セキュリティレポート 2026/1/14
2026年が明けて早々、Microsoftから100件を超える修正パッチという「重量級の年賀状」が届いてしまいましたが、これを放置してゼロデイ攻撃の標的になることだけは避けたいものです。
信頼していた国内ソフトの公式サイトですら一時的に改ざんされる昨今、セキュリティ対策においては「信じるよりも、まず更新」という姿勢が、今やビジネスの平穏を保つ最短ルートと言えるでしょう。
それでは、直ちに対応が必要な今週の重要項目をご確認ください。
■ 今週のエグゼクティブサマリー
2026年1月第2週は、Microsoft製品およびAdobe製品における大規模なセキュリティ更新が複数報告されており、特に注意が必要です。
これらは「ゼロデイ脆弱性(修正策が出る前に攻撃が始まること)」を含んでおり、放置すると外部からパソコンを操作されたり、重要なデータが盗まれたりする危険性が非常に高いです。
また、国内では人気テキストエディタ「EmEditor」の公式サイトが改ざんされるなどのインシデントも報告されました。
企業や個人の皆様は、お使いのソフトが最新の状態であるか直ちに確認してください。
【最重要】直ちに確認すべき脆弱性と対策
今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に悪用が試みられている可能性があります。速やかなアップデートの適用を強く推奨します。
■ Microsoft製品の1月例セキュリティ更新
- CVE-番号(複数): 2026年最初の定例アップデートとして、ゼロデイ脆弱性を含む合計114件の脆弱性に対処しました。悪用されると、攻撃者にシステムを完全に乗っ取られたり、情報を盗み取られたりする恐れがあります。一部で既に悪用が確認、または公開されています。
- 影響: Windows OS、Microsoft Office、Edgeブラウザなど広範囲。
- 対策: Windows Updateを実行し、最新のパッチを速やかに適用してください。
■ Adobe ColdFusionのリモートコード実行(RCE)の脆弱性
- CVE-番号(APSB26-12): ソフトウェアの依存関係に起因する脆弱性で、遠隔から任意のプログラムを実行される(RCE)恐れがあります。非常に緊急性が高く、速やかな対応が求められます。既に対策プログラムが公開されています。
- 影響: Adobe ColdFusion 各バージョン。
- 対策: Adobeが公開しているセキュリティアップデート(APSB26-12)を直ちに適用してください。
【その他の脅威の動向】
■ 「EmEditor」公式サイトのリンク改変によるマルウェア拡散の懸念
1月9日、国内で広く利用されているテキストエディタ「EmEditor」の公式サイトにおいて、ダウンロードボタンのリンク先が一時的に改ざんされていたことが報告されました。改ざん期間中にソフトウェアをダウンロードした場合、正規の署名とは異なる、悪意あるファイルをインストールしてしまった可能性があります。開発元は、公式サイトからダウンロードしたユーザーに対し、実行ファイルのデジタル署名を確認するよう注意を呼びかけています。
■ Adobe製品 11製品に対する一斉アップデート
1月13日から14日にかけて、AdobeはDreamweaver、InDesign、Illustrator、Bridgeなどを含む11の主要製品についてセキュリティ更新プログラムをリリースしました。これらには「クリティカル」と評価される深刻な脆弱性の修正が含まれています。クリエイティブ業務でこれらのツールを使用している組織は、全社的なバージョン確認と更新作業を急ぐ必要があります。
■ JNSA「2025年 セキュリティ十大ニュース」の発表
日本ネットワークセキュリティ協会(JNSA)は1月13日、昨年の重大なセキュリティ事案を振り返る「2025年 セキュリティ十大ニュース」を発表しました。1位には大手企業で発生した大規模なシステム障害などがランクインしています。過去の教訓を学び、2026年の対策に活かすための指標として、経営層やIT担当者による確認が推奨されます。
最後に
今週は特に、「OSや業務ソフトの定例更新」と「国内有名ソフトの配布サイト侵害」が目立ちました。
攻撃者は、多くの人が利用するソフトウェアの更新時期や、信頼されている公式サイトの隙を狙っています。
貴社のシステムが最新の状態に保たれているか、また不審なファイルをダウンロードしていないか、今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。
