Weekly Security Threat Report（2026/1/18）

現在日付: 2026/01/18

警戒レベル: High (重要インフラおよびサプライチェーンへの攻撃活動が活発化)

Section 1: 脅威・脆弱性一覧 & トレンド
1. 1. ニューステーブル
2. 2. 詳細要約: 今週の攻撃トレンド
Section 2: Deep Dive into Critical Threats (重要脅威の深掘り)
Section 3: CISO/Manager Summary
1. 今週のキーワード: 「Chain Reactions（連鎖する脆弱性）」
2. 管理者への提言: リスク管理のポイント

Section 1: 脅威・脆弱性一覧 & トレンド

本レポートは、2026年1月第3週時点におけるサイバーセキュリティ脅威の状況を包括的に分析したものです。今週は、Microsoftの月例パッチ（Patch Tuesday）で公開されたゼロデイ脆弱性、Citrix NetScalerなどのネットワーク境界デバイスへの攻撃、そして開発環境を標的としたサプライチェーンリスクが主要なトピックとなっています。

1. ニューステーブル

以下のテーブルは、直近1週間で確認された、実務への影響度が極めて高い脆弱性とインシデントを要約したものです。特に「Exploited in wild（悪用確認済）」のステータスにある項目は、組織内での優先的な対応が求められます。

Category	Topic (脆弱性/事件名)	Severity	Status	URL
OS Vulnerability	Windows DWM 情報漏えいの脆弱性 (CVE-2026-20805) Desktop Window ManagerにおけるASLR回避に繋がる欠陥。	High (CVSS 5.5*)	Exploited in wild (悪用確認済/パッチあり)	(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805) ¹
Network Infra	Citrix NetScaler ADC/Gateway (CVE-2025-7775) メモリバッファオーバーフローによるRCEまたはDoS。 VPN/Gateway構成が標的。	Critical (CVSS 9.2)	Exploited in wild (悪用確認済/パッチあり)	(https://support.citrix.com/article/CTX694938) ²
DevOps / SCM	Gogs Git Service RCE (CVE-2025-8110) シンボリックリンク処理の不備によるパストラバーサルと任意コード実行。	Critical (CVSS 8.7)	Exploited in wild (悪用確認済/回避策あり)	(https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ³
SIEM / SecOps	Fortinet FortiSIEM RCE (CVE-2025-64155) `phMonitor`サービスへの引数注入による認証不要のコマンド実行。	Critical (CVSS 9.8)	PoC Public (実証コード公開/パッチあり)	Fortinet Advisory ⁴
Web / CMS	WordPress Modular DS Plugin (CVE-2026-23550) 認証バイパスによる管理者権限への特権昇格。 4万サイト以上に影響。	Critical (CVSS 10.0)	Exploited in wild (悪用確認済/パッチあり)	(https://thehackernews.com/2026/01/critical-wordpress-modular-ds-plugin.html) ⁵
Cloud Security	AWS CodeBuild “CodeBreach” 正規表現の不備により、AWS管理下のGitHubリポジトリで不正ビルドが可能だった問題。	High (Supply Chain)	Mitigated (ベンダー側で修正済)	(https://www.wiz.io/blog/wiz-research-codebreach-vulnerability-aws-codebuild) ⁶
Social Eng.	[JP] CEO詐欺 (ビジネスメール詐欺) の急増 LINEグループへの誘導やQRコードを用いた経営幹部なりすまし攻撃。	High (Fraud)	Active Campaign (国内で600件以上の警告)	Piyolog ⁷

2. 詳細要約: 今週の攻撃トレンド

2026年1月中旬のセキュリティランドスケープは、**「レガシーな技術的負債への攻撃」と「開発パイプライン（CI/CD）への侵入試行」**という二つの大きな潮流によって特徴づけられます。

第一に、インフラストラクチャの深層に潜む脆弱性が顕在化しています。Microsoftの1月度パッチでは、Desktop Window Manager (DWM) におけるゼロデイ脆弱性（CVE-2026-20805）が修正されましたが、これは単体での危険性というよりも、より高度な攻撃チェーンの一部として悪用される「イネーブラー（攻撃成立の足がかり）」としての性質を持っています。同時に、Citrix NetScalerやFortinet FortiSIEMといった、企業のセキュリティ境界や監視基盤そのものを担うアプライアンス製品において、認証を必要としないリモートコード実行（RCE）の脆弱性が相次いで発見・悪用されています。これらは、VPN装置やSIEMといった「守りの要」が、攻撃者の最初のエントリーポイントとして狙われている現状を浮き彫りにしています。

第二に、開発者向けツールやサプライチェーンへの攻撃ベクトルが拡大しています。AWS CodeBuildにおける設定不備（CodeBreach）や、セルフホスト型GitサービスであるGogsへの攻撃は、攻撃者が完成したアプリケーションの脆弱性を探すだけでなく、ソースコードの管理・ビルドプロセスそのものを乗っ取ろうとしていることを示唆しています。特にGogsの脆弱性は、パッチ未適用環境に対して即座に悪用が始まっており、シャドーITとして管理外で運用されている開発サーバーが大きなリスク要因となっています。

第三に、日本国内特有の動きとして、社会的地位のある人物になりすます「CEO詐欺（BEC）」の手口が変化しています。従来の請求書偽装に加え、LINEグループへの招待やQRコードを介した誘導など、モバイルデバイスの利用を前提とした手口が急増しており、直近1ヶ月で600件以上の注意喚起が行われています。三重県いなべ市での被害事例など、実実害も発生しており、技術的な防御だけでなく、組織的な承認プロセスの見直しが急務となっています。

Section 2: Deep Dive into Critical Threats (重要脅威の深掘り)

今週収集された情報の中から、特に組織のセキュリティ態勢に深刻な影響を与える可能性が高く、即時のアクションが求められる3つのトピックについて詳述します。

🚨 Alert 1: Windows Desktop Window Manager ゼロデイ脆弱性 (CVE-2026-20805)

概要 (3行まとめ):Windowsの描画を司るコンポーネント「Desktop Window Manager (DWM)」に情報漏えいの脆弱性が発見されました。攻撃者はこれを悪用してメモリ配置情報を読み取り、セキュリティ機構であるASLRを無効化することが可能です。Microsoftは、この脆弱性が修正プログラム公開前にすでに攻撃に悪用されていたことを確認しています。
技術的詳細:
- 影響を受けるバージョン/製品:
  - Windows 10, Windows 11 (全サポートバージョン)
  - Windows Server 2019, 2022, 2025
- 攻撃のメカニズム:この脆弱性は、DWMがユーザーモードメモリ内の特定のオブジェクトを処理する方法に起因する「境界チェックの不備」または「不適切な読み取り」に関連しています。
  - ALPCポートのアドレス漏洩: 攻撃者は、ローカルアクセス権限（あるいは別の脆弱性による初期侵入）を持っている状態で、細工されたリクエストをDWMに送信します。これにより、リモートALPC（Advanced Local Procedure Call）ポートのセクションアドレスを含む、本来アクセスできないメモリ領域の情報を読み取ることができます。
  - ASLR (Address Space Layout Randomization) の回避: 現代のOSは、重要なデータやコードのメモリ上の配置をランダム化し、攻撃者が悪意のあるコードを正確な場所に注入することを防ぐASLRという防御機構を備えています。CVE-2026-20805を悪用することで、攻撃者はこのメモリレイアウトを正確に把握（マッピング）することができます。
  - 攻撃チェーンの起点: 単体では情報の読み取りに留まりますが、攻撃者はこの情報を利用して、別のメモリ破壊系脆弱性（バッファオーバーフローなど）を確実に成功させ、システム権限（SYSTEM）での任意コード実行へと繋げます。CVSSスコアは5.5と低めに見積もられていますが、高度な攻撃チェーンにおける「偵察フェーズ」の要となるため、実質的な脅威度は極めて高いと言えます。
推奨される対策 (Mitigation):
- パッチの即時適用: Microsoftが2026年1月の月例セキュリティ更新プログラム（Patch Tuesday）で提供した修正パッチを直ちに適用してください。
  - Windows 11 24H2/25H2向け: KB5074109
  - Windows Server 2022向け: KB5073457
- CISA KEVへの対応: 米国CISAはこの脆弱性を「悪用が確認された脆弱性カタログ（KEV）」に追加しており、連邦機関に対して2026年2月3日までの修正を義務付けています。民間組織においても、同等の緊急度で対応することが推奨されます。
- 多層防御の確認: エンドポイント保護製品（EDR）が、DWMプロセス（dwm.exe）に対する異常なアクセスや、ALPCポートへの不審なクエリを検知できる設定になっているか確認してください。
情報源:
- (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805) ¹
- (https://www.jpcert.or.jp/at/2026/at260001.html) ⁹

🚨 Alert 2: Citrix NetScaler ADC/Gateway メモリ破壊の脆弱性 (CVE-2025-7775)

概要 (3行まとめ):Citrix NetScaler ADCおよびGatewayにおいて、外部からの入力を処理する際のメモリ管理不備に起因する深刻な脆弱性が修正されました。VPNやGatewayとして構成されたアプライアンスに対し、認証なしでリモートからコード実行（RCE）やサービス拒否（DoS）を引き起こすことが可能です。すでに野外での悪用活動が観測されています。
技術的詳細:
- 影響を受けるバージョン/製品:
  - NetScaler ADC / NetScaler Gateway 14.1 (14.1-56.73未満)
  - NetScaler ADC / NetScaler Gateway 13.1 (13.1-60.32未満)
  - NetScaler ADC 12.1 / 13.0 (EOLバージョンのためサポート外だが脆弱)
- 攻撃のメカニズム:この脆弱性は、CWE-119（メモリバッファの境界内操作の不適切な制限）に分類されます。
  - パケット処理エンジンの悪用: NetScalerがVPN仮想サーバー、ICAプロキシ、CVPN、またはRDPプロキシとして構成されている場合、特定の細工されたパケットを受信した際にメモリバッファのオーバーフローが発生します。
  - プロセスのクラッシュと乗っ取り: 攻撃が成功すると、パケット処理を行う主要プロセス（nsppe）がクラッシュし、アプライアンスが再起動を繰り返すDoS状態に陥るか、最悪の場合、メモリ内に注入されたシェルコードが実行されます。
  - 認証不要: 攻撃者は有効なユーザー資格情報を持っている必要がなく、インターネットに公開されているVPNインターフェースに対して直接攻撃を行うことができます。これは、2023年に猛威を振るった「CitrixBleed」と同様に、境界防御を無効化する極めて危険な性質を持っています。
推奨される対策 (Mitigation):
- ファームウェアの更新: Citrixが提供している修正済みビルドへ直ちにアップグレードしてください。EOL（サポート終了）バージョンを使用している場合は、サポートされているバージョンへの移行が必須です。
- 管理インターフェースの隔離: 関連する別の脆弱性（CVE-2025-8424）は管理インターフェース（NSIP/SNIP）を標的としています。管理アクセスがインターネットから到達不可能であることを再確認してください。
- ログ監視: NetScalerのsyslogやns.logを確認し、nsppeプロセスの予期せぬクラッシュ（Core Dumpの生成）や「Warm Reboot」の発生有無を監視してください。これらは攻撃の試行を示唆している可能性があります。
情報源:
- (https://support.citrix.com/article/CTX694938) ²
- (https://www.darkreading.com/vulnerabilities-threats/citrix-zero-day-under-active-attack) ²

🚨 Alert 3: Gogs Git Service リモートコード実行脆弱性 (CVE-2025-8110)

概要 (3行まとめ):セルフホスト型のGitサービス「Gogs」において、極めて深刻なリモートコード実行の脆弱性が悪用されています。攻撃者は、リポジトリ内に悪意のあるシンボリックリンクを作成し、APIを経由してファイルを操作することで、サーバーのOS上で任意のコマンドを実行できます。
技術的詳細:
- 影響を受けるバージョン/製品:
  - Gogs バージョン 0.13.3 およびそれ以前のすべてのバージョン
- 攻撃のメカニズム:本脆弱性は、以前報告されたディレクトリトラバーサル脆弱性（CVE-2024-55947）の修正不備を突くものです。
  - シンボリックリンク攻撃: 攻撃者はまず、通常のGit操作を通じてリポジトリ内にシンボリックリンクを作成します。このリンクは、リポジトリの外側にあるシステム上の重要ファイル（例: /home/git/.ssh/authorized_keys や cronジョブの設定ファイル、.git/configなど）を指すように設定されます。
  - PutContents APIの悪用: 次に、Gogsが提供する PutContents API を使用して、作成したシンボリックリンクに対してデータの書き込みをリクエストします。Gogs側の検証ロジックは「ファイル名の正当性」のみをチェックし、「そのファイルがシンボリックリンクであるか」を適切に確認しません。
  - ファイル上書きによるRCE: 結果として、OSはシンボリックリンクを辿り、リンク先のシステムファイルを攻撃者が指定した内容で上書きしてしまいます。SSH鍵の追加によるログインや、設定ファイルの改ざんによるコマンド実行が可能となります。
推奨される対策 (Mitigation):
- 修正版への更新: Gogsプロジェクトから提供されている最新バージョン（0.14.0以降、またはmainブランチの修正適用ビルド）へアップデートしてください。
- ユーザー登録の無効化 (Workaround): パッチ適用が即座に困難な場合、設定ファイル（app.ini）で DISABLE_REGISTRATION = true を設定し、新規ユーザー登録を無効化してください。攻撃にはリポジトリの作成権限が必要なため、外部からの攻撃者がアカウントを作成できなくすることで、攻撃チェーンを遮断できます。
- 公開範囲の制限: Gogsインスタンスがインターネットに直接公開されている場合は、VPN経由やIPアドレス制限を実施し、信頼できるネットワークからのみアクセス可能にしてください。
情報源:
- (https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ³
- (https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit) ¹²

Section 3: CISO/Manager Summary

今週のキーワード: 「Chain Reactions（連鎖する脆弱性）」

今週のセキュリティトレンドを象徴するのは、**「連鎖（Chain）」**という概念です。

単一では「中程度」の影響に見える脆弱性が、攻撃者によって巧みに組み合わせられ、壊滅的な被害をもたらす事例が顕著になっています。

WindowsのDWM脆弱性（CVE-2026-20805）は、CVSSスコアこそ5.5ですが、メモリ保護機構（ASLR）を無効化することで、他の攻撃コードの成功率を飛躍的に高める「触媒」として機能します。また、AWS CodeBuildの事例（CodeBreach）では、正規表現のわずかな記述ミス（アンカーの欠落）が、認証トークンの漏洩、ひいてはリポジトリ全体の乗っ取りへと連鎖しました。

攻撃者は、強固な正面玄関を突破するのではなく、窓の鍵（DWM）を開け、勝手口（Git/CIツール）から侵入し、システム全体を掌握しようとしています。

管理者への提言: リスク管理のポイント

組織のセキュリティ責任者（CISO/管理者）は、以下の3点に重点を置いたリスク管理を指示してください。

パッチ適用の優先順位基準の見直し:
- CVSSスコア（深刻度スコア）だけでパッチの優先度を決定する運用を改めてください。今週のWindowsの事例が示すように、スコアが低くても「攻撃チェーンの起点」となる脆弱性は致命的です。
- アクション: CISAのKEVカタログや脅威インテリジェンス情報を参照し、「現在悪用されているか」を最優先の判断基準としてください。
「シャドー開発環境」の棚卸しと統制:
- GogsやFortiSIEMの事例は、本番環境以外のツール（開発用Gitサーバー、ログ監視サーバー）が攻撃の入り口になっていることを示しています。これらは往々にして、情シスの管理台帳から漏れている（シャドーIT）か、パッチ適用が後回しにされがちです。
- アクション: 社内ネットワークおよびクラウド上の「開発支援ツール」の全数調査を実施し、外部公開の必要性を再評価してください。不要な公開は直ちに停止（閉域化）すべきです。
レガシー暗号資産の更新計画（2026年問題）:
- 今月のMicrosoftパッチでは、Secure Bootに関連する証明書の更新（CVE-2026-21265）が含まれていました。これは2011年に発行された証明書が2026年に期限切れを迎えるための対応です。
- アクション: ソフトウェアだけでなく、ハードウェア（UEFI/BIOS）、リカバリメディア、古いセキュリティアプライアンスなど、長期間塩漬けになっている資産の証明書期限を確認するプロジェクトを立ち上げてください。「動いているから触らない」という運用が、証明書失効による突然のシステム停止や、ブートプロセスへの攻撃を招くリスクが高まっています。
人的防御の強化（対CEO詐欺）:
- 日本国内で急増しているLINE/QRコードを用いた詐欺は、技術的なフィルタリングをすり抜けます。
- アクション: 「役員が非公式なチャットツールで送金を指示することはあり得ない」という原則を周知徹底してください。不審な依頼に対しては、必ず電話など別の手段（Out-of-Band）で本人確認を行うプロセスを義務付けることが、唯一にして最強の防御策です。