東京セキュリティブリーフィング 週次まとめ 2026年02月02日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年2月2日、月曜日です。先週1週間のセキュリティニュースを振り返る週次まとめ回をお届けします。

先週は非常に多くの重要なセキュリティインシデントが報告されました。特に注目すべきは、ポーランドの電力網を標的としたロシア国家支援グループによるワイパー攻撃、Ciscoの重大なゼロデイ脆弱性、そしてGNU InetUtilsのTelnetdに11年間潜んでいた認証バイパスの脆弱性です。また、北朝鮮関連の脅威グループによるAIを活用した攻撃や、大規模なフィッシングキャンペーンも多数確認されました。

それでは、先週の重要ニュースから詳しく見ていきましょう。

重要ニュースTOP

ポーランド電力網へのロシア製ワイパーマルウェア攻撃

先週、最も注目を集めたニュースの一つが、ポーランドの電力網を標的としたサイバー攻撃です。ESETの分析によると、2025年12月29日と30日にポーランドのエネルギーインフラがワイパーマルウェア「DynoWiper」による攻撃を受けました。

ESETはこの攻撃をロシア国家支援APT「Sandworm」（APT44とも呼ばれる）によるものと中程度の確度で判断しています。Sandwormはロシア軍情報機関GRUと結びつきがあるとされています。

この攻撃は、再生可能エネルギー設備と配電事業者間の通信を妨害しようとしたものですが、幸いにも妨害は成功せず、停電は発生しませんでした。成功していれば最大50万人に停電の可能性があったと報告されています。

注目すべきは、この攻撃が2015年のウクライナ電力網攻撃（BlackEnergy）からちょうど10周年に当たる時期に実施されたことです。専門家は象徴的な意味があると指摘しています。ポーランド政府はこの攻撃を受け、国家サイバーセキュリティ法の成立を前倒しで進めており、NIS2の国内実装法を急いでいます。

Ciscoの重大なゼロデイ脆弱性に対する緊急パッチ

CiscoがCVE-2026-20045のゼロデイ脆弱性に対する緊急パッチを公開しました。この脆弱性はUnified Communications Manager、Unity Connection、Webex Calling等の複数製品に影響を及ぼします。

Webベース管理インターフェースの欠陥により、認証なしでOSレベルの任意コード実行が可能となる深刻な問題です。CISAは既にこの脆弱性を既知の悪用脆弱性カタログに追加しており、攻撃が進行中であることを示しています。

影響を受ける製品を使用している組織は、直ちにパッチを適用することが強く推奨されます。

GNU InetUtils Telnetdの認証バイパス脆弱性

GNU InetUtilsのtelnetdにCVE-2026-24061として追跡される重大な脆弱性が発見されました。CVSSスコアは最高レベルの9.8です。

この脆弱性は驚くべきことに、2015年から約11年間潜んでいた欠陥です。USER変数を検証せずloginユーティリティへ渡すため、攻撃者は「-f root」を送信するだけで認証なしにroot権限を取得できます。

公表後わずか18時間以内に18のIPアドレスから60件の侵害試行が確認されており、世界で約80万台のTelnetフィンガープリントを持つデバイスがインターネット上に露出しています。特にアジア地域では38万台が確認されています。

CISAはこの脆弱性を既知の悪用脆弱性カタログに追加し、連邦機関に2月16日までのパッチ適用を義務付けました。Telnetを使用している組織は、即座にTelnetの無効化またはポート23のブロックを検討すべきです。

VMware vCenterの重大なRCE脆弱性が積極的に悪用

CISAとBroadcomがCVE-2024-37079の積極的悪用を警告しています。この脆弱性はvCenter ServerのDCERPCプロトコル実装における境界外書き込みの問題で、CVSSスコアは9.8です。

2024年6月にパッチが提供されていたにもかかわらず、18カ月以上経った今も悪用が継続しています。認証なしでリモートコード実行が可能であり、仮想化インフラへの初期侵入の優先標的となっています。

CISAは既知の悪用脆弱性カタログに追加し、連邦機関に2026年2月13日までのパッチ適用を必須としました。回避策がないため、パッチ適用が唯一の対策です。

ShinyHuntersによる100社超を標的としたSSOフィッシングキャンペーン

脅威グループShinyHuntersが、過去30日間で100社以上の大企業を標的としたOkta SSO認証情報窃取キャンペーンを展開していることが判明しました。

Silent Pushの調査によると、攻撃者は「Live Phishing Panel」と呼ばれるツールを使用し、認証情報とMFAトークンをリアルタイムで傍受しています。音声フィッシング（ビッシング）と組み合わせ、ITサポートを装って標的を偽サイトへ誘導する手口です。

標的リストにはAtlassian、Canva、Epic Games、HubSpot、Telstra、ZoomInfo、Mercury Insuranceなど、テクノロジー、フィンテック、医療など幅広い分野の大手企業が含まれています。

Mandiantも「進化した音声フィッシング手法」を用いたキャンペーンを追跡しており、FIDO2セキュリティキーの利用を推奨しています。

北朝鮮KONNIグループによるAI活用攻撃

北朝鮮関連の脅威集団KONNIが、生成AIを活用してブロックチェーン分野の開発者を標的にしていることが確認されました。

活動範囲は日本、オーストラリア、インドへと拡大しています。攻撃者はDiscord経由でZIPアーカイブを配布し、PowerShellバックドアを展開します。注目すべきは、コードにAI生成の特徴的なコメントが確認されていることで、生成AIの関与が示唆されています。

このPowerShellバックドアは40種類以上の解析ツールや仮想環境をチェックする高度な回避機能を持ち、SimpleHelpを展開して永続的アクセスを確保します。開発環境が高価値標的として狙われており、AI主導の脅威防止の導入が推奨されています。

FortiCloud SSOのゼロデイ認証バイパス

FortinetがFortiCloud SSOの認証バイパス脆弱性CVE-2026-24858を確認しました。CVSSスコアは9.4で、完全にパッチ適用済みのデバイスでも別の認証経路が悪用されました。

この脆弱性により、攻撃者は任意のFortiCloudアカウントを使って別組織のデバイスにログインできてしまいます。攻撃者は設定ファイルのダウンロードと「audit」「backup」などの名前で永続的管理者アカウントを作成していました。

Fortinetは1月27日に脆弱なファームウェアからのSSO接続をサーバー側でグローバルに遮断し緩和措置を講じました。CISAは連邦機関に1月30日までのパッチ適用を求めています。世界で328万台超のFortinetデバイスがインターネット上に露出していると報告されています。

Microsoft Officeのゼロデイ脆弱性に緊急パッチ

MicrosoftがCVE-2026-21509として追跡されるOfficeのゼロデイ脆弱性に緊急パッチを公開しました。CVSSスコアは7.8です。

このセキュリティ機能バイパスの脆弱性は、OLE緩和策を回避できるもので、悪意あるOfficeファイルを開かせることで悪用されます。Microsoft社内研究者が実際の悪用を発見しており、金融、政府、重要インフラを狙った標的型攻撃で使用されています。

Microsoft 365やOffice 2021以降は自動修正されますが、Office 2016・2019向けパッチは準備中で、レジストリ変更による緩和策が提示されています。CISAは2月16日までの対処を指示しました。

Pwn2Own Automotive 2026で76件のゼロデイ発見

東京で開催されたPwn2Own Automotive 2026で76件のゼロデイ脆弱性が発見され、総額100万ドル超の賞金が支払われました。

Fuzzware.ioチームが優勝し215,500ドルを獲得しています。テスラのインフォテインメントシステムやAlpitronic HYC50 EV充電器などが攻撃対象となりました。自動車業界のセキュリティ向上に貢献する重要なイベントとなりました。

偽CAPTCHAを悪用したマルウェア配布

Cloudflare風のチャレンジを模倣した偽CAPTCHAエコシステムがマルウェア配布に悪用されています。9,494件の資産を分析した結果、70%が視覚的に類似するものの、ペイロードはVBScriptからファイルレスのプッシュ通知まで30種類以上の異なる配布メカニズムが存在することが判明しました。

新たな手口として、偽CAPTCHAでユーザーを騙しAmatera Stealerをインストールさせるキャンペーンも発見されています。Windowsキー+Rでコマンド実行を促し、SyncAppvPublishingServer.vbsを悪用。Googleカレンダーから指示を取得し、PNG画像にステガノグラフィでコードを隠すという高度な手法が使われています。

カテゴリ別まとめ

脆弱性情報

先週は多数の重大な脆弱性が報告されました。

Apache HadoopのHDFSネイティブクライアントにCVE-2025-27821の脆弱性が発見されています。URIパーサーのアウト・オブ・バウンズ書き込み問題で、システムクラッシュやデータ破損の可能性があります。バージョン3.2.0から3.4.1が影響を受け、3.4.2へのアップグレードが必要です。

Python PLYライブラリのバージョン3.11にCVE-2025-56005の脆弱性が発見されました。yacc()のpicklefileパラメータを悪用し、悪意あるpickleファイルでリモートコード実行が可能です。共有開発環境やCI/CDパイプラインでリスクが高まります。

vm2 Node.jsサンドボックスライブラリにCVE-2026-22709が発見されました。CVSSスコア9.8の重大な脆弱性で、Promiseのコールバックサニタイズ回避によりサンドボックスを脱出してホストシステム上で任意コード実行が可能です。バージョン3.10.2で修正済みです。

SmarterMailにCVE-2026-23760の重大なRCE脆弱性が発見され、実環境で悪用されています。約6,000台の脆弱なインスタンスがインターネット上で検出されており、即時のパッチ適用が推奨されています。

NetSupport Managerに2件の重大な脆弱性（CVE-2025-34164、CVE-2025-34165）が発見されました。ブロードキャスト機能の認証欠如と不十分なパラメータ検証により、未認証のリモートコード実行が可能です。

WordPressプラグイン「LA-Studio Element Kit」にCVE-2026-0920（CVSSスコア9.8）の重大な脆弱性が発見されました。認証なしで悪意ある管理者ユーザーを作成可能で、LA-Studioは元従業員が退職間際にバックドアコードを挿入したと明らかにしています。

React Server Componentsに複数のDoS脆弱性が発見されています。悪意あるHTTPリクエストで無限ループを引き起こしサーバーをハングさせる可能性があり、バージョン19.0.4、19.1.5、19.2.4への即時更新が必要です。

攻撃・インシデント

先週は多くの攻撃キャンペーンとインシデントが報告されました。

BlueNoroff（北朝鮮関連）がWeb3組織や暗号資産市場を標的にしています。採用担当者やベンチャーキャピタリストになりすまし、偽の面接やサミットで端末を侵害する手口を使用しています。2025年にはGoリポジトリへの悪性ペイロード公開も確認されました。

Saga EVMプラットフォームが約600万ドル相当のイーサリアム流出被害を受けました。攻撃者は担保なしでSaga Dollarステーブルコインを不正発行し、イーサリアムネットワークへブリッジして2,000ETH超を取得。TVLは3,600万ドルから2,100万ドルへ急落しました。

Zendeskの脆弱性を悪用した大規模スパム攻撃が1月18日以降発生しています。メール認証なしでサポートチケットを送信できる設定を悪用し、Discord、Tinder、Dropbox、NordVPNなど数十の組織の顧客が影響を受けました。

1月の月例更新後にWindows 11で深刻な問題が発生し、MicrosoftがKB5078127およびKB5078132の緊急パッチを公開しました。OneDrive上のOutlook PSTファイル利用時のハング、クラウドストレージからのファイルアクセスエラーなどが修正されています。

WorldLeaksグループがナイキから1.4TB、188,347件のファイルを盗んだと主張しています。設計・製造ワークフロー関連のファイル名が確認されており、ナイキは調査中と認めています。

ロンドンの複数区議会が2025年11月のサイバー攻撃から復旧中です。ハマースミス・アンド・フラム区がオンライン・電話支払いポータルを復旧しましたが、ケンジントン・アンド・チェルシーでは完全復旧に数か月を要する見通しです。

日本で人気のテキストエディタ「EmEditor」のダウンロードページが2025年12月下旬に侵害されました。改ざんされたMSIインストーラからPowerShellベースの多段階スティーラーマルウェアが配布されています。CIS諸国を除外するジオフェンシングが確認され、ロシアまたはCIS圏由来が示唆されています。

米司法省がATMジャックポッティング詐欺で87人を起訴しました。Ploutusマルウェアを使用し、全米の銀行から数百万ドルを盗んだ疑いで、多くはベネズエラのギャング「トレン・デ・アラグア」との関係が疑われています。

マルウェア・脅威

新しいマルウェアや攻撃ツールが多数報告されています。

TensorFlow.jsを組み込んだAndroidマルウェア「Android.Phantom」がDr.Webにより発見されました。無害なゲームアプリを装い、機械学習で人間のクリックを模倣し広告詐欺を実行します。

MacSyncマルウェアがClickFix手口でmacOSユーザーを標的にしています。ターミナルコマンドを貼り付けさせGatekeeperを回避し、ブラウザ認証情報、暗号資産ウォレット、Keychainデータを窃取します。

北朝鮮関連の脅威アクターがLNKファイルを武器化しMoonPeak（XenoRATの亜種）を展開しています。偽のトレーディングガイドで投資家を誘導し、GitHubから悪性ペイロードを取得します。

「Stanley」という新しいマルウェアツールキットがロシアのフォーラムで2,000〜6,000ドルで販売されています。Chromeウェブストアへの掲載保証付きで、正規URLをアドレスバーに表示したまま偽ログインページを重ねて表示する機能を持ちます。

悪意あるnpmパッケージ126件、ダウンロード86,000超のPhantomRavenキャンペーンが発見されました。HTTP URLを依存関係指定子として使用し、npmトークン、GitHub認証情報、CI/CDシークレットを窃取します。

eScanアンチウイルス製品のサプライチェーン侵害が2026年1月20日に特定されました。正規アップデート基盤を通じて悪意ある更新が配信され、侵害されたeScanの証明書で署名されたマルウェアが配布されていました。

プライバシー・規制

Microsoftが司法令状に基づきBitLocker回復キーをFBIに引き渡していることが確認されました。グアムでのCOVID-19関連詐欺捜査で3台のノートPCの復号キーが提供され、年間約20件の要請があるとのことです。クラウドアカウント利用者のキーは暗号化されていない形で保存されており、ワイデン上院議員は「まったく無責任」と批判しています。

欧州委員会がXとチャットボットGrokについて、児童性的虐待資料を含む性的に露骨な画像の生成・拡散をめぐり正式調査を開始しました。デジタルサービス法（DSA）に基づく調査で、DSA違反の場合、年間売上高の最大6%の制裁金が科される可能性があります。

英国政府がデジタル身分証明制度について、外部サプライヤーではなく政府内チームが設計・構築・運用する予定であることを発表しました。IDカードではないと政府は主張しています。

CISAが耐量子暗号（PQC）標準をサポートする製品カテゴリの初期リストを公開しました。クラウドサービス、Webブラウザ、メッセージングソフトウェア、エンドポイントセキュリティなどが含まれ、量子コンピューティングの脅威に先んじた技術投資計画を支援する目的です。

ドイツのドブリント内相がサイバー攻撃への攻勢的対応方針を表明しました。「国外でも反撃し、攻撃者のインフラを破壊する」と発言し、ハイブリッド脅威に対する新たな防衛センターを今年中に設立予定としています。

業界動向・製品

TikTokがOracle、Silver Lake、MGXと契約を締結し、新たなTikTok U.S.合弁事業体を設立することが発表されました。ByteDanceは19.9%を保持し、アルゴリズムをライセンス供与して米国事業体が再学習します。

1Passwordがフィッシング対策として新機能を追加しました。タイポスクワッティングなどの偽サイトでログイン情報を手動入力しようとすると警告ポップアップを表示します。1Passwordの調査では61%がフィッシング被害経験あり、75%がURL確認をしないことが判明しています。

AdGuardがVPNサービスの基盤プロトコル「TrustTunnel」をオープンソース化しました。標準的なHTTPSトラフィックを模倣しDPI（ディープパケットインスペクション）を回避する設計で、サーバー・クライアント両方のリファレンス実装が公開されました。

SansecがAI駆動のパイプラインを開発し、Packagistリポジトリの主要Eコマース拡張機能5,000件を精査、353件の脆弱性を発見しました。Claude Opus 4.5を使用し、コストは約1万ドル（1件あたり2ドル）で、79%の精度で脆弱性を検証できました。

クラウドセキュリティ企業Upwindがシリーズ Bで2億5,000万ドルを調達し、累計4億3,000万ドル、評価額15億ドルに達しました。

WhatsAppが「厳格なアカウント設定」機能を発表しました。ジャーナリストや公的人物など高リスクユーザー向けに、連絡先リストにない相手からの添付ファイルやメディアをブロックする機能を提供します。

今週の注目ポイント

先週のニュースから、今週注意すべきポイントをまとめます。

まず、パッチ適用の緊急性についてです。VMware vCenter、GNU InetUtils telnetd、Fortinet FortiCloud SSO、Microsoft Office、SmarterMailなど、複数の重大な脆弱性が積極的に悪用されています。CISAが設定した期限を考慮し、優先的にパッチ適用を進めてください。

次に、フィッシング攻撃への警戒強化です。ShinyHuntersによる大規模なSSO認証情報窃取キャンペーンが進行中です。音声フィッシングとリアルタイムフィッシングパネルを組み合わせた高度な攻撃に対し、FIDO2セキュリティキーなどフィッシング耐性のあるMFAの導入を検討してください。

AIを活用した攻撃の増加にも注意が必要です。北朝鮮のKONNIグループをはじめ、生成AIを活用した攻撃が増加しています。開発者を標的とした偽の求人オファーや、AIが生成したコードを含むマルウェアが確認されています。開発環境のセキュリティ強化と、不審なコンタクトへの警戒を強めてください。

重要インフラへの攻撃継続についても注視が必要です。ポーランドの電力網への攻撃に見られるように、国家支援グループによる重要インフラへの攻撃が継続しています。OTネットワークのセグメンテーションとCISAが公開したOTネットワーク接続のためのセキュリティ原則チェックリストの確認を推奨します。

サプライチェーン攻撃への対策も重要です。eScanアンチウイルスのサプライチェーン侵害、EmEditorのウォータリングホール攻撃、悪意あるnpmパッケージなど、サプライチェーンを狙った攻撃が多発しています。ソフトウェアの更新元の検証と、開発環境における依存関係の監視を強化してください。

クロージング

以上、先週のセキュリティニュースのまとめをお届けしました。

先週は、国家支援グループによる重要インフラへの攻撃、多数の重大な脆弱性の公開と悪用、AIを活用した攻撃の進化など、セキュリティ担当者にとって非常に忙しい1週間でした。

特に、長年潜んでいた脆弱性が発見され悪用されるケースや、パッチ提供後も長期間悪用が続くケースが目立ちました。定期的な脆弱性スキャンと迅速なパッチ適用の重要性を改めて認識させられます。

また、AIの進化が攻撃側にも利用されていることを念頭に、従来の検知手法だけでなく、行動分析やゼロトラストアプローチの導入も検討してください。

今週も安全なIT運用を心がけていきましょう。東京セキュリティブリーフィングでした。また次回お会いしましょう。