2026-07-03(金)配信

セキュリティ脅威情報

■ 脅威動向
脆弱性Rancher Fleetにおける認可不備による機密情報漏洩の脆弱性
📰 過去報告:7/2
Rancher Fleetにおいて、Helm Deployerの検証不備に起因する認可の脆弱性が存在する。マルチテナント環境において、攻撃者は`valuesFrom`参照を悪用することで、本来アクセス権のない名前空間のConfigMapやSecretを読み取ることが可能となる。また、認可なしでクラスター全体のリソースを作成できるリスクもあり、影響範囲が広大であるため極めて重大である。
前回7/2に報告したRancherの脆弱性に続き、関連するRancher Fleetでも重大な脆弱性が公表されました。Rancher環境を利用している管理者は、併せて影響の確認と対策を推奨します。
対象ソフト
Rancher Fleetは、Kubernetesクラスターのデプロイメントと管理を自動化するためのツールであり、主にマルチテナント環境の運用で使用される。
影響
攻撃者はダウンストリームクラスター上の任意のSecretやConfigMapを読み取ることができ、権限のないリソース作成やサービスアカウントの悪用が可能となる。
対応策
v0.15.2、v0.14.6、0.13.11、または v0.12.15 以降にアップグレードすること。また、Policyリソースを使用してサービスアカウントの制限やURLの正規表現による制限を適用することが推奨される。
脆弱性Mauticのテーマエンジンにおけるサーバーサイドテンプレートインジェクション(SSTI)の脆弱性
📰 過去報告:6/29, 6/30
Mauticのテーマエンジンにおいて、サーバーサイドテンプレートインジェクション(SSTI)の脆弱性が発見された。本脆弱性は、アップロードされたTwigテンプレートがサンドボックス化や厳格な制限なしにレンダリングされることに起因する。テーマの作成やアップロード権限を持つ認証済みユーザーが、悪意のあるテンプレートを注入することで、任意のコードを実行可能である。CVSSスコアが9.9と極めて高く、システム全体の乗っ取りにつながる重大なリスクがあるため、早急な対応が求められる。
6月末から相次いでいる高深刻度な脆弱性と同様に、本件も任意のコード実行につながる極めて重大なリスクがあります。該当システムを利用している環境では、早急なアップデート等の対応を推奨します。
対象ソフト
Mauticは、マーケティングオートメーション(MA)を実現するためのオープンソースプラットフォームであり、企業のWebサイトやメールキャンペーンの管理に広く利用されている。
影響
攻撃が成功した場合、ホスティングサーバー上で任意のシステムコマンドが実行される(リモートコード実行)、あるいは制限されたシステムファイルや設定情報への不正アクセスが行われる可能性がある。
対応策
バージョン7.1.2、6.0.9、5.2.11、または4.4.20(ELTS)以降へアップデートすること。アップデートが困難な場合は、テーマの作成・アップロード権限(core:themes:create)を信頼できる管理者のみに制限する運用回避策を講じること。
Anubis等ランサムウェアの最新手口と脅威動向
AnubisおよびThe GentlemenといったRaaSグループが、Citrix NetScalerの脆弱性悪用やBYOVD(Bring Your Own Vulnerable Driver)技術を駆使し、セキュリティ対策を回避しながら侵入・データ窃取を行う手口が活発化しています。
主要なTTP
Citrix NetScalerの脆弱性(CVE-2025-5777)悪用による初期侵入
BYOVD技術を用いたEDR等のセキュリティプロセス停止
正規のRMMツール(ScreenConnect等)の悪用による永続化と遠隔操作
サプライチェーン攻撃による認証情報窃取とランサムウェア展開の連携
対象となる組織・利用者
Citrix NetScaler製品を利用する組織、およびEDRを導入しているがBYOVD対策が未検討のセキュリティ担当者。
推奨される防御アクション
Citrix NetScalerの脆弱性(CVE-2025-5777)へのパッチ適用
VPNおよび管理インターフェースへのMFA導入とインターネット公開の最小化
BYOVD対策として、既知の脆弱なドライバーのロードをブロックするポリシーの適用
RMMツールやPsExec等の管理ツールの不審な利用状況の監視
リコー製複合機にXSSの脆弱性(CVE-2026-56809)
リコー製機器の管理機能である「Web Image Monitor」における反射型XSSの脆弱性です。攻撃者が細工したリンクを管理者に踏ませることで、ブラウザ上で任意のスクリプトを実行させ、セッション情報の窃取や管理画面の不正操作が行われる恐れがあります。
主要なTTP
反射型クロスサイトスクリプティング(XSS)の悪用
管理画面の認証済みセッションの悪用
ブラウザ上での任意のスクリプト実行
対象となる組織・利用者
リコー製のレーザープリンタや複合機(MFP)を導入し、Web Image Monitor機能を利用している組織。
推奨される防御アクション
リコー公式サイトを確認し、対象機種の最新ファームウェアへアップデートする
管理画面へのアクセス元を信頼できる端末やネットワークに制限する
管理画面を使用しない場合は機能を無効化する
Apache Tomcatの複数脆弱性について
📰 過去報告:6/29
Apache Tomcatにおいて、認証バイパスやリプレイ攻撃への脆弱性、セキュリティ制約の回避など、複数の深刻な脆弱性が確認されました。
6/29報告のApache APISIXなど、ミドルウェアにおける認証バイパス等の脆弱性公表が続いています。影響を受ける環境では、速やかに修正版へのアップデートなどの対応を推奨します。
主要なTTP
認証バイパス(JNDIRealmおよびGSSAPI)
セキュリティ制約の無視
リプレイ攻撃に対する保護欠如
設定不備による検証失敗
対象となる組織・利用者
Apache Tomcat 9、10、11系を運用しているシステム管理者。
推奨される防御アクション
Apache Tomcat公式サイトのアドバイザリを確認
使用中のバージョンが影響を受けるか確認
提供されている修正済みバージョンへのアップデートを実施
LLMによるインフォスティーラーの追跡調査
インフォスティーラーが感染端末から収集するスクリーンショットには、攻撃者の配布サイトやマルウェアの誘導経路といった情報が含まれる場合がある。これをLLMで解析することで、攻撃キャンペーンの追跡が可能になるという研究成果。
主要なTTP
インフォスティーラーによる機密情報およびセッション情報の窃取
Telegram APIを悪用したC2通信およびデータ販売
感染端末の自動スクリーンショット撮影による環境確認(サンドボックス検知)
対象となる組織・利用者
インフォスティーラーによる認証情報窃取のリスクにさらされている全組織。
推奨される防御アクション
EDRによる不審なプロセス挙動(スクリーンショット撮影等)の監視
多要素認証(MFA)の導入とセッション管理の強化
ソフトウェアの「クラック版」利用を禁止するセキュリティ教育の徹底

この続きを、毎朝メールで受け取りませんか?

無料で購読する →
■ 注目事例
🔄 [続報] 大阪産業大学、推奨PC販売サイトの不正アクセスについて注意喚起
📰 過去報告:7/2
大阪産業大学は、同大が推奨するPC購入サイト「アカデミコナビ」を運営する加賀ソルネット社において、第三者による不正アクセスが発生し、ユーザー情報が漏洩した可能性があると公表しました。大学側のシステムへの影響はないとしています。
7/2に報告した加賀ソルネットのECサイト不正アクセスに関連し、推奨PCとして同サイトを案内していた大阪産業大学が注意喚起を公表。大学側システムへの影響はないとのことです。
攻撃手法(確認済み)
運営会社(加賀ソルネット株式会社)のECサイトに対する第三者の不正アクセス。具体的な侵入経路や手口については公表文からは不明です。
攻撃手法(推測)
ECサイトに対する不正アクセスであることから、SQLインジェクションやOSコマンドインジェクション等の脆弱性悪用、あるいは管理画面への不正ログインなどが想起されます。
自組織チェックポイント
業務で利用する外部ECサイトやSaaSのパスワードを使い回していないか
外部サービスから「不正アクセスによる情報漏洩」の通知が届いた際、速やかにパスワード変更を行う体制があるか
サービス利用時に登録する個人情報は必要最小限に留められているか
不審なメールやSMSを受信した際の社内報告フローが周知されているか
🔄 [続報] STNet、ピカラメールの認証情報漏洩
📰 過去報告:6/30
株式会社STNetが提供するインターネット回線サービス「ピカラ」にて、メールアドレスおよびパスワードが外部へ漏洩した可能性があることが判明しました。同社は利用者に対し、至急パスワードを変更するよう呼びかけるとともに、未変更のパスワードについては順次強制変更を実施するとしています。
6/30報告の続報。未変更のパスワードについて、同社が順次強制変更を実施することが発表されました。対象の利用者は速やかな確認が必要です。
攻撃手法(確認済み)
公表情報からは具体的な侵入経路は不明です。
攻撃手法(推測)
他社サービスから流出した認証情報を悪用した「リスト型攻撃(パスワードリスト攻撃)」、あるいは同社サーバへの不正アクセスによりデータベースが直接侵害された可能性があります。
自組織チェックポイント
自社で利用しているサービスにおいて、パスワードの使い回しをしていないか
重要なアカウントで多要素認証(MFA)が有効になっているか
従業員が利用するメールサービス等の認証情報を定期的に更新・管理する体制があるか
不正ログインの予兆(身に覚えのないログイン通知等)を検知する仕組みがあるか
佐渡市委託事業、不正アクセスでメールアドレス流出の可能性
📰 過去報告:6/26, 6/29
新潟県佐渡市の委託事業において、メール配信システムへの不正アクセスが発生しました。これにより、会員4,111名分のメールアドレスが漏えいした可能性があります。現在、対象のサーバは停止されており、被害の拡大防止措置が講じられています。
最近相次いで報告されているメール配信システムへの不正アクセスによる情報漏洩と同様の事案です。利用している外部配信サービスや委託先のセキュリティ設定、アクセス権限の適切な管理を改めて推奨します。
攻撃手法(確認済み)
公表情報からは不明(外部からの不正アクセスとのみ記載)。
攻撃手法(推測)
メール配信システム等のWebアプリケーションに対する脆弱性攻撃、または管理権限への不正ログインなどが考えられます。
自組織チェックポイント
委託先が管理するシステムの情報セキュリティ体制を定期的に確認しているか
外部公開しているサーバや管理画面に不要なポートが開いていないか
システムの脆弱性管理(パッチ適用)が適切に行われているか
委託先との間でインシデント発生時の報告フローが明確になっているか
現代仏壇、不正アクセスによる個人情報流出の可能性
📰 過去報告:7/1
株式会社現代仏壇は、同社が管理するサーバへの不正アクセスにより、個人情報が外部流出した可能性があると発表しました。現時点でクレジットカード情報等の流出は確認されておらず、親会社である株式会社はせがわへの影響もないとしています。同社は現在、外部専門機関と連携して調査を進めています。
7/1報告の他社事例と同様、外部からの不正アクセスによる情報漏洩の懸念が生じています。多くの企業で同様の被害が相次いでおり、サーバーのアクセス権限やログ監視体制の再確認が推奨されます。
攻撃手法(確認済み)
公表情報からは不明。ネットワークへの不正アクセスがあったとのみ記載。
攻撃手法(推測)
Webサービスや管理サーバの脆弱性を突いた攻撃、またはVPN機器等の境界防御装置の脆弱性を悪用した侵入の可能性があります。
自組織チェックポイント
公開Webサーバや管理用ネットワークの脆弱性対策(パッチ適用)は適切か
外部公開している機器の認証に多要素認証(MFA)を導入しているか
サーバへのアクセスログを監視し、不審な通信を検知できる体制にあるか
ネットワークのセグメンテーションを行い、被害の拡大を防ぐ構成になっているか
■ レポート・解説
日経225企業の9割超で認証情報漏えいを確認
ジョーシス株式会社が日経225構成企業を対象に実施した調査で、過去3年間に217社(96.4%)で認証情報の漏えいが確認されました。従業員100名あたり約3名分の認証情報がダークウェブ等で流通しており、重要アプリケーションでの漏えいも多くの企業で発生しています。
発行元:ジョーシス株式会社
注目理由:国内大手企業の認証情報漏えいの実態と、業界ごとのリスク傾向が定量的に示されており、自社のセキュリティ対策水準を再考するベンチマークとして有用です。
入手方法:https://www.josys.com/jp/news/research-225company
セキュリティ体験ツール「ZANSIN」構築法
NTT西日本が、セキュリティインシデント体験ツール「ZANSIN」の構築方法を解説したブログ記事を紹介しています。ZANSINはサイバー攻撃の疑似体験を通じて、脆弱性の特定やインシデント対応スキルを習得するためのトレーニング環境です。

明日のセキュリティ脅威情報も、あなたのメールに。

毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。

無料で購読する →
この内容は 2026-07-03 に配信されました。