中国系ハッカーが北米の「高価値」な重要インフラを侵害　シスコの調査で明らかに

nosa

2026.01.16

中国系ハッカーが北米の「高価値」な重要インフラを侵害　シスコの調査で明らかに（CVE-2025-53690）

The Record – January 16th, 2026

Cisco Talosの研究者チームが15日に調査結果を発表し、昨年始まった中国系ハッカーのキャンペーンについて詳述した。このキャンペーンでは、中国政府の支援するハッカーグループが「高価値」な組織への初期アクセスを取得する任務を負っていたという。

Cisco Talosが「UAT-8837」と呼ぶこのグループは、侵害した認証情報と悪用可能なサーバーを組み合わせ、北米の複数の重要インフラ組織に侵入。アクセス取得後はさまざまなツールを駆使し、認証情報やセキュリティ設定、その他の情報を盗み、標的組織へのより広範なアクセスを可能にしていたことがわかっている。

侵入には複数の脆弱性が利用されていたものの、Cisco Talosはソフトウェア企業SiteCoreの製品に影響を与えるバグCVE-2025-53690の悪用事例を追跡。UAT-8837がこの脆弱性を狙っているという事実は、中国のグループが「ゼロデイエクスプロイトにアクセスできる可能性がある」ことを示唆していると指摘した。

CVE-2025-53690が注目を集めた昨年9月、Googleはこのゼロデイ脆弱性に関連するインシデントについて独自の調査結果を発表し、Cisco Talosが指摘したものと同じポストエクスプロイトツールを少なくとも4件挙げていた。その1つは「Earthworm」で、これは攻撃者所有のリモートインフラに内部エンドポイントを公開することを可能にする。Cisco Talosによると、中国語話者のアクターらはエンドポイント保護製品で検出されない内部エンドポイントを特定するため、侵入時にEarthwormを広く使用しているという。

中国系ハッカーによって重要インフラが攻撃される事例は、Salt Typhoonが議会職員のメールプラットフォームに侵入した昨年12月にも発生している。

パロアルトネットワークス、GlobalProtectの脆弱性を修正　PoCも出回る（CVE-2026-0227）

Security Affairs – January 15, 2026

パロアルトネットワークスは、CVE-2026-0227（CVSSスコア：7.7）として追跡されている深刻度の高い脆弱性を修正した。この欠陥はGlobalProtectゲートウェイおよびポータルが有効になっているPAN-OSまたはPrisma Accessのセットアップにのみ影響を及ぼし、PoCエクスプロイトが存在する。

CVE-2026-0227は攻撃者に認証なしでファイアウォールの妨害を許す恐れがある脆弱性で、繰り返し悪用することでデバイスを強制的にメンテナンスモードに移行させ、管理者が介入するまでネットワークトラフィックとファイアウォール保護を中断させるサービス拒否状態を引き起こす可能性があると説明された。

影響を受けるバージョンは以下の通り。

Cloud NGFW：なし
PAN-OS 12.1：12.1.3-h3より前、12.1.4より前の各バージョン
PAN-OS 11.2：11.2.4-h15より前、11.2.7-h8より前、11.2.10-h2より前の各バージョン
PAN-OS 11.1：11.4-h27より前、11.1.6-h23より前、11.1.10-h9より前、11.1.13より前の各バージョン
PAN-OS 10.2：10.2.7-h32より前、10.2.10-h30より前、10.2.13-h18より前、10.2.16-h6より前、10.2.18-h1より前の各バージョン
PAN-OS 10.1：10.1.14-h20より前のバージョン
Prisma Access 11.2：11.2.7-h8より前のバージョン
Prisma Access 10.2：10.2.10-h29より前のバージョン

なおGlobalProtectといえば、2025年12月には同ポータルへのログインを試行する大規模なハッキングキャンペーンが開始され、同2日からSonicWall APIのスキャンも始まっていた。