週刊サイバーセキュリティ速報 – Fortinet脆弱性、RedVDS摘発、Linux向け新型マルウェアなど重大ニュースを総まとめ

2026年1月第3週は、サイバーセキュリティ業界にとって非常に忙しい一週間となりました。Fortinet製品の深刻な脆弱性が実際に悪用されていることが確認され、大規模なフィッシングインフラが摘発され、そしてLinux環境を標的とした新たな高度なマルウェアが発見されました。本記事では、セキュリティ担当者が今すぐ確認すべき重要な脅威情報を網羅的にお伝えします。

この記事のポイント
Fortinet FortiSIEMの深刻な脆弱性
RedVDSフィッシングインフラの摘発
VoidLink: Linux環境を狙う新型マルウェア
Microsoft Copilotへの「Reprompt」攻撃
その他の注目すべき脆弱性
Kimwolfボットネットの規模が判明
NTLM認証のリスクが顕在化
実践してみよう
セキュリティTips
まとめ

この記事のポイント

Fortinet FortiSIEMに深刻な脆弱性（CVSS 9.4）が発見され、現在も攻撃が継続中
MicrosoftがRedVDSフィッシングインフラを摘発、4000万ドル以上の被害を防止
VoidLinkという新型Linuxマルウェアがクラウド環境を標的に活動中
Microsoft Copilotに対する新たな攻撃手法「Reprompt」が発見された

Fortinet FortiSIEMの深刻な脆弱性

今週最も緊急性の高い脅威は、Fortinet FortiSIEMに発見された脆弱性CVE-2025-64155です。CVSSスコア9.4という極めて高い深刻度を持つこの脆弱性は、すでに実際の攻撃に悪用されていることが確認されています。

この脆弱性は、FortiSIEMのphMonitorサービスに存在します。攻撃者は認証なしで特別に細工されたTCPリクエストを送信することで、任意のコードを実行できます。技術的には、2つの問題が組み合わさっています。まず、引数インジェクションにより任意のファイル書き込みが可能になります。次に、権限昇格によりroot権限を取得できます。

FortiSIEMは企業のセキュリティ監視の中核を担う製品であるため、この製品が侵害されると、攻撃者は企業のセキュリティ体制全体を把握し、検知を回避しながら長期的な攻撃を行うことが可能になります。FortiSIEMを使用している組織は、直ちにパッチ適用状況を確認する必要があります。

RedVDSフィッシングインフラの摘発

Microsoftは、サイバー犯罪プラットフォーム「RedVDS」に対する大規模な摘発作戦を実施しました。RedVDSは月額24ドルでフィッシングインフラを提供するサービスで、2025年3月以降、米国の被害者に対して4000万ドル以上の損害を与えていました。

このサービスは約2,600台の仮想マシンを運用し、1日あたり100万通のフィッシングメールを配信していました。全世界で約19万の組織が影響を受けたとされています。

この摘発は、サイバー犯罪のサービス化（Cybercrime-as-a-Service）の脅威を改めて浮き彫りにしています。技術的な知識がなくても、月額数十ドルで大規模なフィッシングキャンペーンを実行できる時代になっているのです。組織は、フィッシングメールに対する従業員教育と技術的な対策の両方を強化する必要があります。

VoidLink: Linux環境を狙う新型マルウェア

中国で開発されたとされる新しいマルウェアフレームワーク「VoidLink」が発見されました。このマルウェアはLinux環境、特にクラウドネイティブな環境を標的としています。

VoidLinkの特徴は、その高度な設計にあります。カスタムローダー、ルートキット、プラグインを組み合わせ、「長期的なアクセス、監視、データ収集」を目的としています。Webベースのオペレーターダッシュボードを備え、著名な攻撃フレームワークCobalt Strikeからアーキテクチャのインスピレーションを得ています。

特に注目すべきは、インテリジェントな回避機能とアンチフォレンジック機能です。セキュリティ製品による検知を回避し、インシデント対応チームによる調査を困難にするよう設計されています。クラウド環境でLinuxサーバーを運用している組織は、異常な挙動の監視を強化する必要があります。

Microsoft Copilotへの「Reprompt」攻撃

AIアシスタントへの攻撃として、Microsoft Copilotに対する新しい手法「Reprompt」が発見されました。この攻撃は、パラメータインジェクションと二重リクエストチェーンを利用してデータ保護を回避し、「持続的なセッション窃取」を可能にします。

これは今週報じられたGoogle Geminiの脆弱性と同様に、AIアシスタントが新たな攻撃対象領域になっていることを示しています。企業でAIツールを導入する際は、セキュリティリスクの評価と対策を十分に行う必要があります。

その他の注目すべき脆弱性

今週公開された重要なCVEも確認しておきましょう。

CVE-2026-23550: WordPressプラグインの深刻な脆弱性。多くのWebサイトで使用されている可能性があり、迅速なアップデートが必要です。

CVE-2025-20393: Cisco AsyncOSにおけるリモートコード実行の脆弱性。メールセキュリティアプライアンスを使用している組織は注意が必要です。

CVE-2025-12420: ServiceNow AIプラットフォームの脆弱性。ITサービス管理でServiceNowを使用している組織は確認が必要です。

CVE-2025-14894: Livewire Filemanagerにおける任意のPHP実行。Laravelベースのアプリケーションで使用している場合は要注意です。

Kimwolfボットネットの規模が判明

200万台以上のAndroid TVデバイスが、Kimwolfボットネットに感染していることが判明しました。2025年10月以降、550以上のコマンド＆コントロールノードが無力化されていますが、感染したデバイスの数を考えると、依然として大きな脅威です。Android TVやストリーミングデバイスを使用している場合は、ファームウェアの更新と不審なアプリのインストールに注意が必要です。

NTLM認証のリスクが顕在化

Googleが公開したNTLMレインボーテーブルにより、「600ドル未満の一般消費者向けハードウェアを使用して、12時間以内に認証情報を復元」することが可能になりました。これにより、NTLMハッシュが漏洩した場合のリスクが大幅に高まっています。

実践してみよう

今週の脅威に対応するため、以下のコマンドで自組織の状況を確認しましょう。

# Fortinet製品のバージョン確認（FortiSIEMの場合）
# FortiSIEM Web UIにログインし、Help > About で確認
# または CLI から:
# diagnose sys status

# Linuxサーバーで不審なプロセスを確認
ps aux | grep -E "(loader|rootkit|voidlink)" 
netstat -tlnp | grep ESTABLISHED

# NTLMv1が使用されていないか確認（Windows）
# PowerShell:
# Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel"
# 値が3未満の場合はNTLMv1が使用される可能性あり

# 不審なアウトバウンド通信を確認
ss -tunapl | grep ESTAB | awk '{print $5}' | sort | uniq -c | sort -rn | head -20

組織のセキュリティ体制を強化するため、以下も実施しましょう。

# システムの脆弱性スキャン（例: nmap）
nmap -sV --script vuln localhost

# 最新のセキュリティパッチを確認
# RHEL/CentOS/Rocky:
yum check-update --security
# Ubuntu/Debian:
apt list --upgradable | grep -i security

セキュリティTips

Tip 1: FortiSIEMユーザーは今すぐ対応を: CVE-2025-64155は現在も悪用が続いています。パッチが未適用の場合は、一時的にインターネットからのアクセスを遮断し、早急にアップデートを適用してください。脆弱性の深刻度を考えると、週末対応が必要な場合もあります。
Tip 2: フィッシング対策の多層化: RedVDSの摘発は喜ばしいニュースですが、同様のサービスは他にも存在します。メールフィルタリング、DMARC/DKIM/SPF設定、従業員教育、多要素認証など、複数の対策を組み合わせることが重要です。
Tip 3: NTLMからの移行を検討: Googleのレインボーテーブル公開により、NTLMハッシュの解読が容易になりました。可能であればKerberos認証への移行を検討し、NTLMv1は完全に無効化してください。
Tip 4: AIツールのセキュリティポリシー策定: CopilotやGeminiなどのAIアシスタントを業務で使用している場合は、データアクセス権限、許可される用途、機密情報の取り扱いについて明確なポリシーを策定しましょう。

まとめ

今週のセキュリティニュースは、現代のサイバー脅威の多様性と複雑性を示しています。企業のセキュリティ監視製品への攻撃、サービスとして提供されるサイバー犯罪インフラ、クラウドネイティブ環境を狙う高度なマルウェア、そしてAIアシスタントという新たな攻撃対象。これらすべてに対応するには、継続的な情報収集と迅速な対応が不可欠です。

特にFortinet FortiSIEMの脆弱性は緊急性が高く、該当製品を使用している組織は今すぐ対応が必要です。また、AIツールのセキュリティについても、今後ますます注目が集まることは間違いありません。

来週も重要なセキュリティ情報をお届けしますので、引き続きご注目ください。セキュリティは終わりのない旅ですが、最新の脅威を把握し続けることが、組織を守る第一歩です。

📎 元記事: Weekly Recap: Fortinet Exploits, RedLine Clipjack, NTLM Crack, Copilot Attack