2026-06-26(金)配信
セキュリティ脅威情報
■ 要対応(緊急度が高く、多くの組織で対応が必要な事案)
Cisco Unified Communications ManagerにおけるSSRFの脆弱性
Cisco Unified Communications ManagerおよびUnified CM SMEにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認された。認証されていない遠隔の攻撃者が、基盤となるオペレーティングシステムに対して任意のファイルを書き込むことが可能であり、最終的にroot権限への昇格に悪用される恐れがある。本件はCISAのKEVカタログに登録されており、悪用が確認されている。CISAは2026年06月28日までの対応を推奨している。
CISAのKEVカタログに登録され、実際に悪用が確認されている脆弱性が相次いでいます。本件も同様に悪用のリスクが極めて高いため、対象環境を利用中の組織は早急な対応が必要です。
なぜご自身の組織で確認すべきかCISAの既知悪用脆弱性リスト(KEV)に掲載された、Cisco Unified Communications ManagerにおけるSSRFおよび権限昇格の脆弱性(CVE-2026-20230)であるため。
攻撃手法(確認済み)
攻撃成功時、OSへの不正なファイル書き込みが行われ、システム権限の昇格や不正な操作を許す可能性がある。
自組織チェックポイント
ベンダーの指示に従い、速やかに緩和策を適用すること。また、CISAのBOD 26-04ガイダンスに基づき、資産のインターネット公開状況を評価し、適切なパッチ適用を行うこと。緩和策が利用できない場合は、製品の使用停止を検討すること。
PTC WindchillおよびFlexPLMにおける不適切な入力検証の脆弱性
PTC WindchillおよびFlexPLMにおいて、不適切な入力検証に起因する脆弱性が確認された。認証されていないリモートの攻撃者が、ネットワーク経由で悪意のあるリクエストを送信することで、任意のコードを実行できる可能性がある。本脆弱性は既に悪用が確認されており、極めて重大である。CISAは2026年06月28日までの対応を推奨している。
6/25報告の他社事例と同様に、悪用が確認されCISAのKEVに追加された深刻な脆弱性です。影響を受ける製品を利用している場合は、速やかな対応が必要です。
なぜご自身の組織で確認すべきかCISAの既知悪用脆弱性リスト(KEV)に掲載された、PTC WindchillおよびFlexPLMにおける任意のコード実行の脆弱性(CVE-2026-12569)であるため。
攻撃手法(確認済み)
攻撃が成功した場合、システム上で任意のコードが実行され、機密情報の窃取、システムの乗っ取り、またはサービス停止などの被害を受ける可能性がある。
自組織チェックポイント
ベンダーの指示に従い、速やかに緩和策を適用すること。また、CISAのBOD 26-04(リスクに基づくセキュリティ更新の優先順位付け)および「フォレンジックトリアージ要件」に従い、インターネット公開状況の評価とパッチ適用を行うこと。緩和策が適用できない場合は、製品の使用停止を検討すること。
1000万DLのChrome拡張機能に不正コード実行の懸念
1,000万回以上インストールされているChrome用広告ブロック拡張機能「Adblock for YouTube」に、任意のJavaScriptを実行可能な機能が埋め込まれていることが判明しました。現時点で悪用された証拠はありませんが、サーバー側の設定変更のみで遠隔操作が可能な状態です。
なぜご自身の組織で確認すべきか1,000万回以上インストールされたChrome拡張機能における不正コード実行の懸念であり、業務端末での拡張機能制限などの即時対応が推奨されるため。
■ 脅威動向
脆弱性i18next-http-middlewareにおけるプロトタイプ汚染の脆弱性
i18next-http-middlewareのmissingKeyHandlerにおいて、プロトタイプ汚染を招くキーの検証が不十分である脆弱性が存在する。従来は特定の文字列のみをブロックしていたが、ドット区切りのバリエーション(例: "__proto__.polluted")を適切に拒否できていなかった。特にi18next-fs-backendと組み合わせて使用する場合、攻撃者が細工したリクエストを送信することで、Object.prototypeを汚染し、アプリケーションのクラッシュや設定の改ざん、セキュリティチェックのバイパスを引き起こす可能性がある。CVSSスコアが9.1と極めて高く、深刻な脅威である。
対象ソフト
Node.js環境で利用される国際化(i18n)ライブラリ「i18next」のHTTPミドルウェアであり、翻訳キーの管理や保存機能を提供するためにWebアプリケーションで広く利用されている。
影響
攻撃成功時、アプリケーションのクラッシュ、翻訳動作の破損、設定の改ざん、またはプロパティベースのセキュリティチェックの回避が発生する可能性がある。
対応策
i18next-http-middlewareをバージョン3.9.7以降にアップグレードすること。また、関連するバックエンドライブラリ(i18next-fs-backendなど)も最新版へ更新することが推奨される。直ちに更新できない場合は、missingKeyHandlerへの外部からのアクセス制限や、saveMissing機能の無効化を検討すること。
脆弱性LemurにおけるSSRFおよびIDORの脆弱性によるAWS IAMおよびPKIの侵害
Lemur 1.9.0以前のバージョンにおいて、SSO認証済みユーザーがSSRF、IDOR、および不適切な権限管理を組み合わせることで、AWS IAM認証情報の窃取およびPKI秘密鍵への永続的なアクセスが可能になる重大な脆弱性が存在します。攻撃者は、ACME認証局の設定におけるSSRFを利用してAWSインスタンスメタデータサービス(IMDS)から認証情報を取得し、さらに証明書作成者の権限が所有権移転後も維持されるIDORの欠陥を悪用して秘密鍵を不正に取得できます。この連鎖的な攻撃により、クラウド環境の侵害や証明書の不正利用が引き起こされるリスクがあります。
対象ソフト
Lemurは、Netflixが開発したTLS証明書管理サービスであり、企業内のSSO、内部CA、Let's Encryptなどの外部ACME認証局を統合管理するために使用されます。
影響
攻撃者はLemurが動作するAWS IAMロールの認証情報を窃取し、クラウド環境内での権限昇格や横展開を行うことが可能です。また、発行されたTLS秘密鍵を永続的に取得できるため、証明書による認証を回避し、なりすまし攻撃が可能となります。
対応策
Lemurをバージョン1.9.2以降にアップデートしてください。また、ACME URLの許可リスト化、証明書取得時の権限チェックの修正、SSOユーザーの自動プロビジョニング設定の見直しを推奨します。
脆弱性golang.org/x/crypto/sshにおけるFIDO/U2F物理プレゼンス確認のバイパス脆弱性
golang.org/x/crypto/ssh ライブラリにおいて、FIDO/U2Fセキュリティキーの物理的な存在確認(User Presence)が適切に行われない脆弱性が発見された。具体的には、Verify() メソッドが物理的なタッチを必要とするフラグを検証しないため、攻撃者は物理的な操作なしに署名を生成し、ハードウェアセキュリティキーを不正に利用できる可能性がある。認証の根幹に関わる重大な問題であり、早急な対応が必要である。
対象ソフト
Go言語でSSH通信を実装するための標準的な暗号ライブラリ。多くのGo製ツールやインフラ管理ソフトウェアで利用されている。
影響
ハードウェアセキュリティキーを用いた認証において、物理的なタッチなしで署名が受け入れられるため、セキュリティキーの不正利用や認証バイパスが発生する恐れがある。
対応策
golang.org/x/crypto/ssh をバージョン 0.52.0 以降にアップグレードすること。また、必要に応じて PublicKeyCallback 内で "no-touch-required" 拡張を適切に設定する。
Google Chrome、脆弱性3件を修正
GoogleはChromeのセキュリティアップデートをリリースし、重要度「高」の脆弱性3件を修正しました。前回アップデートからわずか2日後の対応となります。
脅威の概要
Google Chromeにおいて、整数オーバーフローやUse After Freeといったメモリ関連の脆弱性3件が修正されました。いずれも重要度は「高」と評価されています。
主要なTTP
Mojoコンポーネントにおける整数オーバーフロー
対象となる組織・利用者
Google Chromeを使用している全ての組織および個人。
推奨される防御アクション
Chromeブラウザを最新の安定版バージョンへ速やかにアップデートする
■ 注目事例
放置されたシステムが招く侵入リスクと対応の教訓
NTTコミュニケーションズ(現NTTドコモビジネス)が過去に経験した不正アクセス事案について、当時の対応責任者が語りました。攻撃者は海外拠点の管理ネットワークを経由して侵入しており、その足掛かりとして、役目を終えていたにもかかわらず撤去されずに残されていた旧システムが利用されていたことが判明しました。
攻撃手法(確認済み)
海外拠点の管理ネットワークを経由した侵入。役目を終えたサーバー群が侵入の足掛かりとして利用された。
攻撃手法(推測)
撤去されずに放置されていた旧システムの脆弱性や、古い認証情報の使い回しが攻撃者に悪用されたと考えられます。 (根拠:「役目を終えたシステムが侵入の足掛かりになった」という公表内容と、一般的に放置されたシステムはパッチ適用等の管理が疎かになりがちであるというIT運用の実態から推測されます。)
自組織チェックポイント
社内に「一時利用」や「将来用」として放置されたままのサーバー・端末はないか
プリマハム、メール配信システム経由で顧客情報漏洩
プリマハムは、同社が利用するメール配信システム「める配くん」への第三者による不正アクセスにより、メールマガジン登録者のメールアドレスが漏洩した可能性があると公表しました。同社は現在、当該サービスの登録受付を停止しています。
6/23等に報告した同じ「める配くん」の不正アクセスに起因する、新たな企業での被害公表です。同サービスを利用中の環境では、速やかに影響の有無を確認してください。
攻撃手法(確認済み)
委託先のメール配信システム「める配くん」に対する第三者の不正アクセス。
攻撃手法(推測)
委託先管理下のサーバーに対する攻撃であり、具体的な侵入経路は公表情報からは不明ですが、システムへの脆弱性攻撃や認証情報悪用が考えられます。 (根拠:委託先のシステムが直接攻撃を受けた事案であるため。)
自組織チェックポイント
自社で利用している外部委託先(SaaS等)のセキュリティ基準を把握しているか
🔄 [続報] 三好市、KDDI不正アクセスに伴う注意喚起
📰 過去報告:6/24
KDDI株式会社への不正アクセスにより、同社サービスを利用するインターネットプロバイダにおいて、ユーザーのメールアドレスおよびパスワードが漏洩した可能性があるとして、三好市が市民へ注意喚起を行いました。対象プロバイダ利用者に対し、速やかなパスワード変更を呼びかけています。
6/24報告のKDDI不正アクセス事案に関連し、自治体(三好市)が市民へ注意喚起を行うなど影響が広がっています。対象プロバイダ利用者は速やかなパスワード変更が推奨されます。
攻撃手法(確認済み)
KDDI株式会社のISP事業者向けメールシステムに対する不正アクセスが発生し、ユーザーのメールアドレスおよびパスワードが漏洩した可能性があります。
攻撃手法(推測)
漏洩した認証情報を利用したリスト型攻撃(Credential Stuffing)により、他サービスへの不正ログインやメールアカウントの乗っ取りが行われる可能性があります。 (根拠:メールアドレスとパスワードが漏洩した場合の典型的な二次被害として、乗っ取りやなりすましが懸念されるため。)
自組織チェックポイント
漏洩した可能性があるプロバイダのメールアカウントを利用していないか確認する
山一電機子会社、ランサム被害で調査完了
山一電機は、フィリピン子会社で発生したランサムウェア被害の調査結果と対応完了を公表しました。攻撃者によるログの暗号化・削除により侵入経路の特定には至りませんでしたが、情報の流出は確認されず、システム復旧も完了しています。
攻撃手法(確認済み)
侵入の起点となった端末は特定されているが、攻撃者によるログの暗号化と削除が行われていたため、具体的な初期侵入経路は不明。
攻撃手法(推測)
攻撃者がログを意図的に消去していることから、侵入後に痕跡を隠蔽する高度な手口を用いた可能性があります。VPN機器の脆弱性悪用や、フィッシングによる認証情報窃取といった、外部公開サービスを起点とした侵入が想起されます。 (根拠:ログが意図的に削除されている事実は、攻撃者がフォレンジック調査を妨害する意図を持っていることを示唆しており、一般的なランサムウェア攻撃のTTPsと合致するため。)
自組織チェックポイント
ログが削除・改ざんされないよう、外部ログサーバーへの転送設定がなされているか
佐嘉平川屋ECサイトで不正アクセス、カード情報漏えいの疑い
株式会社佐嘉平川屋が運営するオンラインショップにて、第三者による不正アクセスが発生しました。システムの一部脆弱性が悪用され、ペイメントアプリケーションが改ざんされたことで、顧客のクレジットカード情報および個人情報が漏えいした可能性があると公表されています。
攻撃手法(確認済み)
サイトシステムの一部の脆弱性を突いた不正アクセスにより、ペイメントアプリケーションが改ざんされました。
攻撃手法(推測)
ECサイト構築パッケージやプラグインの脆弱性を狙った攻撃、あるいは管理者権限の奪取による不正なスクリプトの埋め込みが行われた可能性が考えられます。 (根拠:「ペイメントアプリケーションの改ざん」という事象は、ECサイトにおけるクレジットカード情報窃取の典型的な手口であり、多くの場合、Webサーバー上の脆弱性や管理画面の不備を突いて行われるためです。)
自組織チェックポイント
ECサイトのCMSやプラグインは最新の状態か
明日のセキュリティ脅威情報も、あなたのメールに。
毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。
無料で購読する →
この内容は 2026-06-26 に配信されました。