2026Q1 サイバー攻撃関連

2026.01.05

ここでは実際に2026Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました(ランサムウェア攻撃という様に、最近では不可分になってきたため)

2025Q4 サイバー攻撃関連はこちら
2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2026/01/29

Operation Bizarre Bazaar。公開されたLLMエンドポイントが狙われている模様

  • Pillar Securityのレポートより
  • 「Bizarre Bazaar」とよばれる攻撃キャンペーンが展開されており、保護が弱い LLM インフラストラクチャ エンドポイントへ不正アクセスして次のような被害をもたらしている模様です。
    • 暗号通貨マイニング
    • ダークネット市場でAPIアクセスを再販
    • プロンプトや会話履歴からデータを盗む
    • MCPサーバーを介して内部システムに侵入
  • 攻撃者はPort11434 上の保護の弱いOllamaエンドポイントや、Port 8000上のOpenAI互換 API、誰でもアクセスできるMCPなどを狙っている模様です。

FBIがRAMPダークウェブフォーラムを差し押さえた模様

Moltbot(旧Clawdbot)、気をつけないと情報が漏れる模様

  • bleepingcomputerより
  • Moltbot (旧Clawdbot) の企業環境で、展開に気をつけないとAPI キー、OAuth トークン、会話履歴、資格情報が漏洩する可能性があることが指摘されています。
  • Moltbot はローカルで 24 時間 365 日実行でき、永続的なメモリを維持し、アラートやリマインダーのためにユーザーに積極的に連絡したり、スケジュールされたタスクを実行したりすることができます。
  • Moltbot を不注意に導入すると、チャットボットの権限やホスト上のアクセス レベルに応じて、機密データの漏洩、企業データの露出、資格情報の盗難、コマンドの実行につながる可能性があるという警告がセキュリティ研究者から出ています。リバースプロキシの設定ミスにより、数百ものClawdbot Controlの管理インターフェースがオンラインで公開されているとのことです。

eScan AntiVirusのアップデートサーバが侵入され、悪意のあるアップデートがプッシュされる

  • bleepingcomputerより
  • MicroWorld Technologies 社製のeScan Antivirusで、今月初めに同社の更新サーバーの 1 つが侵入され、悪意のある不正な更新を少数の顧客に配布したことが確認されたそうです。1/20に判明したそうです。
  • eScan によれば、影響を受けた顧客に対しては個別に修復策が提供されているとのことです。

2026/01/28

NikeがWorld Leaks Ransomwareグループによる攻撃を調査

  • bleepingcomputerより
  • NikeはWorld Leaksランサムウェアグループが1.4TBのデータを盗んだと主張している件について調査を行っている模様です。

2026/01/27

CloudFlareの01/22のBGPルートリークについて

  • CloudFlareブログより
  • 01/22/2026に自動ルーティングポリシーの設定エラーによりBGPルートリークが発生したそうです。

Microsoft App-VがClickFix攻撃に使われる

  • bleepingcomputerより
  • Amatera インフォスティールマルウェアのキャンペーンで、Microsoft Application Virtualization (App-V)を使用するClickFix攻撃が観測されているそうです。

2026/01/23

Zendeskが悪用されSPAMメッセージを送信

  • bleepingcomputerより
  • 正規企業のZendeskサポートシステムからSPAMが送信され、DropBoxや2Kなど複数の企業がスパム攻撃の影響を受けている模様です。

2026/01/22

LastPassを装ったフィッシングメール

  • bleepingcomputerより
  • LastPassを装ったフィッシングメールが出回っているそうです。バックアップを今すぐ作成するように誘導し、リンクをクリックさせてパスワードを入力させることで、パスワードを窃取するのが目的のようです。

2026/01/21

VoidLinkマルウェア。AIにより作成されたマルウェア

  • CheckPointのリサーチブログより
  • AIにより作成されたマルウェアとみられる「VoidLink」マルウェアの続報が上がっています。後で記事にする予定です。

PDFSiderマルウェア。複数のランサムウェアグループにより使用

  • bleepingcomputerより
  • 金融分野のフォーチュン 100 企業を標的としたランサムウェア攻撃者が、PDFSider と呼ばれる新しいマルウェアを使用して、Windows システムに悪意のあるペイロードを配信しました。
  • PDFSiderはDLLサイドローディングを使ってコード実行を行うようです。

2026/01/15

Microsoft Copilot セッションに侵入し、機密データを盗み出すコマンドを発行できる”Reprompt”

  • Varonis社のブログより
  • ワンクリックで個人データを盗むMicrosoft Copilot攻撃「Reprompt」が発見されました。
  • この問題は2026年1月のPatch Tuesdayで修正されたということです。

韓国のKyowon Group (Kyowon)がランサムウェア攻撃に

  • bleepingcomputerより
  • 韓国の複合企業Kyowonは、サイバー攻撃により業務停止と顧客情報が漏洩した可能性があることを明らかにしました。
  • 同社は今週初め、自社のシステムがランサムウェア攻撃の標的になったとみられることを最近知ったと声明を発表したそうです。

2026/01/14

LinkedInのコメントリプライを利用した新たなフィッシング詐欺

  • bleepingcomputerより
  • LinkedIn の投稿に、LinkedInプラットフォームから発信されたように見える偽の「Reply」コメントを大量に送りつけ、ユーザーに偽のポリシー違反を警告し、外部リンクにアクセスするよう促すというフィッシング詐欺が見つかっているようです。LinkedIn のロゴを付けて説得力を増している模様。

新しいVoidLinkマルウェアフレームワークがLinuxクラウドサーバーを標的に

  • bleepingcomputerより
  • 新たに発見された高度なクラウドネイティブ Linux マルウェア フレームワーク「VoidLink」はクラウド環境に重点を置いており、最新のインフラストラクチャ向けの攻撃ツールを提供しているそうです。

2026/01/13

ハワイ大学がんセンターがランサムウェア攻撃を受ける

  • bleepingcomputerより
  • ハワイ大学は、2025年8月にランサムウェアグループが同大学のがんセンターに侵入し、社会保障番号が記載されたデータを盗んだと報告しました。

2026/01/12

BreachForumsのハッキングフォーラムデータベースが漏洩、324,000件のアカウントが公開

  • bleepingcomputerより
  • ダークウェブで悪名高い「BreachForums」でデータ侵害が発生し、ユーザーデータベースのテーブルがオンラインで漏洩しました。
  • BreachForums は、盗んだデータの取引や販売などで使用されるハッキングフォーラムです。
  • ShinyHuntersの公開サイトで、breachedforum.7z という名前のアーカイブが公開されました。ただし、ShinyHuntersはこのアーカイブ公開サイトとは関係ないと主張している模様です。

2026/01/09

複数のCiscoスイッチが数分ごとに再起動するループに陥る

  • bleepingcomputerより
  • 複数の Cisco スイッチ モデルで、致命的な DNS クライアント エラーが記録された後に突然再起動ループが発生している模様です。
  • bleepingcomputerによると、下記のログが出るらしいです。
  • DNS_CLIENT - SRCADDRFAIL - Result is 2. Failed to identify address for specified name 'www.cisco.com.', requested addr type 2. ***** FATAL ERROR ***** Reporting Task: DNSC. [debug data] ***** END OF FATAL ERROR *****

2026/01/07

IABのZestixがクラウドストレージを標的にしている模様

  • HudsonRockのブログより
  • IAB(初期アクセスブローカー)のZestixが、ShareFileやNextCloudでMFAを有効にしていないアカウントを標的にしてストレージに侵入してデータを盗んでいる模様です。

Kimwolfボットネットが住宅用プロキシネットワークを使って広がる

  • bleepingcomputerより
  • Aisuru マルウェアの Android 版である Kimwolf ボットネットが、200 万以上のホストにまで拡大しているそうです。どうやら住宅用プロキシネットワークの脆弱性を悪用して、家庭内のデバイスを標的にすることで感染を広げている模様です。
  • セキュリティ企業のSynthientが、Port 5555/5858/12108/3222 をターゲットとして、プロキシを通じて公開されている認証されていないADB(Android Debug Bridge)サービスのスキャン活動が増加していることを確認しました。これがKimwolfボットネットがデバイスを感染拡大の標的にしている活動のようです。

2026/01/06

USブロードバンドプロバイダのBrightspeedがCrimson Collectiveによる攻撃を受ける

  • bleepingcomputerより
  • 米国最大の光ファイバーブロードバンド会社の一つであるBrightspeedが、Crimson Collectiveによるセキュリティ侵害とデータ盗難にあった模様です。

BSOD(Blue Screen Of Death)を模倣してClickFix攻撃を仕掛けるマルウェア

  • Securonixのブログより
  • 偽のBooking.comページから偽の「ブルースクリーン」(BSOD)アニメーションが表示され、Windowsの「ファイル名を指定して実行」ダイアログに悪意のあるスクリプトを貼り付けて問題を「修正」するよう促される様です。気をつけましょう。

2026/01/05

  • Checkpointブログより
  • Google Cloud Application Integration(GCP)を悪用し、Googleが生成した正規のメッセージを偽装した悪意のあるメールを配布するフィッシングキャンペーンが行われている模様です。このメールは、信頼できるGoogleインフラストラクチャから送信されたように見せかけ、ボイスメールのアラートやファイルへのアクセスや権限のリクエストといった企業の日常的な通知を模倣することで、受信者には正常で信頼できるメールのように見せかけます。
タイトルとURLをコピーしました