ゼロクリック攻撃と高リスク脆弱性
最近の報告によると、Google Project Zeroは、Dolbyオーディオデコーダーを悪用したPixel 9へのゼロクリックエクスプロイトの詳細を公開しました。これは、Google Messagesアプリがバックグラウンドでオーディオ添付ファイルを自動処理・デコードする際に生じる脆弱性を悪用するものです。具体的には、CVE-2025-54957を利用して任意のコード実行を達成し、その後CVE-2025-36934を介してmediacodecからカーネルへの権限昇格を行うことが可能でした。Dolbyは2025年10月に、Samsungは11月にパッチをリリースしましたが、Pixelデバイスへのパッチ適用は2026年1月5日まで遅れました。
また、クラウドベースのサプライチェーン管理プラットフォームであるBluspark Globalの「Bluvoyix」に、CVE-2026-22236からCVE-2026-22240に至る重大な脆弱性が発見されました。これにより、悪意のある攻撃者はプラットフォームを完全に制御し、顧客および貨物データにアクセスできる可能性がありました。認証なしでAPIにアクセスし、管理者アカウントを作成する恐れもありましたが、これらの脆弱性はすでにパッチ適用済みです。しかし、過去には顧客の出荷データを2007年まで遡って閲覧、変更、キャンセルできる可能性があったことが指摘されています。
脅威インテリジェンス企業GreyNoiseは、WordPressプラグインに対する大規模な偵察活動を観測しました。これは、潜在的に脆弱なサイトを特定する目的で行われ、994のユニークなIPアドレスから706のWordPressプラグインを標的とした40,000件以上のスキャンイベントが確認されました。特に標的となったのは、Post SMTP、Loginizer、LiteSpeed Cacheなどです。ユーザーには、使用しているプラグインを常に最新の状態に保つことが強く推奨されます。
巧妙化するマルウェアとサイバー攻撃キャンペーン
アフガニスタン政府機関を標的としたスピアフィッシングキャンペーン「Operation Nomad Leopard」が展開されました。攻撃者は偽の行政文書をルアーに、GitHubでホストされたISOイメージファイルを介して「FALSECUB」というバックドアを配布。ISOファイル内のLNKファイルがPDFを表示させると同時にペイロードを実行し、外部サーバーからのコマンド受信が可能なC++実行ファイルをインストールします。このキャンペーンは、地域に特化した中程度の洗練度を持つ攻撃者によって行われていると評価されています。
Google傘下のVirusTotalは、DLLサイドローディング技術を悪用する新たな情報窃取型マルウェアキャンペーンの詳細を公開しました。このキャンペーンでは、Malwarebytesなどの正規アプリケーションのインストーラーを模倣したZIPアーカイブが使用され、正規の実行ファイルが悪意のあるDLL「CoreMessaging.dll」をロードして機密データを窃取するインフォスティーラーを実行します。
SpecterOpsの研究者Daniel Mayerは、Windows Subsystem for Linux (WSL) と直接対話するBeacon Object File (BOF) をリリースしました。このBOFは、「wsl.exe」プロセスの生成を回避し、WSL COMサービスを直接呼び出すことで、プロセスの痕跡を残さずにWSLディストリビューションを列挙し、任意のコマンドを実行することを可能にします。
ファイル変換ツールを装った悪意のある広告キャンペーンが活発化しており、ユーザーをRemote Access Trojan (RAT) インストーラーに誘導しています。Easy2Convert、ConvertyFileなどの名を冠するウェブサイトが、正規の広告を通じてユーザーを誘導し、C#ドロッパーファイルをダウンロードさせます。これらのツールは表面上は機能しますが、バックグラウンドで持続的なRATをインストールし、攻撃者に継続的なアクセスを許してしまいます。
2025年9月にSophosが検出したマルバタイジングキャンペーンでは、Google広告が利用され、偽のPDF編集アプリ「AppSuite PDF Editor」を宣伝するサイトにユーザーをリダイレクトしていました。このアプリは、Windowsデバイスを標的とした情報窃取型マルウェア「TamperedChef」を密かに配信。永続性を確保するため、約56日間休眠状態を保ってから活動を開始するという遅延実行戦術を用いていました。
また、偽の製薬会社請求書を使用した新たなフィッシングキャンペーンが観測され、「PureLogs Stealer」を配布していることが判明しました。この攻撃では、ZIPアーカイブ内のJavaScriptがPowerShellを介して、インターネットアーカイブにホストされた悪意のあるPNG画像をダウンロードします。このPNG画像は、見た目は通常の画像ですが、画像のIENDチャンク後にBase64エンコードされたペイロードが埋め込まれており、抽出されたペイロードは、永続性、環境チェック、およびPureLogs Stealerの起動を担当する「VMDetectLoader」を起動します。
広がるサイバー犯罪と金銭的被害
2025年には、仮想通貨詐欺により少なくとも140億ドルが窃取されたと推定されており、前年の120億ドルから増加しています。平均詐欺被害額も782ドルから2,764ドルに上昇しました。高利回り投資詐欺や「豚の屠殺」詐欺が依然として主流ですが、E-ZPassなどを装うなりすまし詐欺は1,400%も急増しています。詐欺師はディープフェイク技術やAI生成コンテンツを悪用し、ロマンス詐欺や投資詐欺で被害者から信頼を勝ち取ることに成功しています。
2024年9月14日から16日にかけて、複数の州で発生したATMジャックポット攻撃に関与したとして、5人のベネズエラ国籍のグループが有罪を認めました。彼らは巧妙なマルウェアやATMのスーパーバイザーモードを悪用し、数千ドルを盗み出しました。彼らは最長30年の懲役刑に直面し、その後は強制送還されることになります。
ペルーでは、大規模なローンフィッシング詐欺が発見され、偽のローンオファーを悪用して機密性の高い個人情報や銀行情報(銀行カード詳細、オンラインバンキングパスワード、6桁のPINコード)を収集していました。このキャンペーンはソーシャルメディア広告を通じて拡散され、2024年以降、ペルー、コロンビア、エルサルバドル、チリ、エクアドルの銀行を詐称する約370のユニークなドメインが作成されています。
Zendeskは、保護されていないサポートシステムがスパムメールの送信に悪用されていると警告しました。Zendeskの未認証ユーザーがサポートチケットを提出できる機能を悪用し、自動生成される確認メールを悪意のあるメールアドレスに送信することで、プラットフォームをスパム配信手段として利用するものです。Zendeskは、顧客に対し、特定のプレースホルダーをトリガーから削除し、追加されたユーザーのみがチケットを提出できるようにすることを推奨しています。
国家関与の脅威と地政学的サイバー動向
英国政府は、ロシアと連携するハクティビストグループ「NoName057(16)」による悪意のある活動について警告を発しました。このグループは、国内の重要インフラや地方政府機関を標的としたサービス妨害(DoS)攻撃を展開し、ウェブサイトをオフラインにし、必須サービスへのアクセスを不能にすることを目論んでいます。DoS攻撃は高度ではないものの、システム全体を混乱させ、組織に多大な時間、費用、運用回復力を要することが指摘されています。
Hunt.ioの分析により、中国のインターネット空間に18,000台以上の活動中のコマンド&コントロール(C2)サーバーが存在することが判明しました。中国聯通(China Unicom)が約半数をホストし、Alibaba CloudとTencentがそれに続きます。C2サーバーの半数以上(約9,427のユニークなC2 IP)はIoTボットネット「Mozi」の制御に使用されており、残りの大部分はCobalt Strike、VShell、Mirai関連の活動に使用されています。
スウェーデンでは、スウェーデン軍の元ITコンサルタントが、ロシアの情報機関のためにスパイ活動を行った疑いで拘束されました。容疑は2025年を通じて2026年1月4日まで続いたとされていますが、当局は2022年からスパイ活動が継続していた可能性を疑っています。容疑者は2018年から2022年までスウェーデン軍のITコンサルタントとして働いていました。
欧州委員会は、通信ネットワークを保護し、重要インフラを標的とする国家支援型およびサイバー犯罪グループに対する防御を強化するため、高リスクサプライヤーの排除を義務付ける新たなサイバーセキュリティ法案を提案しました。これは、ICTサプライチェーンにおける第三国サプライヤーからのリスクを低減することを目的としています。
セキュリティ対策と業界の進化
Let’s Encryptは、有効期間6日間の短命TLS証明書の一般提供を開始しました。各証明書は発行から160時間有効です。この短命証明書はオプトイン方式であり、現在のところデフォルトにする計画はありませんが、自動更新プロセスを完全に自動化している利用者は容易に切り替えることができます。
Rustプロジェクトは、Crates.ioに「Security」タブを追加しました。このタブは、RustSecデータベースから引き出されたセキュリティアドバイザリを表示し、どのバージョンのクレートに既知の脆弱性があるかをリスト表示します。これにより、開発者が依存関係としてクレートを追加する前に、関連するセキュリティ情報を容易に確認できるようになりました。また、Trusted Publishingのサポートも拡大され、GitHub Actionsに加えGitLab CI/CDでも利用可能になっています。
元記事: https://thehackernews.com/2026/01/threatsday-bulletin-pixel-zero-click.html