東京セキュリティブリーフィング 週次まとめ 2026年02月16日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年2月16日、月曜日の週次まとめをお届けします。

先週は非常に多くの重要なセキュリティニュースがありました。Microsoftの月例パッチで6件のゼロデイ脆弱性が修正されたこと、Ivanti製品の脆弱性を悪用した欧州政府機関への攻撃、北朝鮮のハッカーグループによるディープフェイク動画を使った暗号資産企業への攻撃など、注目すべきトピックが目白押しです。

それでは、先週の重要ニュースを詳しく見ていきましょう。

重要ニュースTOP

Microsoftの2月パッチチューズデーで6件のゼロデイ脆弱性を修正

先週最も注目すべきニュースは、Microsoftが2026年2月のパッチチューズデーで約60件の脆弱性を修正し、そのうち6件が既に実際の攻撃で悪用されているゼロデイ脆弱性だったことです。

最も深刻なものから説明しますと、まずCVE-2026-21510はWindows Shellのセキュリティ機能バイパス脆弱性です。CVSSスコアは8.8と高く、攻撃者はSmartScreenやMark of the Webをバイパスし、警告なしで悪意のあるコードを実行できる状態でした。Microsoft Threat Intelligence CenterとGoogle Threat Intelligence Groupがこの脆弱性を発見しています。

次にCVE-2026-21513はMSHTMLフレームワークの脆弱性で、同じくCVSSスコア8.8です。被害者が悪意のあるHTMLファイルやショートカットを開くと、ブラウザやOfficeのサンドボックス保護が弱体化されます。

CVE-2026-21514はMicrosoft Wordの脆弱性で、OLE緩和策をバイパスし、コンテンツ有効化プロンプトや保護ビュー警告なしでマクロを実行可能にするものです。CVSSスコアは7.8で、既に実際の攻撃で悪用が確認されています。

CVE-2026-21519はDesktop Window Managerの型混同脆弱性で、低特権のローカル攻撃者がSYSTEMレベルの権限を取得できます。

CVE-2026-21533はリモートデスクトップサービスの特権昇格脆弱性、CVE-2026-21525はリモートアクセス接続マネージャーのDoS脆弱性で、いずれも実際に悪用されています。

CISAはこれら6件すべてを既知の悪用された脆弱性カタログに追加しました。すべてのWindows管理者は速やかにパッチを適用する必要があります。

Ivanti EPMMのゼロデイ脆弱性で欧州政府機関が侵害される

Ivanti Endpoint Manager Mobile（EPMM）の2件の重大な脆弱性が広範に悪用され、欧州の複数の政府機関が侵害されました。

CVE-2026-1281とCVE-2026-1340はいずれもCVSSスコア9.8の重大な脆弱性で、認証不要でリモートコード実行が可能です。

被害を受けた組織として、欧州委員会のモバイルデバイス管理インフラが攻撃を受け、職員の氏名や電話番号が流出した可能性があります。オランダのデータ保護当局と司法評議会も侵害を確認し、職員の個人情報にアクセスされた可能性があると発表しました。

Shadowserverは92件の侵害インスタンスを検知し、Rapid7のハニーポットは24時間で130超のIPから数百件の接続を記録しています。GreyNoiseによると、攻撃活動の83%がロシアの単一IPアドレスから発生しているとのことです。

Ivantiは検知スクリプトとIOCを公開していますが、被害者数の詳細な情報は提供していません。過去2年間でIvanti製品の少なくとも19件の欠陥が悪用されており、端末管理システムが不釣り合いなリスクを伴うことが改めて示されました。

北朝鮮ハッカーがディープフェイク動画で暗号資産企業を攻撃

Mandiantの報告によると、北朝鮮に関連するUNC1069グループが、AI生成のディープフェイク動画とClickFix技術を組み合わせた巧妙な攻撃で暗号資産セクターを標的にしています。

攻撃の手法は次の通りです。まず攻撃者は侵害されたTelegramアカウントを通じて被害者に連絡し、偽のZoom会議に招待します。会議中、CEOのディープフェイク動画を表示し、音声の問題があるように見せかけます。その後、ClickFix手法を使って被害者にターミナルコマンドを実行させ、macOSマルウェアをインストールさせます。

展開されるマルウェアには、WAVESHAPER、HYPERCALL、HIDDENCALL、SILENTELIFT、DEEPBREATH、SUGARLOADER、CHROMEPUSHなど7種類のカスタムマルウェアが含まれます。これらはAppleのTCCフレームワークを操作し、ブラウザデータ、Keychain、メッセージングコンテンツ、暗号資産ウォレット情報を収集します。

北朝鮮は2025年だけで暗号資産攻撃から20億ドル以上を稼いだとされており、Bybitからの15億ドル相当の窃取も含まれています。暗号資産企業は特に警戒が必要です。

シンガポールの大手通信事業者4社が中国系ハッカーに攻撃される

シンガポール政府は、中国関連の脅威グループUNC3886が同国の主要通信事業者4社（Singtel、M1、StarHub、SIMBA Telecom）を標的にした攻撃を公表しました。

攻撃者はゼロデイ脆弱性を悪用してファイアウォールを回避し、ルートキットで永続化を図りました。ネットワーク構成や技術データが持ち出されましたが、顧客データへのアクセスやサービス中断の証拠は見つかっていません。

シンガポール政府は「Operation Cyber Guardian」と名付けた同国史上最大のサイバー防衛作戦を11か月間実施し、6機関から100人超の専門家が動員されました。攻撃者の侵入経路を遮断し、監視能力を強化することに成功しています。

この攻撃は、Salt Typhoonとは異なるグループによるものとされています。UNC3886はエッジデバイス（ルーター、ファイアウォールなど）を標的とする傾向があり、オペレーショナル・リレー・ボックス（ORB）ネットワークを使用して攻撃の発信源を隠蔽しています。

BeyondTrustのリモートアクセス製品に重大なRCE脆弱性

BeyondTrustがRemote SupportとPrivileged Remote Accessの重大な脆弱性CVE-2026-1731を公開しました。CVSSスコアは9.9と非常に高く、OSコマンドインジェクションにより認証不要でリモートコード実行が可能です。

この脆弱性の特徴として、認証やユーザー操作が不要で、Remote Supportバージョン25.3.1以前、PRAバージョン24.3.4以前に影響します。約11,000件のRemote Supportインスタンスがインターネットからアクセス可能な状態で、うち約8,500件がオンプレミス展開されています。

BeyondTrustは2026年2月2日にパッチをリリースしました。クラウド顧客は既にパッチ適用済みですが、セルフホスト顧客は手動アップグレードが必要です。過去にも同社製品のゼロデイが中国のSilk Typhoonに悪用された経緯があり、早急な対応が求められます。

SolarWinds Web Help Deskの脆弱性が攻撃に悪用される

SolarWinds Web Help Deskの複数の脆弱性が実際の攻撃で悪用されていることが確認されました。CVE-2025-40551とCVE-2025-26399はいずれもCVSSスコア9.8の重大な脆弱性です。

HuntressとMicrosoftの報告によると、攻撃者はインターネットに露出したWHDインスタンスから侵入し、Zoho ManageEngine、Cloudflareトンネル、Velociraptorなどのツールを展開しています。永続的なアクセスを確立した後、横方向移動を行い、一部事例ではDCSync技術でドメインコントローラーからパスワードハッシュを持ち出しています。

SmarterToolsはこの攻撃の被害者の一つで、Warlockランサムウェアグループによる攻撃を受けました。パッチ未適用のまま放置されていた単一のVMから侵害が始まり、約12台のWindowsサーバーが影響を受けました。

WHD 2026.1以降への緊急アップグレードが推奨されています。CISAもCVE-2025-40551を既知の悪用された脆弱性カタログに追加しました。

Appleがゼロデイ脆弱性に緊急パッチをリリース

Appleが緊急セキュリティアップデートをリリースし、実際に悪用されているゼロデイ脆弱性CVE-2026-20700に対処しました。

この脆弱性はdyld（動的リンクエディタ）のメモリ破損の問題で、任意のコード実行を可能にします。Google脅威分析グループが報告し、活動家やジャーナリストを標的とした「極めて高度な」攻撃の一部として悪用されたことが確認されています。

影響を受けるデバイスはiPhone XS以降、iPad Pro第3世代以降などで、iOS 26以前のバージョンが対象です。CVE-2025-14174およびCVE-2025-43529と組み合わせた感染チェーンの一部として使用されていました。すべてのAppleデバイスユーザーは速やかにアップデートを適用してください。

恐喝攻撃が急増、サプライチェーン脆弱性が標的に

Intel 471のレポートによると、2025年の恐喝関連サイバー攻撃は約63%増加し6,800件に達しました。消費者・産業製品ベンダー、コンサルティング企業、製造企業が最も影響を受け、米国が被害者の半数以上を占めています。

脅威アクターは2025年に開示された脆弱性の40%以上を悪用しており、サプライチェーン攻撃への警戒が必要です。Flashpointの別の調査では、脆弱性開示から悪用までの時間が2020年の745日から2025年は44日に急減したことが報告されています。

攻撃者はPoCコードの迅速な武器化とShodanなどのスキャンツールを組み合わせ、洗練されていない攻撃者でも大量悪用が可能になっています。ゼロデイ攻撃も急増しており、2025年に特定された既知の悪用された脆弱性の約29%が公開開示前または当日に悪用されました。

Clopランサムウェアが2月の侵害急増を牽引

Clopランサムウェアグループが過去30日間で97件の被害者を主張し、推定5億ドル超の身代金支払いに関与しています。TA505と関連し、ゼロデイ悪用を専門としています。

現在のキャンペーンはCleoファイル転送ソフトウェアとOracle E-Business Suiteを標的としており、19か国・12以上の業種に影響を与えています。過去のMOVEit悪用だけで推定7,500万〜1億ドルの収益を得たとされています。

一方、Covewareの報告によると、データ流出のみの攻撃は収益性が低下しており、ランサムウェア集団は暗号化へ回帰する可能性があります。MOVEit侵害の支払い率は2.5%未満、CleoおよびOracle EBSではほぼゼロでした。2025年第4四半期の平均身代金支払い額は約60万ドルで、前四半期比57%増加しています。

OpenClawのセキュリティ問題が深刻化

個人AIエージェント統制ツールOpenClaw（旧Clawdbot/Moltbot）のセキュリティ問題が深刻化しています。GitHubリポジトリは16万以上のスターを獲得し、週72万件のダウンロードがありますが、セキュリティモデルが欠如しています。

SecurityScorecardのSTRIKEチームが82か国で約42,900のOpenClawインスタンスを特定し、うち15,200件以上がRCE脆弱性を抱えていることを発見しました。デフォルト設定では0.0.0.0にバインドされ、インターネット全体からアクセス可能な状態です。

さらに、ClawHubスキルマーケットプレイスでは、Bitdefender Labsの調査でスキルの17%が悪意あるものだったことが判明しました。暗号資産の鍵窃取やmacOSマルウェア（AMOS Stealer）のインストールに悪用されています。

専門家は企業に対し、OpenClawの使用を完全に禁止すべきと推奨しています。OpenClawは現在VirusTotalとの統合でセキュリティ強化に乗り出していますが、間接的なプロンプト注入などエージェント特有のリスクは検出が困難とされています。

カテゴリ別まとめ

脆弱性情報

先週は多数の重大な脆弱性が公開されました。

FortinetはFortiOSの認証バイパス脆弱性CVE-2026-22153やFortiSandboxのXSS脆弱性CVE-2025-52436などに対処するパッチをリリースしました。FortiOSの脆弱性はLDAPサーバーが非認証バインドを許可している場合に悪用可能です。また、「修正済み」とされたFortiOS 7.4.9でも依然として悪用が報告されており、管理者は注意が必要です。

Ivanti Endpoint Manager（EPM）にも認証バイパス脆弱性CVE-2026-1603とSQLインジェクション脆弱性CVE-2026-1602が発見され、パッチがリリースされました。

GitLabは高深刻度のXSS脆弱性やDoS脆弱性を含む複数の脆弱性を修正するアップデートをリリースしました。

IntelはGoogleとの共同セキュリティ監査でTrust Domain Extensions（TDX）の5件の脆弱性と35件の補足的推奨事項を発見し、修正しました。

libpngには約30年間存在していたヒープバッファオーバーフロー脆弱性CVE-2026-25646が特定され、概念実証コードが公開されています。

WordPressのWPvivid Backup & Migrationプラグインには、80万サイト以上に影響するRCE脆弱性CVE-2026-1357（CVSS 9.8）が発見されました。

Palo Alto NetworksはPAN-OSのDoS脆弱性CVE-2026-0229を公開し、悪意のあるDNSパケットで繰り返し再起動を引き起こす可能性があることを警告しています。

攻撃・インシデント

Conduentのデータ侵害が当初の想定より大幅に深刻であることが判明しました。テキサス州で1,540万人、オレゴン州で1,000万人超が影響を受け、SafePayランサムウェア集団が8.5TBのデータを盗んだと主張しています。Volvo Group North Americaの約17,000人の従業員データもこの侵害で流出しました。

決済プラットフォームBridgePayがランサムウェア攻撃を受け、米国全土で決済処理障害が発生しました。FBIと米国シークレットサービスと連携して調査中で、決済カードデータの侵害証拠は確認されていないとのことです。

イタリアのローマにあるラ・サピエンツァ大学がサイバー攻撃を受け、ITシステムが侵害されました。BabLock（Rorschach）マルウェアが使用されたとみられています。

ルーマニアの国営石油パイプライン運営会社Conpetもサイバー攻撃を確認し、Qilinランサムウェアグループが約1TBのデータを盗んだと主張しています。

マクラーレン・ヘルス・ケアは、2023年と2024年の2件のランサムウェア攻撃に関する集団訴訟で1,400万ドルの和解に合意しました。約250万人の患者・従業員が影響を受けました。

規制・コンプライアンス

CISAが拘束力のある運用指令BOD 26-02を発出し、連邦機関に対してサポート終了（EOS）のエッジデバイスを18か月以内に撤去・置換するよう指示しました。3か月以内にサポート終了デバイスの棚卸しと報告、12か月以内に撤去開始が必要です。国家主体の攻撃者がエッジデバイスを初期侵入ベクターとして悪用するケースが急増していることが背景にあります。

EUはGoogleによるWizの320億ドル買収を無条件で承認しました。欧州委員会は、GoogleがWizを統合しても顧客が切り替え可能な競合が存在すると判断しています。

ホワイトハウスは量子情報科学技術のための政府全体戦略を策定する行政命令を起草中です。労働力開発、貿易・競争力、防諜にも対応し、ポスト量子標準の活用と暗号基盤の近代化が必要とされています。

業界動向

Palo Alto NetworksがCyberArkを250億ドルで買収完了しました。人間、マシン、AIアイデンティティ全体の特権アクセス制御を拡張し、侵害対応が最大80%加速する可能性があるとしています。

ZscalerはシンガポールのブラウザセキュリティスタートアップSquareXを買収しました。軽量な拡張機能を通じて標準ブラウザに直接セキュリティを提供し、別途エンタープライズブラウザが不要になります。

GitGuardianはシークレットセキュリティ強化のためシリーズCで5,000万ドルを調達し、総調達額は1億600万ドルになりました。

VegaはセキュリティプラットフォームをSIEMの代替として位置づけ、シリーズBで1億2,000万ドルを調達しました。

AnthropicのClaude Opus 4.6が、オープンソースソフトウェアで500件以上の高深刻度ゼロデイ脆弱性を特定したことが報告されています。GhostScript、OpenSC、CGIFで重大なバグを発見し、責任ある開示プロセスを経て報告されています。

今週の注目ポイント

先週の動向から、いくつかの継続的な監視が必要な事項があります。

まず、エッジデバイスとモバイル管理システムへの攻撃が継続しています。Ivanti製品の脆弱性が繰り返し悪用されており、過去2年間で少なくとも19件の欠陥が攻撃に使用されています。組織はこれらのシステムのパッチ適用を最優先事項として扱う必要があります。

次に、AIを活用した攻撃手法の高度化が進んでいます。北朝鮮のハッカーグループがディープフェイク動画を使用した攻撃を行っており、Google脅威インテリジェンスグループは複数の国家支援グループがGemini AIを偵察や脆弱性分析に使用していることを報告しています。

また、脆弱性開示から悪用までの時間が急激に短縮しています。2020年の745日から2025年は44日に減少しており、パッチ適用の迅速化がこれまで以上に重要になっています。

OpenClawなどのAIエージェントツールのセキュリティ問題も深刻です。企業環境でのシャドーAI利用が拡大する中、適切なガバナンスと監視が必要です。

ランサムウェアグループの戦術変化にも注意が必要です。データ流出のみの攻撃の収益性が低下し、暗号化への回帰が予測されています。一方で、サプライチェーン攻撃の増加により、サードパーティベンダーのリスク管理がより重要になっています。

クロージング

以上、2026年2月16日の週次セキュリティブリーフィングをお届けしました。

先週は非常に多くの重要なセキュリティイベントがありました。Microsoftの6件のゼロデイパッチ、Ivanti製品への攻撃、北朝鮮によるAIを活用した暗号資産攻撃など、脅威の高度化と多様化が進んでいます。

組織の皆様は、パッチ適用の優先順位付けを適切に行い、特にエッジデバイスやモバイル管理システムのセキュリティを見直してください。また、AIツールの利用に関するポリシーを整備し、シャドーAIのリスクに対処することも重要です。

今週も安全なIT運用を心がけていきましょう。

東京セキュリティブリーフィングでした。また次回お会いしましょう。