Weekly Security Threat Report（2026/1/11）

現在日付: 2026/01/11
警戒レベル: High (インフラ管理製品のRCE悪用、および国家支援型攻撃の激化)

Section 1: 脅威・脆弱性一覧 & トレンド
1. 1. ニューステーブル
2. 2. 詳細要約
Section 2: Deep Dive into Critical Threats (重要脅威の深掘り)
Section 3: CISO/Manager Summary

Section 1: 脅威・脆弱性一覧 & トレンド

1. ニューステーブル

Category	Topic (脆弱性/事件名)	Severity	Status	URL
Infra/Cloud	HPE OneView RCE (CVE-2025-37164)	Critical (10.0)	Exploited (CISA KEV追加)	HPE/CISA
Supply Chain	n8n “Ni8mare” (CVE-2026-21858)	Critical	PoC公開 / High Risk	Upwind
Network	Cisco Secure Email Zero-day (CVE-2025-20393)	Critical	Exploited (China-linked)	SecAffairs
IoT/Legacy	D-Link DSL Routers RCE (CVE-2026-0625)	Critical (9.3)	Exploited (Botnet活用)	SecAffairs
Legacy OS	MS PowerPoint Code Injection (CVE-2009-0556)	High	Exploited (再燃/KEV追加)	CISA
Incident	台湾重要インフラへのサイバー攻撃急増	High	Active Campaign	NSB Report

2. 詳細要約

今週は**「管理コントロールプレーン」**を狙った攻撃が際立っています。HPE OneView（サーバー統合管理）におけるCVSS 10.0の脆弱性がCISAの「悪用が確認された脆弱性カタログ（KEV）」に追加され、企業インフラの中枢がリスクに晒されています。また、ワークフロー自動化ツール「n8n」における”Ni8mare”脆弱性は、認証なしでRCEが可能であり、サプライチェーン攻撃の新たな起点となる可能性があります。

一方、地政学的な動きとして、中国関連グループ（BlackTech, Flax Typhoon等）による台湾のエネルギー部門・通信インフラへの攻撃が「前年比10倍」に急増しており、Ciscoのゼロデイ（CVE-2025-20393）もこのキャンペーンで悪用されています。レガシーなPowerPointの脆弱性やD-Linkルーターへの攻撃も観測されており、攻撃者は「最新のゼロデイ」と「放置されたレガシー脆弱性」の両面から侵入を試みています。

Section 2: Deep Dive into Critical Threats (重要脅威の深掘り)

🚨 Alert 1: HPE OneView Critical RCE (CVE-2025-37164)

概要: HPEの統合インフラ管理ソフトウェア「OneView」に、認証なしでリモートコード実行（RCE）が可能となる脆弱性が発覚し、CISA KEVに追加されました。
技術的詳細:
- 影響バージョン: HPE OneView 11.0未満の全バージョン（特に5.20～10.20系）。
- メカニズム: REST APIエンドポイントにおける入力検証不備により、攻撃者は認証を回避して任意のコードを注入・実行可能です。CVSSスコアは最高値の10.0です。
推奨される対策 (Mitigation):
- 即時パッチ: バージョン11.00へのアップグレード、またはホットフィックス（Z7550-98077）の適用。
- 緩和策: OneViewの管理ポートをインターネットから遮断し、信頼された管理ネットワーク（VLAN）のみにアクセスを制限する。
情報源: HPE Security Bulletin / CISA

🚨 Alert 2: “Ni8mare” – n8n Workflow Automation RCE (CVE-2026-21858)

概要: 人気のワークフロー自動化ツール「n8n」において、外部からのWebhookリクエストを通じてサーバーを乗っ取ることができる脆弱性が発見されました。
技術的詳細:
- 影響製品: n8n (セルフホスト版を含む)。
- メカニズム: Webhookリクエストのボディパーサーにおける「Content-Typeの混乱（Confusion）」を悪用。攻撃者は細工したリクエストを送ることで認証をバイパスし、任意のファイル読み取りやコード実行を行います。
推奨される対策 (Mitigation):
- 最新バージョンへのアップデート。
- n8nインスタンスが不要にインターネットへ公開されていないか確認し、WAF等でWebhookへの不正なペイロードをフィルタリングする。
情報源: Upwind Security Analysis

🚨 Alert 3: Cisco Secure Email Gateway Zero-Day (CVE-2025-20393)

概要: Ciscoのメールセキュリティ製品において、中国関連の脅威グループ（UAT-9686）が悪用しているゼロデイ脆弱性が特定されました。
技術的詳細:
- 影響製品: Cisco Secure Email Gateway, Secure Email and Web Manager。
- メカニズム: 設定インターフェースにおける脆弱性を突き、デバイス上でroot権限を取得。バックドアの設置や永続化（Persistence）に使用されています。
推奨される対策 (Mitigation):
- Ciscoが提供するパッチを適用する。
- 管理インターフェースへのアクセスログを監査し、不審なIPからの接続や設定変更の痕跡がないかを確認する。
情報源: Security Affairs / Cisco Advisory

Section 3: CISO/Manager Summary

今週のキーワード: 「Control Plane Compromise（管理基盤の侵害）」
管理者への提言:今週のニュースは、HPE OneViewやn8nといった「システムを管理・自動化するための特権ツール」自体が攻撃対象となっていることを示しています。これらが侵害されると、配下のサーバーやデータすべてが掌握されます。
1. 管理ポートの隔離: インフラ管理画面（Web UI/API）がインターネットに露出していないか、Shodan等を用いて外部視点で再点検してください。
2. レガシー脆弱性の再評価: MS PowerPoint (2009年) や古いD-Linkルーターへの攻撃が再燃しています。「古いから安全」ではなく「古いから狙われる」という意識で、EOL製品の撤去計画を加速させてください。