本稿では12月22日~1月4日にかけて観測された最新のサイバーセキュリティ動向を整理する。FortiGateにおける旧脆弱性の再悪用、Windows以外へ拡大するマルウェアの脅威、Googleの正規機能を悪用したフィッシング攻撃、CISAが公表した既知の悪用脆弱性を取り上げる。いずれの事例も新旧を問わず脆弱性や信頼の隙を突く点が共通しており、継続的な更新と警戒の重要性が浮き彫りになった。

連載のこれまでの回はこちらを参照

12月22日~1月4日の最新サイバーセキュリティ情報

それでは、この期間に発生した注目すべきサイバー攻撃動向を詳しく見ていこう。

FortiGateの旧脆弱性が再燃、大文字・小文字の差が招く危険

Fortinetは12月24日(米国時間)、2020年7月に公開されたセキュリティ脆弱性FG-IR-19-283(CVE-2020-12812)が悪用されていると発表した(参考「Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283 | Fortinet Blog」)。

  • Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283|Fortinet Blog

    Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283 | Fortinet Blog

本脆弱性は、特定の構成下においてFortiGateとLDAPディレクトリのユーザー名の大文字・小文字の扱いの差異に起因し、本来必須である二要素認証(2FA)を回避できるというもの。FortiGateはユーザー名をデフォルトで大文字・小文字を区別する一方、LDAP側は区別しないため、認証処理に齟齬が生じることになる。

問題が発生する条件として、LDAPを参照する2FA付きローカルユーザーの存在、当該ユーザーがLDAPグループに所属していること、そのLDAPグループがVPNや管理者認証などのポリシーで使用されていることが挙げられている。この状態で、正確な大小文字でログインした場合は2FAが要求されるが、異なる大小文字でログインするとローカルユーザーと一致せず、別のLDAPグループ認証にフォールバックし、結果として2FAなしで認証が成功する可能性がある。この場合、管理者やVPNアカウントが2FAなしで利用可能となり、システム侵害と見なすべき事態となる。

対策として、FortiOS 6.0.10、6.2.4、6.4.1以降では本問題に対する設定が導入されており、ユーザー名の大文字・小文字を区別しない設定を有効化することで回避できる。該当バージョン未満を利用している場合も、username-sensitivityを無効化する設定を行うことで同様の効果が得られる。不要なLDAPグループの設定を削除することも重要な緩和策になる。本脆弱性の影響が疑われる場合は、設定を侵害済みと判断し、全認証情報をリセットしたうえでFortinetサポートへ連絡することが推奨される。

このFortiGateの事例もそうだが、サイバー攻撃者はセキュリティ脆弱性の新旧に関係なく、利用できる脆弱性は積極的に悪用してくる。管理しているシステムのソフトウェアは常に最新の状態に保つことが重要であり、アクティブに管理し続けることが必要といえる。 

Malwarebytesが2025年におけるマルウェアの動向を報告

Malwarebytesは12月29日(米国時間)、2025年におけるマルウェアの動向として、攻撃対象がWindows PCにとどまらず、AndroidやmacOS、さらには多様な接続デバイスへと大きく拡大したと報告した。とくにモバイル端末やMacを十分に保護していない利用者が多く、こうした環境が新たな攻撃の温床になっている点が強調された(参考「Malware in 2025 spread far beyond Windows PCs | Malwarebytes」)。

  • Malware in 2025 spread far beyond Windows PCs|Malwarebytes

    Malware in 2025 spread far beyond Windows PCs | Malwarebytes

Androidでは、従来存在するバンキング型トロイの木馬が高度化し、偽アプリを装って認証情報を盗む手口が進化した。Herodotusのように人間の入力を模倣して検知を回避する例や、正規の銀行・暗号資産アプリ上に偽ログイン画面を重ねて情報を窃取するオーバーレイ型攻撃が確認されている。また、過剰な広告を表示するアドウェアも引き続き問題となっている。

macOSでは、利用者自身に悪意ある操作を実行させる「ClickFix」と呼ばれる手法が拡大した。偽CAPTCHAやクリップボード乗っ取りを通じて情報窃取型マルウェアを感染させるもので、AMOSやRhadamanthysといったインフォスティーラーの配布に利用されている。加えて、RustやGoなどのクロスプラットフォーム言語を用いたマルウェアや、マルウェア・アズ・ア・サービス(MaaS)の普及により、攻撃はOSやデバイスを横断して展開されている。

さらに、詐欺やだましを用いるソーシャルエンジニアリングが攻撃の基盤となっており、偽アプリ、恋愛詐欺、恐喝、RATを用いた初期侵入、暗号資産や金融を狙う攻撃が増加している。これらの傾向からMalwarebytesは、2026年に向けてサイバー犯罪者はWindows以外のOSを主戦場とし、技術的高度化と人間心理を突く手法を組み合わせた攻撃をいっそう強めると結論付けている。

「正規に見える」罠 - Google通知を偽装するフィッシングに警戒を

Check Point Software Technologiesは12月22日(米国時間)、Google Cloudの正規機能を悪用し、Googleからの通知を装う大規模なフィッシングキャンペーンを確認したと報告した。サイバー攻撃者はボイスメール通知やファイル共有、アクセス権付与といった業務上一般的な内容を装い、受信者に違和感を与えないメールを送信していた(参考「Phishing Campaign Leverages Trusted Google Cloud Automation Capabilities to Evade Detection - Check Point Blog」)。

  • Phishing Campaign Leverages Trusted Google Cloud Automation Capabilities to Evade Detection - Check Point Blog

    Phishing Campaign Leverages Trusted Google Cloud Automation Capabilities to Evade Detection - Check Point Blog

このキャンペーンでは、過去14日間に約3,200組織を標的として9,394通のフィッシングメールが送信された。送信元は正規の「noreply-application-integration@google.com」であり、Googleの正当なインフラから配信されたことで、迷惑メール対策をすり抜けやすく、利用者の信頼を大きく高めていた。

攻撃手法としては、Google Cloud Application Integrationの「Send Email」機能が不正に利用されたとみられる。この機能は本来、業務自動化や通知のために設計されたものであり、Google自体が侵害されたわけではない。メール内リンクは、まずGoogle Cloud上の正規URLに誘導し、次にgoogleusercontent.comで偽CAPTCHAを表示して自動解析を回避し、最終的に非公式ドメイン上の偽Microsoftログイン画面で認証情報を窃取する多段階構成となっていた。

影響は製造業、IT/SaaS、金融分野を中心に、米国、アジア太平洋、欧州で広く確認された。自動通知や共有機能に日常的に依存する業種ほど被害を受けやすかったと分析されている。本事例は、正規クラウド機能の悪用によって従来の検知を回避できることを示しており、送信元やインフラが正当に見える場合でも、リンク操作に対する継続的な警戒が不可欠であることを示している。

既知の悪用事例を確認、Digiever製品とMongoDBの脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、12月22日~1月4日にカタログに2つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Digiever DS-2105 Pro 3.1.0.71-11
  • MongoDB Server 8.2から8.2.3よりも前のバージョン
  • MongoDB Server 8.0から8.0.17よりも前のバージョン
  • MongoDB Server 7.0から7.0.28よりも前のバージョン
  • MongoDB Server 6.0から6.0.27よりも前のバージョン
  • MongoDB Server 5.0から5.0.32よりも前のバージョン
  • MongoDB Server 4.4から4.4.30よりも前のバージョン
  • MongoDB Server 4.2
  • MongoDB Server 4.0
  • MongoDB Server 3.6

CISAはこの期間に、既知に悪用されている脆弱性カタログへ2件のエクスプロイト(CVE-2023-52163およびCVE-2025-14847)を追加した。Digiever製品および複数世代のMongoDB Serverに広範な影響がおよぶ。サポート期限が迫る、あるいはすでに旧式となったバージョンが含まれているため、該当環境を運用する組織は速やかな影響調査とアップデート、緩和策の適用を実施し、既知の悪用事例を前提とした継続的な脆弱性管理を徹底する必要がある。

* * *

本稿で紹介した事例はいずれも、サイバー攻撃者が新旧を問わず利用可能な弱点を執拗に狙っている現状を示している。設定不備、更新遅延、正規通知への過信といった要素が被害拡大の要因になっている点は共通している。

これらを踏まえ、組織はソフトウェア更新の徹底、不要な設定の見直し、利用者教育の強化を進めるべきだ。既知の脆弱性が実際に悪用されているという前提に立ち、継続的なサイバーセキュリティ対策を実施することが不可欠と言える。

参考