してください。

インターポール主導のオペレーション・センチネルで574人逮捕

インターポール主導の「オペレーション・センチネル」が19か国で実施され、574人が逮捕されました。BEC詐欺、デジタル恐喝、ランサムウェアを標的とした作戦で、2,100万ドル超の被害を調査しています。

セネガルでは約800万ドルの窃取を阻止し、6,000件超の悪意あるリンクが削除されました。国際的な法執行機関の連携が成果を上げている好例です。

Aflacのデータ侵害で2,265万人が影響

保険大手Aflacは2025年6月12日のサイバー攻撃で約2,265万人が影響を受けたと確認しました。ソーシャルエンジニアリングで複数のユーザーアカウントにアクセスされ、氏名、住所、社会保障番号、生年月日、パスポート番号、運転免許証番号、医療・健康保険情報などが侵害されました。

ファイル暗号化型ランサムウェアは展開されず業務影響はありませんでしたが、Scattered Spiderハッキンググループの関与が示唆されています。20件超の集団訴訟が提起され、規制当局による調査も開始されています。

Coupangデータ侵害で3,370万人に11億7,000万ドルの補償

韓国EC大手Coupangの元従業員が、3,370万件の顧客アカウントに不正アクセスしたことを認めました。氏名、電話番号、配送先住所、メールアドレス、一部の注文履歴が流出しました。

容疑者は証拠隠滅のためMacBook Airを破壊し、レンガと共に川に投棄しましたが、捜査当局が潜水チームを動員してノートPCを発見し、シリアル番号から被疑者のiCloudアカウントに紐付けて特定しました。

Coupangは補償として、影響を受けた全顧客に5万ウォン（約35ドル）の購入バウチャーを提供予定で、総額11億7,000万ドル超になります。ただし、バウチャーはCoupangでのみ利用可能なため、議員や消費者団体からは「マーケティング手段」との批判も出ています。

大韓航空がOracle EBS脆弱性悪用で被害

大韓航空の元子会社Korean Air Catering & Duty-Free（KC&D）がハッキングされ、大韓航空従業員約3万人分の氏名と銀行口座番号が侵害されました。Oracle E-Business Suiteの脆弱性CVE-2025-61882を悪用したCl0pランサムウェアグループによる攻撃で、約500GBのデータがダークウェブに公開されています。

カテゴリ別まとめ

脆弱性情報

先週は非常に多くの重大な脆弱性が報告されました。

MongoBleed（CVE-2025-14847、CVSSスコア8.7）はMongoDBの広範なバージョンに影響し、認証なしでメモリから機密情報を読み取れます。CISAが積極的悪用を確認しており、即座の対応が必要です。

IBM API Connectの認証回避脆弱性CVE-2025-13915はCVSSスコア9.8で、リモート攻撃者がパスワードなしに認証を回避できます。バージョン10.0.8.0から10.0.8.5および10.0.11.0が影響を受けます。

SmarterMailの任意ファイルアップロード脆弱性CVE-2025-52691はCVSSスコア10.0で、認証なしでリモートコード実行が可能です。Build 9406以前が影響を受けます。

XSpeederのゼロデイ脆弱性CVE-2025-54322もCVSSスコア10.0で、7万台以上のデバイスがパッチなしで露出しています。

WebKitの整数オーバーフロー脆弱性がiOS 26.2で発見されましたが、現時点ではGigacageがプロセスを終了させて悪用を防いでいます。

LangChainエコシステムにもCVE-2025-68664（CVSSスコア9.3）が発見され、プロンプトインジェクションを通じて機密データ窃取が可能です。

攻撃・インシデント

サプライチェーン攻撃が複数発生しました。EmEditorの公式サイト改ざん、Trust Walletブラウザ拡張機能の侵害、npmパッケージを悪用した攻撃などが確認されています。

Maven Centralでは、正規のJackson JSONライブラリになりすました悪意あるパッケージが発見されました。プレフィックス入れ替えによるタイポスクワッティング手法で、Cobalt Strikeビーコンを含むマルウェアを配布していました。

国家支援型攻撃では、中国のMustang Panda（HoneyMyte）が東南アジア・東アジアの政府機関を標的に、署名付きカーネルモードのルートキットを使用したToneShellバックドアを展開しています。Paper Werewolfはロシアの組織を標的に、ExcelのXLLアドインを悪用した攻撃を実施しました。

中国のEvasive Pandaによる2年間にわたるスパイ活動が明らかになり、信頼されたアプリケーションの偽アップデートを通じて被害者に感染させていました。

Adobe ColdFusionサーバーに対しては、クリスマス休暇中に250万件超の悪意あるリクエストが送信されました。日本拠点の脅威アクターによるもので、トラフィックの68%がクリスマス当日に集中しています。

詐欺・フィッシング

Group-IBの分析により、中東・北アフリカを中心に「いいね」で170ドル稼げるなどと謳う詐欺求人広告が1,500件以上特定されました。有名ブランドを装い、Telegramなどで被害者を偽サイトに誘導し、銀行情報や入金を要求します。

Browser-in-the-Browser（BitB）手法を悪用した高度なフィッシングキャンペーンも分析されています。偽のMicrosoft Edgeウィンドウで正規URLを表示し、多段階JavaScriptデコード・パイプラインで検知を回避します。

Google Cloud Application Integrationを悪用し、正規のGoogleドメインからフィッシングメールを送信するキャンペーンでは、約3,200社が標的となりました。

Silver Fox APTによるインド組織標的のフィッシングキャンペーンでは、インド所得税局を装うメールでValley RATを展開しています。

規制・コンプライアンス

ニューヨーク州司法長官は、2023年のデータ侵害をめぐりOrthopedicsNYに50万ドルの罰金を科しました。INC Ransomによる攻撃で656,086人の個人情報が侵害され、通知が約9か月遅延したことが問題視されています。

フランスのCNILはソフトウェア企業Nexpublica Franceに170万ユーロの罰金を科しました。2022年11月のデータ侵害で不十分なセキュリティ慣行がGDPR違反と判断されました。

州司法長官によるHIPAA執行も活発化しており、2023年はBlackbaud関連で4,950万ドルの和解がありました。

業界動向

DockerがDocker Hardened Images（DHI）をApache 2.0ライセンスで無料公開しました。1,000以上の強化イメージとHelmチャートを提供し、検証可能なSBOMとSLSA Build Level 3準拠を備え、脆弱性を最大95%削減できるとしています。

NVIDIAがCUDA Tile IRの中間表現をApache 2.0ライセンスでオープンソース公開しました。MLIR上に構築されており、NVIDIA以外のハードウェアへの適応の道筋を作りました。

OpenAIがChatGPTに広告を導入する可能性を検討していることが報告されています。スポンサーコンテンツがモデルの回答内に直接表示される形式が想定されています。

2025年のサイバーセキュリティ業界では10億ドル超の買収が8件発生しました。GoogleによるWiz買収が320億ドルで最大、業界全体で420件超のM&A取引があり、開示済み総額は840億ドル超に達しています。

AI関連セキュリティ

OWASPがAgentic Applications 2026向けTop 10を公開しました。自律型AIエージェント特化の初のセキュリティフレームワークで、エージェント目標の乗っ取り、ツール誤用、メモリ汚染などの10のリスクカテゴリが定義されています。

OpenAIがブラウザベースAIエージェントChatGPT Atlasのセキュリティを強化しました。敵対的学習を施したモデルと安全策を組み合わせ、プロンプトインジェクション攻撃への防御を向上させています。OpenAIは、プロンプトインジェクションはブラウザエージェントの中心的セキュリティリスクであり、完全には「解決」されない可能性があると指摘しています。

ESETが初の既知のAI搭載ランサムウェア「PromptLock」を特定しました。Ollama API経由でOpenAIモデルを使用し、実行中に悪意あるLuaスクリプトを動的に生成する自己改善機能を備えています。

pwn.aiの自律型AIエージェントがXSpeederのゼロデイ脆弱性を発見したことは、AIがセキュリティ研究に活用される新しい時代の到来を示しています。

今週の注目ポイント

先週のニュースから、継続的に注視すべき事項をまとめます。

まず、MongoBleed脆弱性への対応は最優先事項です。CISAは連邦機関に1月19日までのパッチ適用を命令していますが、民間組織も同様のタイムラインで対応すべきです。Wizの調査によるとクラウド環境の42%が影響を受けるバージョンを持つため、自社環境のMongoDBバージョンを今すぐ確認してください。

React2Shell脆弱性は、React 19を使用しているすべてのウェブアプリケーションに影響します。標準ツールで生成されたアプリケーションがデフォルトで脆弱なため、開発チームは至急パッチ適用を検討してください。

年末年始の休暇期間を狙ったランサムウェア攻撃の急増は、休暇シーズンのセキュリティ体制の重要性を示しています。次の大型連休に向けて、監視体制とインシデント対応計画を見直しておくことをお勧めします。

サプライチェーン攻撃は引き続き増加傾向にあります。EmEditor、Trust Wallet、npmパッケージ、Maven Centralなど、様々な経路で攻撃が行われています。ソフトウェアのダウンロード元の確認、署名の検証、SBOMの活用など、サプライチェーンセキュリティの強化が求められます。

Bluetoothヘッドホンの脆弱性は、IoTデバイスのセキュリティリスクを改めて認識させるものです。ファームウェアアップデートの確認と適用を習慣化してください。

LastPass侵害の影響が3年経っても続いていることは、パスワードマネージャーのマスターパスワードの強度がいかに重要かを示しています。弱いマスターパスワードを使用している場合は、パスワードの変更と、保存している機密情報の見直しを検討してください。

クロージング

以上、2026年1月5日の週次まとめをお届けしました。

先週は年末年始を挟んだにもかかわらず、MongoBleed、React2Shell、EmEditorサプライチェーン攻撃など、対応が急がれる重大なセキュリティイベントが多数発生しました。特にMongoBleedは87,000件以上のインスタンスが露出しており、CISAが積極的悪用を確認しているため、該当環境をお持ちの方は至急対応をお願いします。

今週も安全なIT運用を心がけていきましょう。脆弱性情報のチェック、パッチ適用、そして不審な活動の監視を怠らないようにしてください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。