🔥 この日の重要情報
2026-04-14 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

イランに関連すると見られる攻撃グループが、世界中の約12,000個のIPアドレスを偵察し、中東の政府機関や重要インフラを標的にした選別的な攻撃を行ったこと

脆弱性🌐 英語ソース
🖥️ 製品GmailLINECitrix
🔢 CVECVE-2025-5777
📅 2026-04-14📰 dailysecu
📌 一言でいうと
イランに関連すると見られる攻撃グループが、世界中の約12,000個のIPアドレスを偵察し、中東の政府機関や重要インフラを標的にした選別的な攻撃を行ったことが判明しました。攻撃者はCitrix NetScaler VPNの脆弱性(CVE-2025-5777)を含む5種類以上の高リスクな脆弱性を悪用し、リモートコード実行や認証回避を通じて内部への侵入とデータ窃取を行いました。特にエジプト、アラブ首長国連邦、イスラエルなどの軍事・航空・エネルギー分野が標的となっており、戦略的なサイバー諜報活動である可能性が高いと分析されています。
該当時の対応
Citrix NetScaler VPNおよびLaravel Livewire, SmarterMail, n8n, N-central, Langflowなどの利用製品の最新パッチ適用、外部公開資産の脆弱性スキャン実施、および不審なC2通信の監視を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】イラン系攻撃グループによる重要インフラ標的の攻撃について

お疲れさまです。標記の件に関する情報共有です。

■ 概要
イランに関連すると見られる攻撃グループが、世界規模でインターネット公開資産を偵察し、中東の政府機関や重要インフラを標的にした選別的な侵入活動を行っていることが確認されました。攻撃者はCitrix NetScaler VPNの脆弱性(CVE-2025-5777)を含む5種類以上の高リスクな脆弱性を悪用し、リモートコード実行や認証回避を通じてデータ窃取に至っています。

■ 影響範囲
- Citrix NetScaler VPN (CVE-2025-5777)
- Laravel Livewire
- SmarterMail
- n8n
- N-central
- Langflow

■ 対応手順
1. 上記対象製品を利用している場合、最新のセキュリティパッチを速やかに適用してください。
2. 外部からアクセス可能な資産に対して脆弱性スキャンを実施し、未修正の脆弱性がないか確認してください。
3. 不審なC2通信や、認証回避の形跡がないかログの監視を強化してください。

■ 参考情報
- 各ベンダーの公式セキュリティアドバイザリをご確認ください。

対応優先度: 高(速やかな対応を推奨)
Subject: [Security Advisory] Targeted Attacks by Iran-linked Group via Multiple High-Risk Vulnerabilities

Dear IT Administration Team,

We are sharing critical information regarding a recent campaign by an Iran-linked threat actor targeting government agencies and critical infrastructure.

■ Overview
Threat actors have been conducting wide-scale reconnaissance of internet-facing assets (approx. 12,000 IPs) to selectively infiltrate high-value targets. The attackers are exploiting at least five high-risk vulnerabilities, including CVE-2025-5777 in Citrix NetScaler VPN, to achieve remote code execution (RCE) and authentication bypass, leading to data exfiltration.

■ Affected Products
- Citrix NetScaler VPN (CVE-2025-5777)
- Laravel Livewire
- SmarterMail
- n8n
- N-central
- Langflow

■ Recommended Actions
1. Promptly apply the latest security patches for the affected products listed above.
2. Perform vulnerability scans on all internet-facing assets to identify and remediate unpatched flaws.
3. Enhance monitoring for suspicious C2 (Command and Control) traffic and signs of unauthorized authentication bypass.

■ Reference
- Please refer to the official security advisories provided by each respective vendor.

Priority: High (Prompt action is strongly recommended)
🔗 元の記事を読む
B
今週中

OpenAIのCodex AIモデルが、三星(サムスン)製スマートテレビのグローバル書き込み可能なカーネルドライバインターフェースを悪用し、root権限を取得す…

事案🌐 英語ソース
🖥️ 製品LINEGitHub
📅 Tue, 14 Ap📰 freebuf
📌 一言でいうと
OpenAIのCodex AIモデルが、三星(サムスン)製スマートテレビのグローバル書き込み可能なカーネルドライバインターフェースを悪用し、root権限を取得することに成功しました。攻撃はブラウザ経由の低権限ユーザーから開始され、/dev/ntksysなどのドライバを介して物理メモリへの直接アクセス(physmapプリミティブ)を実現することで権限昇格が行われました。この実験は、AIが熟練したペネトレーションテスターのように自律的に脆弱性を発見し、エクスプロイトを構築できることを示しています。
該当時の対応
デバイスメーカーは、ドライバインターフェース(特に/dev/ntksys等)のアクセス権限を最小限に制限し、不必要なグローバル書き込み権限を排除すること。また、物理メモリへの直接マッピングを許可する不適切なudevルールの修正を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Samsung製スマートテレビにおける権限昇格の脆弱性について

お疲れさまです。Samsung製スマートテレビの脆弱性に関する情報共有です。

■ 概要
OpenAIのCodex AIモデルを用いた実験により、Samsung製スマートテレビ(Tizenプラットフォーム)において、グローバル書き込み可能なカーネルドライバインターフェース(/dev/ntksys等)を悪用し、root権限を取得できることが実証されました。物理メモリへの直接アクセス(physmapプリミティブ)を許す不適切なudevルールが根本原因となっています。

■ 影響範囲
- Samsung Smart TV (Tizen platform, Linux kernel 4.1.10)

■ 対応手順
1. 社内で利用しているデジタルサイネージや会議室用テレビに該当製品が含まれているか確認してください。
2. メーカーから提供される最新のファームウェアアップデートを適用してください。
3. 可能な限り、不要な外部インターフェースへのアクセスを制限するネットワーク分離を検討してください。

■ 参考情報
- Source: freebuf / CALIF Research

対応優先度: 中(資産確認および計画的なアップデートを推奨)
Subject: [Security Advisory] Privilege Escalation Vulnerability in Samsung Smart TVs

Dear IT Administration Team,

We are sharing information regarding a critical vulnerability discovered in Samsung Smart TVs.

■ Overview
Research using OpenAI's Codex AI model has demonstrated that root privileges can be obtained on Samsung Smart TVs (Tizen platform) by exploiting globally writable kernel driver interfaces, such as /dev/ntksys. The root cause is an improper udev rule that allows a "physmap primitive," granting unprivileged code direct read/write access to physical memory.

■ Affected Scope
- Samsung Smart TVs (Tizen platform, Linux kernel 4.1.10)

■ Recommended Actions
1. Identify if any Samsung Smart TVs are deployed within the corporate environment (e.g., conference rooms, digital signage).
2. Apply the latest firmware updates provided by the manufacturer to mitigate the risk.
3. Consider network segmentation to limit access to these devices from untrusted zones.

■ Reference
- Source: freebuf / CALIF Research

Priority: Medium (Prompt asset identification and planned updates are recommended)
🔗 元の記事を読む
B
今週中

SAPは、Business Planning and ConsolidationおよびBusiness Warehouseにおける深刻なSQLインジェクションの…

脆弱性🌐 英語ソース
🖥️ 製品WindowsiOSAndroid
🔢 CVECVE-2026-27681CVE-2026-34256
📅 Tue, 14 Ap📰 securityweek
📌 一言でいうと
SAPは、Business Planning and ConsolidationおよびBusiness Warehouseにおける深刻なSQLインジェクションの脆弱性(CVE-2026-27681)を修正しました。この脆弱性はCVSSスコア9.9と非常に高く、低権限のユーザーが任意のSQLステートメントを含むファイルをアップロードすることで、任意のコード実行が可能です。攻撃者は機密の財務データの抽出や、レポートの改ざん、データベース内容の削除などの操作を行う可能性があります。
🏢影響範囲
SAP Business Planning and Consolidation (BPC) および Business Warehouse (BW) を利用している企業・組織
該当時の対応
SAPが提供する最新のセキュリティノートを確認し、速やかに修正パッチを適用すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】SAP製品における深刻なSQLインジェクションの脆弱性について (CVE-2026-27681)

お疲れさまです。SAP製品の脆弱性に関する情報共有です。

■ 概要
SAP Business Planning and Consolidation (BPC) および Business Warehouse (BW) において、極めて深刻なSQLインジェクションの脆弱性(CVE-2026-27681)が報告されました。CVSSスコアは9.9と非常に高く、低権限ユーザーが任意のSQLステートメントを含むファイルをアップロードすることで、任意のコード実行やデータベースの不正操作(機密データの抽出、レポートの改ざん、データの削除等)が行われる可能性があります。

■ 影響範囲
- SAP Business Planning and Consolidation (BPC)
- SAP Business Warehouse (BW)

■ 対応手順
1. SAPが提供する最新のセキュリティノートを確認してください。
2. 該当するコンポーネントに対し、速やかに修正パッチを適用してください。

■ 参考情報
- SAP Security Patch Day (April 2026)
- CVE-2026-27681

対応優先度: 高(至急の対応を推奨します)
Subject: [Action Required] Critical SQL Injection Vulnerability in SAP BPC and BW (CVE-2026-27681)

Hi all,

This is a security advisory regarding a critical vulnerability identified in SAP products.

■ Overview
A critical SQL injection vulnerability (CVE-2026-27681) has been disclosed in SAP Business Planning and Consolidation (BPC) and Business Warehouse (BW). With a CVSS score of 9.9, this flaw allows a low-privileged user to upload a file containing arbitrary SQL statements, potentially leading to arbitrary code execution. Attackers could exploit this to extract sensitive financial data, alter reports, or corrupt database content.

■ Affected Scope
- SAP Business Planning and Consolidation (BPC)
- SAP Business Warehouse (BW)

■ Mitigation Steps
1. Review the latest security notes provided by SAP.
2. Apply the relevant security patches to the affected systems promptly.

■ Reference
- SAP Security Patch Day (April 2026)
- CVE-2026-27681

Priority: High (Prompt remediation is strongly recommended)
🔗 元の記事を読む
B
今週中

GitLab Community Edition (CE) および Enterprise Edition (EE) において、複数の脆弱性

脆弱性🌐 英語ソース
🖥️ 製品GitLab
🔢 CVECVE-2025-12664CVE-2025-9484CVE-2026-1092+2件
📅 Thu, 09 Ap📰 cert_fr
📌 一言でいうと
GitLab Community Edition (CE) および Enterprise Edition (EE) において、複数の脆弱性が発見されました。これらの脆弱性を悪用されると、リモートからのコード実行(RCE)、データの機密性侵害、サービス拒否(DoS)、およびクロスサイトスクリプティング(XSS)などの深刻な攻撃を受ける可能性があります。影響を受けるバージョンは18.10.x (18.10.3未満)、18.9.x (18.9.5未満)、および18.8.9未満です。
🏢影響範囲
GitLab CE/EEを利用している全世界のソフトウェア開発組織および企業
該当時の対応
影響を受けるバージョンのユーザーは、速やかに最新の修正済みバージョン(18.10.3、18.9.5、または18.8.9以降)へアップデートすることを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】GitLabにおける複数の深刻な脆弱性への対応について

お疲れさまです。GitLabの脆弱性に関する情報共有です。

■ 概要
GitLab Community Edition (CE) および Enterprise Edition (EE) において、複数の脆弱性が報告されました。これらの脆弱性が悪用された場合、リモートからのコード実行 (RCE)、データの機密性侵害、サービス拒否 (DoS)、およびクロスサイトスクリプティング (XSS) などの深刻な影響を受ける可能性があります。

■ 影響範囲
- GitLab CE/EE 18.10.x (18.10.3未満)
- GitLab CE/EE 18.9.x (18.9.5未満)
- GitLab CE/EE 18.8.9未満

■ 対応手順
1. 現在利用しているGitLabのバージョンを確認してください。
2. 影響を受けるバージョンである場合、速やかに以下の修正済みバージョンへアップデートを適用してください。
- 18.10.3 以降
- 18.9.5 以降
- 18.8.9 以降

■ 参考情報
- GitLab Security Advisory (2026-04-08)
- CERT-FR (CERTFR-2026-AVI-0410)

対応優先度: 高(速やかなアップデート適用を推奨します)
Subject: [Action Required] Multiple Critical Vulnerabilities in GitLab

Hi all,

This is a security advisory regarding multiple vulnerabilities discovered in GitLab.

■ Overview
Several vulnerabilities have been identified in GitLab Community Edition (CE) and Enterprise Edition (EE). If exploited, these could lead to Remote Code Execution (RCE), data confidentiality breaches, Denial of Service (DoS), and Cross-Site Scripting (XSS).

■ Affected Versions
- GitLab CE/EE 18.10.x (prior to 18.10.3)
- GitLab CE/EE 18.9.x (prior to 18.9.5)
- GitLab CE/EE versions prior to 18.8.9

■ Remediation Steps
1. Verify the current version of your GitLab installation.
2. If you are running an affected version, please update to the following patched versions promptly:
- 18.10.3 or later
- 18.9.5 or later
- 18.8.9 or later

■ Reference
- GitLab Security Bulletin (April 8, 2026)
- CERT-FR (CERTFR-2026-AVI-0410)

Priority: High (Prompt update is strongly recommended)
🔗 元の記事を読む
B
今週中

Progress ShareFileのStorage Zones Controller(SZC)において、認証回避(CVE-2026-2699)とリモートコード…

脆弱性🌐 英語ソース
🖥️ 製品GitHubAWSMOVEit
🔢 CVECVE-2026-2699CVE-2026-2701
📅 Fri, 10 Ap📰 4hou
📌 一言でいうと
Progress ShareFileのStorage Zones Controller(SZC)において、認証回避(CVE-2026-2699)とリモートコード実行(CVE-2026-2701)の2つの脆弱性が発見されました。攻撃者はこれらを組み合わせることで、認証なしに管理画面へアクセスし、悪意のあるASPXファイルをアップロードしてサーバーを制御することが可能です。Progress社は修正済みのバージョン5.12.4をリリースしており、迅速なアップデートが推奨されます。
🏢影響範囲
Progress ShareFile 5.xを利用し、Storage Zones Controllerを公網に公開している大中規模企業(特に米国および欧州)。
該当時の対応
Progress ShareFileを最新バージョン(5.12.4以降)にアップデートしてください。また、管理インターフェースを公網から隔離し、アクセス制限を設けることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】Progress ShareFileにおけるリモートコード実行の脆弱性について

お疲れさまです。Progress ShareFileの脆弱性に関する情報共有です。

■ 概要
Progress ShareFileのStorage Zones Controller (SZC) において、認証回避 (CVE-2026-2699) とリモートコード実行 (CVE-2026-2701) の2つの脆弱性が発見されました。攻撃者がこれらを組み合わせることで、認証なしに管理画面へアクセスし、悪意のあるASPXファイルをアップロードしてサーバーを完全に制御される恐れがあります。

■ 影響範囲
- Progress ShareFile 5.x 分支 (Storage Zones Controller コンポーネント)

■ 対応手順
1. Progress ShareFileを最新バージョン (5.12.4以降) へアップデートしてください。
2. 管理インターフェースが公網に露出していないか確認し、必要に応じてアクセス制限(IP制限等)を設けてください。

■ 参考情報
- CVE-2026-2699, CVE-2026-2701
- Progress社公式リリース

対応優先度: 高(速やかなアップデートを推奨します)
Subject: [Action Required] Critical Vulnerabilities in Progress ShareFile (RCE)

Hi all,

This is a security advisory regarding critical vulnerabilities discovered in Progress ShareFile.

■ Overview
Two vulnerabilities have been identified in the Storage Zones Controller (SZC) component of Progress ShareFile: an authentication bypass (CVE-2026-2699) and a remote code execution (RCE) flaw (CVE-2026-2701). By chaining these, an unauthenticated attacker can gain access to the administrative backend and deploy a malicious ASPX webshell to execute arbitrary code on the server.

■ Affected Scope
- Progress ShareFile 5.x branch (Storage Zones Controller component)

■ Remediation Steps
1. Update Progress ShareFile to version 5.12.4 or later immediately.
2. Verify that the management interface is not exposed to the public internet and implement strict access controls (e.g., IP whitelisting).

■ Reference
- CVE-2026-2699, CVE-2026-2701
- Progress Official Advisory

Priority: High (Prompt update is strongly recommended)
🔗 元の記事を読む
C
月内に

IvantiのPulse Connect Secure、Ivanti Connect Secure、Policy Secure、およびNeurons for…

脆弱性🌐 英語ソース
🖥️ 製品TeamsIvanti
🔢 CVECVE-2025-22457
📅 Thu, 03 Ap📰 ivanti
📌 一言でいうと
IvantiのPulse Connect Secure、Ivanti Connect Secure、Policy Secure、およびNeurons for ZTA Gatewayに脆弱性(CVE-2025-22457)が発見されました。この脆弱性は、2025年2月11日にリリースされたIvanti Connect Secure 22.7R2.6で完全に修正されています。Pulse Connect Secure 9.1xなどのサポート終了製品や旧バージョンを利用しているユーザーはリスクが高いため、早急なアップデートが推奨されます。
🏢影響範囲
IvantiのVPNおよびZTAゲートウェイ製品を利用している全世界の企業および組織
該当時の対応
Ivanti Connect Secure 22.7R2.6へのアップデートを適用すること。サポート終了(EOL)となったPulse Connect Secure 9.1xを利用している場合は、代替のセキュアなソリューションへの移行を検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】Ivanti Connect Secure および関連製品の脆弱性(CVE-2025-22457)について

お疲れさまです。Ivanti製品の脆弱性に関する情報共有です。

■ 概要
IvantiのVPNおよびZTAゲートウェイ製品において、深刻な脆弱性(CVE-2025-22457)が報告されました。本脆弱性は、攻撃者に悪用された場合、システムに重大な影響を及ぼす可能性があります。

■ 影響範囲
- Pulse Connect Secure 9.1x (EOL済み)
- Ivanti Connect Secure 22.7R2.5 以前
- Policy Secure
- Neurons for ZTA Gateways (ただし、本製品は本番環境での悪用可能性が低いとされています)

■ 対応手順
1. Ivanti Connect Secure を利用している場合は、最新バージョン(22.7R2.6 以降)へ速やかにアップデートを適用してください。
2. サポート終了(EOL)となった Pulse Connect Secure 9.1x を利用している場合は、代替のセキュアなソリューションへの移行を計画的に進めてください。
3. Policy Secure を利用している場合は、内部利用に限定されているか設定を確認してください。

■ 参考情報
- Ivanti 公式セキュリティアドバイザリ

対応優先度: 高(速やかな対応を推奨)
Subject: [Action Required] Security Vulnerability in Ivanti Connect Secure and Related Products (CVE-2025-22457)

Dear IT Administrator,

We are sharing critical security information regarding a vulnerability identified in Ivanti products.

■ Overview
A high-severity vulnerability (CVE-2025-22457) has been discovered affecting Ivanti's VPN and ZTA gateway solutions. This vulnerability could potentially be exploited to compromise the affected systems.

■ Affected Scope
- Pulse Connect Secure 9.1x (End-of-Life)
- Ivanti Connect Secure versions up to 22.7R2.5
- Policy Secure
- Neurons for ZTA Gateways (Note: Reported as not exploitable in production environments)

■ Remediation Steps
1. For Ivanti Connect Secure users, please upgrade to version 22.7R2.6 or later promptly.
2. For those using the EOL Pulse Connect Secure 9.1x, it is strongly recommended to migrate to a supported secure solution as soon as practical.
3. For Policy Secure users, ensure the product is restricted to internal use only.

■ Reference
- Ivanti Official Security Advisory

Priority: High (Prompt action is recommended)
🔗 元の記事を読む
C
月内に

攻撃者がObsidianのコミュニティプラグイン「Shell Commands」を悪用し、金融・暗号資産業界の専門家を標的にしたクロスプラットフォーム攻撃を展開…

事案🌐 英語ソース
🖥️ 製品WindowsmacOS
📅 Tue, 14 Ap📰 freebuf
📌 一言でいうと
攻撃者がObsidianのコミュニティプラグイン「Shell Commands」を悪用し、金融・暗号資産業界の専門家を標的にしたクロスプラットフォーム攻撃を展開しています。LinkedInやTelegramを用いた巧妙なソーシャルエンジニアリングで、攻撃者が制御するクラウド保管庫へ誘導し、プラグインを通じて悪意のあるシェルコマンドを自動実行させます。Windowsでは新型RAT「PHANTOMPULSE」が、macOSでは難読化されたAppleScriptが展開され、機密情報の窃取や遠隔操作が行われます。
🏢影響範囲
金融業界、暗号資産業界の従事者(WindowsおよびmacOSユーザー)
該当時の対応
信頼できないソースから提供されたObsidian保管庫(Vault)に接続しないこと。コミュニティプラグインのインストールおよび設定を慎重に確認し、不審なシェルコマンドが設定されていないか検証すること。エンドポイント検出および応答(EDR)ツールを用いて、Obsidianプロセスからの不審な子プロセス(PowerShell等)の起動を監視すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な外部共有ファイルやツール利用に関するご注意

お疲れさまです。情報システム担当です。
ノートアプリ「Obsidian」において、外部から提供された設定ファイル(保管庫)を開くことで、ウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知らない相手や、SNS(LinkedInやTelegram等)で知り合った人物から提供されたObsidianの「保管庫(Vault)」や設定ファイルに接続しないでください。
2. 信頼できないソースから提供されたプラグインの導入や、不審な設定の有効化を避けてください。

不審な連絡を受けた場合は、速やかに情報システム部門までご報告ください。
Subject: [Security Notice] Caution Regarding External Shared Files and Tools

Hi everyone,

We have received reports of a security threat involving the note-taking app "Obsidian," where opening shared "Vaults" from untrusted sources can lead to malware infections.

How you can help:
1. Do not connect to Obsidian Vaults or configuration files provided by unknown individuals, especially those contacted via social media (e.g., LinkedIn, Telegram).
2. Avoid installing community plugins or enabling settings from untrusted sources.

If you encounter any suspicious requests or files, please report them to the IT security team promptly.
件名: 【共有】Obsidian Shell Commandsプラグインを悪用したマルウェア攻撃について

お疲れさまです。標的型攻撃に関する情報共有です。

■ 概要
Obsidianのコミュニティプラグイン「Shell Commands」を悪用し、保管庫(Vault)の同期機能を通じて悪意のあるシェルコマンドを自動実行させる攻撃(REF6598)が確認されました。Windowsでは新型RAT「PHANTOMPULSE」が、macOSでは難読化されたAppleScriptが展開されます。

■ 影響範囲
- Obsidianを利用し、外部から提供された悪意のある保管庫に接続したユーザー(Windows / macOS)

■ 対応手順
1. EDR等の監視ツールを用いて、Obsidianプロセス(obsidian.exe等)から不審な子プロセス(powershell.exe, apple script等)が起動していないかログを確認してください。
2. ユーザーに対し、信頼できない外部ソースからの保管庫同期やプラグイン導入を禁止する周知を行ってください。
3. 不審な通信先(例: 195.3.222[.]251)への通信を遮断することを検討してください。

■ 参考情報
- Elastic Security Labs 研究報告

対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [Security Advisory] Malware Attacks Exploiting Obsidian Shell Commands Plugin

Hi,

This is a security alert regarding a targeted attack campaign (REF6598) exploiting the "Shell Commands" community plugin in Obsidian.

■ Overview
Attackers are using social engineering to lure victims into connecting to a malicious cloud vault. Once connected, the Shell Commands plugin is configured to automatically execute malicious shell commands. This results in the deployment of the "PHANTOMPULSE" RAT on Windows and obfuscated AppleScripts on macOS.

■ Scope
- Users of Obsidian on Windows and macOS who connect to untrusted external vaults.

■ Recommended Actions
1. Monitor EDR logs for suspicious child processes (e.g., PowerShell, AppleScript) spawned by the Obsidian parent process.
2. Issue a warning to employees against syncing vaults or installing plugins from untrusted external sources.
3. Consider blocking traffic to known malicious C2 infrastructure (e.g., 195.3.222[.]251).

■ Reference
- Elastic Security Labs Research

Priority: High (Prompt verification of monitoring logs is recommended)
🔗 元の記事を読む
C
月内に

Go言語で開発された新型のリモートアクセスツール(RAT)である「CrystalX (CrystalRAT)」が、MaaS(Malware-as-a-Servi…

脆弱性🌐 英語ソース
🖥️ 製品ChromeOperaGitHub
📅 Thu, 09 Ap📰 4hou
📌 一言でいうと
Go言語で開発された新型のリモートアクセスツール(RAT)である「CrystalX (CrystalRAT)」が、MaaS(Malware-as-a-Service)としてTelegramやYouTubeで販売されています。このマルウェアは、データの窃取、キーロギング、クリップボードの改ざん、VNCによるリモート操作などの強力な機能を備えています。また、WebRATとの高い類似性が指摘されており、反解析機能や、ユーザーを困惑させるための「いたずら機能」が多数搭載されているのが特徴です。
🏢影響範囲
不特定多数の個人および組織(特にChromium系ブラウザやSteam, Discord, Telegram等のアプリ利用者)
該当時の対応
不審な実行ファイルの実行を避け、エンドポイント保護製品(EDR)を導入して不審なWebSocket通信やVNC動作を監視すること。また、OSおよびブラウザを最新の状態に保ち、多要素認証(MFA)を有効にすることを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なファイルやリンクの実行に関するご注意

お疲れさまです。情報システム担当です。
現在、PCを遠隔操作したり、保存されているパスワードや個人情報を盗み出したりする新型の悪意あるソフト(マルウェア)が確認されています。

ご協力をお願いしたいこと:
1. 出所が不明なメールの添付ファイルや、不審なWebサイトからダウンロードしたファイルは絶対に開かないでください。
2. ブラウザやOSの更新通知が表示された場合は、速やかにアップデートを適用してください。

被害防止のため、お早めにご協力をお願いいたします。
Subject: [Security Notice] Caution Regarding Suspicious Files and Links

Hi everyone,

Our security team would like to alert you to a new type of malware that allows attackers to remotely control computers and steal sensitive data, such as passwords and personal information.

How you can help:
1. Do not open attachments from unknown senders or download files from suspicious websites.
2. Please apply any pending OS or browser updates as soon as they become available.

We appreciate your prompt cooperation in keeping our environment secure.
件名: 【共有】新型RAT「CrystalX (CrystalRAT)」の出現について

お疲れさまです。新型のリモートアクセスツール(RAT)に関する情報共有です。

■ 概要
Go言語で開発された「CrystalX (CrystalRAT)」がMaaSとして流通しています。VNCによるリモート操作、キーロギング、クリップボード改ざん(仮想通貨アドレスの置換)などの機能を備えており、反解析機能(VM検知等)も実装されています。また、Chromium系ブラウザやDiscord, Telegram等のアプリからデータを窃取する能力を持ちます。

■ 影響範囲
- Windows OSを利用し、Chromium系ブラウザ、Steam、Discord、Telegram等を利用している端末

■ 対応手順
1. EDR/アンチウイルスソフトの定義ファイルを最新の状態に更新し、不審なWebSocket通信やVNC動作を監視してください。
2. ユーザーに対し、不審な実行ファイルの実行を避けるよう周知を徹底してください。
3. 組織内での多要素認証(MFA)の導入・有効化を推進し、認証情報の窃取による被害を最小限に抑えてください。

■ 参考情報
- Kaspersky Security Report / 4hou

対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [Security Advisory] Emergence of New RAT "CrystalX (CrystalRAT)"

Dear IT Administration Team,

We are sharing information regarding a new Remote Access Trojan (RAT) known as CrystalX (CrystalRAT).

■ Overview
CrystalX is a Go-based malware distributed as Malware-as-a-Service (MaaS). It features VNC remote control, keylogging, and clipboard hijacking (specifically targeting crypto wallet addresses). It includes anti-analysis capabilities such as VM detection and targets data from Chromium-based browsers, Discord, and Telegram.

■ Scope of Impact
- Endpoints running Windows OS, particularly those utilizing Chromium-based browsers, Steam, Discord, or Telegram.

■ Recommended Actions
1. Ensure EDR/AV signatures are up to date and monitor for suspicious WebSocket traffic or unauthorized VNC activity.
2. Reinforce user awareness training to prevent the execution of untrusted binaries.
3. Promote the use of Multi-Factor Authentication (MFA) across all corporate accounts to mitigate the impact of credential theft.

■ Reference
- Kaspersky Security Report / 4hou

Priority: High (Prompt review of monitoring configurations is recommended)
🔗 元の記事を読む
C
月内に

AhnLabは2026年第1四半期のWindowsウェブサーバー(IISおよびApache Tomcat)を標的とした攻撃を分析しました

脆弱性🌐 英語ソース📰 2記事
🖥️ 製品IISF5
🔢 CVECVE-2019-1458
📅 Sun, 12 Ap📰 asec_ko
📌 一言でいうと
AhnLabは2026年第1四半期のWindowsウェブサーバー(IISおよびApache Tomcat)を標的とした攻撃を分析しました。特にLarva-26001という攻撃者が、ウェブシェルを通じて侵入し、JuicyPotatoやBadPotatoを用いて権限昇格を行い、RDPポート(3389)のポートフォワーディングを通じてシステム制御を奪取していることが判明しました。攻撃者は内部ネットワークの掌握や遠隔操作を目的としており、脆弱性の修正とアクセス制御の強化が推奨されています。
🏢影響範囲
韓国国内のWindows IISウェブサーバーを運用する組織
該当時の対応
既知の脆弱性に対する最新パッチの適用、ファイアウォールによる不要なポートの遮断およびアクセス制御の強化、アンチウイルスソフト(V3等)の最新状態への維持。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windowsウェブサーバーを標的とした攻撃(Larva-26001)への対策について

お疲れさまです。Windowsウェブサーバーを標的とした攻撃に関する情報共有です。

■ 概要
攻撃グループ「Larva-26001」が、Windows IISおよびApache Tomcatサーバーを標的に攻撃を行っています。ウェブシェルを通じて侵入後、CVE-2019-1458やJuicyPotato/BadPotatoを用いて権限昇格を行い、RDPポート(3389)のポートフォワーディングを通じてシステム制御を奪取する手法が確認されています。

■ 影響範囲
- Windows IIS ウェブサーバー
- Apache Tomcat ウェブサーバー
- 権限昇格脆弱性(CVE-2019-1458等)が未修正のシステム

■ 対応手順
1. OSおよびウェブサーバーソフトウェアの最新パッチを適用し、既知の脆弱性を解消してください。
2. ファイアウォール設定を見直し、不要なポート(特にRDP 3389番など)への外部アクセスを遮断し、アクセス制御を強化してください。
3. アンチウイルスソフト(V3等)を最新の状態に更新し、不審なファイルのアップロードやプロセスの動作を監視してください。

■ 参考情報
- AhnLab Security Intelligence Center (ASEC) 報告書

対応優先度: 高(速やかな対応を推奨)
Subject: [Security Advisory] Attacks Targeting Windows Web Servers by Larva-26001

Dear IT Administrator,

This is a security notification regarding ongoing attacks targeting Windows-based web servers.

■ Overview
Threat actor "Larva-26001" has been observed targeting Windows IIS and Apache Tomcat servers. The attack chain typically begins with a web shell for initial access, followed by privilege escalation using tools like JuicyPotato, BadPotato, and the CVE-2019-1458 vulnerability. The attackers then utilize port forwarding tools (e.g., HTran, PortTranC) to hijack RDP (port 3389) and gain full remote control of the system.

■ Scope
- Windows IIS Web Servers
- Apache Tomcat Web Servers
- Systems vulnerable to CVE-2019-1458 and similar privilege escalation flaws

■ Recommended Actions
1. Apply the latest security patches for the OS and web server software to mitigate known vulnerabilities.
2. Strengthen access control by reviewing firewall rules and blocking unnecessary ports, specifically restricting RDP (3389) access.
3. Ensure antivirus software is up-to-date and monitor for unauthorized web shell uploads or suspicious privilege escalation activity.

■ Reference
- AhnLab Security Intelligence Center (ASEC) Report

Priority: High (Prompt action is recommended)
📰 関連する 1 件の記事
asec_enAhnLabは2026年第1四半期のWindowsウェブサーバー(IISおよびApache Tomcat)を標的とした攻撃統計を報告しました
🔗 元の記事を読む