MENU
お問い合わせ
  1. ホーム
  2. セキュリティレポート
  3. セキュリティレポート 2026/2/18

セキュリティレポート 2026/2/18

セキュリティレポート

スマートフォンのOS更新を「あとで」と後回しにしたい誘惑は、もはや現代人の共通の悩みと言えるかもしれません。

しかし、今週のゼロデイ攻撃のラッシュを目の当たりにすると、デジタル世界における「平穏な日常」がいかに脆いバランスの上にあるかを痛感させられます。

週末を心穏やかに迎えるためにも、まずは貴社のネットワークに潜む「見えないリスク」をこちらの最新レポートで今一度洗い出しておきましょう。

■ 今週のエグゼクティブサマリー

2026年2月第3週は、複数のゼロデイ脆弱性(修正プログラムが出る前に攻撃が開始される脆弱性)の悪用が複数報告されており、特に注意が必要です。

これらは、攻撃者が遠隔地からシステムを完全に制御したり、機密情報を盗み出したりできるという点で非常に危険性が高いです。

また、「BRICKSTORM」などの攻撃グループの活動も活発化しており、国内の病院やレジャー施設がランサムウェア被害に遭い、個人情報が流出するなどのインシデントも多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコア(脆弱性の深刻度評価)が高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ ソリトンシステムズ「FileZen」のOSコマンドインジェクションの脆弱性

  • CVE-2026-25108 (CVSSスコア: 高): ファイル転送製品「FileZen」において、外部から不正な命令を実行される(OSコマンドインジェクション)恐れがあります。これにより、システム内のファイルを盗まれたり、破壊されたりする危険があります。既に悪用による被害が発生しており、JPCERT/CCやIPAが緊急の注意喚起を行っています。
  • 影響: FileZen の特定バージョン
  • 対策: 製造元が提供する修正パッチを直ちに適用してください。
  • 詳細情報: https://www.jpcert.or.jp/at/2026/at260004.html

■ Google Chrome のゼロデイ脆弱性

  • CVE-2026-2441 (CVSSスコア: 高): Webブラウザ「Chrome」に、任意のプログラムを実行される恐れのある深刻な不具合が見つかりました。悪意のあるWebサイトを閲覧するだけで、パソコンが乗っ取られる可能性があります。既に野外(実際のインターネット環境)で攻撃が試みられていることが確認されています。
  • 影響: Windows、macOS、Linux版の Google Chrome(バージョン145未満)
  • 対策: ブラウザのメニューから最新バージョン(145以降)へのアップデートを強く推奨します。

■ Apple製品(iOS/macOS等)のゼロデイ脆弱性

  • CVE-番号複数 (CVSSスコア: 高): iPhoneやMacなどのOSにおいて、システムの中枢(カーネル)やブラウザエンジン(WebKit)を悪用される脆弱性が発見されました。これにより、デバイスの制御権を奪われる恐れがあります。既に悪用が確認されているゼロデイ脆弱性が含まれています。
  • 影響: iOS/iPadOS 26.3 未満、macOS 等のAppleデバイス
  • 対策: 「iOS 26.3」「iPadOS 26.3」など、提供されている最新のOSにアップデートしてください。

【その他の脅威の動向】

日本医科大学武蔵小杉病院でのランサムウェア被害と情報漏洩

国内の医療機関において、医療情報システムの一部がランサムウェア(データを暗号化して身代金を要求するウイルス)攻撃を受け、患者約1万人分の個人情報が流出した可能性があると発表されました。侵入経路はVPN装置の脆弱性であったと報告されており、2025年から続くVPNを狙った攻撃の恐ろしさが改めて浮き彫りになりました。診療自体には影響が出ていないものの、組織のセキュリティ管理体制の見直しが急務となっています。

2026年2月 マイクロソフト月例更新プログラムの公開

マイクロソフトは、Windows 11の標準アプリ「メモ帳」を含む多数の製品に対するセキュリティ更新プログラムを公開しました。特に「メモ帳」の脆弱性(CVE-2026-番号未詳、スコア8.8)は、細工されたファイルを開くだけで遠隔でコードを実行される恐れがあり、注意が必要です。この月例パッチには、既に悪用がリストに追加されている6件のゼロデイ脆弱性への対処も含まれています。

My SoftBankにおける他人の情報の誤表示(設定不備)

ソフトバンクの利用者向けサイト「My SoftBank」において、ログイン時に他人の情報が表示される不具合が発生しました。原因はプロキシサーバ(通信を中継する装置)のソフトウェアの不具合と報告されています。サイバー攻撃ではなくシステムの不備によるものですが、クラウドやネットワーク機器の設定ミスが重大なプライバシー侵害に直結する事例として、運用管理の重要性を示しています。

最後に

今週は特に、既に悪用が始まっているゼロデイ脆弱性への対策と、国内組織を狙ったランサムウェア攻撃が目立ちました。

貴社のシステムがこれらの脅威に晒されていないか、特に外部公開しているVPN装置や利用頻度の高いブラウザ、OSが最新の状態であるか今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。

(文中のURLは古い場合がございます。)

最新記事一覧

MPSのメディア

note

弊社エンジニアの活動報告やインタビューなどを掲載しているブログです。

noteを見る

各種SNSも運用しています。以下のボタンよりご覧ください。

Facebook
Linkdin
セキュリティレポート