2026-07-02(木)配信

セキュリティ脅威情報

■ 要対応(緊急度が高く、多くの組織で対応が必要な事案)
KEVMicrosoft SharePoint Serverの信頼できないデータのデシリアライズの脆弱性
📰 過去報告:6/29
Microsoft SharePoint Serverにおいて、信頼できないデータのデシリアライズに起因する脆弱性が存在し、認証された攻撃者がネットワーク経由で任意のコードを実行できる可能性がある。本件はCISAのKnown Exploited Vulnerabilitiesカタログに追加されており、悪用が確認されている。CISAは2026-07-04までの対応を推奨している。
6/29報告のAzure ADの件と同様、Microsoft製品における深刻な脆弱性の悪用が確認されています。CISAの警告通り、対象環境を利用中の組織は迅速な対応が必要です。
なぜご自身の組織で確認すべきかCISAの既知悪用脆弱性リスト(KEV)に登録されたSharePoint Serverの脆弱性であり、速やかな対応が推奨されるため。
攻撃手法(確認済み)
攻撃が成功した場合、ネットワーク経由で任意のコードが実行され、システムの乗っ取りや機密情報の漏洩、不正操作が行われる可能性がある。
自組織チェックポイント
ベンダーの指示に従い、速やかに修正プログラムを適用すること。また、CISAのBOD 26-04ガイダンスに基づき、資産のインターネット公開状況を評価し、適切なパッチ適用を行うこと。
Argo CDに未修正の脆弱性、クラスタ乗っ取りの恐れ
Argo CDのrepo-serverコンポーネントにおいて、認証不要でコード実行が可能な未修正の脆弱性が報告されました。攻撃者が内部ネットワークへ到達できる場合、Kubernetesクラスタの完全な乗っ取りにつながる可能性があります。現時点でパッチは提供されていません。
なぜご自身の組織で確認すべきか広く使われるArgo CDにおいて未修正のRCE脆弱性が報告されており、具体的なネットワーク制限などの緩和策の実施が必要なため。

この続きを、毎朝メールで受け取りませんか?

無料で購読する →
■ 脅威動向
脆弱性FissionにおけるPodSpec注入の脆弱性によるクラスタ乗っ取り
FissionのEnvironment CRDにおいて、PodSpecの検証不足および更新時のWebhookバイパスにより、悪意のあるPodSpecが注入される脆弱性が存在する。攻撃者は、特権付きPodをスケジュールし、ホストパスへのアクセス権を取得することで、クラスタCA秘密鍵を読み取ることが可能である。これにより、攻撃者はkubelet証明書を偽造し、クラスタ全体を乗っ取ることができる。この問題は、検証ロジックの強化、Webhookの更新処理の修正、およびマージ時の危険なフィールドの除去によって修正された。
対象ソフト
Fissionは、Kubernetes上でサーバーレス関数を実行するためのオープンソースフレームワークである。
影響
攻撃成功時、ノードエスケープが発生し、最終的にKubernetesクラスタの完全な乗っ取りに至る可能性がある。
対応策
v1.24.0以降にアップグレードすること。
脆弱性Erlang QUICライブラリにおけるTLS証明書検証の不備
Erlang向けQUICライブラリにおいて、TLS 1.3ハンドシェイク時のサーバー認証が適切に行われない脆弱性が存在する。証明書の署名検証、チェーン検証、およびホスト名確認が実行されないため、クライアント側の検証機能が実質的に無効化されている。この脆弱性を悪用されると、ネットワーク上の攻撃者が中間者攻撃(MitM)を行い、任意の証明書を提示してサーバーになりすますことが可能となる。その結果、通信の機密性と完全性が損なわれる重大なリスクがある。なお、PSK(セッション再開)による認証を行うハンドシェイクは影響を受けない。
対象ソフト
Erlang言語で実装されたQUICプロトコルおよびHTTP/3通信をサポートするためのライブラリ。
影響
攻撃者による中間者攻撃を許し、通信の傍受や改ざん、サーバーへのなりすましが行われる可能性がある。
対応策
ライブラリをバージョン 1.4.4 以降にアップデートすること。
脆弱性RancherにおけるYAMLパラメータの不適切な処理によるコマンドインジェクションの脆弱性
Rancher Managerのクラスターインポートエンドポイントにおいて、YAMLパラメータのサニタイズ不足に起因する重大なコマンドインジェクションの脆弱性が確認された。攻撃者は、細工したURLを通じて悪意のあるYAML設定を注入し、DaemonSetを介して制御プレーンノード上で任意のコマンドを実行できる可能性がある。本脆弱性を悪用されると、Kubernetesクラスターの完全な制御権の奪取や、機密情報の窃取、クラスター運用の妨害を招く恐れがある。攻撃には有効なクラスター登録トークンの入手と、被害者による細工されたマニフェストの適用が必要となる。
対象ソフト
Rancherは、Kubernetesクラスターの運用管理を効率化するためのオープンソースのコンテナ管理プラットフォームである。企業や組織のマルチクラスター環境において、一元的な管理やデプロイメントの自動化に広く利用されている。
影響
攻撃成功時、制御プレーンノードでの特権コード実行、ダウンストリームKubernetesクラスターの完全な制御、機密情報の窃取、およびクラスター運用の中断が発生する可能性がある。
対応策
v2.14.2、v2.13.6、v2.12.10、v2.11.14、v2.10.12以降のバージョンへアップグレードすること。直ちに適用できない場合は、cattle-system名前空間内のkube-api-auth DaemonSetの構成を確認し、不審なコマンドやイメージが含まれていないか調査を行うこと。
脆弱性GhostにおけるキャッシュポイズニングによるXSSの脆弱性
Ghostのフロントエンドにおいて、x-ghost-previewヘッダーを悪用したキャッシュポイズニングおよびクロスサイトスクリプティング(XSS)の脆弱性が存在する。FastlyやCloudflare、nginx等の共有キャッシュ層を利用している環境において、認証されていない攻撃者が細工したヘッダーを送信することで、キャッシュされたコンテンツを改ざんし、後続の閲覧者に悪意のあるスクリプトを配信することが可能である。特にフロントエンドと管理画面を同一ドメインで運用している場合、スタッフアカウントの乗っ取りに繋がるリスクがあり、深刻度は極めて高い。
対象ソフト
Ghostは、Node.jsベースのオープンソースのブログ・パブリッシングプラットフォームであり、コンテンツ制作やニュースレター配信に広く利用されている。
影響
攻撃が成功した場合、キャッシュされたページを閲覧したユーザーに対して任意のスクリプトが実行される。同一ドメインで管理画面を運用している環境では、スタッフアカウントのセッションが乗っ取られる恐れがある。
対応策
Ghostをバージョン6.37.0以降にアップデートすること。また、キャッシュ層においてx-ghost-previewヘッダーを含むリクエストのキャッシュをバイパスする設定も有効な回避策となる。
脆弱性IBM Storage Protectにおけるハードコードされた認証情報の脆弱性
📰 過去報告:6/25, 7/1
IBM Storage Protect ClientおよびSnapshot For WindowsのFlashCopy Manager (FCM) 認証機構において、ハードコードされた認証情報が使用されている脆弱性が存在する。本脆弱性は、複数の認証経路に静的な資格情報が埋め込まれており、認証応答の検証が不適切であることに起因する。リモートの攻撃者は、この脆弱性を悪用することで認証を回避し、信頼されたセッションを確立して保護されたサービスへ不正にアクセスすることが可能である。CVSSスコアが9.1と極めて高く、攻撃者が正当なクライアントを偽装してシステムリソースへアクセスできるため、深刻な脅威となる。
最近相次いでいる認証回避や認証不備に関する深刻な脆弱性の一つです。認証をバイパスされてシステムを乗っ取られる危険性があるため、対象製品をご利用中の場合は速やかなパッチ適用を推奨します。
対象ソフト
IBM Storage Protectは、企業向けのデータ保護およびバックアップ・リカバリソリューションであり、大規模なITインフラのデータ管理に広く利用されている。
影響
攻撃者が認証を回避し、正当なクライアントを偽装してシステムリソースへの不正アクセスや機密情報の漏洩、改ざんを行う可能性がある。
対応策
JVN DBを参照し、ベンダーから提供されている修正済みバージョンへアップデートすること。
ブラジル発の銀行トロイの木馬「Ousaban」が急増
Ousaban(別名:Javali)は、ブラジルを拠点とする「Tetrade」と呼ばれるマルウェアファミリーの一種です。偽のPDFや「ClickFix」詐欺を入り口とし、地域制限(ジオフェンシング)やステガノグラフィを用いて検知を回避しながらWindows端末に感染します。
主要なTTP
偽のPDFファイルやエラーメッセージを装ったフィッシング
画像ファイル内にZIPを隠蔽するステガノグラフィの悪用
IPアドレスや言語設定による地域制限(標的以外には無害なページを表示)
レジストリ(Financeiro)を利用した永続化
動的なC2サーバー生成による追跡困難化
対象となる組織・利用者
スペインやポルトガルに関連する業務を行う企業、または海外拠点を持つ組織の情シス担当者。
推奨される防御アクション
「ファイルが破損している」として更新を促すPDFやメールを警戒する
レジストリキー「Financeiro」および不審なファイルパス(C:\SysMain_5874288等)の監視
エンドポイントセキュリティ製品による挙動監視の強化
ゲートウェイでのサンドボックス検知を過信せず、不審なリンクへのアクセスを制限
Bloggerを悪用する新攻撃「VEIL#DROP」
VEIL#DROPは、Bloggerを悪用してペイロードを配布する多段階の攻撃チェーンです。難読化、メモリ内実行、LOLBins(正規のシステムバイナリ)の活用により、セキュリティ対策を回避しながらPureLogs情報窃取マルウェアを感染させます。
主要なTTP
ドキュメントを装ったJavaScriptファイルによる初期侵入
Bloggerプラットフォームを悪用したペイロードの動的取得
実行時のランタイム変異とポリモーフィズムによるシグネチャ回避
反射的コードロード(Reflective Code Loading)によるメモリ内実行
Microsoft署名済みバイナリ(LOLBins)を利用したフォールバック実行
対象となる組織・利用者
フィッシングメールやWeb閲覧を通じて業務端末を利用する全ての組織。特に、PowerShellの実行制限やエンドポイントでの監視が不十分な環境。
推奨される防御アクション
PowerShellの実行ポリシーの厳格化とスクリプトブロックログの有効化
信頼できないソースからのJavaScriptファイル実行をブロック
LOLBins(msbuild.exe等)の不審な実行プロセスの監視
WebフィルタリングによるBlogger等の汎用ブログプラットフォームへのアクセス制限検討
SEO汚染サイト経由のAsyncRAT配布キャンペーン
SEO汚染(検索エンジン最適化の悪用)により、人気ソフトウェアを装った偽サイトへユーザーを誘導し、AsyncRATを配布するキャンペーンが確認されました。正規の署名済みバイナリと悪意のあるDLLを組み合わせる手法で、セキュリティ製品の検知を回避しています。
主要なTTP
SEO汚染による偽ソフトウェア配布サイトへの誘導
DLLサイドローディングによるScreenConnectの実行
PowerShellスクリプトによるDefender除外設定およびUAC無効化
プロセスハロウィイングによるAsyncRATのメモリ上での実行
スケジュールタスクによる永続化
対象となる組織・利用者
業務でフリーソフトウェアやユーティリティを頻繁にダウンロードする従業員を抱える組織。
推奨される防御アクション
公式ソース以外からのソフトウェアダウンロードを禁止する
エンドポイントでのPowerShell実行ポリシーの制限
不審なスケジュールタスクや通信(mora1987.work等)の監視
EDRによるプロセスハロウィイングや不審なDLL読み込みの検知
■ 注目事例
女の転職type、不正アクセスの調査結果を公表
株式会社キャリアデザインセンターは、運営する転職サイト「女の転職 type」で発生した不正アクセスに関する調査結果を公表しました。外部専門機関によるフォレンジック調査の結果、社内調査と同様にリスト型アカウントハッキングによる被害であり、約3.8万件のアカウントが不正ログインされたことが確認されています。
攻撃手法(確認済み)
リスト型アカウントハッキング(リスト型攻撃)による不正ログイン。
自組織チェックポイント
自社サービスでパスワードの使い回しを抑制する対策(注意喚起等)を行っているか
ログイン試行の異常検知(短時間での大量アクセス、IP分散等)を監視しているか
不正ログイン防止のため、多要素認証(MFA)やパスキー導入を検討しているか
万が一の不正アクセス発生時に備え、フォレンジック調査を依頼できる体制を確保しているか
加賀ソルネット、ECサイト不正アクセスで個人情報流出
加賀ソルネットが運営するECサイト「アカデミコナビ」において、第三者による不正アクセスが発生しました。2021年10月から2026年4月までに登録されたユーザーの氏名、住所、連絡先、メールアドレス、暗号化パスワードなど、最大約17万件の個人情報が流出した可能性があります。
攻撃手法(確認済み)
公表情報からは不明。外部からの不正アクセスがあったことのみ記載されています。
攻撃手法(推測)
ECサイトの脆弱性(SQLインジェクションやOSコマンドインジェクション等)を突かれたか、あるいは管理画面への不正ログインが行われた可能性があります。
自組織チェックポイント
自社で運営するWebサイトの脆弱性診断を定期的に実施しているか
Webサイトの管理画面へのアクセス制限(IP制限やMFA)を適切に実施しているか
顧客データベースへのアクセス権限を最小限に絞っているか
漏洩したパスワードを他サイトで使い回さないよう、従業員や顧客へ注意喚起を行っているか
ダイキョーニシカワ子会社で不正アクセス、情報流出を確認
ダイキョーニシカワは、インドネシアの連結子会社で不正アクセスが発生し、データの一部が外部に送信されたことを確認したと発表しました。3月下旬に異常を検知して以降、専門機関と連携し調査と復旧作業を進めています。
攻撃手法(確認済み)
公表情報からは不明。システムへの不正アクセスおよびデータが外部送信された事実のみが公表されています。
攻撃手法(推測)
海外拠点におけるVPN機器や公開サーバーの脆弱性を突いた侵入、あるいは認証情報の窃取による不正ログインの可能性があります。
自組織チェックポイント
海外拠点のシステム管理状況を把握できているか
海外拠点と本社間のネットワーク接続に適切な制限を設けているか
海外拠点のセキュリティ運用状況(パッチ適用・MFA導入)を定期的に監査しているか
海外拠点でのインシデント発生時に本社へ即時報告される体制があるか
■ レポート・解説
上場企業のWebサイト、7割がPHPのサポート終了版を使用
GMOプライム・ストラテジー社が東証上場企業を対象にWebサイトの技術調査を実施しました。その結果、調査対象の70.1%がサポート終了済みのPHPで稼働しており、WordPressにおいても旧バージョンの利用や最新パッチ未適用のサイトが多数存在することが判明しました。
発行元:GMOプライム・ストラテジー株式会社
注目理由:上場企業におけるWebサイトの技術的管理状況を大規模に調査しており、自社のWeb運用体制を見直す際のベンチマークとして有用です。
入手方法:GMOインターネットグループのニュースリリース(https://group.gmo/news/article/10064/)より参照可能です。
個人情報保護委、令和7年度4Qの漏えい等報告状況を公表
個人情報保護委員会は、令和7年度第4四半期の個人情報および特定個人情報の漏えい等報告状況を公表しました。個人情報の漏えい報告は4,602件にのぼり、その大半が医療機関や薬局における書類等の誤交付によるものと報告されています。
発行元:個人情報保護委員会
注目理由:最新の漏えい事案の傾向(ヒューマンエラーと不正アクセスの比率等)を把握し、自社のセキュリティ対策の優先順位を見直すための基礎資料となります。
入手方法:https://www.ppc.go.jp/aboutus/minutes/2026/20260610/

明日のセキュリティ脅威情報も、あなたのメールに。

毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。

無料で購読する →
この内容は 2026-07-02 に配信されました。