2026年1月最終週のサイバーセキュリティ情勢を包括的にまとめた週刊レポートが公開されました。今週は小さな変更が大きな問題を引き起こすケースが多く報告されており、派手なインシデントではなく、見逃しやすい静かな変化が蓄積して深刻な影響を及ぼすパターンが目立っています。馴染みのあるツールが予想外の方法で悪用される傾向が顕著で、セキュリティ対策の見直しが急務となっています。
この記事のポイント
- FBIによるRAMPフォーラム閉鎖やEmpire Market運営者の有罪答弁など、大規模なサイバー犯罪取り締まりが進行
- Dormakaba社の物理セキュリティシステムに20件以上の深刻な脆弱性(CVE-2025-59090〜CVE-2025-59109)が発見
- MFA(多要素認証)をバイパスする高度なフィッシング攻撃が100以上の企業に影響
法執行機関による大規模摘発
今週最も注目すべきニュースは、複数のダークウェブマーケットプレイスに対する法執行機関の一斉摘発です。FBIは著名なサイバー犯罪マーケットプレイス「RAMP」を閉鎖し、ランサムウェア運営者たちの活動拠点を壊滅させました。管理者は「これにより何年もの作業が無に帰した」と認めており、脅威アクターたちはRehubなどの代替プラットフォームへの移行を余儀なくされています。
また、Empire Marketの共同創設者であるRaheim Hamiltonは、4億3000万ドル相当の取引を仲介した罪で有罪答弁を行いました。Kingdom Marketの運営者Alan Billも、薬物と盗難データの販売への関与を認めています。さらに、中国国籍のJingliang Suは、カンボジアを拠点とする詐欺センターからの投資詐欺被害者3690万ドルのマネーロンダリングで46ヶ月の刑を言い渡されました。
重要インフラの脆弱性
物理セキュリティシステムを提供するDormakaba社の製品に、20件以上の深刻な脆弱性(CVE-2025-59090からCVE-2025-59109)が発見されました。これらの脆弱性により、ハードコードされた認証情報や脆弱な認証メカニズムを悪用して、リモートからドアアクセスを不正に取得することが可能です。物理的なセキュリティシステムがサイバー攻撃の標的となることで、オフィスビルや施設への不正侵入リスクが高まっています。
Linuxカーネルの脆弱性CVE-2018-14634がCISAの悪用済み脆弱性リストに追加されました。これはcreate_elf_tables()における整数オーバーフローの脆弱性で、CVSS 7.8の深刻度を持ち、権限昇格を可能にします。古い脆弱性であっても、依然として攻撃者に悪用され続けていることを示す重要な事例です。
React Server ComponentsにおけるCVE-2025-55182の悪用も確認されており、XMRig暗号通貨マイナーやKaiji、Rustobotなどのボットネットがロシアの組織を標的に配布されています。
認証・プライバシーの懸念
MFA(多要素認証)のバイパス攻撃が深刻化しています。ShinyHuntersグループは、ライブフィッシングパネルを展開し、人間が操作するボイスフィッシングによってSSOの認証情報を傍受し、被害者のMFAシステムに攻撃者のデバイスを登録する手法を用いています。この攻撃は100以上の企業に影響を与えており、MFAだけでは完全なセキュリティを確保できないことを示しています。
Metaに対しては、エンドツーエンド暗号化を謳うWhatsAppで実際にはメッセージにアクセス可能であるとの訴訟が提起されています。内部チームが通信に無制限にアクセスできるとの主張がなされています。
オーストリアのデータ保護当局は、Microsoft 365 Educationにおいて未成年者のデバイスに違法にトラッキングCookieをインストールしていたとして、Microsoftに対し展開の停止を命じました。
新たな脅威パターン
SEOポイズニングの市場化が進んでいます。HxSEOと呼ばれる運営は、侵害されたレガシードメインから6ドルのバックリンクを販売し、悪意のあるサイトのランキングを向上させています。2020年からWordPressインストールを標的にしており、検索エンジン最適化の悪用が組織化されています。
AIを活用したマルウェア開発の兆候も確認されています。PureRATキャンペーンでは、バッチスクリプトにベトナム語のコメントと番号付き指示が含まれており、自動化されたツール作成を示唆しています。
明るいニュース
ポジティブな動きとして、CISAがポスト量子暗号(PQC)標準をサポートする製品カテゴリを特定するガイダンスを公開しました。量子コンピューティングの脅威が増大する中、暗号化の将来に備える重要な一歩です。
GoogleはAndroidの盗難防止機能を拡張し、より詳細な認証失敗ロック制御と強化された生体認証を導入しています。AppleのiOS 26.3では、携帯電話ネットワークとの位置情報共有を近隣レベルの精度に制限する機能が追加され、ユーザーのプライバシー保護が強化されました。
サプライチェーンセキュリティ
Sonatypeは2025年に454,600件の悪意あるオープンソースパッケージをブロックし、npm、PyPI、Maven Central、NuGet、Hugging Faceリポジトリ全体で合計123万3000件に達しました。ラテンアメリカでは12月に組織あたり週3,065件の攻撃を経験しており、前年比26%増となっています。教育セクターが引き続き主要な標的となっています。
知っておくと便利なTips
- 物理セキュリティシステムもサイバー攻撃の対象であることを認識し、定期的なファームウェア更新を実施する
- MFAだけに依存せず、フィッシング耐性のある認証方法(FIDO2/WebAuthn)の導入を検討する
- オープンソースの依存関係を定期的に監査し、悪意あるパッケージの混入を防ぐ
- 古い脆弱性(CVE-2018-14634など)も依然として悪用されるため、パッチ管理を徹底する
まとめ
今週のセキュリティニュースは、サイバーセキュリティの多面的な課題を浮き彫りにしています。法執行機関によるダークウェブ摘発は着実に成果を上げていますが、脅威アクターたちは新たなプラットフォームへ移行し続けています。物理セキュリティシステムやMFAといった「信頼されていた」防御層にも脆弱性が存在し、攻撃者はこれらを巧みに悪用しています。一方で、ポスト量子暗号への対応やモバイルプライバシー保護の強化など、前向きな動きも見られます。組織は単一の防御策に依存せず、多層防御の考え方を徹底し、最新の脅威動向を継続的に把握することが重要です。
📎 元記事: https://thehackernews.com/2026/01/threatsday-bulletin-new-rces-darknet.html
コメント