セキュリティレポート　2026/1/7

記事中の「MongoDB」の脆弱性は、家の鍵が壊れているのではなく、「特定の窓が外から簡単に開いてしまう」ような状態です。

パッチを当てることは、その窓に頑丈な格子を取り付けることに相当します。

早急な対応を心がけましょう。

■ 今週のエグゼクティブサマリー

2026年1月第1週は、データベースやバックアップ管理システムを狙った深刻な脆弱性が複数報告されており、特に注意が必要です。

これらは、外部から機密情報を盗み取られたり、システムを完全に制御されたりする「リモートコード実行」や「認証回避」の点で非常に危険性が高いです。

また、ロシア関連の攻撃グループ「UAC-0184」がメッセージアプリを悪用したスパイ活動を展開しており、国内でも日産自動車の委託先や米アフラック（日本法人への影響懸念含む）における大規模な情報漏洩などのインシデントが多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ NoSQLデータベース「MongoDB」の情報漏洩の脆弱性

• CVE-2025-14847 (MongoBleed): システムの不備に起因し、外部の攻撃者によって重大な機密情報が窃取される恐れがあります。既に「MongoBleed」として知られ、悪用を試みる動きに警戒が呼びかけられています。
• 影響: MongoDBを利用している環境。
• 対策: JPCERT/CCなどの注意喚起に基づき、修正パッチの適用やアクセス制限などの対策を速やかに実施してください。

■ 「IBM API Connect」の認証回避の脆弱性

• CVE-2025-13915 (CVSSv3.1: 9.8): 本来必要な認証をすり抜けてしまう不備に起因し、外部から管理者権限でリモートアクセスされる恐れがあります。極めて高いスコアであり、システムの完全な乗っ取りにつながる危険があります。
• 影響: IBM API Connectを利用している環境。
• 対策: 提供されている暫定修正プログラムの適用を強く推奨します。

【その他の脅威の動向】

■ JavaScriptライブラリ「React.js」に深刻な脆弱性「React2Shell」

JavaScriptのフレームワークとして広く使われているReact.js（Next.js含む）において、遠隔から任意の命令を実行される脆弱性（CVE-2025-55182）が悪用されています。既に「RondoDox」などのボットネットがこの隙を突いて、サーバーに仮想通貨の発掘ツールやマルウェアを送り込む攻撃を開始していることが確認されました。Web開発に関わる組織は、自社のサービスが影響を受けないか、最新バージョンへの更新を急ぐ必要があります。

■ 国内企業における委託先経由の情報漏洩インシデント

国内では、業務委託先のセキュリティ不備を突いた情報漏洩が目立ちました。日産自動車の委託先が不正アクセスを受け、約21,000人分の顧客情報が流出した可能性があるほか、アスクルでもランサムウェア攻撃により72万件以上の個人情報が流出した詳細が公表されています。また、米アフラックでは攻撃グループ「Scattered Spider」の関与が疑われるサイバー攻撃により、2,265万人もの膨大な顧客データが流出した可能性が報じられています。自社だけでなく、提携先を含めたサプライチェーン全体の管理が急務です。

■ Android端末を狙った「Dolby」オーディオ機能の脆弱性修正

Googleは、Androidの2026年1月の更新プログラムにて、Dolbyオーディオデコーダーに関する深刻な脆弱性（CVE-2025-54957）を修正しました。この不備が悪用されると、細工された音声ファイルを読み込むだけでデバイスが侵害される恐れがあります。スマートフォンは個人の機密情報の宝庫であるため、OSのアップデート通知が届き次第、早急に更新を適用してください。

最後に

今週は特に、「認証を回避して内部に入り込む攻撃」と「サプライチェーン（委託先）を狙った情報窃取」が目立ちました。

貴社のシステムや委託先との連携がこれらの脅威に晒されていないか、今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。