2026-07-04(土)配信
セキュリティ脅威情報
■ 要対応(緊急度が高く、多くの組織で対応が必要な事案)
北朝鮮関連の悪意あるnpmパッケージが開発環境を標的
📰 過去報告:6/27
北朝鮮に関連する攻撃者が、Rollupの正規ツールを装った悪意あるnpmパッケージを公開しました。これらは開発者の端末やCI環境に侵入し、認証情報やソースコード、暗号資産ウォレット等の機密情報を窃取する機能を持っています。
6/27報告のサプライチェーン攻撃と同様、開発環境やCI環境を狙う悪意あるパッケージの配布が続いています。開発者の認証情報や機密情報の管理、パッケージ導入時の検証を徹底してください。
なぜご自身の組織で確認すべきか開発環境やCI/CDパイプラインを標的とした北朝鮮関連グループによる悪意あるnpmパッケージの配布という、直接的なサプライチェーン汚染攻撃であるため。
WatchGuard Fireboxに深刻なRCE脆弱性
WatchGuard Technologiesは、同社製ファイアウォール「Firebox」のVPN機能における脆弱性(CVE-2026-13368)を公表しました。外部LDAP認証を利用する環境において、リモートから認証なしでコードが実行されるリスクがあります。
なぜご自身の組織で確認すべきか広く利用されているWatchGuard FireboxのVPN機能において、リモートから認証なしでコード実行が可能な深刻な脆弱性(CVE-2026-13368)が公開されたため。
脆弱性Citrix NetScaler製品におけるメモリオーバーフローの脆弱性
📰 過去報告:6/29
Citrix NetScaler ADCおよびNetScaler Gatewayにおいて、複数のメモリオーバーフローの脆弱性が確認された。本脆弱性は、NetScaler ADCがOracleタイプのロードバランサ、DNSプロキシ、またはDNS再帰リゾルバとして構成されている場合に影響を受ける。攻撃者が細工したリクエストを送信することで、製品の予測不能な動作や誤動作を引き起こす可能性があるほか、サービス拒否(DoS)状態に陥る危険性がある。CVSS v3スコアは9.8(Critical)であり、リモートから認証なしで悪用可能なため、早急な対策が必要である。
6/29報告のAzure ADの脆弱性と同様に、リモートから認証なしで悪用可能な極めて深刻な脆弱性です。対象製品を利用している場合は、早急なアップデート等の対応を推奨します。
なぜご自身の組織で確認すべきか多くの企業でリモートアクセス等に利用されるCitrix NetScaler製品において、リモートから認証なしで悪用可能なメモリオーバーフローの脆弱性(CVE-2026-8655)が公開されたため。
攻撃手法(確認済み)
攻撃成功時に、製品の誤動作やサービス拒否(DoS)が発生し、ネットワーク通信やリモートアクセス機能が停止する可能性がある。
自組織チェックポイント
JVN DBおよびベンダーの公式情報を参照し、修正済みの最新バージョンへアップデートすること。
■ 脅威動向
脆弱性9routerにおける認証不備およびOSコマンドインジェクションの脆弱性
📰 過去報告:6/28, 7/1
9routerの `/api/tunnel/tailscale-install` エンドポイントにおいて、認証チェックが欠如しており、悪意のあるリクエストを送信することでOSコマンドインジェクションが可能となる脆弱性が存在します。攻撃者は認証なしで、サーバー上で任意のコマンドを実行できます。特にNodeプロセスがroot権限で実行されている環境や、sudoのNOPASSWD設定が有効な環境では、リモートからのroot権限奪取に直結するため極めて危険です。
最近相次いでいる認証回避やリモートコード実行の脆弱性と同様、本件も認証なしで最悪の場合root権限を奪取される極めて危険な脆弱性です。該当する環境では早急なアクセス制限等の対策を推奨します。
対象ソフト
9routerは、Tailscaleなどのネットワークトンネルを管理・運用するためのNode.jsベースのツールです。主に開発環境や小規模なサーバー運用で利用されます。
影響
攻撃成功時、サーバー上で任意のコマンドが実行され、システム全体の乗っ取り、機密情報の窃取、またはバックドアの設置が行われる可能性があります。
対応策
9routerをバージョン 0.4.45 以降にアップデートしてください。
脆弱性Ollyo SP Page Builderにおける任意ファイルアップロードの脆弱性
📰 過去報告:7/3
Ollyo社が提供するJoomla用SP Page Builderにおいて、重大な脆弱性が確認された。本脆弱性は、認証されていない第三者が任意のファイルをアップロードできるというものである。攻撃者はこの脆弱性を悪用することで、悪意のあるPHPコードをサーバー上にアップロードし、実行させることが可能となる。CVSSスコアは9.8(Critical)と極めて高く、Webサイトの完全な乗っ取りや不正な操作を許すリスクがあるため、早急な対応が必要である。
7/3報告のMauticの脆弱性と同様、Web管理ツールやプラグインを標的とした深刻な脆弱性です。CMSや関連ツールの管理権限、アップロード機能の制限および最新パッチの適用を徹底してください。
対象ソフト
Joomla CMS向けのページ作成・デザイン拡張機能であり、Webサイトのレイアウト構築を容易にするために広く利用されている。
影響
攻撃が成功した場合、認証なしで任意のファイルがアップロードされ、サーバー上で不正なPHPコードが実行される。これにより、Webサイトの改ざん、機密情報の窃取、あるいはサーバーの完全な制御権を奪われる可能性がある。
対応策
JVN DBおよびベンダー公式情報を参照し、修正済みの最新バージョンへ速やかにアップデートすること。
脆弱性Snowflake CLIにおけるサーバーサイドリクエストフォージェリの脆弱性
Snowflake CLI バージョン 3.19 未満において、SQLステートメントリーダーの!source/!loadディレクティブがリモートURLを不適切に処理する問題が存在する。この脆弱性により、攻撃者は細工されたSQLコンテンツを処理させることで、被害者の環境から内部または非公開のネットワークに対して意図しないアウトバウンドリクエストを発行させることが可能となる。さらに、被害者のセッションコンテキストでリモートのSQLコンテンツを取得・実行させることができ、機密情報の漏洩や不正な操作を招く恐れがあるため、非常に重大である。
対象ソフト
Snowflake CLIは、クラウドデータプラットフォームであるSnowflakeをコマンドラインから操作・管理するためのツールであり、データエンジニアや開発者が利用する。
影響
攻撃が成功した場合、被害者の環境から内部ネットワークへの不正なリクエストが実行され、セッション権限内でのリモートSQLコンテンツの取得および実行が行われる可能性がある。
対応策
Snowflake CLIをバージョン3.19以降にアップデートすること。本バージョンではリモートURL取得を無効にするオプションが追加されている。
脆弱性mcp-memory-serviceにおける認証不備の脆弱性 (CVE-2026-50027)
📰 過去報告:7/1
mcp-memory-serviceのドキュメントAPIエンドポイント(/api/documents/*)において、認証が適切に実装されていない脆弱性が存在します。APIキーやOAuthの設定が有効な環境であっても、攻撃者は認証なしでメモリの読み取り、書き込み、削除を行うことが可能です。PoC(概念実証コード)により、認証なしで他者のデータを削除できることが確認されており、機密情報の漏洩やデータの改ざん、意図しないデータ消失を招く恐れがあるため極めて重大です。
7/1報告のn8nの事例と同様、認証やアクセス制御の不備に起因する重大な脆弱性です。外部公開しているAPIエンドポイントや認証設定の再確認を推奨します。
対象ソフト
mcp-memory-serviceは、AIエージェント向けのメモリ(記憶)管理を行うサービスです。APIキーやOAuthによる認証機能を備え、チームやマルチクライアント環境での利用が想定されています。
影響
認証なしの攻撃者によって、メモリ内容の閲覧(機密情報の漏洩)、不正なデータの挿入(メモリ汚染)、および保存されているメモリの削除(データ消失)が行われる可能性があります。
対応策
mcp-memory-serviceをバージョン10.67.1以降にアップグレードすること。修正版では、影響を受けるすべてのルートに対して適切な認証ガード(require_read_access/require_write_access)が適用されています。
PHP、複数脆弱性を修正する更新を公開
PHPの各ブランチにおいて、メモリ破壊やサービス運用に影響を及ぼす脆弱性が複数修正されました。OpenSSL処理やHTTPS通信、画像処理ライブラリ(GD)などが対象となっています。
主要なTTP
OpenSSLのAES-WRAP-PAD処理におけるメモリ破壊
HTTPS通信時のプロキシ経由での異常終了
GDライブラリにおけるダブルフリーやオーバーフロー
Pharディレクトリ保護のバイパス
対象となる組織・利用者
PHP 8.5/8.4/8.3/8.2系を利用しているWebアプリケーション開発者およびサーバー管理者。
推奨される防御アクション
対象のPHPバージョンを最新のセキュリティリリース(8.5.8, 8.4.23, 8.3.32, 8.2.32)へ更新する
PHP環境の依存ライブラリ(OpenSSL, GD等)の更新状況を確認する
アプリケーションのログを監視し、異常終了が発生していないか確認する
macOS向け新マルウェア「PamStealer」
PamStealerは、macOS上で動作する情報窃取マルウェアです。正規ソフトウェアを装った偽サイトから配布され、PAM(Pluggable Authentication Modules)APIを悪用してユーザーのログインパスワードを直接収集する手口が特徴です。
主要なTTP
正規サイトを模倣したフィッシングサイトによる配布
AppleScriptおよびJXAを用いたダウンローダー
実行環境(Apple Silicon等)のフィンガープリントによる環境認識
PAM APIを用いたシステムパスワードのローカル検証と窃取
Rust製のペイロードによるブラウザデータやキーチェーンの収集
対象となる組織・利用者
macOS端末を利用するすべての組織。特に、業務でサードパーティ製のツールを頻繁にインストールする環境。
推奨される防御アクション
ソフトウェアは必ず公式サイト(公式ドメイン)からダウンロードする
不審なAppleScriptやディスクイメージの実行を制限する
エンドポイントセキュリティ製品(EDR)で不審なプロセス実行やネットワーク通信を監視する
macOSのセキュリティ設定を最新に保ち、不審なプロンプトに対する注意を従業員へ啓発する
Armored Likhoによる標的型攻撃と新種Stealer
Armored Likhoは、政府機関や電力セクターを標的とするサイバースパイ活動を行う攻撃グループです。Python製の「BusySnake Stealer」やリモートアクセスツールを駆使し、認証情報や機密データの窃取、永続的なアクセス確保を行っています。
主要なTTP
スピアフィッシングメールによる初期侵入(RARアーカイブやLNKファイルの悪用)
CVE-2025-9491(Windows LNK脆弱性)を利用したリモートコード実行
難読化されたPythonスクリプトおよびVBScriptによる永続化
Go2Tunnelを用いたリバースSSHトンネルによるC2通信
RustDesk等の正規ツールを悪用した認証情報の窃取
対象となる組織・利用者
政府機関、防衛関連企業、および電力セクターなどの重要インフラ組織。
推奨される防御アクション
WindowsのLNKファイル関連の脆弱性(CVE-2025-9491)に対するパッチ適用状況の確認
不審なメール添付ファイル(特にRARアーカイブやLNKファイル)の開封制限
PowerShellやVBScriptの実行監視および制御
不審なSSHトンネル通信やRustDesk等のリモートデスクトップツールの予期せぬ実行の検知
新マルウェア「Avalon」とランサムウェア「CrownX」
Avalonは、フィッシングメールを起点に多段階で展開されるモジュール型マルウェアフレームワークです。認証情報の窃取や横展開、最終的なランサムウェア「CrownX」による暗号化およびシステム破壊機能を備えています。
主要なTTP
ISOイメージを用いたメール検知回避
Windowsショートカット(.lnk)によるMSBuildプロジェクトの実行
ETW(Event Tracing for Windows)妨害による監視回避
ブラウザ・仮想通貨ウォレット・VPN設定等の情報窃取
シャドウコピー削除による復旧妨害
対象となる組織・利用者
フィッシングメールによる標的型攻撃のリスクがある全組織。特に、エンドポイントセキュリティの検知回避手法を多用するため、EDRの運用担当者は注意が必要です。
推奨される防御アクション
ISOファイルやlnkファイルの実行を制限するポリシーの適用
不審なメール添付ファイル(特にパスワード保護されたアーカイブ)の取り扱い注意
ETWの改ざんや不審なMSBuildの実行プロセスを監視するEDR設定の強化
認証情報の多要素認証(MFA)の徹底
Linuxカーネル脆弱性「Bad Epoll」公開
📰 過去報告:6/27
Linuxカーネルのepoll機能におけるUse-After-Free脆弱性。カーネルメモリの競合状態を突くことで、権限のないユーザーがroot権限を取得できる可能性があります。
6/27報告のLinuxカーネルにおける脆弱性に続き、新たな権限昇格の脆弱性が公表されました。Androidを含む対象環境を利用中の管理者は、アップデート情報の確認と適用を推奨します。
主要なTTP
epoll機能におけるUse-After-Freeの発生
カーネルメモリの破損
競合ウィンドウの拡大による攻撃成功率の向上
対象となる組織・利用者
Linuxカーネル 6.4以降を実行しているサーバー、デスクトップ、およびAndroid端末を運用している組織。
推奨される防御アクション
ベンダーから提供される最新のカーネルパッチを適用
アップストリームコミット a6dc643c6931 を確認し適用
脆弱性の影響を受けるシステムでの権限管理を厳格化
■ 注目事例
日本医療安全調査機構、委託先の不正アクセスでメール配信停止
📰 過去報告:7/3
日本医療安全調査機構は、メール配信業務を委託している株式会社ディライトフルへの不正アクセスにより、同機構のメール配信サービス「anなび」の新規登録および配信を停止しました。現時点で個人情報の漏洩は確認されていませんが、今後、同機構を騙った不審なメールが届く可能性があるとして注意を呼びかけています。
7/3 報告の他社事例と同様、メール配信委託先への不正アクセスによる影響が発生しています。委託先におけるセキュリティ管理体制の再確認と、不審メールへの警戒が必要です。
攻撃手法(確認済み)
委託先であるメール配信サービス業者(株式会社ディライトフル)のサーバに対する不正アクセス。具体的な侵入経路は公表情報からは不明です。
攻撃手法(推測)
委託先サーバの脆弱性悪用、あるいは管理権限の乗っ取りが行われた可能性があります。
自組織チェックポイント
外部委託先のセキュリティ管理状況を定期的に確認しているか
業務委託先から提供されるシステム等の利用において、万が一の際の連絡・対応フローが明確か
組織を騙ったフィッシングメールに対し、従業員が添付ファイルやURLを開かないよう周知されているか
委託先経由で流出した可能性のあるメールアドレスをリスト化し、監視を強化しているか
🔄 [続報] 北里ライフサービス、提携先サイトの不正アクセスによる情報漏洩の可能性を公表
📰 過去報告:7/3, 7/2
北里ライフサービス株式会社は、同社が提携する加賀ソルネット株式会社の学生向けパソコン販売サイト「アカデミコナビ」において不正アクセスが発生し、購入者の個人情報が漏洩した可能性があると発表しました。対象となる利用者は、パスワードの変更や不審な連絡への警戒が求められています。
7/2公表の加賀ソルネット「アカデミコナビ」への不正アクセスについて、提携先の北里ライフサービスからも情報漏洩の可能性が公表されました。対象となる利用者はパスワード変更などの警戒が必要です。
攻撃手法(確認済み)
提携先である加賀ソルネット株式会社の販売サイト「アカデミコナビ」への不正アクセス。
攻撃手法(推測)
パスワードの使い回しに対する注意喚起がなされていることから、リスト型攻撃等の認証情報悪用が行われた可能性があります。
自組織チェックポイント
複数のWebサービスで同一のパスワードを使い回していないか
パスワード管理ツール等を用いて、サービスごとに固有かつ複雑なパスワードを設定しているか
不審なメールやSMSを受信した際、リンクを安易にクリックしない体制ができているか
ABCテレビのグループ会社で不正アクセス被害
📰 過去報告:7/3
朝日放送テレビのグループ会社であるアイネックスにおいて、従業員アカウントへの不正アクセスが発生しました。クラウドサービス上の業務情報が流出した可能性があるとして、調査が進められています。
7/3報告の他社事例などと同様、不正アクセスによる情報流出の可能性が懸念される事案です。クラウドサービスやアカウントの適切なアクセス管理、多要素認証の導入状況を改めて確認してください。
攻撃手法(確認済み)
従業員アカウントへの第三者による不正ログイン。
攻撃手法(推測)
フィッシングメール等による認証情報の窃取、あるいはパスワードリスト攻撃によってアカウントが乗っ取られた可能性があります。
自組織チェックポイント
クラウドサービスへのログインに多要素認証(MFA)を導入しているか
従業員のアカウントから不審なメールが送信されていないか監視しているか
パスワードの使い回しを禁止し、定期的な見直しを促しているか
クラウドサービスのアクセスログを定期的に確認しているか
明日のセキュリティ脅威情報も、あなたのメールに。
毎朝、攻撃手口の理解と自組織の脅威判断に役立つ情報をお届けします。購読は無料、配信停止はいつでも可能です。
無料で購読する →
この内容は 2026-07-04 に配信されました。