※この記事の全文は、2026年2月に「ほぼこもセキュリティニュース」で取り上げた情報をもとに、生成AIによって要約・構成しています。
年度末の足音も少しずつ聞こえてくる3月。
日々の業務に追われるなかで、2月がどんな月だったのかをゆっくり振り返る時間は、なかなか取りづらい頃かもしれません。
というわけで、今月もお届けします。「ほぼこもセキュリティニュース・月イチまとめ」第10回。
生成AIの力も借りながら、2026年2月に取り上げたトピックをあらためて整理していきます。
日々のニュースを少し俯瞰して整理する時間として、本まとめをご活用いただければ幸いです。
サイバーセキュリティトレンドの概観:2026年2月の振り返り
2026年2月は、ソフトウェア更新プロセスを狙うインシデントや、ユーザー操作を誘導する攻撃手法、開発環境を含むツールの脆弱性など、複数の領域で脅威が確認された月でした。特に、更新機構や開発ツールといった信頼された仕組みを前提とする攻撃や、ユーザー操作を起点とする手口など、既存の攻撃モデルがさまざまな環境に適用される形で観測されています。
また、情報窃取マルウェアの継続的な活動や、自己拡散機能を備えたマイニングマルウェアの拡張、クローキングを用いた攻撃インフラの存在など、攻撃側の技術やサービスの分業化・高度化も引き続き確認されました。個別の脅威への対応だけでなく、資産管理やパッチ適用、利用ツールや公開リポジトリを含めた運用環境全体を見渡したリスク管理が求められる状況が続いています。
更新機構が攻撃経路になる時代
2月は、ソフトウェアの更新プロセスそのものが攻撃対象になる事例が目立ちました。
代表的な事例として、eScanアンチウイルスの更新サーバ侵害がありました。正規の更新通信を通じて端末の設定変更などの不正な変更が行われる状況となり、影響を受けた端末では自動更新だけでは復旧できず、手動での対応が必要となるケースも確認されています。
加えてNotepad++の自動更新機能の悪用も確認され、広く使われるツールの更新機構がそのまま攻撃経路になることが改めて示されました。Notepad++はその後更新機能の改善を行いましたが、「信頼された更新経路」が狙われる状況は引き続き警戒が必要です。
日常ツールと開発環境の脆弱性
アプリケーションの脆弱性も複数報告されました。
Google Chromeの新たな脆弱性では迅速なアップデート適用が求められ、更新が配布されても再起動しなければ適用されないという運用面の課題も改めて浮き彫りになりました。また、Windows標準メモ帳のMarkdownリンクを悪用したリモートコード実行の問題も確認されています。
さらに Metro Development Serverの脆弱性「Metro4Shell(CVE-2025-11953)」が実際の攻撃で悪用されていることも報告されました。開発用サーバであっても外部から到達可能な状態で残されていれば攻撃対象になり得るという、資産管理とパッチ適用の基本を思い出させる事例です。
ユーザー操作と開発プロセスを突く攻撃
攻撃手法の面では、ユーザー操作や開発プロセスを利用するケースが確認されました。
ClickFixと呼ばれる手口では、偽のエラーメッセージや認証画面などを通じてユーザーを誘導し、不正なコマンドを実行させる攻撃が確認されています。今回の事例では nslookupコマンドを利用したDNS問い合わせの仕組みを悪用し、後続のコマンド実行につなげる手法が報告されました。
また Next.jsリポジトリを悪用した攻撃も報告され、公開リポジトリや依存関係が攻撃経路になる可能性が示されました。開発環境や開発ツールも含めたサプライチェーンへの注意が求められています。
情報窃取マルウェアとマイニング型マルウェア
マルウェアの分野では、情報窃取型とマイニング型の両方で動きがありました。
LTX StealerやLummaStealerは、ブラウザの認証情報や暗号資産関連情報を狙う情報窃取マルウェアとして活動を続けています。これらは難読化技術を用いて配布され、MaaS(Malware as a Service)として提供されるケースも確認されています。
また、機能が拡張されたXMRigでは自己増殖する“wormable”特性が確認され、感染端末からネットワーク内へ拡散する可能性が指摘されています。マルウェアの進化は続いていますので、引き続き注意が必要です。
AI悪用とマルバタイジングの裏側
AI関連の動きも2月のトピックの一つでした。
生成AIをC2プロキシとして利用する手法が確認され、攻撃者が通信やデータ取得の痕跡を隠す用途にAIを使うケースが報告されています。また 、Android環境向けのマルウェア「PromptSpy」では、生成AIを利用してユーザー操作を模倣し、機密情報を取得する手法が確認されました。
さらに、クローキングサービス「1Campaign」の存在も報告されています。検索エンジンやセキュリティスキャナーには無害なページを表示し、実際のユーザーのみをフィッシングや暗号資産流出ページへ誘導する仕組みで、マルバタイジングを支える攻撃インフラの一例です。
防御技術も進化
一方で、防御側の技術も更新されています。
tirithはホモグラフ攻撃やターミナルインジェクションなどを検出するツールとして紹介されました。攻撃手法の変化に合わせて、防御側のツールや検知技術も更新され続けていることが確認された月でした。
2月のまとめ
2月は、ソフトウェア更新プロセスを狙うインシデントや、ユーザー操作を誘導する攻撃手法、開発環境や公開リポジトリを起点とするリスクなど、さまざまな切り口のトピックが並んだ月でした。特定の新しい技術が突出したというよりも、既存の攻撃手法が利用環境やツールの特性と組み合わされる形で広がっている印象があります。
更新機構やコマンド実行、開発ツール、公開リポジトリなど、日常的に利用している仕組みが攻撃の足掛かりとして利用されるケースも引き続き確認されています。情報窃取マルウェアやマイニングマルウェアの動き、クローキングを利用した攻撃インフラなども含め、攻撃側の活動はさまざまなレイヤーで継続しています。
個別の脅威を追いかけるだけでなく、自分たちの運用環境がどのような仕組みや前提に依存しているのかを改めて見直す視点は、今月も変わらず重要と言えそうです。
| この記事をシェア |
|
|---|
