2026-06-30(火)配信
セキュリティ脅威情報
■ 要対応(緊急度が高く、多くの組織で対応が必要な事案)
SimpleHelpにおける認証バイパスの脆弱性 (CVE-2026-48558)
SimpleHelpのOIDC認証フローにおいて、認証バイパスの脆弱性が確認された。OIDC認証が構成されている環境において、ログイン時に送信されるIDトークンの暗号学的署名が検証されない問題がある。これにより、認証されていないリモートの攻撃者が、偽造されたIDトークンを送信することで、正規の技術者セッションを不正に取得できる可能性がある。一部の構成では多要素認証(MFA)の回避も可能となる。CISAは本件を悪用が確認された脆弱性としてKEVカタログに追加しており、2026年07月02日までの対応を推奨している。
6/29報告の認証回避事例と同様に、認証プロセスの不備を突く重大な脆弱性です。認証基盤やリモートアクセスツールの設定、パッチ適用状況を早急に確認してください。
なぜご自身の組織で確認すべきかCISAのKEVに登録されたリモートツールSimpleHelpにおける悪用済みの重大な脆弱性(CVE-2026-48558)であり、速やかなパッチ適用が必要なため。
攻撃手法(確認済み)
攻撃成功時、認証なしで技術者セッションを乗っ取られ、システムへの不正アクセスやMFAの回避が行われる恐れがある。
自組織チェックポイント
ベンダーの指示に従い、速やかに修正プログラムを適用すること。また、CISAのBOD 26-04ガイダンスに基づき、資産のインターネット公開状況を評価し、パッチ適用を行うこと。修正が不可能な場合は製品の使用停止を検討すること。
■ 脅威動向
脆弱性JetBrains YouTrackにおけるプロトタイプ汚染の脆弱性
JetBrains YouTrackのwebsandboxブリッジにおいて、プロトタイプ汚染(Prototype Pollution)攻撃を許容する脆弱性が存在することが判明した。本脆弱性は、攻撃者がアプリケーションのオブジェクトプロトタイプを不正に操作することを可能にする。CVSSスコアが9.8と極めて高く、認証なしで遠隔から悪用可能なため、深刻な影響を及ぼす可能性がある。
6/26報告の事例と同様、プロトタイプ汚染を狙う深刻な脆弱性です。認証なしで遠隔から悪用される恐れがあるため、YouTrackを利用中の環境では迅速なアップデート等の対応を推奨します。
対象ソフト
YouTrackは、JetBrains社が提供するプロジェクト管理および課題追跡ツールであり、ソフトウェア開発チームを中心に広く利用されている。
影響
攻撃が成功した場合、アプリケーションの挙動が不正に変更されたり、権限昇格や任意のコード実行、サービス運用妨害(DoS)につながる恐れがある。
対応策
JVN DBの情報を参照し、修正済みの最新バージョンへ速やかにアップデートすること。
脆弱性JetBrains Kotlinにおける信頼できないデータのデシリアライゼーションの脆弱性
JetBrains Kotlinのバージョン2.4.20未満において、信頼できないデータのデシリアライゼーション(逆シリアル化)に関する脆弱性が存在します。具体的には、ビルドキャッシュのメタデータを処理する際に安全でない逆シリアル化が行われることで、攻撃者が細工したデータを送り込み、任意のコードを実行させることが可能です。本脆弱性はCVSS v3スコアが9.8と極めて高く、攻撃者がネットワーク経由で認証なしにシステムを乗っ取ることができるため、非常に重大な脅威となります。
6/23に報告したOpenDJの事例と同様、信頼できないデータのデシリアライズに起因する深刻な脆弱性です。Java系環境における逆シリアル化処理の安全性を今一度確認し、早急なアップデート適用を推奨します。
対象ソフト
Kotlinは、JetBrains社が開発したJVM上で動作する静的型付けプログラミング言語であり、Androidアプリ開発やサーバーサイド開発で広く利用されている。
影響
攻撃成功時、対象システム上で任意のコードが実行され、機密情報の漏洩、データの改ざん、またはサービスの中断が発生する可能性がある。
対応策
JVN DBを参照し、修正済みバージョンである2.4.20以降へ速やかにアップデートすること。
脆弱性ImageMagickにおける整数オーバーフローおよび境界外読み取りの脆弱性
ImageMagickのPSB(PSD v2)形式のRLEデコード処理において、整数オーバーフローに起因するヒープ領域の境界外読み取りの脆弱性が存在する。特に32ビットビルド環境において影響が顕著である。攻撃者が細工したPSBファイルを処理させることで、システム上の情報漏洩やアプリケーションのクラッシュを誘発する可能性がある。CVSSスコアが9.1と高く、リモートから認証なしで悪用可能なため、重大なリスクとして対処が必要である。
対象ソフト
画像処理ライブラリおよびツールキットであり、Webアプリケーションやサーバーサイドでの画像変換・加工処理に広く利用されている。
影響
攻撃成功時、メモリ上の機密情報が漏洩する可能性があるほか、アプリケーションのクラッシュによるサービス停止(DoS)が引き起こされる。
対応策
JVN DBを参照し、修正済みの最新バージョンへ速やかにアップデートすること。
脆弱性JetBrains Hubにおける予測可能なリストアコードによるアカウント乗っ取りの脆弱性
JetBrains Hubにおいて、暗号学的に脆弱な擬似乱数生成器(PRNG)が使用されていることに起因する脆弱性が存在する。この問題により、リストアコードが予測可能となっており、攻撃者がこれを利用することで、対象となるユーザーのアカウントを乗っ取ることが可能である。CVSSスコアは9.8(Critical)と非常に高く、認証なしで遠隔から悪用可能なため、早急な対策が必要である。
認証基盤や管理ツールを標的とした、認証回避やアカウント乗っ取りにつながる深刻な脆弱性の公表が続いています。外部からアクセス可能な認証関連システムのパッチ適用や設定確認を急いでください。
対象ソフト
JetBrains Hubは、JetBrains製品群のユーザー管理や認証を一元化するための管理プラットフォームであり、開発チームや組織のアクセス制御に利用される。
影響
攻撃者によってアカウントが乗っ取られ、不正アクセスや権限の悪用が行われる可能性がある。
対応策
JVN DBを参照し、修正済みの最新バージョンへアップデートすること。
Perplexityを装う悪意ある拡張機能が検索情報を窃取
AI検索エンジン「Perplexity」を装うChrome拡張機能が、ユーザーの検索クエリやアドレスバーへの入力内容を窃取していたことが判明しました。当該拡張機能はブラウザのデフォルト検索エンジンを書き換え、攻撃者のサーバーを経由させることで情報を収集していました。
脅威の概要
Perplexity AIを装う悪意あるChrome拡張機能「Search for perplexity ai」が、ユーザーの検索クエリやアドレスバーへの入力をリアルタイムで窃取していました。攻撃者は正規の検索結果を表示させることでユーザーを欺き、バックグラウンドで情報を収集していました。
主要なTTP
ブラウザのデフォルト検索エンジンの書き換え
対象となる組織・利用者
Chromeブラウザを利用する全ての組織。特にAI関連のツールや拡張機能を業務で利用する環境。
推奨される防御アクション
ブラウザ拡張機能の利用をポリシーで制限・管理する
■ 注目事例
STNet、ピカラサービスで認証情報漏洩の可能性
株式会社STNetが提供する「ピカラ光」「ピカラモバイル」「お仕事ピカラ」のメールサービスにおいて、顧客のメールアドレスとパスワードが外部に漏洩した可能性があることが判明しました。同社は被害防止のため、対象利用者に対して至急パスワードを変更するよう呼びかけています。
6/24公表のKDDIメールシステムへの不正アクセス等、最近相次いでいるISPのメールサービスにおける情報漏洩と同様の事案です。対象サービスをご利用中の方は、速やかにパスワード変更を行ってください。
攻撃手法(確認済み)
公表文では「メールアドレスおよびパスワードが外部に漏洩した可能性がある」とされており、具体的な侵入経路や漏洩原因は明記されていません。
攻撃手法(推測)
他社サービスからの漏洩情報を悪用したリスト型攻撃(Credential Stuffing)や、同社システムへの不正アクセスによるデータベース流出の可能性があります。 (根拠:「他のサイトやサービスと同じパスワードの使い回しはおやめください」という注意喚起が強調されている点から、認証情報の流用による不正アクセスが強く想起されます。)
自組織チェックポイント
自社で利用しているサービスにおいて、パスワードの使い回しをしていないか
株式会社スペース、社員アカウント乗っ取りによるフィッシングメール送信
株式会社スペースの社員1名がフィッシングサイトに認証情報を入力したことで、メールアカウントが第三者に不正利用されました。その結果、当該アカウントから取引先等へフィッシングメールが大量送信される事案が発生しました。現時点で情報漏洩や二次被害は確認されていません。
攻撃手法(確認済み)
社員がフィッシングメール内の偽サイトへ誘導され、メールアカウントの認証情報を入力したことによるアカウント乗っ取り。
自組織チェックポイント
全てのメールアカウントおよびSaaS利用時に多要素認証(MFA)を強制しているか
ぎんざんテレビ、提携先での不正アクセスによる情報漏洩
ぎんざんテレビ放送は、同社が提供するメールサービスの提供元であるKDDIのシステムが不正アクセスを受け、メールアドレスおよびパスワードハッシュが漏洩した可能性があると公表しました。対象となる顧客には、順次パスワード等の再設定を案内するとしています。
6/24に報告したKDDIのメールシステムへの不正アクセスに起因する、新たな提携先での情報漏洩事案です。同システムを利用する他社でも同様の公表が続いており、対象環境では早急な対応が求められます。
攻撃手法(確認済み)
提供元であるKDDI株式会社のメールシステムに対する不正アクセス。具体的な侵入経路については公表情報からは不明です。
攻撃手法(推測)
システム提供元でのインシデントであるため、サプライチェーンを介した影響が考えられます。 (根拠:公表文において、自社ではなくシステム提供元(KDDI)のシステムが不正アクセスを受けたことが明記されているため。)
自組織チェックポイント
外部サービス(SaaS・クラウド・ISP等)のID・パスワードを他サービスと使い回していないか
石川コンピュータ・センター、不正アクセス事案の最終報を公開
石川コンピュータ・センターは、添付ファイル分離メールサーバに対する不正アクセス事案の調査が完了したと公表しました。脆弱性を悪用した侵入によりメール情報やログが閲覧可能な状態となりましたが、情報の窃取や二次被害は確認されていません。
攻撃手法(確認済み)
添付ファイル分離メールサーバ上で動作する「添付ファイルダウンロード用Webシステム」の脆弱性を悪用した不正アクセス。
自組織チェックポイント
外部公開しているWebシステムやアプリケーションの脆弱性管理(パッチ適用)が徹底されているか
■ レポート・解説
明日のセキュリティ脅威情報も、あなたのメールに。
毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。
無料で購読する →
この内容は 2026-06-30 に配信されました。