🛡️ Weekly Security Threat Report
現在日付: 2026/01/25
警戒レベル: High
作成: セキュリティインテリジェンス・アナリティクスチーム
Section 1: 脅威・脆弱性一覧 & トレンド
1.1 週間セキュリティニュース・ハイライト (2026年1月第4週)
2026年1月中旬から下旬にかけて、基幹インフラを支える主要ベンダー(Cisco, Fortinet, VMware, Microsoft)製品において、極めて深刻度の高い脆弱性の悪用が相次いで確認されています。特に、CISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)によるKEV(悪用が確認された脆弱性カタログ)への追加が連日行われており、組織のセキュリティチームは即時対応を迫られています。以下に、本期間中に観測された主要な脅威情報を集約します。
| Category | Topic (脆弱性/事件名) | Severity | Status | URL |
| Network | Cisco Unified CM RCE (CVE-2026-20045) | Critical | Exploited in wild | |
| Network | Fortinet FortiOS Auth Bypass (CVE-2025-59718) | Critical | Exploited in wild | |
| Virtualization | VMware vCenter Server RCE (CVE-2024-37079) | Critical | Exploited in wild | |
| OS | Windows DWM Info Disclosure (CVE-2026-20805) | High | Exploited in wild | |
| Application | Zimbra Collaboration LFI (CVE-2025-68645) | High | Exploited in wild | |
| Cloud/WAN | Versa Concerto Auth Bypass (CVE-2025-34026) | Critical | Exploited in wild | |
| Incident | Sandworm Polish Grid Attack (DynoWiper) | High | Incident (Failed) | |
| Identity | ShinyHunters Okta/SSO Vishing Campaign | High | Active Campaign | |
| DevOps | Malicious VSCode Extensions (Data Exfiltration) | High | Active Campaign | |
| Application | SmarterMail Auth Bypass (WT-2026-0001) | High | Exploited in wild |
1.2 脅威トレンド分析 (Executive Intelligence)
今週のセキュリティランドスケープを分析すると、以下の3つの顕著なトレンドが浮き彫りになります。これらは個別の事象ではなく、相互に関連した構造的なリスクを示唆しています。
1. 「パッチ適用済み」システムへの信頼崩壊とPersistence(持続性) 最も警戒すべき事象は、Fortinet製品における認証回避脆弱性(CVE-2025-59718)への攻撃です。特筆すべきは、ベンダーが提供した修正バージョン(FortiOS 7.4.9および7.4.10)を適用した環境であっても、攻撃者が脆弱性を悪用し続けているという事実です。これは「最新パッチを適用すれば安全である」という従来の脆弱性管理の前提を根底から覆すものであり、攻撃者はパッチの不備(Patch Gaps)を即座に特定し、自動化された攻撃インフラを用いて大規模な侵害を試みています。管理者はバージョン番号への依存を脱却し、回避策(Workaround)の適用やIOC(侵害指標)に基づく能動的な脅威ハンティングを運用プロセスに組み込む必要があります。
2. 認証基盤を標的とした「人間系」攻撃の高度化 ShinyHuntersなどの高度なサイバー犯罪グループによる、OktaやMicrosoftのSSO(シングルサインオン)を標的とした「Vishing(音声フィッシング)」攻撃が急増しています。攻撃者は、静的なフィッシングサイトへ誘導するのではなく、電話でITサポート等を装いながら、被害者のブラウザに表示される認証画面をリアルタイムで操作(Session Orchestration)するツールキットを使用しています。これにより、OTP(ワンタイムパスワード)やプッシュ通知型のMFA(多要素認証)さえも突破される事例が確認されており、技術的な防御だけでなく、従業員の意識改革とFIDO2等のフィッシング耐性のある認証方式への移行が急務となっています。
3. レガシー資産への再攻撃と「ゾンビ脆弱性」 2026年1月23日、CISAは2024年に公開されたVMware vCenterの脆弱性(CVE-2024-37079)をKEVカタログに追加しました。公開から1年以上経過してからの「悪用確認」は、攻撃者が未修正のレガシー資産を執拗に探索していること、あるいは新たな攻撃コード(PoC)が地下フォーラムで流通し、攻撃の敷居が下がったことを示唆しています。同様に、ZimbraやVersaといったエンタープライズ製品も標的となっており、境界防御製品の「管理インターフェース」がインターネットに露出している組織は、即時の侵害リスクに晒されています。これは、古い脆弱性が「ゾンビ」のように蘇り、管理不行き届きなシステムを食い破るリスクが常在していることを意味します。
Section 2: Deep Dive into Critical Threats (重要脅威の深掘り)
Section 1で挙げた脅威の中から、特に実務への影響が甚大で、即時対応が求められる3つのトピックについて詳述します。
🚨 Alert 1: Cisco Unified Communications Manager (Unified CM) Zero-Day RCE
対象脆弱性: CVE-2026-20045 (CVSS 8.2 / Critical Impact)
概要
Cisco Unified Communications Manager(通称CallManager)および関連するユニファイドコミュニケーション製品群において、認証不要でリモートコード実行(RCE)が可能となるゼロデイ脆弱性が発見され、既に実環境での悪用が確認されています。CISAはこの事態を重く見て、連邦機関に対し2026年2月11日までの修正を義務付けました。この脆弱性は、企業の音声通話網や会議システムの制御権を奪取されることを意味し、業務継続性に直結する極めて危険なものです。
技術的詳細
- 影響を受ける製品:
- Cisco Unified Communications Manager (Unified CM)
- Cisco Unified CM Session Management Edition (SME)
- Cisco Unified CM IM & Presence Service (IM&P)
- Cisco Unity Connection
- Cisco Webex Calling Dedicated Instance
- 攻撃のメカニズム: この脆弱性は、Webベースの管理インターフェースにおけるユーザー入力(HTTPリクエスト)の検証不備に起因します。具体的には、HTTPヘッダーやパラメータに含まれるデータのサニタイズが不十分であるため、攻撃者はOSコマンドインジェクションを引き起こすシーケンスを含んだHTTPリクエストを送信できます。 攻撃者はインターネットまたは内部ネットワークから、Unified CMのWeb管理ポート(通常はTCP/443または8443)に対して悪意のあるパケットを送信します。成功すると、最初にWebサービスの実行ユーザー(通常はtomcatやnobody権限)でのアクセス権を獲得し、その後、システム内に存在する権限昇格の欠陥を利用してrootアクセスを奪取します。これにより、通話の盗聴、CDR(通話詳細記録)の窃取、ネットワーク内での水平展開(Lateral Movement)、さらにはシステム全体の破壊が可能になります。
- 影響度: CVSSスコアは8.2(High)とされていますが、Cisco独自のSecurity Impact Rating (SIR)では、攻撃者がroot権限を取得できる可能性があるため「Critical」と評価されています。
推奨される対策 (Mitigation)
本脆弱性に対する有効な回避策(Workaround)は存在しません。パッチ適用が唯一の解決策です。
- パッチの適用 (最優先):
- Version 12.5: 修正版への移行が必要です。
- Version 14:
14SU5へのアップグレード、またはパッチciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512の適用が必要です。 - Version 15:
15SU4(2026年3月リリース予定) を待つか、暫定パッチciscocm.V15SU2_CSCwr21851...を適用してください。
- アクセス制御の厳格化:
- Unified CMの管理インターフェースへのアクセスを、信頼できる管理用セグメント(Management VLAN)およびVPN経由のみに制限してください。インターネットからの直接アクセス(Exposure)は絶対に遮断する必要があります。
- 監視強化:
- Web管理インターフェースへの不審なHTTPリクエスト(異常な長さのパラメータやシェルコマンド文字列を含むもの)をWAFやIPSで検知・遮断するシグネチャを適用し、攻撃の試行を監視してください。
🚨 Alert 2: Fortinet FortiGate Authentication Bypass (Patch Failure)
対象脆弱性: CVE-2025-59718, CVE-2025-59719 (CVSS 9.8)
概要
Fortinet製ファイアウォール(FortiGate)等の管理アクセスにおいて、SAMLアサーションの検証不備による認証回避の脆弱性が悪用されています。特筆すべき危機的状況として、修正版とされていたバージョン(FortiOS 7.4.10等)においても脆弱性が完全に修正されておらず、パッチ適用済みのデバイスが侵害される事例が報告されている点です。攻撃者はこの不備を突き、認証なしで管理者権限を取得し、設定ファイルの窃取やVPNアクセスの確立を行っています。
技術的詳細
- 影響を受ける製品:
- FortiOS, FortiWeb, FortiProxy, FortiSwitchManager 。
- 特にFortiOS 7.4系における影響が深刻で、7.4.9および7.4.10でも攻撃可能です。
- 攻撃のメカニズム:本脆弱性は、FortiCloudのシングルサインオン(SSO)機能に関連しています。攻撃者は、正当な署名を持たない、あるいは細工されたSAMLメッセージをFortiGateに送信します。本来であれば拒否されるべきメッセージが受理され、攻撃者は認証をバイパスして管理者としてログインに成功します。
- 観測されているIOC (侵害指標):
- 不正アカウント:
cloud-init@mail.ioやhelpdesk,secadmin,itadmin,support,remoteadmin,auditといった名称の管理者アカウントが作成される事例が確認されています。 - 攻撃元IP:
104.28.244[.]115,104.28.212[.]114,217.119.139[.]50,37.1.209[.]19などからのアクセスがArctic Wolfにより観測されています。 - 設定不備:
admin-forticloud-sso-login設定が有効になっているデバイスが標的です。この設定は、FortiCare登録時にGUI経由でデバイスを登録した場合、デフォルトで有効になることがあります。
- 不正アカウント:
- パッチ適用の落とし穴: 多くの管理者が12月の勧告に従いFortiOS 7.4.9へアップデートしましたが、その後も攻撃被害が報告されました。一部のユーザー報告によると、Fortinet開発チームはv7.4.10でも脆弱性が残存していることを認めており、完全な修正は
7.4.11,7.6.6,8.0.0で予定されているとの情報があります。
推奨される対策 (Mitigation)
現状、パッチ適用のみでは不十分である可能性が高いため、設定による機能無効化を強く推奨します。
- FortiCloud SSOログインの無効化 (即時実行):完全な修正版が適用され、安全性が確認されるまでの間、以下のCLIコマンドを実行して当該機能を無効化してください。これにより、SAML経由の攻撃ベクトルを物理的に遮断できます。Bash
config system global set admin-forticloud-sso-login disable endGUIの場合は、System -> Settingsから “Allow administrative login using FortiCloud SSO” をオフにします。 - 侵害の確認と監査:
- ログを確認し、身に覚えのない管理者ログイン、特に
cloud-initや上記IOCに含まれるユーザー名の作成履歴がないか確認してください。 - 設定ファイルが外部にエクスポートされた形跡がないか監査してください。攻撃者は侵入後、即座に設定ファイルをダンプして持ち出す挙動(Exfiltration)を見せています。
- ログを確認し、身に覚えのない管理者ログイン、特に
情報源:(https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/) ,(https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/)
🚨 Alert 3: VMware vCenter Server Heap-Overflow RCE
対象脆弱性: CVE-2024-37079 (CVSS 9.8)
概要
Broadcom (VMware) vCenter ServerのDCERPCプロトコル実装において、ヒープオーバーフローの脆弱性が存在します。この脆弱性は2024年に公開されたものですが、2026年1月23日にCISA KEVカタログに追加され、現在進行形で活発に悪用されていることが公式に警告されました。攻撃者はvCenterへのネットワークアクセスさえあれば、認証なしでリモートコード実行が可能であり、仮想化基盤全体を掌握するリスクがあります。
技術的詳細
- 影響を受ける製品:
- vCenter Server 8.0, 7.0
- VMware Cloud Foundation (vCenter Server)
- 攻撃のメカニズム: DCERPC(Distributed Computing Environment / Remote Procedure Call)は、ネットワーク上のプログラム間で関数を実行するためのプロトコルです。vCenterの実装において、パケット処理時のメモリ管理に不備があり、特別に細工されたパケットを送信することでヒープ領域のメモリを破壊(Heap Overflow)できます。 この脆弱性を突かれると、攻撃者はvCenter Server上で任意のコードを実行できます。vCenterは仮想化基盤の管理中枢(Control Plane)であるため、ここを掌握されることは、配下の全ESXiホストおよび仮想マシンへのフルアクセス権を攻撃者に与えることを意味します。ランサムウェアグループにとって、インフラ全体を一度に暗号化できる「最重要ターゲット」です。
- 再燃の背景: 2024年の発見当初からCriticalとされていましたが、攻撃コード(Exploit)の安定化や、パッチ未適用の残存ホストの特定が進んだことで、2026年に入り攻撃キャンペーンが再活性化したと考えられます。CISAのKEV追加は、連邦機関に対して2026年2月13日までの対応を求めており、事態の切迫度を示しています。
推奨される対策 (Mitigation)
本脆弱性にも有効な回避策(Workaround)はありません。Broadcomはイン製品での回避策を検討しましたが、実行不可能であると結論付けています。
- アップデートの適用:以下のバージョン、またはそれ以降へのアップデートが必要です。
- vCenter Server 8.0:
8.0 U2dまたは8.0 U1e以降へアップデート。 - vCenter Server 7.0:
7.0 U3r以降へアップデート。 - Cloud Foundation: KB88287を参照し、対応するパッチを適用してください。
- vCenter Server 8.0:
- ネットワーク分離:vCenter Serverの管理インターフェースは、インターネットに決して公開してはいけません。また、内部ネットワークにおいても、一般クライアントセグメントから直接アクセスできないよう、FW等で厳格にアクセス制御(管理VLANからのアクセスのみ許可)を行ってください。
情報源:(https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/securityadvisories/0/24453) ,(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
🚨 Extra Insight: その他の重要インシデントと脆弱性
上記3つのTop Alertに加え、以下の事象も今週のセキュリティ運用において無視できないリスク要因です。
Microsoft Windows DWM 情報漏洩 (CVE-2026-20805)
2026年1月のPatch Tuesdayで修正されたこの脆弱性は、Windowsのデスクトップ描画を担う「Desktop Window Manager (DWM)」における情報漏洩の欠陥です。CVSSスコアは5.5と中程度ですが、MicrosoftおよびCISAにより「悪用確認済み」と分類されています。
- リスクの本質: この脆弱性単体ではシステムを掌握できませんが、攻撃者がメモリレイアウト情報(ASLRのバイパスなど)を入手するために使用されます。これにより、他の高深刻度の脆弱性(RCE等)と組み合わせて(チェーン攻撃)、より確実にシステムを侵害するための「偵察」フェーズで利用されています。ブラウザのエクスプロイトチェーンの一部として組み込まれる可能性が高いため、サーバーだけでなくクライアントPCへのパッチ適用も軽視できません。
Sandwormによるポーランド電力網への攻撃 (DynoWiper)
2025年末から2026年初頭にかけて、ロシアの軍事情報機関(GRU)に関連する脅威グループ「Sandworm」が、ポーランドのエネルギーインフラを標的とした攻撃を実行しました。
- DynoWiper: 今回の攻撃で使用されたマルウェアは「DynoWiper」と呼ばれる新しいワイパー(データ破壊)型マルウェアです。ESETの分析によると、これはファイルの削除を実行し、システムを復旧不能にすることを目的としています。
- 教訓: 攻撃自体は成功せず、停電などの被害は発生しませんでしたが、これは2015年のウクライナ停電攻撃からちょうど10年の節目に行われました。重要インフラ事業者は、地政学的緊張が高まる中、物理的な破壊を目的としたサイバー攻撃(Kinetic Cyber)のリスクが依然として高いレベルにあることを認識し、OT(制御技術)環境の防御を強化する必要があります。
ShinyHuntersによる高度なVishing攻撃
ShinyHuntersグループは、Okta, Microsoft, GoogleなどのIDプロバイダを偽装したフィッシングキャンペーンを展開しています。
- 手口: 攻撃者はターゲットの個人情報を調査した上で、ITヘルプデスク等を装って電話をかけます(Vishing)。同時に、リアルタイムで操作可能なフィッシングキットを使用し、ユーザーが入力した認証情報やMFAトークンを即座に正規サイトへ転送してログインを成功させます。
- 対策: 従来の「URLを確認する」教育だけでは防げません。組織は、電話でのパスワードリセット要求を禁止するポリシーの徹底や、FIDO2キーのような物理的な認証要素の導入を検討すべきです。
Section 3: CISO/Manager Summary
今週のキーワード: 「Persistence & Validation(持続性と検証)」
今週の脅威ランドスケープは、単なる「脆弱性の発見とパッチ適用」というサイクルを超えた、より複雑で持続的な課題を浮き彫りにしています。
- Persistence(持続性・執念):攻撃者は、一度公開された脆弱性を数年越しで悪用し続けます(VMwareやZimbraの事例)。また、パッチが適用されたシステムであっても、実装の隙間を縫って攻撃を持続させます(Fortinetの事例)。「古い脆弱性だから大丈夫」「パッチを当てたから完了」という認識はもはや通用しません。攻撃者は執拗であり、わずかな隙も見逃しません。
- Validation(検証の重要性):ベンダーが提供するパッチが必ずしも完全であるとは限りません。Fortinetの事例は、パッチ適用後も脆弱性が残存する可能性があることを示しました。セキュリティ責任者は、パッチ適用後に「本当に脆弱性が塞がれたか」「適用前に侵害されていなかったか(Post-compromise activity)」を検証するプロセスを運用に組み込む必要があります。
管理者への提言
- 境界防御製品の「無毒化」戦略の徹底:VPN機器やファイアウォール(Edge Devices)の管理画面は、インターネットからのアクセスを物理的・論理的に完全に遮断してください。FortinetやCiscoの事例が示す通り、これら自体が攻撃の入り口となっています。「管理ポートはVPNの内側のみ、あるいは専用の管理回線からのみ」という原則を徹底してください。
- 認証プロセスの抜本的見直し:OktaやMicrosoft 365などのSaaS利用において、従来のOTPやPush通知はVishing(音声フィッシング)とリアルタイムプロキシにより突破されています。FIDO2セキュリティキーや、デバイスコンプライアンス(会社支給端末からのみアクセス許可)を組み合わせた、フィッシング耐性のある認証基盤への投資を検討してください。これはコストではなく、事業継続のための必須投資です。
- 「見えない脅威」への備え:Microsoft DWMの脆弱性のように、直接的なRCEではなくとも、攻撃チェーンの起点となる脆弱性が悪用されています。OSやブラウザといったエンドポイントのパッチ管理を、サーバーと同様の優先度で実施してください。また、Sandboxを回避するマルウェアや、VSCode拡張機能を悪用した開発環境への攻撃など、開発者やエンジニアを狙ったサプライチェーン攻撃への警戒も必要です。
Note: 本レポートに含まれる情報は2026年1月25日時点のものです。状況は刻一刻と変化するため、各ベンダーの最新アドバイザリを常に参照してください。
コメント