サイバーニュース.jp

世界のサイバーなニュースを配信

2026年2月第1週:サイバーセキュリティ週刊レポート – 広がる脅威と対策の最前線

カテゴリ:

週刊サイバーセキュリティハイライト

毎週、サイバーセキュリティの状況を形作る新たな発見、攻撃、そして防御が出現しています。脅威が迅速に阻止されることもあれば、甚大な被害をもたらすまで気づかれないこともあります。今回の週刊レポートでは、プロキシボットネット、Microsoft Officeのゼロデイ脆弱性、MongoDBサーバーへの恐喝攻撃、AIのハイジャックなど、サイバー脅威の主要な動向と、それに対抗するための対策について詳しく解説します。

今週の主要脅威:IPIDEA住宅プロキシネットワークの破壊

Googleは、IPIDEA住宅プロキシネットワークを無力化することに成功しました。この大規模なネットワークは、サイバー攻撃チェーンの最終的な接続点として利用されるユーザーデバイスで構成されていました。Googleによると、これらのネットワークは悪意のあるアクターがトラフィックを隠蔽することを許すだけでなく、デバイスを登録したユーザーをさらなる攻撃に晒していました。

Googleは、IPIDEAプロキシネットワークに登録されたデバイスのコマンド&コントロール(C2)として使用されるドメインを差し押さえる法的措置を追求し、攻撃者が侵害されたシステムを通じてトラフィックをルーティングする能力を遮断しました。この妨害により、IPIDEAが利用できるデバイスプールは数百万台減少したと評価されています。

注目のニュース

  • MicrosoftがOfficeのゼロデイ脆弱性を修正:Microsoftは、攻撃で悪用された高 severity のMicrosoft Officeゼロデイ脆弱性(CVE-2026-21509、CVSSスコア7.8)に対する緊急セキュリティパッチをリリースしました。この脆弱性は、Microsoft Officeにおけるセキュリティ機能のバイパスとして説明されています。

  • IvantiがEPMMの脆弱性を修正:Ivantiは、ゼロデイ攻撃で悪用されたIvanti Endpoint Manager Mobile(EPMM)の2つのセキュリティ欠陥(CVE-2026-1281およびCVE-2026-1340)に対処するセキュリティアップデートを展開しました。これらはコードインジェクションに関連し、認証されていないリモートコード実行を可能にします。

  • ポーランドの電力システムへのサイバー攻撃:ポーランドのコンピュータ緊急対応チームは、30以上の風力・太陽光発電所、製造業の民間企業、および大規模な熱電併給プラントを標的とした協調的なサイバー攻撃を明らかにしました。CERT Polskaは、この攻撃をStatic Tundraと名付けられた脅威クラスターに起因するとし、ロシアのFSBセンター16部隊と関連付けられています。

  • LLMJackingキャンペーンが公開されたAIエンドポイントを標的に:サイバー犯罪者は、大規模に公開されたLLMおよびMCPエンドポイントを検索、ハイジャックし、収益化するキャンペーン「Operation Bizarre Bazaar」を展開しています。このキャンペーンは、AIエンドポイントをハイジャックしてシステムリソースを悪用し、APIアクセスを転売し、データを窃取することを目的としています。

  • 中国の脅威アクターがPeckBirdyフレームワークを使用:中国に関連する脅威アクターは、2023年以降、PeckBirdyと呼ばれるクロスプラットフォーム、多機能JScriptフレームワークを使用してサイバー諜報攻撃を実行しています。これは、ギャンブルサイトと政府機関を標的とした2つの異なるキャンペーンでモジュラーバックドアと組み合わせて使用されています。

緊急対応を要するCVE情報

新しい脆弱性が日々出現し、攻撃者は迅速に行動します。システムをレジリエントに保つためには、早期のレビューとパッチ適用が不可欠です。今週特に注目すべき主要な脆弱性は以下の通りです。

  • CVE-2026-24423 (SmarterTools SmarterMail)
  • CVE-2026-1281, CVE-2026-1340 (Ivanti Endpoint Manager Mobile)
  • CVE-2025-40536, CVE-2025-40537, CVE-2025-40551, CVE-2025-40552, CVE-2025-40553 (SolarWinds Web Help Desk)
  • CVE-2026-22709 (vm2)
  • CVE-2026-1470, CVE-2026-0863 (n8n)
  • CVE-2026-24858 (Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy, and FortiWeb)
  • CVE-2026-21509 (Microsoft Office)
  • CVE-2025-30248, CVE-2025-26465 (Western Digital)
  • CVE-2025-56005 (PLY)
  • CVE-2026-23864 (React Server Components)
  • CVE-2025-14756 (TP-Link)
  • CVE-2026-0755 (Google gemini-mcp-tool)
  • CVE-2025-9142 (Check Point Harmony SASE)
  • CVE-2026-1504 (Google Chrome)
  • CVE-2025-12556 (IDIS IP cameras)
  • CVE-2026-0818 (Mozilla Thunderbird)
  • CCVE-2025-52598, CVE-2025-52599, CVE-2025-52600, CVE-2025-52601, CVE-2025-8075 (Hanwha Wisenet cameras)
  • CVE-2025-33217, CVE-2025-33218, CVE-2025-33219, CVE-2025-33220 (NVIDIA GPU Display Drivers)
  • CVE-2025-0921 (Iconics Suite)
  • CVE-2025-26385 (Johnson Controls)
  • SRC-2025-0001, SRC-2025-0002, SRC-2025-0003, SRC-2025-0004 (Samsung MagicINFO 9 Server)

世界のサイバー動向

  • 公開されたC2サーバーがBYOBインフラストラクチャを明らかに:サイバーセキュリティ研究者たちは、IPアドレス38.255.43[.]60のポート8081にあるコマンド&コントロール(C2)サーバー上の公開ディレクトリを発見しました。このサーバーは、Build Your Own Botnet(BYOB)フレームワークに関連する悪意のあるペイロードを提供していました。

  • Phantom Enigmaが新たな戦術で再浮上:2025年初頭にブラジルユーザーを標的に銀行口座を盗んだ「Operation Phantom Enigma」キャンペーンの脅威アクターが、2025年秋に同様の攻撃で再浮上しました。これらの攻撃には、フィッシングメールと悪意のあるGoogle Chrome拡張機能「EnigmaBanker」が使用されます。

  • AWSクレデンシャルを悪用してAWS WorkMailを標的に:脅威アクターは、侵害されたAWSクレデンシャルを悪用してAWS WorkMailを使用し、フィッシングおよびスパムインフラストラクチャを展開しています。これにより、AWS Simple Email Service(SES)によって通常適用される不正使用防止コントロールをバイパスしています。

  • 悪意のあるVS Code拡張機能がStealerマルウェアを配信:Open VSXで「Angular-studio.ng-angular-extension」と偽装した悪意のあるVisual Studio Code(VS Code)拡張機能が特定されました。この拡張機能は、開発者のマシンからクレデンシャルを窃取し、仮想通貨を盗み、持続性を確立するStealerマルウェアを配信します。

  • 脅威アクターがAdobe Commerceの重大な脆弱性を悪用:脅威アクターは、Adobe CommerceおよびMagento Open Sourceプラットフォームの重大な脆弱性(CVE-2025-54236、CVSSスコア9.1)を悪用し続けており、1つのキャンペーンで216のウェブサイトが侵害され、別のキャンペーンではMagentoサイトにウェブシェルが展開されています。

  • 悪意のあるGoogle広告がStealerマルウェアに誘導:「Mac cleaner」や「clear cache macOS」といった検索ワードのGoogleスポンサー広告が、ユーザーをGoogle DocsやMediumでホストされている不審なサイトに誘導し、Stealerマルウェアを配信しています。

  • 米国当局がMeta請負業者の「WhatsAppチャットはプライベートではない」という主張を調査:米国法執行機関は、Metaの元請負業者による、同社の従業員がWhatsAppメッセージにアクセスできるという主張を調査しています。これは、WhatsAppがプライベートで暗号化されているというMetaの声明と矛盾しています。

  • 新しいPyRATマルウェアが発見:新しいPythonベースのリモートアクセス型トロイの木馬(RAT)「PyRAT」が発見されました。これはクロスプラットフォーム機能、永続的な感染方法、および広範なリモートアクセス機能を備えています。システムコマンド実行、ファイルシステム操作、ファイルアップロード/ダウンロードなどの機能がサポートされています。

  • 新しいExfil Out&Look攻撃手法の詳細:サイバーセキュリティ研究者は、「Exfil Out&Look」と呼ばれる新しい攻撃手法を発見しました。これはOutlookアドインを悪用して、監査ログを生成したり、フォレンジック痕跡を残したりせずに組織からデータを窃取します。

  • 公開されたMongoDBサーバーが恐喝攻撃に悪用:インターネットに公開されているMongoDBサーバーのほぼ半数が侵害され、ランサムウェア攻撃の標的となっています。未識別の脅威アクターが、誤設定されたインスタンスを標的とし、1,400以上のデータベースに身代金要求のメモをドロップし、データを復元するためにビットコインでの支払いを要求しています。

  • ダークウェブフォーラムの深掘り:Positive Technologiesは、現代のダークウェブフォーラムを深く掘り下げ、TorやI2Pなどの匿名化および保護技術を採用しながらも、法執行機関の活動の強化により常に変化していることを指摘しています。

元記事: https://thehackernews.com/2026/02/weekly-recap-proxy-botnet-office-zero.html

投稿をさらに読み込む