セキュリティの脅威は静かにやってきます。信頼されたツール、中途半端な修正、そして誰も疑問を持たなくなった習慣を通じて侵入してくるのです。今週のセキュリティ動向は、攻撃者が防御よりも速く動き、古い手法と新しい攻撃経路を組み合わせていることを如実に示しています。「パッチ済み」はもはや安全を意味せず、ソフトウェアは日々、攻撃の入口となり続けています。
この記事のポイント
- Fortinetファイアウォールの脆弱性が完全パッチ済みデバイスでも再悪用される事態が発生
- AIが開発したLinuxマルウェア「VoidLink」が高度な攻撃能力を示す
- ブラウザ拡張機能を悪用した攻撃が増加、OpenAI APIキー459件以上が窃取される
- 2025年には884件の脆弱性が初めて悪用され、前年比15%増加
Fortinetファイアウォールの脆弱性再悪用
Fortinetは、FortiCloud SSOの脆弱性(CVE-2025-59718、CVE-2025-59719)が最新リリースに完全アップデートされたデバイスでも悪用されていることを発見しました。同社は「攻撃時点で最新リリースに完全にアップグレードされていたデバイスへの攻撃事例を複数確認しており、これは新たな攻撃経路の存在を示唆している」と述べています。
攻撃者は細工されたメッセージを通じてSAML認証をバイパスします。この問題への対策として、管理者アクセスの制限とFortiCloud SSOログインの無効化が推奨されています。パッチを適用したから安全という従来の考え方が通用しなくなっている現実を、この事例は明確に示しています。
AIが生成したマルウェア「VoidLink」の衝撃
クラウドサーバーを標的とするLinuxマルウェア「VoidLink」は、ほぼ完全に人工知能によって開発されました。これは自動化された脅威作成における転換点となる出来事です。研究者たちは、AI関与を示す開発計画とチェックポイントマーカーを発見しました。
Check Pointは「VoidLinkはそのベースラインを変えました。その洗練度は、AIが有能な開発者の手に渡った場合、深刻な攻撃能力が生産される速度と規模の両方を実質的に増幅できることを示しています」と警告しています。AIツールの悪用による脅威の進化は、セキュリティ対策の在り方そのものを問い直すものとなっています。
ブラウザ拡張機能を悪用した攻撃の拡大
今週は複数のブラウザ拡張機能を悪用した攻撃が報告されました。「NexShield/CrashFix」という悪意あるChrome/Edge拡張機能は、ブラウザをクラッシュさせた後、偽のセキュリティ警告を表示してClickFix攻撃を誘発し、ModeloRATを配信します。
「H-Chat Assistant」というChrome拡張機能は10,000人以上のユーザーを持ち、少なくとも459件のOpenAI APIキーを窃取しました。また「PasteReady」は所有権移転後にマルウェアを配布するようになりました。これらの事例は、信頼していた拡張機能が突然脅威に変わりうることを示しています。
VS Codeサプライチェーン攻撃
北朝鮮のハッカーグループPurpleBravoは、「Contagious Interview」キャンペーンを進化させ、VS Codeのtasks.jsonファイルを使用してリポジトリを開いた際に悪意あるコマンドを実行する手法を採用しています。folderOpen runOptionsプロパティを悪用した自動実行により、開発者が知らないうちにマルウェアに感染するリスクがあります。
2024年8月から2025年9月の間に、3,136のIPアドレスがContagious Interviewの標的として特定されています。開発環境のセキュリティ対策の重要性が改めて浮き彫りになっています。
重大なCVE情報
今週報告された注目すべき脆弱性には以下が含まれます。GNU InetUtilsの脆弱性CVE-2026-24061(CVSS 9.8)は、2015年に導入された不完全な認証チェックにより、認証なしでtelnetアクセスを許可してしまいます。攻撃者は「-f」フラグを使用して対話式認証をスキップし、rootシェルを取得できます。SafeBreach Labsが公開概念実証エクスプロイトをリリースしています。
その他、SmarterMailの認証バイパス(CVE-2026-23760)、Cisco Unified Communicationsのゼロデイ(CVE-2026-20045)、Chainlitのデータ露出(CVE-2026-22218/22219)、Anthropic MCPのgit-server関連(CVE-2025-68143/68144/68145)、SQL Serverの権限昇格(CVE-2025-49758)なども報告されています。
知っておくと便利なTips
- ブラウザ拡張機能は定期的に監査し、不審なもの(特にAIチャットボットを装ったもの)は即座に削除する
- VS Codeのワークスペースセキュリティポリシーを実装し、リポジトリのソースを検証する習慣をつける
- 新しく公開された脆弱性には数時間以内のパッチ適用を優先する(公開日当日に28.96%が武器化されている)
- ネットワークエッジデバイスは最も頻繁に標的となる技術カテゴリであることを認識する
まとめ
2025年のセキュリティ状況は厳しさを増しています。884件の脆弱性が初めて悪用され、これは2024年の768件から15%以上の増加です。さらに懸念されるのは、公開されたCVEの約29%が公開日当日またはそれ以前に武器化されているという事実です。
Fortinetの事例が示すように、パッチを適用しても安全とは限りません。AIによるマルウェア開発の進化、ブラウザ拡張機能や開発ツールを悪用した攻撃の増加など、脅威は多様化しています。防御側は、単一の対策に依存するのではなく、多層防御とゼロトラストの原則に基づいた包括的なセキュリティ戦略を構築する必要があります。特に、信頼していたツールや環境が攻撃の入口になりうることを常に意識し、継続的な監視と迅速な対応体制を整えることが重要です。
📎 元記事: https://thehackernews.com/2026/01/weekly-recap-firewall-flaws-ai-built.html
コメント