東京セキュリティブリーフィング 週次まとめ 2026年01月26日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年1月26日、月曜日です。先週1週間のセキュリティニュースを振り返る週次まとめ回をお届けします。

先週は非常に多くの重要なセキュリティインシデントが報告されました。FortiGateファイアウォールへの継続的な攻撃、Cisco Unified Communicationsのゼロデイ脆弱性の悪用、そしてAIを活用したサイバー犯罪の急増など、多岐にわたるトピックがありました。また、欧州では米国のCVEシステムに依存しない独自の脆弱性データベースが始動し、サイバーセキュリティの地政学的な側面も浮き彫りになりました。

それでは、先週の重要ニュースから見ていきましょう。

重要ニュースTOP

FortiGateファイアウォールへの攻撃が継続、パッチ適用済みでも侵害

先週最も注目すべきニュースの一つは、FortinetのFortiGateファイアウォールに対する攻撃が継続していることです。Arctic Wolf Labsの報告によると、1月15日以降、FortiGateデバイスに対するSSOログイン経由の不正アクセスが確認されています。

この攻撃では、FortiCloud SSOの認証バイパス脆弱性（CVE-2025-59718およびCVE-2025-59719）が悪用されています。驚くべきことに、2025年12月にリリースされたパッチを適用済みのシステムでも悪用が成功しているケースが報告されています。

Fortinetは、12月のパッチが攻撃者によって回避されていることを確認し、新たな攻撃経路の存在を認めました。さらに、この問題はFortiCloud SSOだけでなく、すべてのSAML SSO実装に当てはまる可能性があることも明らかになりました。

攻撃者は汎用アカウントを作成し、VPNアクセス権を付与し、認証情報やネットワークトポロジーを含む設定データを外部サーバーへ抽出しています。これらの操作が数秒間隔で行われていることから、自動化された攻撃であることが示唆されています。

Fortinetは完全な修正に取り組んでおり、FortiOS 7.4.11、7.6.6、8.0.0で対処される予定です。それまでの間、FortiCloud SSOの一時的な無効化と管理アクセスの制限が推奨されています。約11,000台のデバイスがオンラインに露出しているとの報告もあり、該当する組織は早急な対応が必要です。

Cisco Unified Communicationsのゼロデイ脆弱性が実環境で悪用

Cisco Unified Communications Manager製品群に影響するリモートコード実行の脆弱性（CVE-2026-20045）が実環境で悪用されていることが確認されました。この脆弱性はCVSSスコア8.2ですが、root権限への昇格が可能なため、深刻度はCriticalと評価されています。

影響を受ける製品には、Unified CM、Unified CM SME、IM & Presence Service、Unity Connection、WebEx Calling Dedicated Instanceが含まれます。HTTPリクエストの不適切な入力検証に起因し、未認証の攻撃者がリモートから任意のコードを実行できる可能性があります。

CISAはこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加し、連邦機関に対して2026年2月11日までの対応を命じています。回避策は存在せず、即時のパッチ適用が必要です。

数百万人のユーザーに影響する可能性があり、Cisco製品を利用している組織は早急にパッチ状況を確認し、必要なバージョンへの更新を実施してください。

AIを活用したサイバー犯罪が「第5の波」として急増

Group-IBのホワイトペーパーによると、武器化されたAIが「サイバー犯罪の第5の波」を促進しています。2019年から2025年の間に、AI関連のサイバー犯罪活動への言及がダークウェブ上で371%増加しました。

特に深刻なのは、高度なサイバー犯罪ツールが商品化されていることです。倫理的制約の少ない「ダークLLM」と呼ばれるAIモデルが月額30ドルから200ドルで販売されており、初心者でも高度な攻撃を実行できる環境が整いつつあります。

ディープフェイクを用いた本人確認攻撃による確認済み損失は3億4,700万ドル超に達し、合成アイデンティティキットが5ドルから入手可能な状況です。なりすましサービスへの言及は前年比233%増となっています。

Googleのセキュリティエンジニアリング担当VPであるHeather Adkins氏は、サイバー犯罪者がAIを使ったエンドツーエンドの攻撃ツールキットを開発するのは時間の問題と警告しています。現在、攻撃者はフィッシング文面やデータ窃取コマンドの生成にAIを使用しており、6か月から18か月以内に本格化する可能性があるとのことです。

また、Check Point Researchが発見したLinuxマルウェア「VoidLink」は、ほぼ全面的にAIによって開発されたことが判明しました。単独の開発者がAI IDE「Trae」を使用し、1週間未満で8万8,000行超のコードを完成させたとのことです。これは複雑なマルウェア作成の障壁が大幅に低下していることを示しています。

ServiceNowの重大脆弱性「BodySnatcher」で任意ユーザーへのなりすましが可能

ServiceNowのVirtual Agent APIとNow Assist AI Agentsに重大な脆弱性「BodySnatcher」（CVE-2025-12420）が発見されました。この脆弱性により、未認証の攻撃者がメールアドレスだけで任意のServiceNowユーザーになりすますことが可能です。

問題の原因は、全インスタンスで共通の静的クライアントシークレットが使用されていることと、MFAが不要な自動リンク機構にあります。攻撃者は管理者アカウントを作成することで永続的なバックドアを確立することも可能です。

この脆弱性は、AIエージェントの過剰な権限と認証ロジックの欠陥がもたらすリスクを示す典型的な事例です。デフォルト設定で管理者バックドアの作成が可能だったことは、拙速なAI統合のリスクを浮き彫りにしています。

ホスト型インスタンスは2025年10月末に修正済みですが、オンプレミス顧客は即時のアップグレードが必要です。Virtual AgentへのMFA強制と四半期ごとの監査が推奨されています。

欧州がGCVEを始動、米国CVEシステムへの依存軽減へ

欧州連合がグローバルCVE割り当てシステム（GCVE）を正式に立ち上げました。これは米国のCVEプログラムへの依存を減らし、欧州の「デジタル主権」を強化することを目的としています。

GCVEはルクセンブルクのCIRCLがホストし、25以上の公開ソースから脆弱性情報を集約します。分散型のアプローチを採用しており、GCVE Numbering Authorities（GNA）が中央承認なしで即座に識別子を付与できます。

この動きの背景には、2025年春に米国CVEプログラムの資金打ち切りが土壇場まで先送りされた不安があります。専門家は、複数のCVEシステムが乖離すれば重複や不整合が生じ、防御側の混乱を招く可能性があると警告していますが、単一障害点を減らすという観点からは評価する声もあります。

Chrome 144がリリース、V8エンジンの脆弱性など10件を修正

Google Chromeがバージョン144に更新され、10件の脆弱性が修正されました。最も深刻なのはV8 JavaScriptエンジンの境界外メモリアクセス（CVE-2026-0899）で、8,000ドルの報奨金が支払われました。また、ダウンロード機構の検証不足（CVE-2026-0903）には3,000ドルが支払われています。

さらにChrome 144.0.7559.96/97では、V8 JavaScriptエンジンの競合状態の脆弱性（CVE-2026-1220）も修正されました。この高深刻度の欠陥は、攻撃者が悪意のあるWebサイトを通じて不正なコード実行、認証情報の窃取、マルウェアのインストールを可能にする恐れがあります。

Windows、macOS、Linux向けに段階的にロールアウト中であり、即時の更新が推奨されます。

WordPressプラグイン「Modular DS」にCVSS 10.0の重大脆弱性

WordPressプラグイン「Modular DS」にCVSSスコア10.0の重大脆弱性（CVE-2026-23550）が発見され、実環境で悪用されています。未認証の攻撃者が管理者権限を奪取可能であり、バージョン2.5.1以前が影響を受けます。

40,000件超のインストールに影響があり、2026年1月13日に最初の攻撃波が記録されました。バージョン2.5.2で修正されているため、該当するプラグインを使用している場合は即座に更新してください。

同様に、「Advanced Custom Fields: Extended」プラグインにも深刻度9.8の権限昇格脆弱性（CVE-2025-14533）が発見されています。10万件超のインストールが影響を受け、未認証の攻撃者が管理者アカウントを作成可能です。バージョン0.9.2.2で修正済みです。

WordPressサイトを運営している組織は、プラグインの更新状況を確認し、最新バージョンへの更新を徹底してください。

Palo Alto NetworksのGlobalProtectにサービス拒否の脆弱性

Palo Alto Networksがファイアウォールのサービス拒否攻撃を引き起こす脆弱性（CVE-2026-0227）を修正しました。GlobalProtectのポータルまたはゲートウェイが有効な場合、PAN-OS 10.1以降とPrisma Accessに影響します。

繰り返しの悪用でメンテナンスモードに移行し、トラフィックフィルタリングが停止する可能性があります。約6,000台がインターネットに露出しているとの報告があり、該当する組織は早急にパッチを適用してください。

Google Geminiにプロンプトインジェクション脆弱性、カレンダーデータが漏えい

Miggo SecurityがGoogle GeminiとGoogleカレンダーの連携における脆弱性を発見しました。攻撃者がカレンダーイベントの説明欄に悪意あるプロンプトを埋め込み、ユーザーがGeminiに予定を確認させると、非公開の会議データが漏えいする仕組みです。

この攻撃では、ユーザーは異常に気づかず、Geminiは通常どおりの応答を返します。従来の入力サニタイズでは検出が困難な「セマンティック攻撃」という新たな脅威カテゴリを示しています。Googleは既に修正済みですが、AIシステムに対する同様の攻撃には継続的な注意が必要です。

MandiantがNTLMv1解読用レインボーテーブルを公開

MandiantがNet-NTLMv1プロトコルの認証情報を12時間未満で破れるレインボーテーブルを公開しました。600ドル未満の一般ハードウェアでキー復元が可能であり、20年以上前から脆弱と知られていたプロトコルの排除を促進することが目的です。

攻撃者はResponderやPetitPotamなどのツールでハッシュを取得後、レインボーテーブルでキーを復元し、DCSync攻撃でActive Directory全体を侵害できる可能性があります。

組織はNTLMv2のみを強制するようWindowsグループポリシーを設定し、イベントID 4624でNTLMv1の使用を監視することが推奨されています。NTLMv1は企業インフラに依然として残存しており、サードパーティ製ファームウェアに埋め込まれている場合もあるため、完全な排除には時間がかかる可能性があります。

カテゴリ別まとめ

脆弱性情報

先週は多数の重大脆弱性が報告されました。

Cisco Unified Communications Managerのゼロデイ脆弱性（CVE-2026-20045）は実環境で悪用されており、CISAがKEVカタログに追加しました。

AMD SEV-SNP技術を損なう「StackWarp」脆弱性（CVE-2025-29943）がCISPAの研究者により発見されました。単一ビットの切り替えでスタックポインタを操作し、RSA-2048鍵の抽出やカーネルレベルでの任意コード実行が可能です。

GoogleのFast Pairプロトコルに「WhisperPair」脆弱性（CVE-2025-36911）が発見されました。CVSSスコア9.8で、Bluetooth圏内から15秒でペアリング可能となり、音声ストリーム操作やマイク起動、位置追跡が可能です。Sony、Jabra、JBLなど10メーカー17モデルが影響を受けます。

DNS CNAMEレコードを悪用したKerberos認証の脆弱性（CVE-2026-20929）も発見されました。NTLM無効化環境でも悪用可能であり、2026年1月の更新でHTTP.sysにCBT対応が実装されました。

GNU InetUtilsのtelnetdに11年間存在していた認証バイパス脆弱性（CVE-2026-24061）がPoC公開から18時間以内に悪用されています。攻撃者は認証なしでrootアクセスを取得可能です。

攻撃・インシデント

Black Bastaランサムウェア集団の首謀者とされるロシア国籍のオレグ・ネフェドフがインターポールの指名手配リストに追加されました。2022年3月から2025年2月にドイツ国内で100社超を恐喝し、2,000万ユーロ超を得たとされています。

カナダ投資規制機構（CIRO）では、2025年8月のフィッシング攻撃により約75万人の投資家情報が流出したことが確認されました。生年月日、社会保険番号、投資口座番号などが漏えいしました。

イングラム・マイクロは2025年7月のランサムウェア攻撃で42,521人の従業員・求職者データが侵害されたことを公表しました。SafePayランサムウェア集団が3.5TBのデータ窃取を主張しています。

英国NCSCは、親ロシア派ハクティビスト集団NoName057(16)などによる地方自治体や重要インフラへのDDoS攻撃継続を警告しました。技術的には単純ですが、復旧コストや市民サービスへの影響は大きいとのことです。

「GhostPoster」キャンペーンでは、17の悪意ある拡張機能で84万回超がダウンロードされました。PNGアイコン内にステガノグラフィでペイロードを埋め込み、2020年からEdge、Firefox、Chromeに展開されていました。

規制・コンプライアンス

欧州委員会がサイバーセキュリティ法の改正計画を発表しました。高リスク第三国サプライヤーからの移動体通信ネットワークのリスク低減を義務化し、認証プロセスの迅速化・簡素化を目指しています。HuaweiやZTEなど中国企業が対象とみられます。

DLA Piperの調査によると、2025年のGDPR制裁金総額は約12億ユーロで、データ侵害通知は1日平均443件と前年比22%増加しました。TikTokへの5億3,000万ユーロの制裁金は、EU域外の中国へのデータ移転に関する初の執行措置です。

英国上院は「子どもの福祉と学校法案」の修正案を可決し、16歳未満のソーシャルメディアアクセスを禁止する方向で進んでいます。オーストラリアでは同様の措置により、施行初週に約470万件のアカウントが無効化されました。

米国HHS監察総監室は、部局ごとに異なるサイバーセキュリティ統制の標準化と請負業者の監督強化を求める報告書を公表しました。HIPAAは20年以上前の規則で、現代のリスクに十分対応できない可能性があると指摘しています。

業界動向

2026年に向けたサイバーセキュリティのトレンドとして、AIガバナンスの重要性増大が挙げられています。組織のAI導入スピードとガバナンス成熟度の間にギャップがあり、AIリスクがビジネス上の懸念事項として急上昇しています。

CISOが2026年に取り組むべきプロジェクトとして、AIエージェントを含むアイデンティティアクセス変革、メールセキュリティ強化、AI活用のコード脆弱性発見、AIデータガバナンス、マルウェアに強いバックアップ戦略、通信傍受脅威への対応、ゼロトラスト・マイクロセグメンテーションの強化が挙げられています。

CISAは3月開催のRSAカンファレンスに参加しないことを確認しました。「法定の中核的任務へ立ち返り、最大の効果と納税者資金の適切な管理を確保するため」と説明しています。

Pwn2Own Automotive 2026では、76件のユニークなゼロデイ脆弱性が実証され、賞金総額は1,047,000ドルに達しました。インフォテインメントシステム、EV充電器、車載ヘッドユニットが主な攻撃対象となりました。

今週の注目ポイント

先週のニュースから、いくつかの重要なトレンドが見えてきます。

まず、FortiGateの問題に代表されるように、パッチ適用後も攻撃が継続するケースが増えています。パッチを当てて終わりではなく、設定の見直しや追加の緩和策の適用、ログの監視を継続することが重要です。

次に、AIがサイバー攻撃と防御の両面で重要な役割を果たすようになっています。攻撃者はAIを使ってマルウェアを開発し、フィッシングを洗練させています。防御側もAIを活用した検知・対応能力の強化が求められています。

また、サプライチェーンリスクへの注意が引き続き必要です。ServiceNowのBodySnatcher脆弱性やWordPressプラグインの脆弱性など、サードパーティ製品やサービスを経由した攻撃が増加しています。

さらに、欧州のGCVE始動に見られるように、サイバーセキュリティにおける地政学的な動きが活発化しています。組織は複数の規制フレームワークへの対応を求められる可能性があります。

来週以降も、FortiGateの新しいパッチのリリースや、AIを活用した攻撃手法の進化に注目が必要です。

クロージング

以上、2026年1月第4週のセキュリティニュースをお届けしました。

先週は、FortiGateへの継続的な攻撃、Ciscoのゼロデイ悪用、AIを活用したサイバー犯罪の急増など、多くの重要なトピックがありました。特にFortiGate製品を使用している組織は、パッチ適用状況の再確認とFortiCloud SSOの無効化を検討してください。

また、AIの進化がサイバー攻撃の敷居を下げていることを改めて認識し、従来のセキュリティ対策に加えて、AIベースの脅威検知や対応能力の強化を検討することをお勧めします。

今週も安全なIT運用を心がけていきましょう。基本的な対策の徹底、つまりパッチ適用、多要素認証の導入、ログの監視、そして従業員への継続的な教育が、依然として最も効果的な防御策です。

東京セキュリティブリーフィングでした。また次回お会いしましょう。