2026年2月第3週、サイバーセキュリティの世界では複数の重大な脅威が同時に浮上しました。Outlookアドインの乗っ取りによるフィッシング、ChromeやAppleの未修正脆弱性(0-day)への攻撃、ワーム型ボットネットの復活、そしてAIを悪用した新種のマルウェアなど、従来手法と最新技術が組み合わさった攻撃が目立っています。小さな隙間が大きな侵入口になりつつある現状を、詳しく解説します。
この記事のポイント
- Outlookアドイン「AgreeTo」が乗っ取られ、4,000件以上のMicrosoft認証情報が窃取された
- Chrome・Apple・BeyondTrustで深刻な0-day脆弱性が発見され、いずれも実際の攻撃で悪用が確認されている
- 国家レベルの攻撃者がAI(Gemini)を活用し、安全フィルターを回避するマルウェアを生成している
Outlookアドイン「AgreeTo」の乗っ取り
今週最も注目すべき脅威の一つが、Outlookアドイン「AgreeTo」を悪用したフィッシング攻撃です。攻撃者はこのアドインに関連するドメインの制御を奪取し、偽のログインページをホストすることで、4,000件以上のMicrosoft認証情報を窃取しました。
OfficeアドインはOutlook内部で動作し、ユーザーが機密性の高い通信を扱う環境にアクセスできます。さらにメールの読み取り権限などを要求できるため、攻撃者にとっては非常に価値の高いターゲットとなります。多くのユーザーは一度インストールしたアドインを疑うことなく使い続けるため、サプライチェーン攻撃の格好の入り口になっています。
企業のIT管理者は、利用中のOutlookアドインの棚卸しと、不要なアドインの削除を早急に検討すべきでしょう。
0-day脆弱性の連続パッチ
今週は複数のプラットフォームで深刻な0-day脆弱性が修正されました。
Chrome(CVE-2026-2441): CSSエンジンにおけるuse-after-free脆弱性で、CVSSスコアは8.8。2026年に入って初めてのChrome 0-dayで、すでに実際の攻撃で悪用が確認されています。Chromeユーザーは直ちにブラウザを最新版に更新する必要があります。
Apple(CVE-2026-20700): dyld(動的リンカ)のメモリ破壊脆弱性で、iOS、iPadOS、macOSなど幅広いApple製品に影響します。Google TAGが特定の個人を狙った攻撃で発見したもので、標的型攻撃に使われています。
BeyondTrust(CVE-2026-1731): CVSSスコア9.9という極めて深刻な脆弱性で、認証なしでのリモートコード実行が可能です。公開からわずか24時間以内に攻撃が開始され、観測された偵察活動の86%が単一のIPアドレスから発信されていました。
ワーム型ボットネット「SSHStalker」の脅威
ボットネットの世界でも新たな動きがありました。「SSHStalker」と呼ばれるボットネットは、IRCベースのC2(コマンド&コントロール)通信というレガシーな手法を採用しつつ、SSHブルートフォース攻撃によってネットワーク内をワーム的に拡散します。
注目すべきは、このボットネットが15年前の権限昇格脆弱性をターゲットにしている点です。古い脆弱性が放置されたままのシステムが、いまだに多数存在していることを示しています。パッチ管理の基本に立ち返り、レガシーシステムの脆弱性対策を見直すことが重要です。
クラウドインフラの悪用とAIマルウェア
クラウド悪用(TeamPCP): 攻撃グループ「TeamPCP」は、設定ミスのあるDocker API、Kubernetesクラスタ、Redisサーバーを悪用し、それらを分散型マイニングおよびプロキシネットワークに変換しています。クラウドサービスの設定管理の甘さが、直接的な攻撃面となっています。
AI悪用マルウェア(HONESTCUE): 国家レベルの攻撃者がGoogleのAI「Gemini」を攻撃サイクル全体で活用していることが判明しました。特に「HONESTCUE」と呼ばれるマルウェアは、文脈を切り離したプロンプト(脱文脈化プロンプト)によってAIの安全フィルターを回避し、実行可能なコードを生成させる手法を用いています。AIツールの悪用という新たな脅威カテゴリが現実のものとなっています。
防衛産業を狙う国家攻撃者
中国、イラン、北朝鮮、ロシアの各国の攻撃者が、防衛産業基盤(DIB)組織に対してサプライチェーン攻撃やゼロデイの事前配置を行っていることも報告されています。国家間のサイバー戦争が防衛セクターを主戦場として激化しており、関連企業はサプライチェーン全体のセキュリティ強化が急務です。
知っておくと便利なTips
- Outlookアドインの管理: 管理センターで組織全体のアドイン利用状況を定期的に監査し、不要なものは無効化する
- Chrome自動更新の確認:
chrome://settings/helpでブラウザが最新版であることを確認する習慣をつける - Docker/Kubernetesの設定監査: クラウドインフラの公開APIが意図せずインターネットに露出していないか確認する
- レガシーシステムのパッチ: 古いシステムであっても、既知の権限昇格脆弱性には確実にパッチを適用する
まとめ
今週のセキュリティ動向が示すのは、攻撃者が「人々がすでに信頼し、疑うことのないツール・アドイン・クラウド設定・ワークフロー」を狙っているという現実です。新たなエクスプロイトだけでなく、既存の信頼関係を悪用する手口が増えています。さらに、レガシーなボットネット手法とAI悪用という最新技術が組み合わさり、攻撃の多様性と複雑性が増しています。組織としては、アドインやクラウド設定の定期監査、迅速なパッチ適用、そしてAI時代の新たな脅威への備えを包括的に進める必要があるでしょう。
📎 元記事: https://thehackernews.com/2026/02/weekly-recap-outlook-add-ins-hijack-0.html
コメント