2026-06-27(土)配信
セキュリティ脅威情報
■ 要対応(緊急度が高く、多くの組織で対応が必要な事案)
🔄 [続報] 「FortiBleed」による認証情報流出、国内組織も影響
📰 過去報告:6/25
Fortinet製機器の認証情報が攻撃者によって収集・流出した「FortiBleed」問題において、国内組織の情報が含まれていることがJPCERT/CCにより確認されました。攻撃者は収集した認証情報を悪用し、内部ネットワークへの侵入やラテラルムーブメントを試みるおそれがあります。
前回 6/25 報告の続報。JPCERT/CCにより国内組織の流出被害が確認されました。認証情報の悪用による内部侵入の恐れがあるため、早急なアクセスログの確認と対策を推奨します。
なぜご自身の組織で確認すべきか国内組織を含むFortinet製VPN機器の認証情報流出が確認されており、ログインログの確認やパスワード変更、MFAの強制適用といった即時対応が求められます。
■ 脅威動向
ホテル業界を標的としたフィッシング攻撃
欧州およびアジアのホテル業界を標的としたフィッシングキャンペーンが確認されました。Calendlyの通知システムを悪用し、写真ファイルを装ったZIPファイルを配布して「TonRAT」と呼ばれるNode.jsベースのインプラントを感染させる手口が報告されています。
脅威の概要
宿泊予約関連の苦情を装い、Calendlyの正当な通知システムを悪用してマルウェアを配布するキャンペーンです。感染にはLNKファイルが用いられ、最終的にNode.jsランタイムを利用したバックドア「TonRAT」が実行されます。
主要なTTP
認証ロンダリング(正当なサービスを悪用したメール配信)
対象となる組織・利用者
ホテル、宿泊施設、および予約管理システムを運用する組織。特にフロントデスクや予約担当者の端末が狙われています。
推奨される防御アクション
従業員に対し、予約関連の不審なリンクやZIPファイルの開封を控えるよう教育
DB管理ツール「pgAdmin 4」に脆弱性
PostgreSQL向け管理ツール「pgAdmin 4」において、計7件の脆弱性が修正されました。そのうち3件は重要度が「クリティカル」と評価されており、アップデート版「9.16」が公開されています。
脅威の概要
PostgreSQL管理ツール「pgAdmin 4」において、格納型XSSやAI Assistant機能のトランザクションバイパスを含む7件の脆弱性が修正されました。特にAI Assistantの脆弱性は、プロンプトインジェクションを通じてデータベースサーバでのコード実行につながる恐れがあります。
主要なTTP
格納型XSSによるHTMLコードの挿入
対象となる組織・利用者
pgAdmin 4を利用してデータベース管理を行っている組織や開発者。
推奨される防御アクション
pgAdmin 4を最新版(9.16以降)へ速やかにアップデートする
Miasmaマルウェアによるサプライチェーン攻撃
npmパッケージおよびGoエコシステムを標的とした「Miasma」マルウェアの新たな攻撃キャンペーンが確認されました。攻撃者は開発者の認証情報を窃取し、トロイの木馬化したパッケージを配布することで、CI/CD環境の機密情報や開発者トークンを標的にしています。
脅威の概要
Miasmaマルウェアは、npmパッケージやGoモジュールを汚染し、開発者の環境やCI/CDパイプラインから機密情報を窃取するサプライチェーン攻撃です。インストール時のスクリプト実行やGitHub Actionsの悪用を通じ、認証情報やトークンを収集します。
対象となる組織・利用者
npmパッケージやGoモジュールを利用する開発者、およびCI/CDパイプライン(GitHub Actions等)を運用する組織。
推奨される防御アクション
依存関係の更新を厳格に管理し、信頼できないパッケージの利用を避ける
Linuxカーネルの脆弱性「DirtyClone」
Linuxカーネルにおいて、ネットワークパケットの複製処理に起因する権限昇格の脆弱性「DirtyClone」(CVE-2026-43503)が公表されました。ローカルユーザーが特権バイナリを改ざんし、root権限を取得できる可能性があります。既に修正パッチが公開されています。
脅威の概要
DirtyCloneは、Linuxカーネルのネットワークパケット処理における脆弱性です。パケット複製時にメモリ共有を示すフラグが適切に引き継がれない問題を利用し、権限昇格を可能にします。
対象となる組織・利用者
マルチテナントサーバー、コンテナホスト、Kubernetesクラスターなど、信頼できないユーザーが名前空間を作成可能な環境を運用している組織。
推奨される防御アクション
Linuxカーネルの最新版へのアップデート
Amazon Qの脆弱性、悪意あるリポジトリ経由でコード実行の恐れ
Amazon Q Developerにおいて、Model Context Protocol (MCP) の設定ファイルを悪用される脆弱性(CVE-2026-12957)が報告されました。悪意のあるリポジトリを開発者が開くと、開発者の環境権限で任意のコマンドが実行され、クラウド認証情報が窃取される可能性があります。すでに修正パッチが公開されています。
脅威の概要
Amazon Q Developer の MCP (Model Context Protocol) 設定ファイルの処理に不備があり、悪意のあるリポジトリ内の設定ファイルを読み込ませることで、開発者の環境権限で任意のコマンドを実行可能な脆弱性です。
主要なTTP
リポジトリ内に悪意ある .amazonq/mcp.json を配置
対象となる組織・利用者
Amazon Q Developer を利用している開発者および、その環境を管理する組織。
推奨される防御アクション
Language Servers for AWS を最新版(1.69.0以降)へアップデート
Linuxカーネル脆弱性「pedit COW」による権限昇格
Linuxカーネルのトラフィック制御サブシステム(act_pedit)に、権限昇格を許す脆弱性(CVE-2026-46331)が確認されました。ローカルの非特権ユーザーがメモリ上のキャッシュを汚染することで、root権限でのコード実行が可能となります。
脅威の概要
Linuxカーネルのパケット編集機能(act_pedit)における境界外書き込みの脆弱性です。攻撃者は、メモリ上のsetuidバイナリのキャッシュを汚染してペイロードを注入することで、root権限を奪取します。既に公開実証コード(PoC)が存在し、悪用が懸念されます。
主要なTTP
act_peditモジュールのロード
対象となる組織・利用者
Linuxサーバー(RHEL, Debian, Ubuntu等)を運用している組織。特にマルチテナント環境、CI/CDランナー、Kubernetesノードなど、非特権ユーザーがアクセス可能な環境。
推奨される防御アクション
ベンダーから提供される修正済みカーネルへ速やかにアップデート
ロシア系攻撃者によるSignalバックアップキー窃取
FBIとCISAは、ロシアの諜報機関に関連する攻撃グループ(UNC5792等)が、Signalユーザーを標的にした新たなフィッシング手法を用いていると警告しました。攻撃者は「Signalサポート」を装い、ユーザーを誘導してバックアップ復元キーをチャット欄に貼り付けさせることで、アカウントのバックアップデータやメッセージ履歴を不正に取得しています。
脅威の概要
ロシアの諜報機関に関連する攻撃グループ(UNC5792等)が、Signalのバックアップ復元キーを標的にしたフィッシングキャンペーンを展開しています。暗号化技術そのものを破るのではなく、ソーシャルエンジニアリングによってユーザーからキーを直接聞き出す手口です。
主要なTTP
Signalサポートを装ったフィッシングメッセージの送信
対象となる組織・利用者
SignalやWhatsApp等のセキュアメッセージングアプリを利用している政府関係者、軍関係者、ジャーナリスト、および重要情報を扱う組織の従業員。
推奨される防御アクション
アプリ内のメッセージで「サポート」を名乗るものは全て疑う
■ 注目事例
ロシア当局、販売停止後のCellebrite製ツールを悪用
ロシア当局が、販売停止措置がとられた後のCellebrite社製フォレンジックツールを使い、拘束した活動家のiPhoneからデータを抽出していたことがCitizen Labの調査で判明しました。販売停止後も既存のオフライン環境でツールが稼働し続けたことが要因と考えられます。
攻撃手法(確認済み)
ロシア当局が押収したiPhoneに対し、Cellebrite社のフォレンジックツール(UFED Physical AnalyzerおよびUFED 4PC)を使用してデータ抽出を試みた。
攻撃手法(推測)
メーカーによる販売停止後も、オフラインで動作する既存のハードウェアやソフトウェアが当局の手元に残存しており、それらが継続的に悪用されたと考えられます。 (根拠:Cellebrite社が2021年3月に販売停止を発表しているにもかかわらず、同年6月にツールが使用されたという事実、および同社が「レガシーハードウェアはオフラインで動作し続ける」と認めていることから推測されます。)
自組織チェックポイント
押収・紛失したモバイルデバイスのデータ保護設定(強力なパスコード等)は十分か
ソフツーの検証用サーバで不正アクセス、データ侵害の恐れ
ソフツーは、同社が運用する通話品質検証用サーバにおいて不正アクセスが発生したと公表しました。約16万件の電話番号や通話テキストデータが侵害された可能性があるとしています。なお、氏名や住所などの個人を直接識別できる情報は含まれていないとのことです。
攻撃手法(確認済み)
サーバのセキュリティ対策と、検証用サーバで利用していたサードパーティ製プログラムの仕様が重なったことによる不正アクセス。
攻撃手法(推測)
サードパーティ製プログラムに脆弱性が存在し、そこが攻撃の足掛かりとなった可能性があります。また、検証用環境であることから、本番環境と比較してセキュリティ設定が甘く設定されていた可能性も考えられます。 (根拠:公表文において「サードパーティ製プログラムの仕様」と「サーバのセキュリティ対策」の要因が重なったと説明されている点から、プログラムの脆弱性悪用が想起されます。)
自組織チェックポイント
検証・テスト環境がインターネットから直接アクセス可能な状態になっていないか
明日のセキュリティ脅威情報も、あなたのメールに。
毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。
無料で購読する →
この内容は 2026-06-27 に配信されました。