2026-06-28(日)配信

セキュリティ脅威情報

■ 脅威動向
脆弱性Fluentdにおけるパス・トラバーサルによる任意コード実行の脆弱性
Fluentdにおいて、ログ出力先のパス設定に使用される「${tag}」プレースホルダーの検証が不十分であることに起因する脆弱性が発見された。攻撃者は、信頼できないソースからのログ送信を通じてパス・トラバーサル(../)を注入できる。これにより、システム上の任意のファイルを上書きすることが可能となり、最終的にリモートコード実行(RCE)へ至る恐れがある。認証を必要とせず、Fluentdの実行権限で任意のコードが実行されるため、極めて深刻な影響を及ぼす。
6/25報告の他製品事例と同様、パス・トラバーサルを起点とした深刻なリモートコード実行(RCE)の脆弱性です。認証不要で悪用される恐れがあるため、利用中の環境では速やかなパッチ適用を推奨します。
対象ソフト
Fluentdは、ログ収集やデータ転送を行うオープンソースのデータコレクターであり、クラウド環境や大規模なシステムインフラにおいてログ管理の基盤として広く利用されている。
影響
攻撃成功時、システム上の任意のファイルが上書きされ、設定ファイルの改ざんや悪意のあるプラグインの注入を通じて、システム全体が乗っ取られる可能性がある。
対応策
速やかに Fluentd をバージョン 1.19.3 以降へアップデートすること。直ちに適用できない場合は、ネットワークアクセス制限の強化、非特権ユーザーでの実行、設定ファイルでの「${tag}」利用停止、および入力タグのフィルタリングによる「.」や「/」の除去を推奨する。
脆弱性Incusにおける不適切な入力検証による任意のファイル書き込みとRCEの脆弱性
Incusのクライアントにおいて、悪意のあるイメージサーバーから提供される細工された「Incus-Image-Hash」ヘッダーを処理する際に、パストラバーサルを伴う任意のファイル書き込みが発生する脆弱性が存在します。攻撃者はこの脆弱性を悪用することで、サーバー上でroot権限での任意のコマンド実行が可能となる恐れがあります。本脆弱性は、ダウンロードされたイメージのハッシュ値検証がファイル作成後に行われるという設計上の不備に起因しており、非常に重大です。
6/25報告の他社事例と同様、パストラバーサルを悪用したファイル書き込みやRCEの脆弱性が相次いでいます。入力値検証やハッシュ値検証のタイミングなど、設計上の不備がないか改めて確認を推奨します。
対象ソフト
Incusは、Linuxコンテナや仮想マシンを管理するためのシステムコンテナマネージャーです。主にサーバー仮想化環境や開発・テスト環境で利用されます。
影響
攻撃成功時、サーバー上の任意の場所にファイルを書き込むことが可能となり、結果としてroot権限での任意のコード実行(RCE)を許す可能性があります。
対応策
Incusをバージョン7.2.0以降にアップグレードしてください。
脆弱性backpropagateのWeb UIにおける認証バイパスの脆弱性
backpropagateのWeb UI機能において、認証が正しく実装されていない脆弱性が存在します。CLIで「--auth」オプションを指定しても、バックエンド側で認証処理が読み込まれないため、認証が有効であるかのように見せかけて実際には認証がバイパスされます。特に「--share」オプションを使用して公開設定にしている場合、外部から誰でもUIにアクセス可能となり、トレーニングデータの閲覧、モデルの操作、HuggingFace Hubへの不正なプッシュなどが実行される危険性があります。
対象ソフト
backpropagateは、機械学習モデルのトレーニングやデータセット管理を行うためのツールです。主にデータサイエンティストやAIエンジニアがローカル環境やサーバー上でモデルの微調整を行う際に利用されます。
影響
攻撃者は認証なしでWeb UIにアクセスし、アップロードされたデータセットの閲覧、任意のトレーニング実行、HuggingFace Hubへの不正なモデルプッシュ、ディスク容量を消費するDoS攻撃、およびファイルパスの探索が可能となります。
対応策
1.2.0 以降にアップグレードすること。直ちにアップデートできない場合は、--auth や --share オプションの使用を避け、SSHポートフォワーディングを利用して安全なリモートアクセスを確保すること。
露諜報機関、偽サポートSMSでメッセンジャー乗っ取り
ウクライナ保安庁(SSU)は、ロシアの諜報機関が政府関係者や軍関係者らを標的に、メッセンジャーアプリの認証情報を盗み出すキャンペーンを展開していると警告しました。攻撃者はサポートボットを装ったSMSを送信し、ユーザーに認証情報の入力を促す手口を用いています。
6/27報告のSignalを標的にした手口と同様、ロシア諜報機関によるメッセンジャーアプリのサポートを装う攻撃が続いています。公式を騙るメッセージやSMSでの認証情報要求には極めて厳重な警戒が必要です。
脅威の概要
ロシアの諜報機関に関連する攻撃グループが、SignalやWhatsAppなどのメッセンジャーアプリを標的としたフィッシング攻撃を展開しています。サポートボットを装ったSMS経由で認証情報やリカバリーキーを詐取し、アカウントを乗っ取る手口が確認されています。
主要なTTP
サポートボットを偽装したSMSによるフィッシング誘導
対象となる組織・利用者
政府・軍関係者だけでなく、政治活動家や企業内で重要な通信を行う従業員など、標的となり得る立場にあるユーザー。
推奨される防御アクション
メッセンジャーアプリのログインセッションを定期的に確認し、不審な接続を切断する

この続きを、毎朝メールで受け取りませんか?

無料で購読する →
■ 注目事例
東京ケーブルネットワーク、メール情報漏洩
東京ケーブルネットワークは、利用しているKDDIのメールシステムへの不正アクセスにより、同社のメールアカウント利用者約7,500件の情報が漏洩した可能性があると発表しました。流出した情報はメールアドレスおよびパスワード(またはハッシュ値)で、対象アカウントのパスワード一斉リセットが実施されます。
6/24公表のKDDIメールシステムへの不正アクセスに起因する、新たなプロバイダでの被害事例です。同システムを利用する他社でも同様の漏洩公表が続いており、対象ユーザーは速やかな対応が必要です。
攻撃手法(確認済み)
KDDIが提供するメールシステムへの不正アクセスによる情報漏洩。具体的な侵入経路は公表情報からは不明です。
攻撃手法(推測)
メールシステムに対する不正アクセスであるため、脆弱な認証情報の悪用や、システム側の脆弱性を突いた攻撃の可能性があります。 (根拠:メールアドレスとパスワード(ハッシュ含む)が流出対象となっている点から、システムへの不正ログインまたはDBへの直接的なアクセスが想起されます。)
自組織チェックポイント
利用中のSaaSや外部システムにおいて、パスワードの使い回しをしていないか
■ レポート・解説
OpenAI、新AIモデル「GPT-5.6」の限定公開を開始
OpenAIは、サイバーセキュリティ能力を強化したAIモデル「GPT-5.6(Sol, Terra, Luna)」の限定プレビューを開始しました。脆弱性研究やコードレビュー等の防御的用途を想定しつつ、悪用を防ぐ強力なセーフガードを備えています。

明日のセキュリティ脅威情報も、あなたのメールに。

毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。

無料で購読する →
この内容は 2026-06-28 に配信されました。