セキュリティレポート　2026/1/21

2026年が本格始動した途端、CiscoやOracleから広範な修正プログラムのリリースが相次ぎ、IT部門の皆様にとっては対応に追われる慌ただしい一週間となりました。

認証なしでシステムを掌握されるような深刻な脆弱性が含まれている以上、これらを単なる定例作業として見過ごすわけにはいきません。

巧妙化する不正アプリや国内の侵害事例も踏まえ、今すぐ確認すべきリスクと対策をまとめましたので、ぜひご一読ください。

■ 今週のエグゼクティブサマリー

2026年1月第3週は、Cisco製品におけるゼロデイ脆弱性の悪用およびOracle製品の広範な定例アップデートが報告されており、特に注意が必要です。

これらは、攻撃者が認証なしでシステムを乗っ取ることができるなど、非常に危険性が高いものです。

また、国内ではNTTドコモを装った不正アプリによる情報窃取や、JR九州グループでの不正アクセスといったインシデントも多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Cisco Unified Communications 製品のRCE脆弱性

• CVE-2026-20045 (CVSSv3.1: クリティカル評価): 認証を受けていない攻撃者が、ネットワーク経由で遠隔から任意のプログラムを実行（RCE）し、OSの最高権限（root）を奪取できる恐れがあります。既に実際の攻撃への悪用が確認されており、米CISAの「既知の悪用された脆弱性（KEV）」カタログにも追加されました。
• 影響: Cisco Unified Communications Manager、Webex製品など。
• 対策: Ciscoが公開した修正済みソフトウェアへ直ちにアップグレードしてください。回避策はありません。

■ Oracle製品の2026年1月定例アップデート（CPU）

• CVE-番号 (複数) (CVSSv3.1: スコア9.0以上が27件): Oracleは四半期に一度の定例パッチを公開し、計337件の脆弱性を修正しました。悪用されると、データベースの破壊や機密情報の流出を招く恐れがあります。広範な製品に影響し、一部の脆弱性は非常に深刻です。
• 影響: Oracle Database、Java SE、Fusion Middlewareなど多数のOracle製品。
• 対策: Oracleが提供する「クリティカルパッチアップデート（CPU）」を速やかに適用してください。

【その他の脅威の動向】

■ NTTドコモを騙る不正アプリ「dアップグレード」への注意喚起

1月15日、NTTドコモは「dアップグレード」という名称の不正アプリについて注意を呼びかけました。偽のSMS等から誘導され、誤ってアプリをインストールすると、スマートフォンのパスワードや個人情報が盗み取られたり、不正決済に悪用されたりするリスクがあります。公式以外のストアや不審なリンクからアプリを導入しないよう、従業員への周知が必要です。

■ 国内企業における不正アクセスと開発環境の侵害

国内では複数の不正アクセス事案が公表されました。「ジモティー」では、自動ビルド用の外部プログラムに不正なコードが混入され、開発環境が侵害される事案が発生しました。また、JR九州のグループ会社において不正アクセスが発生し、従業員約1万4000人分の個人情報が流出した可能性があると発表されています。自社で利用している外部ツールや、グループ会社のセキュリティ管理体制を再点検することが重要です。

■ 米Under Armour社における7200万件超のデータ流出

ロシアに関連するとされるランサムウェアグループが、スポーツ用品大手Under Armourの顧客データ約7270万件を窃取し、ダークウェブ上に公開しました。流出したデータにはメールアドレスなどの個人情報が含まれており、これらを悪用した二次的なフィッシング攻撃の増加が懸念されます。

最後に

今週は特に、「Cisco製品のゼロデイ攻撃」と「国内の有名サービスや開発環境を狙った侵害」が目立ちました。

攻撃者は常にシステムの脆弱性や人間の心理的な隙を狙っています。

貴社のシステムが最新の状態に保たれているか、また不審なアプリやメールに対する警戒が徹底されているか、今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。