2026年4月12日の
セキュリティ情報

Subject: [Security Alert] Please Update Software and Exercise Caution with PDF Files

Dear employees,

Our security team has observed an increase in attacks utilizing vulnerabilities in software like Adobe Reader and malicious PDF files.

Requested Actions:
1. Please update your software (e.g., Adobe Reader) immediately if an update is available.
2. Do not open PDF attachments or files from unknown or suspicious senders.

Deadline: End of today

件名: 【共有】複数の脆弱性（CVE-2026-39987等）およびAPT活動への対応について

お疲れさまです。最新の脅威情報に関する共有です。

■ 概要
- Marimo RCE (CVE-2026-39987): 公開後数時間で悪用が確認されており、迅速な対応が必要です。
- Adobe Reader ゼロデイ: 野放しの状態で悪用が確認されており、パッチ適用が急務です。
- イラン系APT: 米国を中心に多数のデバイスが攻撃に晒されていることがCensysにより判明しました。

■ 影響範囲
- Marimo利用者、Adobe Reader利用者、外部公開デバイスを運用する組織

■ 対応手順
1. ネットワーク境界での不要なポート（特に開発ツール関連）の遮断を確認してください。
2. 組織内のAdobe Readerのバージョンを確認し、最新版への強制アップデートを検討してください。
3. CVE-2026-39987の影響を受ける資産の特定とパッチ適用を行ってください。

■ 参考情報
- Security Affairs Round 572

対応優先度: 高
対応期限: 2026年4月15日まで

Subject: [Technical Share] Response to Multiple Vulnerabilities (CVE-2026-39987) and APT Activity

Dear Security Team,

This is a technical briefing on recent threats reported in Security Affairs Round 572.

■ Overview
- Marimo RCE (CVE-2026-39987): Exploited within hours of disclosure; urgent patching required.
- Adobe Reader Zero-day: Active exploitation in the wild via malicious PDFs.
- Iranian APTs: Censys identified 5,219 exposed devices, primarily in the US.

■ Scope
- Users of Marimo, Adobe Reader, and organizations with internet-facing assets.

■ Mitigation Steps
1. Audit and close unnecessary external-facing ports.
2. Verify Adobe Reader versions across the organization and enforce updates.
3. Identify assets vulnerable to CVE-2026-39987 and apply patches immediately.

■ Reference
- Security Affairs Round 572

Priority: High
Deadline: April 15, 2026

Subject: [Security Alert] Caution Regarding Suspicious Emails and Software Updates

Dear employees,

We are seeing an increase in cyber attacks using sophisticated phishing emails and software vulnerabilities.

Please take the following actions:
1. Do not open attachments (especially .lnk files) from unknown or suspicious senders.
2. Ensure that your software, such as Adobe Reader, is updated to the latest version immediately upon receiving an update notification.

Deadline: End of today

件名: 【共有】多様なマルウェアキャンペーン（Kimsuky, Pawn Storm等）への対応について

お疲れさまです。最新の脅威インテリジェンスに関する情報共有です。

■ 概要
KimsukyによるPythonベースのバックドア、Pawn StormによるPRISMEXの展開、およびAdobe Readerを標的としたゼロデイ指紋採取攻撃などが確認されています。また、npm Strapiパッケージを介したRCEや、ComfyUIサーバーを悪用したボットネット構築などのサプライチェーン攻撃も報告されています。

■ 影響範囲
- Adobe Reader ユーザー
- npm Strapi パッケージ利用者
- ComfyUI サーバー運用者
- 政府・重要インフラ組織

■ 対応手順
1. エンドポイントにおける不審なPythonプロセスおよびLNKファイルの実行を監視・遮断する。
2. Adobe Readerの最新パッチ適用状況を確認し、未適用の端末を更新させる。
3. 開発環境におけるnpmパッケージの依存関係を監査し、悪意のあるパッケージの混入がないか確認する。

■ 参考情報
- Security Affairs Malware Newsletter Round 92

対応優先度: 高
対応期限: 今週中

Subject: [Intel] Multiple Malware Campaigns (Kimsuky, Pawn Storm, etc.)

Dear Security Team,

This is a technical briefing on recent threat intelligence.

■ Overview
Recent activity includes Python-based backdoors by Kimsuky, PRISMEX deployments by Pawn Storm, and zero-day fingerprinting attacks targeting Adobe Reader. Additionally, supply chain attacks via malicious npm Strapi packages (leading to RCE/C2) and the weaponization of ComfyUI servers for cryptomining botnets have been observed.

■ Scope
- Adobe Reader users
- npm Strapi package users
- ComfyUI server administrators
- Government and Critical Infrastructure entities

■ Mitigation Steps
1. Monitor and block suspicious Python processes and LNK file executions on endpoints.
2. Verify and enforce the latest security patches for Adobe Reader across the organization.
3. Audit npm package dependencies in development pipelines to detect malicious packages.

■ Reference
- Security Affairs Malware Newsletter Round 92

Priority: High
Deadline: End of this week

Subject: [Security Alert] Regarding the use of CPU-Z and HWMonitor tools

Dear employees,

It has been reported that the official website for the hardware monitoring tools "CPU-Z" and "HWMonitor" was temporarily compromised, distributing malware to users.

Requested Actions:
1. If you installed or updated these tools between April 9th and 10th, please notify the IT department immediately.
2. Please refrain from installing unauthorized software on company devices.

Deadline: End of day today

件名: 【共有】CPUID公式サイト侵害によるSTX RAT配布について

お疲れさまです。CPUID公式サイトの侵害に関する情報共有です。

■ 概要
CPUIDの公式サイト（cpuid[.]com）が侵害され、二次APIの脆弱性を突いてダウンロードリンクが書き換えられました。これにより、STX RATを搭載したトロイの木馬（CPU-Z, HWMonitor等）が配布されていました。正規の署名済みファイルは影響を受けていませんが、配布URLが偽装サイトへ誘導されていました。

■ 影響範囲
- 対象製品: CPU-Z, HWMonitor, HWMonitor Pro, PerfMonitor
- 侵害期間: 2026年4月9日 15:00 UTC 〜 4月10日 10:00 UTC

■ 対応手順
1. 上記期間中に当該ツールを導入した端末の有無をログから確認してください。
2. 該当端末がある場合、STX RATの感染有無を確認し、隔離およびフルスキャンを実施してください。
3. 以下のIOCドメインへの通信履歴を確認してください。
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- vatrobran[.]hr

■ 参考情報
- Kaspersky Threat Intelligence

対応優先度: 高
対応期限: 2026年4月15日

Subject: [Threat Intel] STX RAT Distribution via Compromised CPUID Website

Dear Security Team,

This is a notification regarding the compromise of the CPUID official website.

■ Overview
Attackers compromised a secondary API on cpuid[.]com, allowing them to randomly replace legitimate download links for CPU-Z and HWMonitor with malicious URLs. This resulted in the distribution of the STX RAT. Original signed binaries were not modified, but the delivery mechanism was hijacked.

■ Scope
- Affected Products: CPU-Z, HWMonitor, HWMonitor Pro, PerfMonitor
- Incident Window: April 9, 15:00 UTC to April 10, 10:00 UTC, 2026

■ Response Steps
1. Audit network logs for downloads from the affected site during the incident window.
2. Check for communication with the following IOCs:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- vatrobran[.]hr
3. Isolate and perform full scans on any endpoints found to have downloaded these files.

■ Reference
- Kaspersky Threat Intelligence

Priority: High
Deadline: 2026-04-15

Subject: [Security Advisory] Large-scale Data Exfiltration via AI Tools (Claude Code/GPT-4.1)

Dear IT Administration Team,

We are sharing information regarding a recent high-impact attack leveraging AI tools for automated exploitation.

■ Overview
It has been reported that a threat actor utilized Claude Code and GPT-4.1 to infiltrate nine Mexican government agencies, exfiltrating hundreds of millions of records. The attacker used AI to automate command generation and analyze server architectures, achieving a speed and efficiency that far exceeded the response capabilities of human security teams.

■ Scope of Impact
- Servers with unpatched software or known vulnerabilities
- Systems utilizing default passwords
- Infrastructures lacking proper network segmentation

■ Recommended Actions
1. Ensure all server and network device software is updated to the latest versions to eliminate known CVEs.
2. Audit and change all default passwords and enforce Multi-Factor Authentication (MFA) for privileged accounts.
3. Implement or review network segmentation to restrict lateral movement within the environment.
4. Enhance monitoring and alerting capabilities to detect high-velocity automated reconnaissance and command execution patterns typical of AI-driven attacks.

■ Reference
- Gambit Security Research Report

Priority: High (Prompt review of fundamental security controls is recommended due to the increased efficiency of AI-driven threats.)