セキュリティレポート 2026/2/12
OSのアップデートを「忙しいから」と後回しにする隙や、社長を名乗る不自然な連絡を「急ぎかも」と信じてしまう心理は、攻撃者にとって絶好の入り口となります。
今週は世界的なゼロデイ脆弱性から、身近なLINE詐欺まで、組織の大小を問わず無視できないリスクが立て続けに浮上しました。
貴社の安全を確保するため、まずは今週優先的に対応すべき以下のポイントをご確認ください。
■ 今週のエグゼクティブサマリー
2026年2月第2週は、マイクロソフトやアップルの製品において、既に攻撃に悪用されている「ゼロデイ脆弱性」が複数報告されており、特に注意が必要です。
これらはシステムの完全な制御権を奪われたり、機密情報を盗まれたりする点で非常に危険性が高いです。
また、中国に関連があるとされる攻撃グループ「UNC3886」の活動がシンガポールの通信インフラを標的にしていたことが判明し、国内では「社長になりすましてLINEグループ作成を求める詐欺メール」などのインシデントも多数報告されました。
【最重要】直ちに確認すべき脆弱性と対策
今週は、特に以下の脆弱性にご注意ください。これらは影響力が大きく、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。
■ マイクロソフト製品における複数の「ゼロデイ」脆弱性
- CVE-番号複数 (CVSSスコア未確定だが重要度「緊急」を含む): WindowsやOfficeなどの製品に存在する58件の脆弱性が修正されました。このうち6件は「ゼロデイ脆弱性」であり、パッチが公開される前から既に攻撃者によって悪用されていました。悪用されると、攻撃者にシステムを操作されたり、情報を盗まれたりする恐れがあります。既に悪用が確認されています。
- 影響: Windows 各バージョン、Microsoft Office、Exchange Serverなど。
- 対策: 「Windows Update」を速やかに実施し、最新のセキュリティ更新プログラムを適用してください。
- URL: https://msrc.microsoft.com/update-guide/ (Microsoft セキュリティ更新プログラムガイド)
■ Apple iOS/iPadOS のメモリ破損に関する脆弱性
- CVE-番号未確定 (重要度「高」): メモリの処理不備に起因し、悪意のあるアプリやWebサイトを通じて、デバイスの完全な制御権を奪われる恐れがあります。Appleはこの脆弱性が既に野外で悪用された可能性があるとの報告を把握しています。
- 影響: iPhone 8以降、iPad Pro(全モデル)、iPad Air 第3世代以降など、iOS/iPadOSを利用する広範なデバイス。
- 対策: 設定アプリから「iOS 26.3」または「iPadOS 26.3」へのアップデートを直ちに実施してください。
- URL: https://support.apple.com/ja-jp/HT201222 (Apple セキュリティアップデート情報)
【その他の脅威の動向】
■ 社長をかたる「LINEグループ作成」詐欺メールが国内で急増
2025年末頃から、企業の社長や役員の名を騙り、「業務連絡の効率化」という名目でLINEの友だち追加やグループ作成を求める詐欺メールが国内で相次いで確認されています。指示に従ってしまうと、偽の投資勧誘や不正な送金依頼、あるいはマルウェアへの感染といった大きな被害に繋がる恐れがあります。警視庁も注意を呼びかけており、「普段メールで連絡してこない相手からの急な依頼」には、必ず電話など別の手段で本人確認を行うことが重要です。
- URL: https://www.npa.go.jp/bureau/cyber/ (警察庁 サイバー警察局)
■ APTグループ「UNC3886」によるシンガポール通信事業者への大規模侵入
中国に関連するとされる高度なサイバー攻撃グループ「UNC3886」が、シンガポールの主要な通信事業者4社すべてに侵入し、約1年間にわたって潜伏していたことが判明しました。彼らはサービスを停止させるのではなく、機密性の高い技術データの抽出を目的に活動していました。このグループはソフトウェアの未知の欠陥(ゼロデイ)を突くなど極めて高い技術を持っており、重要インフラを持つ日本の組織にとっても大きな脅威となります。
- URL: https://www.jpcert.or.jp/at/2026.html (JPCERT/CC 注意喚起)
■ Ivanti EPMM の脆弱性を悪用したオランダ政府機関への攻撃
モバイルデバイス管理製品「Ivanti EPMM」の脆弱性が悪用され、オランダのデータ保護当局や裁判所などの職員の連絡先データが流出したことが報告されました。この脆弱性は既にCISA(米サイバーセキュリティ・インフラセキュリティ局)の「悪用が確認済みの脆弱性カタログ」にも追加されています。古いバージョンの製品を使い続けることの危険性が改めて浮き彫りになっており、利用企業は早急な確認が必要です。
- URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog (CISA 既知の脆弱性カタログ)
最後に
今週は特に、主要なOS(Windows、iOS)のゼロデイ脆弱性と、人間心理を突いたLINE詐欺の傾向が目立ちました。
貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、迅速なパッチ適用と従業員への注意喚起を講じていただくようお願いいたします。
(文中のURLは古い場合がございます。)
