Published:
January 6, 2026
シスディグによるファルコフィード
Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
さらに詳しく
本文の内容は、2026年1月6日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/security-briefing-december-2025)を元に日本語に翻訳・再構成した内容となっております。
年末をプレッシャーの中で迎える
12月は通常、1年を締めくくるための一息つく時期であり、次への移行期間とされています。多くの組織が業務の減速や変更凍結を行う一方で、オンコール体制のセキュリティチームは、買い物客の増加や寄付シーズン、警戒が緩みがちな状況につけ込もうとする脅威アクターの動きを不安とともに待ち構えています。2025年の終わりにかけて、攻撃者は引き続き手口を進化させ、APTレベルの注目すべきキャンペーンがいくつも確認されました。
12月3日:React2Shell(CVE-2025-55182)
- React2Shellは、React Server Components を使用して構築されたアプリケーションに影響を与える、最大深刻度の未認証RCE(リモートコード実行)脆弱性です。
- 脆弱性の公開直後に、公開された概念実証(PoC)エクスプロイトがリリースされ、攻撃者が任意のコードを注入・実行し、RCEを達成できる状態となりました。
- 組織は影響を受ける React および Next.js のバージョンをパッチ適用する必要がありますが、それに加えて関連するフレームワークや依存関係の更新を行い、異常なプロセス実行や予期しないネットワーク通信を監視する必要があります
- Sysdigの対応:12月5日、Sysdig Threat Research Team(TRT)は、影響を受けるすべての組織に向けた推奨対応手順と、Sysdig Secureの顧客およびFalcoユーザー双方に向けた検知方法をまとめたブログを公開しました。また、顧客に対して脅威速報(Threat Bulletin)もメールで配信されました。
12月4日:BRICKSTORM バックドア
- BRICKSTORMマルウェアに関する情報は、9月の初回発見に続き、12月に再び注目を集めました。
- NSA、CISA、カナダ・サイバーセキュリティセンターは、中国の国家支援型脅威アクターによる BRICKSTORM の使用について、IOC(侵害指標)や検知情報を含む詳細な報告書を公開しました。
- この脅威アクターは、政府サービス、重要インフラ、IT分野における Linux ベースのクラウド環境を標的としています。
- このマルウェアは、リモートサーバーを被害者のローカルVMにマウントすることで永続的な遠隔操作を可能にし、認証情報を抽出し、ラテラルムーブメントを実現します。また、正規のクラウドツールやAPIを悪用して検知を回避し、C2通信を隠蔽するために複数層の暗号化を使用します。
- 初期侵入ベクトルはいまだ不明であるため、組織には検知ルールやIOCを活用して、BRICKSTORMの活動の可能性を特定することが推奨されています。
12月28日:MongoBleed(CVE-2025-14847)
- MongoBleedは、2017年以降のほぼすべてのMongoDBバージョンに影響を及ぼしている、長年存在していたデータ露出の問題です。
- この脆弱性は現在も積極的に悪用されており、数万件のインスタンスがリスクにさらされています。
- これはMongoDBの zlib メッセージ圧縮処理経路に存在する欠陥であり、ネットワークアクセスが可能な未認証の攻撃者がMongoDBサーバーを繰り返しプロービングすることで、メモリ断片を漏えいさせ、認証情報や内部アプリケーション情報など、さまざまな機密データを収集することが可能です。
- 組織はすべてのMongoDBデプロイメントの監査とパッチ適用を実施し、認証とネットワーク分離を強化するとともに、不審なメモリ読み取りパターンを監視する必要があります。
TRTによる追加調査結果
- 12月にReact2Shell脆弱性が公開された後、Sysdig TRTは注目すべき新たな脅威を特定しました。12月8日、同チームは「EtherRAT」と名付けた新種のマルウェアに関する技術分析を公開しました。この非常に高度なキャンペーンでは、国家主体レベルのTTP(戦術・技法・手順)がReact2Shell脆弱性の悪用に持ち込まれていました。EtherRATは、EthereumブロックチェーンのスマートコントラクトをC2(コマンド&コントロール)に利用する、多段階の攻撃チェーンです。
- さらに12月16日、Sysdig TRTは、攻撃者のC2インフラから回収された5種類の異なるペイロードについて詳細に解説した追加ブログを公開しました。これら両方のブログには、IOCや、その他の推奨される検知および対応策が含まれています。
その他のニュース
- 欧州宇宙機関(ESA)の侵害:このインシデントは「外部」および「非機密」である点が強調され、軽く扱われていますが、ESAは12月30日、一部のサーバーが侵害されたことを正式に認めました。無関係の脅威アクターがすでに BreachForums 上で犯行声明を出しています。BitbucketおよびJIRAに1週間以上アクセスできたとされるこの脅威アクターは、同機関の共同エンジニアリングプロジェクトに関連する200GB以上のソースコード、ハードコードされた認証情報、トークン、文書などを窃取したとされています。侵害は侵害ですが、明るい材料としては、適切なネットワーク分離が行われていたことで被害範囲(ブラスト半径)が限定され、主要な内部システムへの影響が防がれたようです。
- Kubernetes 1.35 のリリース:12月17日に公開された「World Tree Release」では、WebSocketsへの移行、なりすまし(インパーソネーション)機構使用時の新たな制限、kubectlのユーザー設定をクラスター認証情報およびサーバー設定からデフォルトで分離する変更が含まれています。
- フランスの郵便・銀行サービスをDDoSが妨害:12月22日、年間で最も繁忙な時期の一つに、La Poste および La Banque Postale がDDoS攻撃の影響を受けました。オンラインの郵便・銀行サービス、Webページ、アプリが数時間にわたり停止し、荷物の配達にも支障が生じました。
まとめ
12月は、2025年の始まりと同じ形で1年を締めくくりました。すなわち、防御側には大きなプレッシャーがかかり、攻撃者は機会を探し続けている状況です。セキュリティの仕事は、正しく行われているときほど目に見えにくいものですが、12月はこの分野において慢心の余地がいかに少ないかを改めて浮き彫りにしました。
今月に明らかになった重大なアプリケーション脆弱性や国家主体レベルの攻撃手法を振り返ると、三つの教訓が思い浮かびます。2026年に向けて、防御側は「可視性」を最優先し、「レジリエンスを前提とした設計」を行い、そして「協調と情報共有の重要性を決して過小評価してはならない」ということです。脅威が進化し続けることは明らかであり、私たち自身もまた進化し続けなければなりません。