東京セキュリティブリーフィング 週次まとめ 2026年01月12日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月12日、月曜日です。先週1週間のセキュリティニュースを振り返る週次まとめ回をお届けします。

先週は非常に多くの重要なセキュリティインシデントが報告されました。LastPassの2022年の侵害に関連した暗号資産窃取の続報、VMware ESXiのゼロデイ脆弱性を悪用する中国関連の攻撃ツールキットの発見、そしてワークフロー自動化プラットフォームn8nに最大深刻度の脆弱性が発見されるなど、重大なニュースが目白押しでした。また、英国政府が2億1,000万ポンドを投じた新たなサイバー行動計画を発表し、CrowdStrikeがアイデンティティセキュリティ企業SGNLを7億4,000万ドルで買収するなど、業界の動向にも注目すべきニュースがありました。

それでは、先週の重要ニュースを詳しく見ていきましょう。

重要ニュースTOP

LastPass侵害に関連して3,500万ドルの暗号資産が窃取される

先週、最も注目を集めたニュースの一つが、2022年のLastPass侵害に関連した暗号資産窃取の続報です。TRM Labsの分析により、2022年のLastPass侵害で流出した暗号化保管庫から、攻撃者が3,500万ドル超の暗号資産を窃取・資金洗浄したことが判明しました。

盗難資金はWasabi Walletミキサーを経由し、ロシアの取引所CryptexとAudi6に集約されたとのことです。特に注目すべき点は、弱いマスターパスワードで保護されていた保管庫が、オフラインで解読され続けているということです。これは2022年の侵害から数年が経過した現在でも、被害が継続していることを意味します。

MetaMaskの以前の調査では、実際の損失は1億ドルに近づく可能性も示唆されており、パスワードマネージャーのマスターパスワードの強度がいかに重要かを改めて示す事例となりました。

VMware ESXiゼロデイを悪用するMAESTROツールキットの発見

先週、Huntressの研究者がVMware ESXiのゼロデイ脆弱性を悪用する攻撃ツールキット「MAESTRO」を発見しました。このツールキットは、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226の3つの脆弱性を連鎖させて、仮想マシンからの脱出を実現します。

特に懸念されるのは、このエクスプロイトが2025年3月のVMwareによる公表より1年以上前、2024年2月頃に作成されていた可能性があることです。ツールキットのコード内には簡体字中国語の文字列が含まれており、中国語話者の脅威アクターによる開発が示唆されています。

攻撃者はSonicWall VPN経由で初期アクセスを獲得し、VSOCKpuppetバックドアを展開することで従来のネットワーク監視を回避していました。MAESTROは155種類のVMwareバージョン（5.1から8.0）で動作するとされており、Shadowserver Foundationによると3万件以上のインスタンスが依然として脆弱な状態にあるとのことです。

n8nワークフロー自動化プラットフォームに最大深刻度の脆弱性

ワークフロー自動化プラットフォームn8nに、CVSSスコア10.0という最大深刻度の脆弱性が発見されました。CVE-2026-21858として追跡されるこの脆弱性は、Cyeraの研究者によって「Ni8mare」と命名されています。

この脆弱性は、WebhookリクエストのContent-Type混同に起因しており、認証不要で攻撃可能です。攻撃者はサーバー上の任意ファイルを読み取り、APIキー、OAuthトークン、データベース認証情報などを窃取できます。さらに、セッションCookieを偽造して管理者としてログインし、最終的にはリモートコード実行まで可能となります。

n8nはAPIトークンや認証情報を管理する中央リポジトリとして機能することが多いため、侵害時の影響は甚大です。推定10万台のサーバーが危険にさらされる可能性があり、バージョン1.121.0以降で修正されています。また、別の脆弱性CVE-2026-21877（CVSSスコア9.9）も同時に公開されており、Git ノード機能の入力取り扱い不備により認証済みユーザーによるリモートコード実行が可能でした。管理者は直ちにアップグレードすることが推奨されます。

英国政府が2億1,000万ポンドのサイバー行動計画を発表

英国政府は先週、「政府サイバー行動計画」を発表し、2億1,000万ポンド（約2億8,200万ドル）を投じて公共部門のサイバー防御を強化すると発表しました。この計画では、政府サイバーユニットを設立し、重要インフラ運用者と同等のセキュリティ要件を政府省庁に課すことが含まれています。

注目すべき点として、英国政府は政府技術資産の約3分の1、具体的には約28%がレガシー技術に依存しており脆弱であることを認めています。また、2030年までに政府機関を脅威から完全に守るという目標の達成が見込めないことも認めました。

新たな施策として、ソフトウェア・セキュリティ・アンバサダー制度も開始され、Cisco、Palo Alto Networksなどが初期参加者となっています。さらに、会計責任者がサイバーリスク管理に個人的責任を負うことになり、史上初の「政府サイバー職種」も導入される予定です。

ただし、専門家からは予算が問題規模に対して不十分との懸念も示されており、また中央・地方政府がサイバーセキュリティおよびレジリエンス法案の適用除外となっている点については批判も出ています。

CrowdStrikeがSGNLを7億4,000万ドルで買収

サイバーセキュリティ大手のCrowdStrikeが、アイデンティティセキュリティ企業SGNLを7億4,000万ドルで買収すると発表しました。SGNLは2021年に設立された企業で、人間・非人間・AIのアイデンティティに対するリアルタイムのアクセス制御を提供しています。

この買収により、CrowdStrike Falcon Next-Gen Identity Securityに「ゼロ・スタンディング・プリビレッジ」と呼ばれる機能が追加されます。これは、静的な権限ではなく現在のリスク状況に基づいてアクセスを付与・取り消しする仕組みで、脅威検知時にミリ秒単位でアクセスを取り消すことが可能になります。

アイデンティティ・セキュリティ市場は2029年までに560億ドルに成長すると見込まれており、AIエージェントや非人間アイデンティティの増加に対応するためのこの買収は戦略的に重要な意味を持ちます。取引は2027年度第1四半期に完了予定です。

悪意あるChrome拡張機能が90万人のユーザーからAIチャットデータを窃取

OX Securityの報告によると、ChatGPTとDeepSeekの会話データを窃取する2つの悪意あるChrome拡張機能が発見されました。「ChatGPT for Chrome with GPT-5」（60万人超）と「AI Sidebar with Deepseek」（30万人超）という名前で、合計90万人以上のユーザーがインストールしていました。

これらの拡張機能はAITOPIAになりすまし、chrome.tabs.onUpdated APIでAIプラットフォームへの移動を監視していました。そして30分ごとにChatGPTやDeepSeekの会話全文、URL、セッションID、メタデータを外部のC2サーバーへ送信していたのです。認証情報の自動入力やBase64エンコードで検知を回避する手法も使われていました。

盗まれたデータは企業スパイやID窃取、標的型フィッシングに悪用される可能性があり、ソースコードや機密データが漏えいした恐れもあります。Chromeウェブストアで「Featured」バッジが付いていても悪意ある可能性があることを示す事例となりました。

HPE OneViewの最大深刻度脆弱性が攻撃で悪用される

CISAは、HPE OneViewの重大な脆弱性CVE-2025-37164をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。この脆弱性はCVSSスコア10.0という最大深刻度で、未認証のリモート攻撃者がコードインジェクションによりリモートコード実行が可能です。

影響を受けるのはバージョン11.00より前の全バージョンで、特にHPE OneView for HPE Synergyが脆弱とされています。HPEは12月17日にホットフィックスをリリース済みですが、回避策はなく、パッチ適用が唯一の対処法となります。連邦機関は2026年1月28日までに修正が必要とされています。

北朝鮮のKimsukyがQRコードを使ったスピアフィッシング攻撃を展開

FBIが北朝鮮のAPT「Kimsuky」によるQRコードを使ったスピアフィッシング攻撃、いわゆる「クイッシング」について警告を発しました。攻撃者は外国人アドバイザーや大使館職員になりすまし、QRコードに悪意のあるURLを埋め込んだスピアフィッシングメールで政府機関、学術機関、シンクタンクを標的にしています。

QRコードをスキャンすると、Microsoft 365、Okta、VPNポータルを装った偽のログインページへ誘導され、認証情報やセッションCookieが盗まれます。セッショントークン窃取によりMFAを回避できる点が特に危険です。2025年5月と6月に4件の攻撃が確認されており、QRコードは管理されていないモバイル端末でスキャンされるため、EDRやネットワーク検査を回避できてしまいます。

対策として、従業員教育、QRコードの出所確認、MDM導入、フィッシング耐性のあるMFAの必須化が推奨されています。

Kimwolfボットネットが200万台超のデバイスに感染

Kimwolfボットネットが住宅用プロキシネットワークを悪用し、世界中で200万台以上のAndroidデバイスに感染していることが判明しました。毎週約1,200万のユニークIPアドレスが観測されており、感染デバイスの約67%がADBがデフォルトで有効な未認証のAndroid TVセットトップボックスです。

感染は主にベトナム、ブラジル、インド、ロシア、サウジアラビア、米国に集中しています。攻撃者はDNS設定を操作して内部ネットワークに侵入し、ADBが有効なデバイスを探索してマルウェアをインストールします。感染デバイスはDDoS攻撃、広告詐欺、アカウント乗っ取りに悪用され、DDoS攻撃はピーク時に毎秒29.7テラビットに達したと報告されています。

多くのデバイスは購入前に既に感染している可能性があり、攻撃者は帯域を1GBあたり0.20ドルで貸し出し、DDoS代行サービスも運営しているとのことです。

台湾、中国からのサイバー攻撃が1日平均263万件に

台湾国家安全局の報告によると、2025年に中国からのサイバー攻撃が1日平均263万件に達し、前年比6%増加しました。特にエネルギー分野への攻撃は前年比10倍に急増しており、病院・緊急救助機関への攻撃も54%増加しています。

攻撃はBlackTech、Flax Typhoon、Mustang Panda、APT41、UNC3886などの中国ハッカー集団が主導しており、台湾の軍事演習や政治的イベントと連動する傾向があります。産業制御システム（ICS）を標的とし、ソフトウェア更新時にマルウェアを注入する手法が用いられているとのことです。通信、半導体、防衛分野のサプライヤーが主な標的となっています。

カテゴリ別まとめ

脆弱性情報

先週は多数の重要な脆弱性が公開されました。

n8nには先述の通り、CVE-2026-21858（CVSSスコア10.0）とCVE-2026-21877（CVSSスコア9.9）の2つの重大な脆弱性が発見されました。

HPE OneViewのCVE-2025-37164（CVSSスコア10.0）は既に攻撃で悪用されており、CISAがKEVカタログに追加しました。

Veeam Backup & Replicationには、CVE-2025-59470（CVSSスコア9.0）を含む複数の脆弱性が発見され、Backup/Tape Operatorがpostgresユーザーとしてリモートコード実行が可能でした。バージョン13.0.1.1071で修正されています。

Trend Micro Apex CentralにはCVE-2025-69258（CVSSスコア9.8）が発見され、認証不要でSystem権限でのコード実行が可能でした。

Cisco Identity Services EngineにはCVE-2026-20029（CVSSスコア4.9）が存在し、管理者権限を持つ攻撃者が機密ファイルを読み取れる脆弱性で、PoCエクスプロイトが公開されています。

D-LinkのDSLゲートウェイルーターにはCVE-2026-0625（CVSSスコア9.3）のゼロデイ脆弱性が発見され、積極的に悪用されていますが、対象機器は既にサポート終了のためパッチは提供されません。

QNAPのLicense Centerには、CVE-2025-52871（CVSSスコア8.6）とCVE-2025-53597（CVSSスコア6.7）の2つの脆弱性が発見され、バージョン2.0.36以降で修正されています。

EatonのUPS Companionソフトウェアには、CVE-2025-59887（CVSSスコア8.6）とCVE-2025-59888（CVSSスコア6.7）の2件の高深刻度脆弱性が発見され、バージョン3.0へのアップグレードが推奨されています。

Open WebUIにはCVE-2025-64496（深刻度7.3）が発見され、Direct Connections機能が有効な場合にJavaScript実行によるアカウント乗っ取りやRCEにつながる可能性がありました。バージョン0.6.35で修正されています。

攻撃・インシデント

先週も多数のサイバー攻撃やデータ侵害が報告されました。

WIRED誌の購読者230万件の記録が流出しました。脅威アクター「Lovely」が1か月間にわたりコンデナストに脆弱性を報告しようとしたが無視され、最終的にデータが公開されたとのことです。さらに4,000万件の追加記録が控えているとされています。

欧州宇宙機関（ESA）関連のBitbucketリポジトリから約200GBのデータが脅威アクター「888」により漏えいしたと主張されています。ESAは非機密の共同エンジニアリング作業用の少数の外部サーバーに限定された侵害であると確認しました。

Watson Clinic LLCで2024年2月に発生したデータ侵害により、患者の個人情報がダークウェブに露出し、1,000万ドルの和解金が提案されています。

米国最大の補完医療保険会社Aflacは、2025年6月のサイバー攻撃で2,265万人が影響を受けたと発表しました。当初報告の7,864人から5,980%の増加です。Qilinランサムウェアグループが犯行声明を出しています。

Covenant Healthの2025年5月のランサムウェア攻撃は、当初8,000人とされた影響者数が約50万人に修正されました。ロシア語圏のQilinグループが852GBのファイル漏えいの犯行声明を出しています。

ニュージーランドの健康ポータルManage My Healthへのサイバー攻撃では、約180万人の登録患者のうち6〜7%が影響を受けた可能性があります。攻撃者「Kazu」が6万ドルの身代金を要求しています。

Sedgwick Government SolutionsがTridentLockerランサムウェアの被害を受け、約3.4GBのデータが窃取されたと主張されています。

ジャガー・ランドローバーは9月のサイバー攻撃により、第3四半期の卸売台数が前年比43%減少しました。攻撃コストは1億9,600万ポンド（約2億2,000万ドル）に達しています。

クリスマス休暇中にAdobe ColdFusionサーバーを標的とした250万件超の悪意あるリクエストが検知されました。トラフィックの約68%が12月25日に発生したとのことです。

規制・コンプライアンス

英国政府のサイバー行動計画については既に詳しくお伝えしましたが、それ以外にも規制関連のニュースがありました。

ディズニーがCOPPA違反で1,000万ドルの民事制裁金支払いに同意しました。YouTube動画を子ども向けとしてラベル付けしなかったため、親への確認なしに子どもの情報を収集し広告をターゲティングしていたことが問題となりました。

欧州委員会は、XのAIツール「Grok」が未成年者を含む性的に露骨な画像の生成を可能にしているとの懸念から、Xへの措置を「非常に真剣に」検討しています。フランス、マレーシア、インドの規制当局も調査を開始または拡大しています。先月、XはデジタルサービスI法（DSA）違反で1億2,000万ユーロの罰金を科されたばかりです。

FCCのサイバー・トラスト・マーク・プログラムの主任管理者UL Solutionsが、中国との関係に関する内部調査を受けて辞任しました。消費者向けIoTサイバーセキュリティ表示プログラムの将来に疑問が生じています。

CISAは2019年から2024年にかけて発出した緊急指令10件を廃止しました。これらは目的を達成したか、BOD 22-01により包含されるようになったためです。

業界動向

CrowdStrikeによるSGNL買収以外にも、業界では重要な動きがありました。

Microsoftは電話によるWindowsおよびOfficeの認証を完全に廃止しました。電話するとウェブサイトへ誘導され、Microsoftアカウントによる必須認証を経てオンラインで認証を完了する必要があります。

GoogleはGmailがPOP3経由で他のメールアカウントからメールを収集できるGmailify機能を今月中に終了します。IMAPへの切り替えが推奨されています。

SecurityWeekは2025年に420件超のサイバーセキュリティM&Aを記録し、12月だけで30件の取引が発表されました。主要取引にはServiceNowによるArmis買収（77億5,000万ドル）が含まれます。

Qualysの調査によると、回答者の28%が過去1年にクラウド関連の侵害を経験し、24%が誤設定を最大リスクと認識しています。AzureのVMの70%、GCPの63%、AWSの45%に誤設定が存在するとのことです。

CISOの2026年優先事項として、反応的なセキュリティよりレジリエンスの優先、AI駆動の防御アーキテクチャの構築、可視性と統制の実現、人と非人間のアイデンティティ管理が挙げられています。

今週の注目ポイント

先週の報告に基づき、今後注視すべき点をまとめます。

まず、n8nの最大深刻度脆弱性については、推定10万台のサーバーが影響を受ける可能性があり、利用している組織は直ちにバージョン1.121.0以降へのアップグレードが必要です。

VMware ESXi環境を運用している組織は、3つの脆弱性に対するパッチが適用されていることを確認してください。中国関連の脅威アクターが1年以上前からエクスプロイトを保有していた可能性があり、既に侵害されている可能性も考慮する必要があります。

HPE OneViewの脆弱性は既に攻撃で悪用されているため、影響を受けるバージョンを使用している場合は最優先でパッチを適用してください。

D-LinkのDSLゲートウェイルーター（DSL-526B、DSL-2640B、DSL-2740R、DSL-2780B）を使用している場合は、サポート終了のためパッチが提供されないことから、機器の置き換えを検討してください。

LastPassの侵害から学ぶべき点として、パスワードマネージャーのマスターパスワードには十分な強度が必要です。弱いマスターパスワードの保管庫は依然としてオフラインで解読され続けています。

Chrome拡張機能のセキュリティについては、AIツールを装った悪意ある拡張機能が90万人以上に影響したことを踏まえ、拡張機能のインストールには慎重を期し、定期的に見直しを行うことが重要です。

北朝鮮のKimsukyによるQRコードフィッシング攻撃については、従業員への教育とフィッシング耐性のあるMFAの導入を検討してください。

クロージング

先週も実に多くのセキュリティニュースがありました。LastPassの侵害から3年以上が経過してもなお被害が継続していること、VMwareのゼロデイが公表前から悪用されていたこと、そしてn8nのような広く使われているツールに最大深刻度の脆弱性が見つかったことなど、改めてサイバーセキュリティの重要性を認識させられる1週間でした。

今週も引き続き、パッチ管理の徹底、多要素認証の導入、そして従業員へのセキュリティ教育など、基本的な対策を怠らないようにしていきましょう。

東京セキュリティブリーフィングでした。また次回お会いしましょう。