チェック・ポイント・リサーチ(CPR)チームによる2026年1月12日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
ニュージーランド最大の患者ポータル「Manage My Health」は、2025年12月に発生したサイバー攻撃により、約11万人のユーザーデータが流出した可能性があると認めました。「Kazu」と名乗る攻撃者が犯行声明を出し、6万ドルの身代金を要求しています。
-
フランス移民統合局は、ハッカーがサンプルデータをオンライン上に公開したことを受け、第三者事業者経由でのデータ盗難を確認しました。流出した記録には外国人居住者の氏名、連絡先、入国日、滞在理由などが含まれています。
-
世界的な暗号資産ハードウェアウォレットメーカーであるLedgerは、EコマースパートナーであるGlobal-eにおける情報漏洩を公表しました。顧客の連絡先や注文詳細が流出しており、攻撃者は両社を装ったフィッシング詐欺でウォレット情報を収集していました。Ledgerはウォレット本体やシードフレーズへの影響はないと説明していますが、標的型詐欺が増加しています。
-
米国の大手光ファイバーブロードバンド事業者Brightspeedが、犯罪組織Crimson Collectiveによる攻撃を受けたとされています。この侵入により100万人以上の顧客の機密情報が流出したとされていますが、同社は現時点でこの件を公式に認めていません。
-
アメリカのダートマス大学は、8月にOracle E-Business Suiteを悪用した攻撃により、4万人以上の個人情報が漏洩したと発表しました。漏洩したデータには、社会保障番号や銀行口座情報などが含まれています。報道によると、この侵入はClopランサムウェアグループによるものとされています。
Check PointのIPSとThreat EmulationおよびHarmony Endpointは、この脅威[Oracle Multiple Products Remote Code Execution (CVE-2025-61882, CVE-2025-61884); Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.*]に対する防御機能を備えています。
-
米国の地域非営利団体JBS Mental Health Authorityは、12月下旬にランサムウェア攻撃を受けました。Medusaランサムウェアグループにより標的とされ、同グループは機密性の高いクライアント記録や内部業務情報を含む168.6GBのデータを盗んだと主張しています。
Check PointのThreat Emulationは、この脅威[Ransomware.Wins.Medusa]に対する防御機能を備えています。
-
オーストラリアとニュージーランドでレンタカー保険を提供するProsura、システムの一部への不正アクセスによるデータ侵害を報告しました。攻撃者は運転免許証や保険証券を流出させたとされています。Prosuraはオンラインセルフサービスを一時停止し、決済カードのデータは自社システムに保存されていないと発表しました。
-
英国の会員組織「フリー・スピーチ・ユニオン」は、活動家グループBash Backがウェブサイトに侵入し、取引の詳細をオンライン上に公開したことで、データ侵害に遭いました。数千件に及ぶ寄付金の記録が漏洩し、金額やコメントも含まれていました。同組織は予防措置としてウェブサイトをオフラインにしました。
脆弱性及びパッチについて
-
SmarterToolsは、重大な事前認証不要のリモートコード実行脆弱性であるCVE-2025-52691(CVSSスコア10.0)を修正しました。この脆弱性が悪用されると、攻撃者はファイルをアップロードし、Webアクセス可能なパスへの書き込みが可能となり、サーバ全体の侵害につながる可能性があります。
Check PointのIPSは、この脅威[SmarterMail Arbitrary File Upload (CVE-2025-52691)]に対する防御機能を備えています。
-
AIモデル用のセルフホストインターフェースであるOpen WebUIにおけるCVE-2025-64496の脆弱性に対するパッチがリリースされました。この脆弱性はDirect Connection機能経由でのコードインジェクションを可能にし、潜在的なリモートコード実行を引き起こす可能性があります。バージョン0.6.34までのバージョンが影響を受けます。
-
Ciscoは、Identity Services Engine(ISE)およびISE-PICにおける中程度の深刻度の脆弱性CVE-2026-20029に対処しました。この脆弱性により、管理者は不正なXML解析を通じて機密ファイルにアクセスすることが可能となります。この脆弱性の悪用には、有効な管理者認証情報が必要です。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチは、phpMyAdmin、MySQL、PostgreSQL、FTPを実行するLinuxサーバに対してブルートフォース攻撃を仕掛けるモジュール型Goボットネット、GoBruteforcerを観察しました。攻撃キャンペーンは、AIが生成したサーバ展開を悪用し、一般的なユーザ名や脆弱なデフォルト設定を拡散させます。このボットネットはホストをスキャナーや認証情報収集ツールに変換し、暗号通貨関連の攻撃では資金を窃取し、バックドアやIRCベースの制御を通じてアクセス権を拡大します。
Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。
-
チェック・ポイントの研究者は、WhatsAppとTelegramを介したソーシャルエンジニアリングを巧妙化するOPCOPRO「トゥルーマン・ショー」投資詐欺を特定しました。公式ストアのアプリが攻撃者サーバへのインターフェースとして機能し、残高や取引を偽造し、本人確認書類を収集し、個人情報の窃取や預金の誘導を行っています。
Check PointのHarmony Endpointは、この脅威に対する防御機能を備えています。
-
研究者らはLockBit 5.0ランサムウェアを分析し、ChaCha20-Poly1305によるファイル暗号化、BLAKE2b鍵交換を用いたX25519暗号化、VSSおよびバックアップサービスの停止、一時ディレクトリのクリーンアップといった詳細な情報を明らかにしました。LockBit 5.0は、実行ごとにカスタムランダム拡張子を使用し、システムファイルを除外し、Stealbitによるデータ流出をサポートし、データ漏洩を脅迫する身代金要求メッセージを表示します。
Check PointのThreat EmulationおよびHarmony Endpointは、この脅威[Ransomware.Wins.Lockbit; Ransomware.Wins.Lockbit.ta.*; Ransomware.Win.LockBit; Gen.Win.Crypter.Lockbit)]に対する防御機能を備えています。
-
研究者らは、Booking.comを模したフィッシングとClickFixスタイルの偽BSOD/キャプチャ罠を用いてPowerShell実行を促す、ヨーロッパの宿泊業界を標的とした継続的な攻撃キャンペーン「PHALT#BLYX」を発見しました。この攻撃チェーンは認証情報の窃取と権限昇格を目的としています。
Check PointのThreat EmulationおよびHarmony Endpointは、この脅威[RAT.Wins.Dcrat; RAT.Win.DCRat; InfoStealer.Wins.DcRat]に対する防御機能を備えています。
