2026-07-01(水)配信

セキュリティ脅威情報

■ 脅威動向
脆弱性n8nにおける認証情報の不正アクセスおよび権限昇格の脆弱性
n8nのDynamic Credentials機能において、認証情報へのアクセス制御に不備が存在する。認証済みのユーザーが、本来アクセス権限を持たない他のユーザーのワークフローに関連付けられた認証情報の識別子や名前を列挙できるほか、OAuth認可フローを悪用して保存されたトークンを上書きしたり、トークンを取り消したりすることが可能である。この脆弱性を悪用されると、攻撃者が管理する外部サービスへのデータ流出や、他者の認証情報に依存するワークフローの乗っ取りが発生する恐れがある。CVSSスコアが9.9と極めて高く、深刻な影響を及ぼす可能性がある。
前回 6/29 報告の同製品において、新たに深刻な脆弱性が公表されました。同じn8nを利用している環境では、追加のアップデート適用など迅速な対応を推奨します。
対象ソフト
n8nは、様々なWebサービスやアプリケーションを連携させて業務を自動化するオープンソースのワークフロー自動化プラットフォームである。
影響
攻撃者による他者の認証情報の列挙、OAuthトークンの上書き、およびワークフローの乗っ取り。これにより、機密データの流出や業務自動化プロセスの破壊が発生する。
対応策
開発者が提供する修正済みバージョン(1.123.55、2.25.7、または 2.26.2 以降)へ速やかにアップデートすること。
脆弱性TraefikにおけるHTTP/3のmTLS強制回避に関する脆弱性
TraefikのHTTP/3(QUIC)実装において、TLS構成の選択処理に不備が存在します。HTTP/3が有効な環境で、ワイルドカードホストや大文字小文字を区別しないホスト名設定を使用している場合、TLSハンドシェイクがデフォルト構成へ誤ってフォールバックする可能性があります。その結果、本来クライアント証明書認証(mTLS)が強制されるべきバックエンドに対し、認証なしでリクエストが到達するリスクがあります。攻撃者がエントリポイントへUDPアクセス可能な場合、認証を回避して保護されたサービスへ不正にアクセスされる恐れがあり、CVSSスコア10.0の極めて重大な脆弱性です。
対象ソフト
Traefikは、マイクロサービスやコンテナ環境で広く利用されるオープンソースのHTTPリバースプロキシおよびロードバランサーです。
影響
認証されていないクライアントがmTLS強制を回避し、本来アクセス権限のないバックエンドサービスへリクエストを送信できる。
対応策
Traefikをバージョン3.7.4以降(または修正済みバージョン)へアップデートすること。
脆弱性Zoom WorkplaceにおけるカスタムURLスキームの認可不備による特権昇格の脆弱性
Android版およびiOS版のZoom Workplaceにおいて、カスタムURLスキームのハンドラーにおける認可処理が不適切であることに起因する脆弱性が存在する。この脆弱性を悪用されると、認証されていない遠隔の攻撃者がネットワーク経由でアクセスし、特権を昇格させる可能性がある。CVSS v3スコアが9.8と極めて高く、攻撃の難易度が低いため、早急な対策が必要である。
6/29報告のAzure ADの事例と同様、認可不備に起因する深刻な権限昇格の脆弱性です。モバイル版Zoom Workplaceを利用している環境では、速やかにアップデートを適用してください。
対象ソフト
Zoom Workplaceは、ビデオ会議、チャット、電話、ホワイトボード機能などを統合した、企業や教育機関で広く利用されるコミュニケーションプラットフォームである。
影響
攻撃が成功した場合、認証されていない第三者が特権を昇格させ、システム上で意図しない操作や権限の不正利用が行われる可能性がある。
対応策
JVN DBおよびZoom公式の情報を参照し、修正済みの最新バージョンへアップデートすること。
脆弱性Anysphere Cursorにおける任意のファイル書き込みおよびRCEの脆弱性
Cursorのバージョン3.0以前において、エージェントがターミナルコマンドを実行する際のパス正規化処理に不備が存在する。悪意のあるエージェントがワークスペース外を指すシンボリックリンクを作成することで、正規化処理を回避し、ユーザーの承認なしにワークスペース外の任意の場所へファイルを書き込むことが可能となる。この脆弱性を悪用されると、サンドボックス環境の制御を突破し、ユーザー権限下で任意のコードを実行される恐れがあるため、極めて危険である。
6/25や6/28報告の他製品と同様、パス検証の不備によるファイル書き込みやコード実行の脆弱性です。開発ツールのアップデートを速やかに実施してください。
対象ソフト
Cursorは、AI機能を統合したプログラミング用コードエディタであり、開発者のコーディング効率化を支援するツールとして広く利用されている。
影響
攻撃者によって、ユーザーの意図しない場所に任意のファイルが書き込まれる。また、サンドボックス環境を回避してリモートコード実行(RCE)が行われる可能性があり、システム全体の乗っ取りや機密情報の流出につながる。
対応策
本脆弱性はバージョン3.0で修正されている。直ちに最新バージョンへアップデートすること。
脆弱性JetBrains Hubにおける認証バイパスの脆弱性
JetBrains Hubにおいて、重要な機能に対する認証の欠如に起因する脆弱性が存在します。本脆弱性は、直接的なデータベースアクセスを通じて管理者権限を取得できる認証バイパスの欠陥です。攻撃者はネットワーク経由で認証を回避し、管理者としてシステムにアクセスすることが可能です。CVSSスコアが9.8と極めて高く、システム全体の機密性、完全性、可用性が損なわれる重大なリスクがあるため、早急な対応が必要です。
6/30 報告と同じ JetBrains Hub について、新たな脆弱性が公表されました。管理者権限を奪取される恐れがあるため、利用中の方は追加のアップデート対応を推奨します。
対象ソフト
JetBrains Hubは、同社の開発ツールやチームコラボレーション製品を統合管理するためのユーザー管理・認証プラットフォームである。主に企業内の開発環境やプロジェクト管理基盤として利用される。
影響
攻撃者が管理者権限を不正に取得し、システム内の機密情報へのアクセス、設定の改ざん、またはサービスの停止といった悪意のある操作を行う可能性がある。
対応策
JVN DBの情報を参照し、修正済みの最新バージョンへ速やかにアップデートすること。
AIエージェントのMCPツール悪用リスク
Microsoftの研究により、AIエージェントが利用するModel Context Protocol (MCP) ツールの説明文を改ざんすることで、エージェントを不正操作できるリスクが指摘されました。攻撃者は説明文に隠し命令を紛れ込ませることで、ユーザーに気づかれることなく機密データを外部へ流出させることが可能です。
脅威の概要
AIエージェントが外部ツールを呼び出すための「Model Context Protocol (MCP)」において、ツールの説明文(Description)を悪用したプロンプトインジェクション攻撃が可能です。攻撃者は説明文に隠し命令を埋め込むことで、エージェントを操り、権限内のデータを外部へ不正に持ち出すことができます。
主要なTTP
MCPツールの説明文への悪意ある命令の埋め込み
対象となる組織・利用者
AIエージェント(Copilot等)や、MCPを利用した自動化ツールを業務に導入している組織。
推奨される防御アクション
接続するツールを厳格に管理し、信頼できる発行元のみ許可する
⚠️ [継続注意] Fluentdに複数の脆弱性、更新を推奨
📰 過去報告:6/29
Fluentdおよび関連プラグインに複数の脆弱性が発見されました。パストラバーサルや認証の欠如、DoS攻撃を誘発する恐れがあるため、開発元が提供する最新バージョンへのアップデートが推奨されています。
6/29報告の同一CVEについて、関連プラグイン等を含めた複数の脆弱性情報が報じられています。DoS攻撃等の恐れもあるため、利用者は速やかに最新バージョンへのアップデートを適用してください。
脅威の概要
Fluentdおよび関連プラグインにおいて、パストラバーサル、認証不備、SSRF、DoSを誘発する複数の脆弱性が確認されました。管理者権限でのファイル書き換えや機微情報の漏洩リスクが含まれます。
主要なTTP
パストラバーサルによる任意ファイル書き換え
対象となる組織・利用者
Fluentdを使用している環境、およびFluentdを同梱するパッケージ(fluent-package)を導入しているシステム管理者。
推奨される防御アクション
ベンダーが提供する最新バージョンへのアップデート
Adobe ColdFusionに深刻な脆弱性
Adobeは、アプリケーションサーバ「Adobe ColdFusion」に計11件の脆弱性が判明したとして、定例外のアップデートを公開しました。うち10件は重要度が「クリティカル」と評価されており、早急な対応が求められています。
脅威の概要
Adobe ColdFusionにおけるファイルアップロード不備やパストラバーサル等の脆弱性です。CVSSスコア10.0を含む複数の深刻な脆弱性が含まれており、悪用されると任意のコード実行を許す危険性があります。
主要なTTP
ファイルアップロード機能の不備を突いた攻撃
対象となる組織・利用者
Adobe ColdFusionを導入・運用している組織。
推奨される防御アクション
Adobeが公開したセキュリティアップデートを早急に適用する

この続きを、毎朝メールで受け取りませんか?

無料で購読する →
■ 注目事例
2りんかんイエローハット、不正アクセスで個人情報漏えい
株式会社2りんかんイエローハットは、不正アクセスにより約317万名分の顧客個人情報が漏えいしたと発表しました。攻撃者がモバイルアプリ内の情報を窃取し、アプリを介さずにAPIを直接呼び出す手法で顧客データを不正に取得していたことが判明しています。
攻撃手法(確認済み)
モバイルアプリ内の情報を窃取し、アプリを介さないAPIの不正な呼び出しによって顧客データを取得。
攻撃手法(推測)
API認証の不備や、アプリ側のロジック解析によるAPIエンドポイントの特定が原因と考えられます。また、APIへのアクセス制限やレート制限が適切に設定されていなかった可能性があります。 (根拠:「アプリを使用せずに個人情報を取得可能なAPIの呼び出しが行われた」という公表内容から、APIの認証・認可制御の脆弱性が突かれたことが推測されます。)
自組織チェックポイント
APIへのアクセス時に適切な認証・認可(トークン検証等)が実施されているか
テモナ、不正アクセス被害で保険金受給
テモナ株式会社は、2025年10月に発生したECカートシステムへの不正アクセスによる障害に関し、サイバー保険金を受領したと発表しました。対応費用として計上した約3,034万円に対し、約3,540万円の保険金が支払われ、特別利益として計上されています。
攻撃手法(確認済み)
公表情報からは不明。第三者による不正アクセスとのみ記載。
自組織チェックポイント
自社のサイバー保険の補償範囲と限度額を確認しているか
アフラック、不正アクセスにより個人情報漏洩
アフラック生命保険は、ご契約者様専用サイト「アフラック よりそうネット」などのシステムが第三者による不正アクセスを受け、顧客の個人情報が漏洩したと発表しました。被害拡大防止のため一部システムを停止し、現在詳細な調査を行っています。
6月下旬に報告された他社の不正アクセス事例と同様、顧客向けシステムが標的となり情報が漏洩する事案が発生しました。外部公開システムにおけるアクセス制御や認証管理の再点検が推奨されます。
攻撃手法(確認済み)
公表情報からは不明。第三者による不正アクセスとされている。
攻撃手法(推測)
Webサイトや関連システムに対する脆弱性攻撃、または認証情報漏洩を悪用した不正ログインの可能性があります。 (根拠:契約者専用サイトが標的となっており、複数の関連サービスが停止していることから、Webアプリケーションの脆弱性悪用や、アカウント情報の不正使用が想起されます。)
自組織チェックポイント
外部公開しているWebサービスに多要素認証(MFA)を導入しているか
中部興産、解約済みクラウドからの個人情報漏洩
中部興産は、過去に利用していた不動産業務支援クラウドサービス「いえらぶCLOUD」への不正アクセスにより、解約後も削除されずに残存していた顧客個人情報が漏洩した可能性があると公表しました。対象は過去に物件問い合わせを行った13名分です。
攻撃手法(確認済み)
サービス提供元である「いえらぶCLOUD」への外部からの不正アクセスにより、解約後もシステム内に残存していたデータが流出した。
攻撃手法(推測)
SaaS等の解約時において、データ削除のプロセスが適切に履行されていなかったことが主因と考えられます。また、サービス提供側の管理不備により、本来削除されるべきデータが長期間放置されていた可能性があります。 (根拠:公表文に『サービス解約後プロセスにおける不備により、解約後も弊社のお客様情報がいえらぶ社のシステム内に削除されず残存していた』と明記されているため。)
自組織チェックポイント
クラウドサービス解約時に、保存データの削除証明や手順の確認を行っているか
■ レポート・解説
エクスポージャー管理の重要性と本質
Tenable社の阿部淳平氏が、脆弱性管理から発展した「エクスポージャーマネジメント」の意義について語りました。単なるパッチ適用を超え、組織が抱える攻撃対象領域を継続的に把握し、リスクを能動的に低減するアプローチの重要性が解説されています。
イースト、不正アクセス調査結果を公表
株式会社イーストは、4月に発生した社内ネットワークへの不正アクセスに関する調査結果を公表しました。専門機関による調査の結果、ランサムウェア特有の挙動や情報流出の痕跡は確認されませんでしたが、同社は情報漏洩の可能性を完全には否定できないとしています。顧客サービス環境への影響は確認されていません。

明日のセキュリティ脅威情報も、あなたのメールに。

毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。

無料で購読する →
この内容は 2026-07-01 に配信されました。