2026Q1 サイバー攻撃関連

2026.01.05

ここでは実際に2026Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました(ランサムウェア攻撃という様に、最近では不可分になってきたため)

2025Q4 サイバー攻撃関連はこちら
2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2026/02/24

ロシア語話者の脅威アクターがAI支援を受けてFortigate製品を攻撃

  • AWSより
  • Amazon Threat Intelligenceによると、2026年1月11日から2月18日までの55か国以上で、複数の商用生成AIサービスを活用して600台以上のFortiGateデバイスを取引するロシア語を話す人物による金銭的動機による脅威攻撃者の存在を確認したそうです。FortiGateの脆弱性の悪用ではなく、代わりに、単一要素認証によって管理ポートや弱い認証情報を悪用して成功していた模様です。

Arkanix Stealer がLLMによる開発支援を受けて登場

  • bleepingcomputerより
  • 2025年末に複数のダークウェブフォーラムで宣伝された「Arkanix Stealer」というinfostealerマルウェアですが、カスペルスキーの研究者が 、 Arkanix stealer を分析し 、LLM 支援による開発を示唆する手がかりを発見しました。これにより、「開発期間とコストが大幅に削減された可能性がある」とのことです。

2026/02/19

アドバンテストにランサムウェア攻撃

ニュースになっています

2026/02/13

GTIGが、攻撃者がAIをあらゆるステージで使用しているというレポートを公表

  • Google Threat Intelligenceのレポートより
  • Google Threat Intelligence Group(GTIG)は、脅威アクターが攻撃ライフサイクルを加速させるために人工知能(AI)を更に統合し、偵察、ソーシャルエンジニアリング、マルウェア開発における生産性向上を実現していることを確認したとのことでレポートを更新しています。

ルーマニアの国営石油パイプライン会社SAがQilinの攻撃に

  • bleepingcomputerより
  • 先週のプレスリリースで同社はQilinが 同社のITインフラに侵入した が、業務には影響がなかったと発表しました。
  • Conpet SAは2/12に最新情報を発表し、ルーマニア国家サイバーセキュリティ局(DNSC)と協力して捜査を行っていると述べています。

2026/02/12

北朝鮮の攻撃者UNC1069が新たなmacOS用マルウェアを使用

  • Google Threat Intelligence (Mandiant)より
  • 北朝鮮の攻撃者「UNC1069」が、AI生成ビデオとClickFix技術を使用して、暗号通貨系企業にmacOSとWindows向けのマルウェアを配信するキャンペーンを実行しているそうです。

偽の7-Zip配布サイトがマルウェアを拡散

  • bleepingcomputerより
  • 偽の7-Zip配布サイトが、ユーザーのコンピューターを住宅用プロキシに変えるトロイの木馬化されたインストーラーを配布しているそうです。

Conduent社にサイバー攻撃。Volvoがデータ侵害を発表

  • bleepingcomputerより
  • Volvo North Americaが顧客である米国のビジネスサービス大手コンデュエントのITシステムが侵害され、間接的なデータ侵害を受けたことを明らかにしました。

CrazyランサムウェアグループがSimpleHelpとNetMonitorを組み合わせて攻撃

  • Huntressのブログより
  • CrazyランサムウェアグループがSimpleHelpとNetMonitorを組み合わせたツールを展開して攻撃を行っている模様です。

2026/02/06

「WantToCry」でVMを用いた検出回避

Zendeskサポートシステムを騙るフィッシングメール

  • bleepingcomputerより
  • Zendesk サポート システムを騙って「アカウントを有効化してください」とリクエストするフィッシングメールが大量に送られている模様です。気をつけましょう。

2026/02/05

EDRキラー。BYOVD攻撃で59種類のEDRの停止を狙う

  • Huntressの記事より
  • Huntressは、SonicWall SSLVPNの認証情報の侵害に対応したそうですが、侵入後に攻撃者は失効した証明書を持つ正規のGuidance Software(EnCase)フォレンジックドライバを悪用し、カーネルモードからセキュリティプロセスを終了させるEDRキラーを展開していました。59のEDRが狙われた模様です。

2026/02/04

Citrix Netscalerを狙ったスキャンが増加

  • GreyNoiseより
  • GreyNoiseが2026年1月28日から2月2日にかけて、GreyNoise Global Observation Gridは、Citrix ADC GatewayおよびNetscaler Gatewayに対する偵察キャンペーンを追跡しています。住宅用プロキシを噛ませてスキャンしてきている模様です。

2026/01/29

Operation Bizarre Bazaar。公開されたLLMエンドポイントが狙われている模様

  • Pillar Securityのレポートより
  • 「Bizarre Bazaar」とよばれる攻撃キャンペーンが展開されており、保護が弱い LLM インフラストラクチャ エンドポイントへ不正アクセスして次のような被害をもたらしている模様です。
    • 暗号通貨マイニング
    • ダークネット市場でAPIアクセスを再販
    • プロンプトや会話履歴からデータを盗む
    • MCPサーバーを介して内部システムに侵入
  • 攻撃者はPort11434 上の保護の弱いOllamaエンドポイントや、Port 8000上のOpenAI互換 API、誰でもアクセスできるMCPなどを狙っている模様です。

FBIがRAMPダークウェブフォーラムを差し押さえた模様

Moltbot(旧Clawdbot)、気をつけないと情報が漏れる模様

  • bleepingcomputerより
  • Moltbot (旧Clawdbot) の企業環境で、展開に気をつけないとAPI キー、OAuth トークン、会話履歴、資格情報が漏洩する可能性があることが指摘されています。
  • Moltbot はローカルで 24 時間 365 日実行でき、永続的なメモリを維持し、アラートやリマインダーのためにユーザーに積極的に連絡したり、スケジュールされたタスクを実行したりすることができます。
  • Moltbot を不注意に導入すると、チャットボットの権限やホスト上のアクセス レベルに応じて、機密データの漏洩、企業データの露出、資格情報の盗難、コマンドの実行につながる可能性があるという警告がセキュリティ研究者から出ています。リバースプロキシの設定ミスにより、数百ものClawdbot Controlの管理インターフェースがオンラインで公開されているとのことです。

eScan AntiVirusのアップデートサーバが侵入され、悪意のあるアップデートがプッシュされる

  • bleepingcomputerより
  • MicroWorld Technologies 社製のeScan Antivirusで、今月初めに同社の更新サーバーの 1 つが侵入され、悪意のある不正な更新を少数の顧客に配布したことが確認されたそうです。1/20に判明したそうです。
  • eScan によれば、影響を受けた顧客に対しては個別に修復策が提供されているとのことです。

2026/01/28

NikeがWorld Leaks Ransomwareグループによる攻撃を調査

  • bleepingcomputerより
  • NikeはWorld Leaksランサムウェアグループが1.4TBのデータを盗んだと主張している件について調査を行っている模様です。

2026/01/27

CloudFlareの01/22のBGPルートリークについて

  • CloudFlareブログより
  • 01/22/2026に自動ルーティングポリシーの設定エラーによりBGPルートリークが発生したそうです。

Microsoft App-VがClickFix攻撃に使われる

  • bleepingcomputerより
  • Amatera インフォスティールマルウェアのキャンペーンで、Microsoft Application Virtualization (App-V)を使用するClickFix攻撃が観測されているそうです。

2026/01/23

Zendeskが悪用されSPAMメッセージを送信

  • bleepingcomputerより
  • 正規企業のZendeskサポートシステムからSPAMが送信され、DropBoxや2Kなど複数の企業がスパム攻撃の影響を受けている模様です。

2026/01/22

LastPassを装ったフィッシングメール

  • bleepingcomputerより
  • LastPassを装ったフィッシングメールが出回っているそうです。バックアップを今すぐ作成するように誘導し、リンクをクリックさせてパスワードを入力させることで、パスワードを窃取するのが目的のようです。

2026/01/21

VoidLinkマルウェア。AIにより作成されたマルウェア

  • CheckPointのリサーチブログより
  • AIにより作成されたマルウェアとみられる「VoidLink」マルウェアの続報が上がっています。後で記事にする予定です。

PDFSiderマルウェア。複数のランサムウェアグループにより使用

  • bleepingcomputerより
  • 金融分野のフォーチュン 100 企業を標的としたランサムウェア攻撃者が、PDFSider と呼ばれる新しいマルウェアを使用して、Windows システムに悪意のあるペイロードを配信しました。
  • PDFSiderはDLLサイドローディングを使ってコード実行を行うようです。

2026/01/15

Microsoft Copilot セッションに侵入し、機密データを盗み出すコマンドを発行できる”Reprompt”

  • Varonis社のブログより
  • ワンクリックで個人データを盗むMicrosoft Copilot攻撃「Reprompt」が発見されました。
  • この問題は2026年1月のPatch Tuesdayで修正されたということです。

韓国のKyowon Group (Kyowon)がランサムウェア攻撃に

  • bleepingcomputerより
  • 韓国の複合企業Kyowonは、サイバー攻撃により業務停止と顧客情報が漏洩した可能性があることを明らかにしました。
  • 同社は今週初め、自社のシステムがランサムウェア攻撃の標的になったとみられることを最近知ったと声明を発表したそうです。

2026/01/14

LinkedInのコメントリプライを利用した新たなフィッシング詐欺

  • bleepingcomputerより
  • LinkedIn の投稿に、LinkedInプラットフォームから発信されたように見える偽の「Reply」コメントを大量に送りつけ、ユーザーに偽のポリシー違反を警告し、外部リンクにアクセスするよう促すというフィッシング詐欺が見つかっているようです。LinkedIn のロゴを付けて説得力を増している模様。

新しいVoidLinkマルウェアフレームワークがLinuxクラウドサーバーを標的に

  • bleepingcomputerより
  • 新たに発見された高度なクラウドネイティブ Linux マルウェア フレームワーク「VoidLink」はクラウド環境に重点を置いており、最新のインフラストラクチャ向けの攻撃ツールを提供しているそうです。

2026/01/13

ハワイ大学がんセンターがランサムウェア攻撃を受ける

  • bleepingcomputerより
  • ハワイ大学は、2025年8月にランサムウェアグループが同大学のがんセンターに侵入し、社会保障番号が記載されたデータを盗んだと報告しました。

2026/01/12

BreachForumsのハッキングフォーラムデータベースが漏洩、324,000件のアカウントが公開

  • bleepingcomputerより
  • ダークウェブで悪名高い「BreachForums」でデータ侵害が発生し、ユーザーデータベースのテーブルがオンラインで漏洩しました。
  • BreachForums は、盗んだデータの取引や販売などで使用されるハッキングフォーラムです。
  • ShinyHuntersの公開サイトで、breachedforum.7z という名前のアーカイブが公開されました。ただし、ShinyHuntersはこのアーカイブ公開サイトとは関係ないと主張している模様です。

2026/01/09

複数のCiscoスイッチが数分ごとに再起動するループに陥る

  • bleepingcomputerより
  • 複数の Cisco スイッチ モデルで、致命的な DNS クライアント エラーが記録された後に突然再起動ループが発生している模様です。
  • bleepingcomputerによると、下記のログが出るらしいです。
  • DNS_CLIENT - SRCADDRFAIL - Result is 2. Failed to identify address for specified name 'www.cisco.com.', requested addr type 2. ***** FATAL ERROR ***** Reporting Task: DNSC. [debug data] ***** END OF FATAL ERROR *****

2026/01/07

IABのZestixがクラウドストレージを標的にしている模様

  • HudsonRockのブログより
  • IAB(初期アクセスブローカー)のZestixが、ShareFileやNextCloudでMFAを有効にしていないアカウントを標的にしてストレージに侵入してデータを盗んでいる模様です。

Kimwolfボットネットが住宅用プロキシネットワークを使って広がる

  • bleepingcomputerより
  • Aisuru マルウェアの Android 版である Kimwolf ボットネットが、200 万以上のホストにまで拡大しているそうです。どうやら住宅用プロキシネットワークの脆弱性を悪用して、家庭内のデバイスを標的にすることで感染を広げている模様です。
  • セキュリティ企業のSynthientが、Port 5555/5858/12108/3222 をターゲットとして、プロキシを通じて公開されている認証されていないADB(Android Debug Bridge)サービスのスキャン活動が増加していることを確認しました。これがKimwolfボットネットがデバイスを感染拡大の標的にしている活動のようです。

2026/01/06

USブロードバンドプロバイダのBrightspeedがCrimson Collectiveによる攻撃を受ける

  • bleepingcomputerより
  • 米国最大の光ファイバーブロードバンド会社の一つであるBrightspeedが、Crimson Collectiveによるセキュリティ侵害とデータ盗難にあった模様です。

BSOD(Blue Screen Of Death)を模倣してClickFix攻撃を仕掛けるマルウェア

  • Securonixのブログより
  • 偽のBooking.comページから偽の「ブルースクリーン」(BSOD)アニメーションが表示され、Windowsの「ファイル名を指定して実行」ダイアログに悪意のあるスクリプトを貼り付けて問題を「修正」するよう促される様です。気をつけましょう。

2026/01/05

  • Checkpointブログより
  • Google Cloud Application Integration(GCP)を悪用し、Googleが生成した正規のメッセージを偽装した悪意のあるメールを配布するフィッシングキャンペーンが行われている模様です。このメールは、信頼できるGoogleインフラストラクチャから送信されたように見せかけ、ボイスメールのアラートやファイルへのアクセスや権限のリクエストといった企業の日常的な通知を模倣することで、受信者には正常で信頼できるメールのように見せかけます。
タイトルとURLをコピーしました