メディア
Microsoft 365
生成AI
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

資生堂や小田急リゾーツが不正アクセスを受ける、新電力もセキュリティ注目トピック

2026年2月上旬までに起きた不正アクセスや危険な脆弱性など複数のサイバーインシデントや重要なソフトウェアアップデートを紹介する。

» 2026年02月09日 07時00分 公開
[畑陽一郎キーマンズネット]

 2026年2月上旬にかけて、さまざまな不正アクセスや脆弱(ぜいじゃく)性が見つかった。

 大規模な情報漏えいやランサムウェア攻撃は報告されていないものの、その一歩手前の事例だと言えるだろう。2月5日までの主な事例は資生堂の通販サイトへの不正アクセスや、小田急リゾーツが運営するホテルへの不正アクセスが目立った。「OpenSSL」や大規模言語モデル「vLLM」の脆弱性が危険だ。情報通信研究機構(NICT)が発表したレポートによれば、犯罪者が攻撃相手を探すための通信の規模が膨大なものになっていることが分かった。

資生堂や小田急リゾースが不正アクセスを受ける、新電力も

 今回は不正アクセスが目立った。

●2026年1月15日

 小田急リゾーツは不正アクセスについて発表した。2026年1月14日以降、複数の顧客から問い合わせがあったため、調査した結果、同社が利用する「Booking.com」経由で「山のホテル」に宿泊予約をした場合、「WhatsApp」などのメッセージアプリを使用して予約の確認を装って「この手続きを24時間以内に完了しない場合、ご予約がキャンセルになります」という文章とフィッシングサイトへ誘導するURLリンクが記載されたメッセージが配信されていたことが分かった。

●2026年1月27日

 OpenSSLは10件以上の脆弱性についてセキュリティアドバイザリを発表した。特に重要な脆弱性「CVE-2025-15467」は、共通脆弱性評価システム「CVSSv3.1」のベーススコアが9.8、深刻度が「critical」と高い。CMS(Cryptographic Message Syntax)メッセージの解析処理に重大な欠陥があり、AES-GCMなどの認証付き暗号(AEAD)を使う場合に境界外書き込みを起こす。アプリケーションがクラッシュしたり、リモートコード実行が可能になるリスクがあるという。なお、この脆弱性は認証前に問題を起こすため、攻撃者が有効な鍵情報を持っている必要がない。影響を受けるバージョンは「OpenSSL 3.0/3.3/3.4/3.5/3.6」だ。

●2026年1月30日

 国家サイバー統括室(NCO)はサイバーセキュリティ月間について発表した。2026年2月1日〜3月18日の期間、「サイバーはひとごとじゃない」をテーマに普及啓発活動を展開する。全国で約160件のイベントなどを開催するという。2026年3月上旬〜中旬には中小企業のマネジメント層に向けた支援施策やインシデント実例についてオンラインセミナーを開催する。

 中部電力と三菱商事、ローソンが出資して、電力小売事業を展開する合弁会社MCリテールエナジーはサイバー攻撃によるシステム障害が発生したと発表した。同社の外部の委託先が管理するサーバに対して通常とは異なる大量アクセスを検知した。その結果、このサーバを停止して、サービスの申し込みや料金シミュレーションを停止した。なお、同サーバには個人情報は格納されていない。

●2026年2月4日

 GitHubは大規模言語モデル(LLM)向けの推論、サービングエンジンvLLMの深刻な脆弱性を利用した攻撃手法を公開した。動画処理のために指定されたURLからHTTP経由で動画データを取得したとき、データに細工が施されていると、「OpenCV」の「FFmpeg」のデコーダライブラリがヒープオーバーフローを起こすことが脆弱性「CVE-2026-22778」の原因だ。CVSSv3.1のベーススコアは9.8、深刻度は「critical」と高い。

●2026年2月5日

 情報通信研究機構(NICT)はサイバー攻撃についての「NICTER観測レポート2025」を公開した。サイバー攻撃に関連する通信を観測した結果だ。レポートによれば、2025年のサイバー攻撃に関連する通信はダークネット(インターネット上で到達可能かつ未使用のIPアドレス空間)の観測を2016年に開始後、過去最多の約7010億パケットを記録した。2025年に観測されたパケットのうち、調査目的と推定されるスキャン通信は全体の約55%を占めた。これはサイバー攻撃のライフサイクルにおける偵察段階の通信だ。DNSやNTPなどのサーバを悪用して、攻撃対象に大量のパケットを送付して、攻撃対象のネットワーク帯域を圧迫するDDoS攻撃の一種「DRDoS攻撃」(Distributed Reflection Denial-of-Service Attack)が2024年には約3095万件(日本宛は約17万件)であったことに対し、2025年には2.6〜5.3倍の約8285万件(同約90万件)に増加した。

●2026年2月5日

 資生堂は不正ログインの疑いについて発表した。2026年1月31日に第三者による不正ログインが疑われる問い合わせを同社の通信販売サイト「資生堂オンラインストア」の顧客から受けていることを発表していた。2026年2月5日から認証コードを使った多要素認証を導入することで不正ログインを防止するという。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。

アイティメディアからのお知らせ