侵害まとめ：ファイアウォールは時代遅れへ

ファイアウォールは時代遅れへ、ムーディーズが予測

格付け会社ムーディーズは、人工知能（AI）能力の向上により、今後5年間で「適応的で急速に進化する脅威の新時代」が到来すると予測している。有料の見通しレポートで同社は、これまで脅威アクターはAIを、まったく新しい手法を導入するというより、既存のハッキング技術を増幅するために用いてきたという業界の共通認識を繰り返した。「AI主導のイノベーションに完全に起因するとされた重大な侵害は、まだない」と同社は記している。

しかし、AIの進化により、脅威アクターが自己書き換えコードを投入し、これまで未知だったセキュリティ欠陥を狙う自動化キャンペーンを展開して、同時に数千の標的を攻撃できるようになれば、状況は変わり得る。

「懸念が高まっているのは、AIを用いて脆弱性発見を自動化し、ネットワークやアプリケーションを継続的にスキャンして、未適用パッチや設定ミスといった欠陥を、守る側の修正能力を上回る規模と速度で見つけ出すことだ」とムーディーズは述べた。

AIに直結する最も差し迫った懸念は、従来の検知手法を回避するAI駆動のフィッシング攻撃、企業が自社のAIアプリケーションの保護を十分に行えていないこと、そしてAIポイズニングである。

新たに顕在化しつつあるリスクには、AIを用いて攻撃時間を短縮することや、AIがすでに攻撃自動化能力を高めていることを示す兆候が含まれる（参照：AIツールがサイバー攻撃の大半を実行、Anthropicが説明）。

今後3〜5年で、AIでコーディングされたマルウェアは、検知を回避するためにコードと振る舞いのパターンをリアルタイムで自律的に変更できるようになり、「アンチウイルスのシールドやファイアウォールのような静的防御を時代遅れにする」とムーディーズは予測している。

ルーマニアの国有発電事業者Complexul Energetic Olteniaは、主要な業務ITシステムを混乱させたランサムウェア攻撃を公表した。これは12月の休暇期間中にルーマニアの重要インフラを襲った2件目の大規模サイバーインシデントとなる。

同社は12月27日のFacebookの投稿で、「The Gentlemen」ランサムウェアを用いた攻撃者が一部の文書やファイルを暗号化し、複数の重要アプリケーションを一時的に利用不能にしたと述べた。影響を受けたシステムには、ERP（企業資源計画）プラットフォーム、文書管理ツール、メールサービス、同社の公開Webサイトが含まれる。

運用者によれば、このインシデントは送電網を中断させたという。Complexul Energetic Olteniaは、特に需要ピーク時において、同国の電力生産で重要な役割を担っている。

この公表は、ルーマニアの国家水管理当局Apele Româneに対する別のランサムウェア攻撃に続くもので、ルーマニア国家サイバーセキュリティ総局が2025年12月21日に確認している。この事件では、10の地域流域当局にまたがる約1,000のITシステムが影響を受け、地理情報システム（GIS）プラットフォーム、サーバー、メールシステムが混乱した。

Gentlemenを追跡するセキュリティ研究者は、同ランサムウェアが2025年半ばに出現したと述べている。Gentlemenランサムウェアは少なくとも17カ国にわたるキャンペーンと関連付けられており、被害者は製造、医療、保険などの分野に及んでいる。

グローバルな保険金請求およびリスク管理サービスを提供するセジウィックは、連邦政府向け子会社であるSedgwick Government Solutionsが大晦日にデータ侵害の被害を受けたと発表した。

2025年11月にオンラインで初めて確認されたRaaS（Ransomware as a Service）グループTridentLockerが侵害を主張している。同グループはリークサイトで、3.39GBのデータ、合計2,497ファイルを盗んだと述べた。

セジウィックのGovernment Solutions部門は、国土安全保障省（DHS）の複数の構成機関、移民・関税執行局（ICE）、税関・国境警備局（CBP）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、沿岸警備隊などに対し、請求処理およびリスク管理ソリューションを提供している。

セジウィックの広報担当者は「セジウィック全体の他のシステムやデータへの影響はない。さらに、請求管理サーバーへのアクセスの証拠もなく、Sedgwick Government Solutionsが顧客へのサービス提供を継続する能力への影響もない」と述べた。

セジウィックは主に保険およびリスクソリューション分野で事業を展開し、世界で33,000人を雇用して、80カ国で10,000社の顧客にサービスを提供している。そのうち59%はフォーチュン500企業に属する。同社の年間売上高は40億〜50億ドルと見積もられている。

セキュリティ研究者は、旧式のD-Link DSLルーターに存在する重大なコマンドインジェクション脆弱性が、現在悪用されていると報告した。サポート対象外のハードウェアを稼働させ続けているネットワークが露出している。

CVE-2026-0625として追跡されているこの欠陥は、dnscfg.cgiのDNS設定エンドポイントにおける入力サニタイズ不備に起因する。認証不要のリモート攻撃者が任意のシェルコマンドを注入して実行でき、脆弱なデバイス上でリモートコード実行に至る。

サイバーセキュリティ企業VulnCheckによれば、影響を受けるEOL（サポート終了）モデルにはDSL-526B、DSL-2640B、DSL-2740R、DSL-2780Bが含まれる。D-Linkは2020年初頭にこれらルーターのサポートを終了している。

セキュリティ当局は、パッチ未適用でサポート終了のルーターが、犯罪者や国家支援ハッカーにとって格好の標的であると繰り返し警告してきた。FBIと米国サイバーセキュリティ・インフラセキュリティ庁は、ハッカーがルーターを侵害してプロキシネットワーク、ボットネット、またはトラフィック転送ノードとして再利用する手口を文書化している。

フィンランド警察は水曜日、フィンランドとエストニア間の海底通信ケーブル損傷に関する継続中の刑事捜査の一環として、先に乗組員2人を逮捕したのに続き、貨物船Fitburgを正式に押収した（参照：フィンランド警察、新たな海底ケーブル事案を捜査）。

フィンランド警察は、乗組員1人が勾留中で、政府が他のFitburgの船員3人に渡航禁止を課したと述べた。

同船はロシアから航行しており、12月31日、フィンランドの排他的経済水域内でフィンランド国境警備隊により臨検された。数時間にわたり錨を引きずり、エストニアの経済水域内でケーブルを破断させたとみられる。フィンランドの通信事業者Elisaは当時、この事案がサービスを中断させなかったと述べた。

フィンランド税関は、国際制裁の対象となるロシア産鋼材を船内で発見したが、水曜日には、乗組員がその鋼材をフィンランド領海に持ち込んだことは制裁違反に当たらないとして、予備調査を終了した。税関当局は、同船は「フィンランド当局の要請によりフィンランド領海に入った」と述べた。

フィンランドの検察は2025年、2024年のクリスマス当日にバルト海で海底ケーブルを損傷させた、別のロシア関連船舶（タンカーEagle S）の船長と上級士官2人を起訴した（参照：フィンランド、深海ケーブル破壊事案で8人を容疑者として捜査）。

ヘルシンキの裁判所は10月、損傷したケーブルがフィンランド領海の外にあったとして、起訴を棄却した。

マイクロソフトは火曜日のブログ投稿で、フィッシンググループが複雑なメールルーティング設定と弱い認証制御を悪用し、企業ドメインをなりすまして、標的組織の内部から送信されたように見える悪意あるメッセージを配信していると記した。

同社によれば、攻撃者はDNSレコードがOffice 365を直接指していないメールシステムにおける、DMARCおよびSPF設定の誤りを悪用している。これらの隙により、外部メールがなりすましチェックを通過し、検知を回避できる。

マイクロソフトは、脅威アクターがDirect Send（プリンターやサードパーティサービスなどのデバイスが、認証なしに組織ドメイン経由でメールを送信できるExchange機能）の脆弱性を悪用しているという報道を否定するために、このブログ投稿を書いたと述べた。悪意ある活動は「むしろ複雑なルーティングシナリオと、誤設定されたなりすまし保護を悪用している」と同社は記している。

2025年を通じて観測され、2026年1月まで継続しているこの活動は、フィッシング・アズ・ア・サービスの運用と関連付けられており、クラウド環境で二要素または多要素認証を回避する中間者攻撃（AitM）を得意とするTycoon2FAプラットフォームなどが含まれる。

SpyCloudによる2025年8月の分析では、Tycoon2FAのインフラが、ユーザー名、パスワード、セッションクッキーを含む約16万件の認証情報を収集するために使用されたことが示されている。侵害されたアカウントの半数以上は米国のユーザーに属し、マイクロソフトとグーグルのメールサービスが最も頻繁に標的となっていた。

広範なマルウェアキャンペーンが数カ月にわたりGoogleのChrome Web Storeを悪用し、約90万人のユーザーの非公開AIチャットボット会話と閲覧データを露出させたと、Ox Securityのサイバーセキュリティ研究者が水曜日に述べた。

このキャンペーンには、悪意あるブラウザ拡張機能2つが関与しており、「ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」と「AI Sidebar with DeepSeek, ChatGPT, Claude and more」と特定された。これらの拡張機能は、正規のChromeベースAI生産性ツールであるAItopiaになりすましていた。AItopiaは、ブラウザのサイドバーを通じて複数の大規模言語モデルと対話できる。

インストールされると、偽の拡張機能は「匿名で個人を特定できない分析データ」を収集する権限を求めたが、実際にはChatGPTおよびDeepSeekの会話全文に加え、ユーザーが開いているタブのURLやブラウザのメタデータを収集していた。

取得されたデータには、知的財産、社内業務の問い合わせ、個人情報、認証トークンが含まれる可能性がある。

拡張機能のうち1つにはWeb StoreでGoogleの「Featured」バッジが付与されており、サードパーティ製アドオンの審査プロセスにおける隙が浮き彫りになった。

これらの発見は、人気のブラウザ拡張機能がAIチャットボットの活動を傍受するという、より広範な傾向を反映している。Urban VPN Proxyに関する最近の事案では、研究者が、Googleが注目として取り上げた広く利用されているVPN拡張機能が、複数プラットフォームにわたるAIチャット会話の全文を収集しており、数百万人のユーザーに影響していたことを発見した。

脅威研究者は、偽のシステムクラッシュ画面と信頼されたWindowsビルドツールを用いてシステムに感染させる「PHALT#BLYX」と呼ばれるマルウェアキャンペーンを発見した。背後の脅威アクターは、主に欧州のホスピタリティ業界を標的にしているようだ。

セキュリティ企業Securonixによれば、このキャンペーンはbooking.comの予約キャンセル通知を装ったフィッシングメールから始まる。メッセージは未決済の請求があると主張し、受信者に埋め込みリンクのクリックを迫る。被害者は偽装サイトへリダイレクトされ、詐欺的なCAPTCHAが表示された後、偽のブルースクリーン（BSOD）が表示され、システムがクラッシュしたかのような印象を与える。

偽のBSODは、Windowsの「ファイル名を指定して実行」にPowerShellコマンドを貼り付けるようユーザーに指示する。これはClickFixとして知られるソーシャルエンジニアリング手法である。コマンドを実行すると、悪意あるMSBuildプロジェクトファイルがダウンロードされる。正規のMicrosoft開発者ユーティリティであるmsbuild.exeを悪用することで、攻撃者はアプリケーションのホワイトリストを回避し、セキュリティ制御をすり抜けることができる。

実行されると、マルウェアはDark Crystal RATの改変版を展開する。これは少なくとも2018年以降流通している商用のリモートアクセス型トロイの木馬である。Splunkの分析は、DCRatがモジュール式で設定可能であり、システム偵察、スクリーンショット取得、クリップボード監視、リモートコマンド実行などの機能を攻撃者が有効化できることを示している。

バージニア州リッチモンド市民に対し、メンタルヘルスおよび薬物乱用、予防サービスを提供する公的機関Richmond Behavioral Health Authorityは、9月のランサムウェア攻撃により、113,000人超の患者の保護対象医療情報が侵害されたと連邦規制当局に報告した。

同市機関は、2025年9月30日ごろにサイバーインシデントの「被害者」になったことを認識したと述べた。

RBHAは「調査の結果、悪意ある者が2025年9月29日ごろにRBHAのネットワークへアクセスし、ネットワークの一部を暗号化するランサムウェアを展開したことが判明した。悪意ある者のネットワークアクセスは、検知され次第直ちに遮断された」と述べた。

このインシデントで影響を受けた可能性のある情報には、患者の氏名（または名のイニシャルと姓）に加え、社会保障番号、旅券番号、金融口座情報、または健康情報が含まれる。

同組織は「RBHAは、学生、職員、パートナーのプライバシーをさらに保護するための追加のセキュリティ対策を実施した」と述べた。その他の措置として、RBHAは戦略的サービスプロバイダーを起用してサイバーセキュリティシステムを監視し、システムアーキテクチャを見直し、サイバー防御を強化したとしている。

米国全土で90の睡眠障害検査センターを運営するニュージャージー州拠点のPersante Health Careは、2025年1月に発見されたハッキング事案について、約112,000人に通知した。米国保健福祉省は、休暇期間中に同事案を医療分野のHIPAA違反の継続リストに掲載した。

Persanteは侵害通知で、2025年1月28日にネットワーク上の異常な活動を認識し、ネットワークを保護するため「直ちに」措置を講じたと述べた。また、同事案をFBIに報告した。

調査により、脅威アクターが2025年1月23日から1月28日の間にPersanteのネットワークへアクセスし、個人情報および保護対象医療情報を含む特定のファイルにアクセスまたは取得した可能性があることが判明した。

Persante Health Careは、影響を受けた医療施設と協力し、個別通知の取り組みを調整したと述べた。

このインシデントで侵害された可能性のある情報には、氏名、生年月日、社会保障番号、運転免許証番号、旅券番号、医療サービス提供日、病状または治療情報が含まれる。

また、影響を受けた可能性のある情報には、メディケアまたはメディケイド番号、個人の医療保険証券番号、金融口座番号、決済カード番号、患者アカウント番号、診療録番号、医療機器識別子、生体識別子も含まれていた。

今週のその他の記事

• 2026年度の司法・商務歳出法案でサイバー関連は横ばい
• デセプション技術がShiny Hunter攻撃者のIPアドレスを捕捉
• Conduentハッキングの被害者数が少なくとも50%増
• パロアルトがエンドポイントベンダーKoiの4億ドル買収を狙う理由
• トランプ、米国、そして停電：ベネズエラの送電網を断ったものは何か？

ボストン郊外のMarianne Kolbasuk-McGee、ニュージャージーのGregory Sirico、北バージニアのDavid Perera（いずれもInformation Security Media Group）による報告を含む。