ISSコラム

column by iss

2026年1月の主な脆弱性情報

2026.02.16

CVE-2026-24858(Fortinet FortiOS/FortiManager/FortiAnalyzer) [CVSS 9.4/緊急]

Fortinet製品のクラウド連携シングルサインオン(SSO)機能に存在する認証バイパス脆弱性です。FortiCloudアカウントを持つ攻撃者が細工した経路でSSO認証を迂回し、本来別組織のFortiGate等デバイスに侵入できてしまう致命的欠陥で、管理者権限の乗っ取りが可能です 。最新ファームウェアへのアップデートが呼びかけられており、本脆弱性は米国CISAのKnown Exploited Vulnerabilities (KEV)リストにも1月に追加されています 。

CVE-2026-1281 / CVE-2026-1340(Ivanti EPMM) [CVSS 9.8/緊急]

モバイルデバイス管理ソフトIvanti Endpoint Manager Mobile (EPMM)における深刻なコードインジェクション脆弱性です。認証なしのリモート攻撃で標的サーバ上に任意コード実行が可能となる欠陥で、悪意あるHTTP GETリクエスト内に細工したbashコマンドを含めることでEPMMのアプリ配布機能やファイル転送機能のエンドポイント経由でOSコマンドを実行できてしまいます 。ゼロデイ攻撃で悪用が行われており、1月29日の公式アドバイザリ公開と同時に米CISAもCVE-2026-1281をKEVに緊急追加し、連邦機関に2月1日までの対策適用を求めました 。攻撃者がEPMMサーバを掌握した場合、管理下のモバイル端末に関する利用者個人情報や端末識別情報(電話番号、GPS情報等)が流出しうる上、EPMM自体を足掛かりにネットワーク横移動も可能になるため非常に危険です 。なお本脆弱性のPoCコードが既に公開されており、管理者は通常の更新サイクルを待たず至急パッチを適用する必要があります 。

CVE-2026-20045(Cisco Unified Communications製品/Webex) [CVSS 8.2/重要]

 CiscoのUnified Communications ManagerやWebex Calling専用インスタンスに存在する入力検証不備のリモートコード実行(RCE)脆弱性です。未認証の攻撃者が管理インターフェースに対して細工したHTTPリクエストを送ることでサーバ上で任意コードを実行し、まずユーザ権限で侵入後にroot権限まで昇格できる恐れがあります 。CISAも本脆弱性をKEVに追加して米政府機関へ2月11日までのアップデート適用を通達しています 。影響範囲はCisco Unified CMやUnity Connectionなど複数の音声コミュニケーション製品に及びます 。なお本件の直前にもCisco Secure Email関連製品で深刻なゼロデイRCE(CVE-2025-20393, CVSS 10.0)が悪用されており、攻撃者が企業の音声・メール基盤を執拗に狙う傾向が示されています 。

CVE-2026-21509(Microsoft Office) [ CVSS 7.8/重要]

Microsoft Officeにおけるセキュリティ機能をバイパスされる脆弱性です。細工されたOffice文書をユーザに開かせることで、本来の制限を回避して任意の動作を実行できる可能性があります。1月にMicrosoftが月例更新外の緊急パッチを公開し公表しましたが、すでに本脆弱性を突いた標的型攻撃が確認されています 。Microsoftによるとプレビューペイン経由では攻撃は成立しないものの、ユーザが不審な文書を直接開いた場合に被害に至る恐れがあります 。実際ウクライナや東欧を標的にしたスパイ活動で当該欠陥を突くケースが報告されており、CISAも本脆弱性をKEVに追加しました 。権限昇格につながるローカルな欠陥とはいえ、Office文書を悪用した攻撃メールは依然多いため、管理者は最新更新の適用とともに添付ファイルの実行制御や検知ルールの強化が推奨されます。

CVE-2026-20805(Oracle製品) [CVSS 9.8程度/緊急]

Oracleの企業向けソフトウェアに関する重大な認証バイパスのRCE脆弱性です。1月にOracleが四半期クリティカルパッチ更新(CPU)の一環で修正を公開しましたが、既に複数の攻撃グループによる積極的悪用が報告されました 。企業システム(データベースやミドルウェア)に広範囲に影響し得るため特に注意が必要で、脆弱性公開直後から攻撃者が素早く侵略活動を開始したことで「単なるパッチ対応の問題からインシデント対応の懸念へ」と指摘されています 。影響システムを未修正のままインターネット公開している場合、組織全体の重要データが根こそぎ奪取されるリスクもあるため、Oracle CPU適用の最優先対応とログ監視強化が強く推奨されます。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。