東京セキュリティブリーフィング 週次まとめ 2026年01月19日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月19日、月曜日です。今週は先週1週間のセキュリティニュースを振り返る週次まとめをお届けします。

先週は非常に多くの重要なセキュリティインシデントが報告されました。Microsoftの月例パッチで実際に悪用されているゼロデイ脆弱性への対応、中国関連APTによる北米重要インフラへの攻撃、そしてランサムウェアグループBlack Bastaの首謀者がインターポールの国際手配リストに追加されるなど、注目すべきトピックが目白押しです。

それでは、先週の重要ニュースを詳しく見ていきましょう。

重要ニュースTOP

Microsoftの月例パッチで悪用中のゼロデイを含む114件の脆弱性を修正

先週、Microsoftは2026年最初のPatch Tuesdayで114件の脆弱性を修正しました。このうち8件が重大（Critical）、106件が重要（Important）と評価されています。

特に注目すべきは、Desktop Window Managerの情報漏えい脆弱性CVE-2026-20805です。この脆弱性は実際に悪用が確認されており、CVSSスコアは5.5と中程度ですが、認証済みのローカル攻撃者がメモリアドレス情報を取得できるため、ASLR（アドレス空間配置のランダム化）保護を無効化する目的で使用される可能性があります。これは他のエクスプロイトと組み合わせることで、より深刻な攻撃チェーンを構成できる危険性があります。

CISAはこの脆弱性を既知の悪用済み脆弱性カタログに追加し、連邦機関に対して2026年2月3日までのパッチ適用を義務付けました。

また、2011年に発行されたSecure Boot証明書の期限が2026年6月から切れ始めるため、証明書の自動置き換えも開始されました。企業のセキュリティ担当者は、Windows環境のパッチ適用を優先的に進めることを強くお勧めします。

中国関連APTが北米重要インフラを標的にゼロデイを悪用

Cisco Talosは、UAT-8837として追跡される中国関連の脅威アクターが、北米の重要インフラセクターを標的とした高度なキャンペーンを展開していることを報告しました。

攻撃者はSitecoreのViewStateデシリアライゼーションに関するゼロデイ脆弱性CVE-2025-53690（CVSSスコア9.0）を悪用しています。侵害後は、Earthworm、SharpHound、DWAgent、Certipy、GoExecなど多数のオープンソースツールを展開し、認証情報の窃取やActive Directoryトポロジーの調査を実施しています。

Cisco Talosの分析によると、このグループは初期侵入段階に特化しており、他の中国国家支援チームのためのアクセスブローカーとして機能している可能性があります。さらに、被害組織からDLLを流出させていることから、サプライチェーン侵害の可能性も懸念されています。

重要インフラを運用する組織は、Sitecoreの最新パッチ適用と、ネットワーク内での横展開の監視を強化することが推奨されます。

Ciscoのメールゲートウェイのゼロデイが中国APTに悪用される

Ciscoは、Secure Email GatewayおよびSecure Email and Web ManagerのAsyncOSに影響する最大深刻度のゼロデイ脆弱性CVE-2025-20393（CVSSスコア10.0）に対するパッチをようやく公開しました。

この脆弱性は2025年11月下旬から中国関連のハッキンググループUAT-9686（APT41やUNC5174との関連が示唆されている）によって悪用されていました。攻撃者はスパム隔離機能のHTTPリクエスト検証不足を悪用し、root権限で任意のコマンドを実行。AquaShellバックドアやAquaTunnelマルウェア、ReverseSSH、Chiselなどのツールを展開していました。

CISAは2025年12月17日にこの脆弱性を既知の悪用済み脆弱性カタログに追加し、連邦機関に1週間以内の対応を命じていましたが、Ciscoからのパッチ提供は7週間後となりました。Cisco製品を使用している組織は、直ちにパッチを適用する必要があります。

Black Bastaランサムウェアの首謀者がインターポール国際手配に

ドイツ連邦刑事警察庁（BKA）は、Black Bastaランサムウェア作戦を主導したとされる35歳のロシア国籍、オレグ・エフゲニエヴィチ・ネフェドフをEU最重要指名手配およびインターポールのレッドノーティスに追加しました。

Black Bastaは2022年4月に活動を開始し、世界中で約700組織を攻撃。2023年末までに恐喝で1億ドル以上を得たと推定されています。過去の標的にはRheinmetall、現代自動車欧州、BT Groupなどの著名企業が含まれます。

ウクライナ警察はまた、同グループに関連するウクライナ人2人の自宅を捜索し、デジタル記憶装置と暗号資産を押収しました。ネフェドフは2024年にアルメニアで一度逮捕されましたが、その後自由の身となっており、現在はロシアに居住しているとみられています。

昨年の内部チャット流出後、グループは事実上崩壊し、元メンバーはCACTUSランサムウェアに移行した可能性があるとされています。

Fortinet FortiSIEMの重大な脆弱性が実環境で悪用中

Fortinetは、FortiSIEMのphMonitorサービスにOSコマンドインジェクション脆弱性CVE-2025-64155（CVSSスコア9.4）が存在することを公開しました。この脆弱性により、認証なしでTCPポート7900への細工されたリクエストを通じて、root権限でコード実行が可能です。

Horizon3.aiが技術詳細と概念実証（PoC）エクスプロイトを公開した後、Defusedのハニーポットが2026年1月15日に実環境での悪用を検知しました。攻撃は約15のアクターに拡大しており、多くのIPは中国のプロバイダーから発生しています。

影響を受けるバージョンはFortiSIEM 6.7から7.5で、7.4.1、7.3.5、7.2.7、7.1.9以降で修正されています。パッチ適用が困難な場合は、phMonitorポート（7900）へのアクセスを制限することが回避策として推奨されます。

WordPressプラグイン「Modular DS」の重大な脆弱性が悪用中

Modular DS WordPressプラグインに最大深刻度の脆弱性CVE-2026-23550（CVSSスコア10.0）が発見され、実環境で悪用されています。バージョン2.5.1以前のすべてのバージョンが影響を受け、4万件以上のWordPressインストールがリスクにさらされています。

この脆弱性は設計上の欠陥により、保護されていないAPIルートが認証をバイパスでき、未認証のユーザーが自動的に管理者としてログインできるというものです。攻撃は2026年1月13日02:00 UTCに最初に検知され、翌日にバージョン2.5.2で修正パッチがリリースされました。

WordPressサイト管理者は、直ちにプラグインを最新版にアップグレードし、不審な管理者アカウントが作成されていないかを確認することが推奨されます。

n8nワークフロー自動化プラットフォームに最大深刻度の脆弱性

オープンソースのワークフロー自動化プラットフォームn8nに、CVE-2026-21858として追跡される最大深刻度（CVSSスコア10.0）の脆弱性が発見されました。content-type confusionバグを悪用することで、未認証の攻撃者がリモートからサーバーを乗っ取ることが可能です。

Shadowserver Foundationによると、約10万5,000件の脆弱なn8nインスタンスがインターネットに露出しており、これは検出されたn8n導入全体のほぼ半数に相当します。バージョン1.65.0から1.121.0未満が影響を受け、1.121.0以降で修正されています。

さらに、n8nのエコシステムを標的としたサプライチェーン攻撃も確認されています。脅威アクターがGoogle Ads連携を装った8つの悪意あるnpmパッケージを公開し、OAuthトークンやAPIキーを窃取しようとしていました。n8nを利用している組織は、直ちにパッチ適用とコミュニティノードの監査を行う必要があります。

BreachForumsが侵害され約32万4,000人のユーザーデータが流出

サイバー犯罪フォーラムBreachForumsがデータ侵害を受け、約32万3,986人のユーザーメタデータが流出しました。流出データにはユーザー名、登録日、IPアドレス、平文メールアドレスなどが含まれています。

「James」を名乗る人物が「Doomsday」と題したマニフェストを公開し、ShinyHuntersやAnonymousなどのメンバーをメンターしてきたと主張しています。約7万件のエントリには真正なグローバルIPアドレスが含まれており、法執行機関の捜査材料になり得る情報が含まれています。

Have I Been Pwnedもこのデータを追加しました。現管理者は流出データは虚偽だと主張していますが、流出が2025年8月のフォーラム復旧作業に起因すると確認しています。

HPE OneViewの重大な脆弱性が大規模悪用の標的に

CISAが警告を発していたHPE OneViewの脆弱性CVE-2025-37164（CVSSで最大深刻度）が、RondoDoxボットネットによって大規模に悪用されています。Check Point Researchによると、2026年1月7日にはCVE悪用試行が4万件以上記録されました。

この脆弱性はid-pools機能のExecuteCommand REST APIエンドポイントに存在し、認証なしでリモートコード実行が可能です。攻撃は単一のオランダIPから発生し、米国、オーストラリア、フランス、ドイツ、オーストリアの政府機関を主に標的としています。

HPE OneViewを使用している組織は、米国連邦機関に義務付けられた1月28日の期限を待たず、直ちにパッチを適用することが推奨されます。

ServiceNowのAIプラットフォームにユーザーなりすましの重大な脆弱性

ServiceNowのAIプラットフォームにCVE-2025-12420として追跡される重大な権限昇格脆弱性（CVSSスコア9.3）が発見されました。Now Assist AI AgentsとVirtual Agent APIに影響し、認証されていないユーザーが別のユーザーになりすまし、そのユーザーの権限で操作を実行できます。

AppOmniが2025年10月に発見し「BodySnatcher」と命名したこの脆弱性は、すべてのサードパーティサービスに同一の認証情報「servicenowexternalagent」が配布され、ユーザーのなりすましにはメールアドレスだけで十分だったことが原因です。Now Assist AI機能と組み合わせることで、プラットフォーム全体の乗っ取りが可能でした。

ServiceNowは2025年10月30日までにホスト型インスタンスへパッチを展開済みです。実環境での悪用の証拠は確認されていませんが、組織は直ちにパッチ適用状況を確認することが推奨されます。

カテゴリ別まとめ

脆弱性情報

先週は多数の重大な脆弱性が公開・悪用されました。

React RouterおよびRemixフレームワークにCVE-2025-61686（CVSSスコア8.8）のパスインジェクション脆弱性が発見されました。createFileSessionStorage()関数の未署名Cookie処理の欠陥により、ディレクトリトラバーサルでサーバーファイルの読み書きが可能です。

Trend MicroはApex Centralオンプレミス版の重大な脆弱性CVE-2025-69258を修正しました。認証なしでリモート攻撃者がSYSTEM権限で任意コードを実行可能で、Critical Patch Build 7190で修正されています。

Apache Struts 2のXWorkコンポーネントにXML外部エンティティ（XXE）インジェクション脆弱性CVE-2025-68493が発見されました。脆弱なバージョンが週38万7,000回以上ダウンロードされており、98%がサポート終了版という状況です。

SteamOSで使用されているInputPlumberにCVE-2025-66005およびCVE-2025-14338の脆弱性が発見され、D-Busの認可欠如により、非特権ユーザーがキーストローク注入やDoSを引き起こせます。v0.69.0で修正済みです。

FortinetはFortiOSおよびFortiSwitchManagerにおけるヒープベースバッファオーバーフロー脆弱性も公開しており、リモートの未認証攻撃者が任意のコードを実行可能です。

攻撃・インシデント

ハッキンググループ「Everest」が日産自動車から約900GBの機密データを流出させたと主張しています。販売店情報、財務記録などを含むスクリーンショットを公開し、5日以内の対応を要求していますが、日産は公式に肯定も否定もしていません。

スペインのエネルギー企業エンデサとEnergía XXIが、商用プラットフォームへの不正アクセスにより顧客の個人データが漏えいしたと通知しました。氏名、連絡先、国民身分証番号、契約詳細、IBANが露出しており、脅威アクターは約2,000万件のレコードを販売すると主張しています。

テキサス州のGulshan Management Services（ガソリンスタンドチェーンHandi）では、フィッシング攻撃により377,082人の顧客データが侵害されました。攻撃者は10日間ネットワークにアクセスし、マルウェアを展開しています。

ハワイ大学がんセンターが2025年8月にランサムウェア攻撃を受け、研究参加者の社会保障番号などが流出しました。大学は身代金を支払い復号ツールを入手しましたが、影響を受けた個人への通知は4か月後も完了していないとの報告があります。

GoBruteforcerボットネットがLLMで生成された設定テンプレートの予測可能なユーザー名を悪用し、5万台超のサーバーが脆弱な状態にあります。FTP、MySQL、phpMyAdminへのクレデンシャル・スタッフィング攻撃を実行し、暗号資産ウォレットからの資金流出にも転用されています。

規制・コンプライアンス

カリフォルニア州プライバシー保護庁が、未登録でデータブローカー活動を行っていたDatamastersに45,000ドルの罰金を科し、カリフォルニア州民の個人情報販売を禁止しました。同社はアルツハイマー病や薬物依存などの症状に基づく数百万人分の健康データを再販売していました。

フランスのデータ保護当局CNILは、2024年10月のデータ侵害でFreeとFree Mobileに合計4,200万ユーロの制裁金を科しました。VPN認証の脆弱性、異常検知の不備、データ保持の問題がGDPR違反と認定されています。

英国のOfcomは、Grok AIが同意のない性的画像やCSAMを生成しているとの報告を受け、Xの正式調査を発表しました。オンライン安全法違反の可能性を評価し、違反には最大1,800万ポンドまたは全世界売上の10%の罰金が科される可能性があります。

業界動向

世界経済フォーラムの「Global Cybersecurity Outlook 2026」によると、回答者の94%が2026年にサイバーセキュリティ変化を最も促す要因はAIになると回答しました。87%がAI関連脆弱性の増加を経験しており、企業の77%がサイバーセキュリティにAIを導入しています。一方、サイバー詐欺がランサムウェアを上回りCEOの最大懸念となっています。

Chainalysisによると、2025年に不正暗号資産アドレスが受け取った資産は推定1,540億ドルで前年比1.5倍に達しました。北朝鮮は約20億ドルを強奪し、Bybitへの15億ドルの攻撃は史上最大規模です。ステーブルコインが不正取引の84%を占めています。

AIセキュリティ運用企業TorqがシリーズDで1億4,000万ドルを調達し、評価額12億ドル、累計調達額は3億3,200万ドルに達しました。CrowdStrikeはブラウザセキュリティのSeraphic Securityを約4億2,000万ドルで買収すると発表し、先週発表されたSGNL買収と合わせて10億ドル超を買収に投じています。

今週の注目ポイント

先週のニュースから、セキュリティ担当者が継続的に監視すべき点をまとめます。

まず、中国関連APTによる重要インフラへの攻撃が継続しています。SitecoreやCiscoのゼロデイを悪用した攻撃が確認されており、特に初期侵入段階に特化したアクセスブローカー的な活動が報告されています。重要インフラを運用する組織は、パッチ管理の徹底と、ネットワーク内での異常な横展開の監視を強化する必要があります。

次に、AIプラットフォームのセキュリティリスクが顕在化しています。ServiceNowのAIプラットフォームでのなりすまし脆弱性、n8nワークフロー自動化プラットフォームへのサプライチェーン攻撃、LLMサービスへの大規模偵察活動など、AI関連インフラへの攻撃が増加しています。AIツールを導入している組織は、認証・認可の設定と、サードパーティコンポーネントの監査を確認してください。

また、国家支援のサイバー活動と犯罪活動の境界が曖昧になっています。北朝鮮のIT労働者詐欺や暗号資産窃盗で40か国以上が被害を受けており、年間最大6億ドルを体制に送金しているとの報告があります。リモート採用プロセスでの身元確認の強化が求められます。

最後に、ランサムウェアエコシステムの断片化が進んでいます。Black Bastaの崩壊と首謀者の国際手配、しかし被害者数は依然として増加傾向にあります。法執行機関の取り締まりにより主要グループが分断されても、攻撃自体は減少していない点に注意が必要です。

クロージング

以上、先週1週間の主要なセキュリティニュースをお伝えしました。

先週は特にゼロデイ脆弱性の悪用と、国家関連の高度な持続的脅威が目立ちました。Microsoftの月例パッチ、Cisco、Fortinet、SAPなど多くのベンダーからセキュリティ更新がリリースされていますので、組織のパッチ管理プロセスを見直し、優先順位を付けて対応を進めてください。

特に重要インフラや医療、金融分野の組織は、中国関連APTの活動や、AIプラットフォームを標的とした攻撃に対する防御体制を強化することをお勧めします。

今週も安全なIT運用を心がけていきましょう。

東京セキュリティブリーフィングでした。また次回お会いしましょう。