【2026年6月第2週】ゼロデイから国家系攻撃まで ― 日本企業を狙う最新脅威4選

今週確認された脅威からは、「古い脆弱性だから安全」という考えが通用しなくなっていることが見えてきました。

日本国内で利用されるシステムを狙ったゼロデイ攻撃に加え、金融サービスを狙うフィッシング、旅行者を標的とした詐欺、さらには数年前に修正済みの脆弱性を悪用する国家系攻撃まで確認されています。

攻撃者は最新の脆弱性だけでなく、運用の隙や更新漏れも積極的に狙っています。企業には継続的な監視と基本的なセキュリティ対策の徹底が求められています。

[脅威 1] 日本で広く利用されているLMS「KnowledgeDeliver」におけるゼロデイ攻撃

日本で広く利用されている学習管理システム（LMS）「KnowledgeDeliver」に存在する深刻度の高い脆弱性（CVE-2026-5426）が、ハードコードされたASP.NETのマシンキーを悪用したゼロデイ攻撃として活発に利用されました。攻撃者はこの共有秘密鍵を悪用し、ViewStateの逆シリアライズを通じて認証不要のリモートコードを実行し、「Godzilla」Webシェルを仕込んでサーバーの制御権を掌握しました。その後、攻撃者は侵害されたLMSサイトに偽のセキュリティ警告を表示させ、訪問者を騙してCobalt Strike Beaconをドロップする特注のローダーをダウンロードさせました。

出典: 　KnowledgeDeliver LMS Flaw Exploited to Deploy Godzilla and Cobalt Strike

推奨される対応： すべてのDigital Knowledge KnowledgeDeliverインスタンスを直ちに2026年2月24日以降にリリースされたバージョンに更新し、デフォルトのASP.NETマシンキーをローテーションし、Webアプリケーションディレクトリに対して不正なJavaScriptの改変がないか監査を行ってください。

[脅威2] 日本の観光客を標的とした不正eSIM詐欺

日本において、フィッシングや詐欺の波が拡大している。悪意のある攻撃者が正規のeSIMプロバイダーを装い、現地の通信事情に不慣れな観光客や新規移住者を標的にしている。これらの詐欺師は、洗練された公式サイトに見せかけたクローンサイトや、非現実的に安いデータプランを提示する迷惑メッセージを用いて被害者を誘い込み、サービスを提供することなく、最終的に金融認証情報や個人情報を盗み出す。この詐欺に巻き込まれた観光客は、ネットワークの即時的な利用停止、金銭的損失、そして個人情報が漏洩することによる長期的ななりすまし被害のリスクにさらされる。

出典：　Japan eSIM Scam Alerts: what to do if you’re already in Japan and got scammed - WG JAPAN eSIM Guide – Japan eSIM & Japan Travel eSIM Guides

推奨される対応： 公式の通信事業者リストを通じてeSIMプロバイダーを確認し、詐欺被害に遭った場合は直ちに侵害された端末を金融口座から切り離し、日本消費者センターまたは地元の警察に被害を届け出ること。

[脅威 3] IG Japanが2FAを義務化、CFDブローカー各社はフィッシング詐欺の急増に直面

IG Securitiesは、業界全体で深刻化しているフィッシング詐欺の急増に対抗するため、6月までに2段階認証（2FA）を義務化し、有効化しないユーザーの利用を停止する。これと並行して、同社は、権限のない社内従業員が162,879人の顧客の個人情報および「マイナンバー」にアクセスできたという大規模なデータ管理ミスを公表した。さらに、外部委託業者の管理不備により、承認されていない外部サーバー上に29,734件の顧客記録がさらされていたことが判明し、同社は個人向けバニラ・オプション取引を突然停止した。

出典： CFD Brokers Confront Phishing Surge as IG Japan Makes 2FA Compulsory

推奨される対応策： すべての取引プラットフォームにおいて直ちに2FAを義務化し、サードパーティ製サーバーのアクセス権限を監査するとともに、厳格な役割ベースのアクセス制御を導入し、「マイナンバー」情報などの機密性の高い顧客データに対する社内の閲覧権限を制限すること。

[脅威 4] Kimsuky、韓国と日本でBlueKeepの脆弱性を悪用

北朝鮮が支援する脅威グループ「Kimsuky」は、深刻かつワーム化可能な「BlueKeep」RDP脆弱性（CVE-2019-0708）を積極的に悪用し、日本と韓国全域のインフラを侵害している。2019年からパッチが提供されていたにもかかわらず、パッチ未適用のレガシーシステムが存在したため、攻撃者は認証不要のリモートコード実行を実現し、ネットワークへの初期侵入に成功しました。侵入後、同グループは高度な横方向の移動（ラテラルムーブメント）および権限昇格の手法を用いて、持続性を維持し、機密性の高い組織データを外部へ持ち出しました。

出典：　Kimsuky Exploits BlueKeep Vulnerability in South Korea and Japan – ParanoidCybersecurity

推奨される対応策： 外部に公開されているすべての資産について、RDPポートの露出状況を直ちに監査し、レガシーなWindowsシステムにはCVE-2019-0708に対するMicrosoftのセキュリティ更新プログラムを適用するとともに、リモートアクセスには多要素認証と併せてネットワークのセグメンテーションを徹底してください。

さいごに

AI環境はしばしば「ツール」として紹介されますが、

外部に公開された瞬間から、それらはサーバーと全く同じリスクを伴う資産となる。

最近のGHOSTキャンペーンは、こうした認識のギャップを悪用した攻撃の典型的な例である。

まず、貴社のAI環境が外部からどのように見えるかを確認することから始めてください。

ここまでお読みいただき、ありがとうございました。

私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報（Threat Intelligence）を専門とする専門家集団として、

日々、現場でお客様とともに脅威に向き合っています。

「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」

といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。

そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。

だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。

少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。