チェック・ポイント・リサーチ(CPR)チームによる2026年1月5日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
米国の2つの銀行、Artisans’BankとVeraBankは、8月にベンダであるMarquis Softwareがランサムウェア攻撃を受け、顧客データが流出したことを公表しました。Marquis SoftwareはSonicWallの脆弱性を突いて侵入を受けており、両行のシステムは侵害を受けていないものの、研究者らは、このインシデントによって数十の金融機関で最大135万人が影響を受けた可能性があると推定しています。
-
ルーマニア最大の石炭火力発電事業者Oltenia Energy Complexは、Gentlemenグループによるものとされるランサムウェア攻撃を受けました。同社によれば、ファイルが暗号化され、基幹業務システム(ERP)、電子メール、ウェブサイトが機能停止に陥り、操業に一部影響が出たものの、電力供給は安定しており復旧作業が続けられています。
-
EmEditorソフトウェアの開発元であるEmurasoftは、ホームページのダウンロードボタンが4日間、偽のインストーラへリダイレクトされていた、自社ウェブサイトの不正アクセス被害を報告しました。このインストーラは情報窃取マルウェアを展開し、認証情報を収集するとともに、不正な拡張機能を追加して遠隔操作や仮想通貨の不正交換を可能にしていました。
-
米国に本拠を置く、政府機関および連邦職員の保険金請求、従業員の健康管理、リスク管理、生産性向上を支援するSedgwick Government Solutionsは、サイバーセキュリティインシデントに遭遇しました。インシデントは隔離されたファイル転送システムに限定されており、保険金請求サーバへのアクセス痕跡は確認されていません。同社は12月31日にTridentLockerランサムウェアグループが攻撃を主張した後、法執行機関および顧客に通知しました。
-
韓国の航空会社である大韓航空は、機内食と免税品を管理するベンダであるKC&Dサービスを通じてデータ侵害を受けました。このインシデントにより、従業員約3万人の氏名や銀行口座番号などの個人情報が漏洩しましたが、顧客情報には影響がありませんでした。Cl0pが犯行声明を出し、Oracle E-Business Suiteの脆弱性を悪用したと報じられています。
-
韓国の航空会社である大韓航空は、機内食と免税品を管理するベンダであるKC&Dサービスを通じてデータ侵害を受けました。このインシデントにより、従業員約3万人の氏名や銀行口座番号などの個人情報が漏洩しましたが、顧客情報には影響がありませんでした。Cl0pが犯行声明を出し、Oracle E-Business Suiteの脆弱性を悪用したと報じられています。
Check PointのIPSとThreat EmulationおよびHarmony Endpointは、この脅威[Oracle Multiple Products Remote Code Execution; Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.*]に対する防御機能を備えています。
-
暗号通貨ウォレットプロバイダのTrust Walletは、Chrome拡張機能における2件目のShai-Hulud型サプライチェーン侵害を公表しました。これにより約850万ドルの損失が発生しました。攻撃者は漏洩したChromeストアキーを利用し、改ざん版v2.68を公開しました。このバージョンはロック解除時にウォレットの復元フレーズを盗み出していました。
-
欧州宇宙機関(ESA)は、自社ネットワーク外のごく少数の外部サーバに影響を及ぼしたサイバーセキュリティインシデントを確認しました。12月中旬に脅威アクターがソースコード200GBとアクセス認証情報を盗んだと主張したことを受け、ESAはフォレンジック分析を開始し、影響を受けた可能性のあるデバイスの保護を開始しました。
脆弱性及びパッチについて
-
研究者らは、WHILL Model C2およびModel F電動車椅子に存在する重大な認証不足の脆弱性CVE-2025-14346を指摘しました。この脆弱性により、Bluetooth通信範囲内の攻撃者が車椅子を制御可能となります。CISAは直ちに対策を講じるよう促し、医療現場や公共の場において車椅子の動作を操作され身体的危害を受ける恐れがあると警告しました。現時点で公に悪用された事例は報告されていません。
-
セキュリティ研究者が、Airoha Bluetooth SoCに影響を与えるCVE-2025-20700、CVE-2025-20701(CVSS 8.8)、およびCVE-2025-20702(CVSS 9.6)の脆弱性を公開しました。これらの脆弱性により、認証不要でRACEプロトコルへのアクセスが可能となり、任意のメモリ操作やヘッドホンの近接乗っ取りが行われ、リンクキーの抽出やデバイスなりすましによるペアリング済みスマートフォンへのアクセスが可能となります。
-
Apache StreamPipes 0.69.0 から 0.97.0 における重大な権限昇格の脆弱性 CVE-2025-47411 に対する修正パッチがリリースされました。この脆弱性は、欠陥のあるユーザー ID 作成により JWT トークンの操作を可能にするものです。攻撃者は既存の管理者になりすまして完全な制御権を取得する可能性があります。
-
エンタープライズAPI管理プラットフォームであるIBM API Connectは、認証バイパスという重大な脆弱性(CVE-2025-13915、CVSS 9.8)の影響を受けており、認証情報なしでリモートからの不正アクセスをが可能になります。この欠陥はバージョン10.0.8.0から10.0.8.5および10.0.11.0に影響し、パッチとiFixesが利用可能です。現時点で悪用の報告はありません。
サイバー脅威インテリジェンスレポート
-
研究者らは、インド政府・学術・戦略機関を標的とした新たなAPT36サイバーによる諜報活動を明らかにしました。パキスタン関連のこのグループは、PDFを装ったZIP添付ファイルを配布し、ReadOnlyおよびWriteOnlyのマルウェアをインストールします。このマルウェアは、リモート操作、データの窃取、クリップボードの監視、スクリーンショットの取得、アクセスの維持を可能にします。
-
中国と関連する脅威アクターであるDarkSpectreは、ShadyPanda、Zoom Stealer、GhostPosterなどのキャンペーンを通じて、世界中のChrome、Edge、Firefoxユーザー880万人を侵害しました。このグループは、時限爆弾の起動、休眠型スレーパー、PNGステガノグラフィー、高度なJavaScript難読化などの手法を用いた悪意のあるブラウザ拡張機能を使用し、ビデオ会議ツールを偽装しブラウザプラットフォームの権限を悪用しながら、企業の会議データを窃取しています。
-
セキュリティ研究者が、Chrome Web Storeの拡張機能「Chat GPT for Chrome with GPT-5」と「AI Sidebar」の2つを発見しました。これらは30分ごとに、ChatGPTとDeepSeekのチャット履歴に加え、ユーザの閲覧活動を外部に流出させていました。両拡張機能のインストール数は合計90万件を超え、うち1つはGoogleの「おすすめ」バッジを獲得しています。
-
研究者らは、Kimwolfボットネットの急速な拡大を確認しました。このボットネットは、家庭用プロキシネットワークを悪用して家庭用ルータの背後にあるローカルデバイスにアクセスし、世界中で200万台以上のデバイスに感染しています。この攻撃キャンペーンは、セキュリティ対策が不十分なAndroid TVボックスやデジタルフォトフレームを悪用し、DDoS攻撃、広告詐欺、アカウント乗っ取り、大量スクレイピングを実行しています。
