← セキュリティブログに戻る
セキュリティブリーフィング 2026年2月16日 6分で読了

Microsoftの6件のゼロデイ + 200万台デバイスのボットネットによる混乱

Microsoftの2月Patch Tuesdayは6件のゼロデイが活発に悪用される事態となりました。一方、200万台のデバイスで構成されるボットネットが誤ってI2P匿名化ネットワークをクラッシュさせ、新たな恐喝グループが幹部の家族にスワッティングを行っています。


緊急:Microsoft Patch Tuesday — 6件のゼロデイ

現在サポートされているすべてのWindowsバージョンが影響を受ける

Microsoftは、6件のゼロデイが活発に悪用されている脆弱性を含む50件以上のパッチをリリースしました。すべてが攻撃を受けているため、直ちにパッチを適用してください。

CVE 影響 深刻度
CVE-2026-21510 Windows Shellバイパス — ワンクリックで攻撃者コードが実行される 緊急
CVE-2026-21513 MSHTMLブラウザバイパス
CVE-2026-21514 Microsoft Wordセキュリティバイパス
CVE-2026-21533 Windows RDP権限昇格(SYSTEM権限まで)
CVE-2026-21519 Desktop Window Manager権限昇格
CVE-2026-21525 RASMAN DoSによるVPN妨害

BeyondTrust RCE — 24時間以内に悪用

CVE-2026-1731:BeyondTrust Remote SupportおよびPrivileged Remote Accessにおける、認証不要のリモートコード実行の緊急脆弱性です。PoCが公開され、24時間以内に悪用が開始されました。

推奨対応

  1. BeyondTrust PRAを使用している場合は直ちにパッチを適用する
  2. パッチ適用まで、公開されているアプライアンスを隔離する
  3. 不正アクセスがないかログを確認する

Ivanti EPMM — 攻撃の83%が単一のアクターによるもの

セキュリティ研究者は、Ivanti EPMMの悪用試行全体の83%が単一の脅威アクターによるものであることを特定しました。CVE-2026-1281およびCVE-2026-1340が活発に悪用されています。

攻撃者にとって高い価値を持つ標的です — 早急にパッチを適用してください。


今週の主要な侵害

組織 件数 業種
Odido(オランダの通信事業者) 620万件の顧客情報 通信
Louis Vuitton/Dior/Tiffany 550万件(2,500万ドルの罰金) 小売
ApolloMD Healthcare 62.6万件の患者情報 医療
Conpet(ルーマニア) Qilinランサムウェア エネルギー/重要インフラ

Kimwolfボットネット — 200万台のデバイス

200万台以上の感染したIoTデバイス(ストリーミングボックス、ルーター、デジタルフォトフレーム)で構成される大規模なボットネットが、70万台のボットをノードとして参加させようとし、I2P匿名化ネットワークを誤ってクラッシュさせました。これは分散型ネットワークを圧倒する「シビル攻撃」でした。

ボットネットの運営者は、Badbox 2.0コントロールパネル(中国拠点のAndroid TVボットネット)を侵害しています。FBIとGoogleの両方が運営者を積極的に追跡しています。


SLSH恐喝グループ — 過激な手法

専門家の助言:絶対に支払わないでください

SLSH(Scattered Lapsus ShinyHunters)と呼ばれる新しい英語圏の恐喝グループが、幹部やその家族へのスワッティング、子供への脅迫、DDoS攻撃、記者や規制当局への通報を含む過激なハラスメント手法を使用しています。

Unit 221Bは強く助言しています:関与せず、支払わないでください。このグループには約束を守る実績がなく、支払いはエスカレーションを助長するだけです。

侵入は通常、IT更新を装った従業員への電話フィッシングから始まります。


ClickFix攻撃の進化

ClickFixソーシャルエンジニアリングキャンペーンは現在、DNSクエリ(nslookup)を使用してPowerShellペイロードを取得しています。これは、この攻撃タイプにおいてDNSがペイロード配信チャネルとして使用された最初の事例です。

また、macOSユーザーをインフォスティーラーで標的とするClickFixキャンペーンで、Claude LLMのアーティファクトが悪用されていることも確認されています。


国家アクターがAIをマルウェア開発に使用

複数の脅威アクター(VoidLink、CANFAIL)がマルウェア開発にLLMを使用していることが確認されました。GoogleのGTIGレポートによると、AI支援攻撃は国家アクターにとって標準的な手法になりつつあります。

アクター 標的の焦点
ロシア ウクライナ戦争における技術展開
北朝鮮 従業員採用の悪用
イラン サプライチェーンおよび採用プロセスへの侵入
中国 エッジデバイスへの初期アクセス

本日の優先事項

  1. 今すぐパッチを適用:Microsoftの6件のゼロデイ + BeyondTrust + Ivanti
  2. 監視:DNSベースのペイロード配信(ClickFixの進化)
  3. 経営層に周知:SLSHの恐喝手法について
  4. 監査:Chrome拡張機能(3,700万ダウンロードの300以上の悪意ある拡張機能が特定)
  5. 確認:電話ベースのソーシャルエンジニアリングに関する従業員セキュリティ研修

KENSAIで組織を守りましょう

332,660件以上のCVEをインデックス化したAI駆動の脆弱性管理。

無料スキャンを開始

安全に。警戒を怠らず。

🗡️ KENSAIセキュリティチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home