🔥 この日の重要情報
2026-04-15 更新
📌 今週中に確認いただきたい情報

急ぎではありませんが、今週中に確認をお願いします。

B
今週中

FortinetのFortiSandboxにおいて、認証をバイパスして任意のコマンドを実行できる2つの深刻な脆弱性

脆弱性🌐 英語ソース
🖥️ 製品WordLINEFortinet
🔢 CVECVE-2026-35616CVE-2026-39808CVE-2026-39813
📅 2026-04-15📰 theregister
📌 一言でいうと
FortinetのFortiSandboxにおいて、認証をバイパスして任意のコマンドを実行できる2つの深刻な脆弱性が発見されました。CVE-2026-39808はOSコマンド注入の脆弱性であり、CVE-2026-39813はパストラバーサルによる認証バイパスの脆弱性です。現時点で悪用の報告はありませんが、攻撃者が認証なしでコード実行が可能なため、迅速なアップデートが推奨されています。
🏢影響範囲
FortiSandbox(バージョン4.4.0〜4.4.8)を利用している全世界の企業および組織
対応のポイント
FortiSandboxをバージョン4.4.9以降に速やかにアップデートしてください。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】FortiSandboxにおける深刻な脆弱性への対策について

お疲れさまです。FortiSandboxの脆弱性に関する情報共有です。

■ 概要
FortinetのFortiSandboxにおいて、認証バイパスおよびOSコマンド注入が可能な2つの深刻な脆弱性(CVE-2026-39808, CVE-2026-39813)が公開されました。いずれもCVSSスコア 9.1 と非常に高く、攻撃者が認証なしで任意のコード実行やシステム操作を行う可能性があります。

■ 影響範囲
- FortiSandbox バージョン 4.4.0 〜 4.4.8

■ 対応手順
1. 現在利用しているFortiSandboxのバージョンを確認してください。
2. 影響を受けるバージョンである場合、速やかに FortiSandbox 4.4.9 以降へアップデートを適用してください。

■ 参考情報
- Fortinet公式アドバイザリおよびセキュリティニュース

対応優先度: 高(速やかなアップデートを推奨します)
Subject: [Action Required] Critical Vulnerabilities in Fortinet FortiSandbox

Hi all,

This is a security advisory regarding critical vulnerabilities identified in Fortinet FortiSandbox.

■ Overview
Two critical vulnerabilities (CVE-2026-39808 and CVE-2026-39813) have been disclosed in FortiSandbox. Both flaws carry a CVSS score of 9.1 and could allow unauthenticated attackers to bypass authentication or execute arbitrary OS commands via specially crafted HTTP requests.

■ Affected Scope
- FortiSandbox versions 4.4.0 through 4.4.8

■ Remediation Steps
1. Verify the current version of your FortiSandbox deployment.
2. If a vulnerable version is in use, please upgrade to FortiSandbox version 4.4.9 or later promptly.

■ Reference
- Fortinet Official Security Advisory

Priority: High (Prompt update is strongly recommended)
🔗 元の記事を読む
B
今週中

JPCERT/CCが2026年4月15日に公開した週報にて、Movable Type、OpenSSL、GitLabなどの複数の製品に脆弱性が存在すること

脆弱性📰 5記事
🖥️ 製品FirefoxWordOpenSSL
📅 2026-04-15📰 jpcert
📌 一言でいうと
JPCERT/CCが2026年4月15日に公開した週報にて、Movable Type、OpenSSL、GitLabなどの複数の製品に脆弱性が存在することが報告されました。特にMovable TypeやEmoCheckなどの製品において、制御不備などの脆弱性が指摘されています。利用者は各ベンダーが提供する修正済みバージョンへの更新や、製品の使用停止などの対策を講じることが推奨されています。
🏢影響範囲
Movable Type, OpenSSL, GitLab, EmoCheck等の製品を利用している全世界の組織および個人
対応のポイント
各製品のベンダーが提供する最新の修正済みバージョンへアップデートすること。配布終了しているEmoCheckについては使用を停止すること。
📰 関連する 4 件の記事
theregister自動車データ分析企業のAutovistaが、欧州およびオーストラリアのシステムでランサムウェア感染によるサービス停止が発生したことを認めまし…jpcertWordPress用プラグインNinja Formsのアドオン「File Uploads」において、アップロードされるファイルの検証が不十分…jpcertJPCERT/CCの週報にて、FortinetのFortiClient EMSに不適切なアクセス制御の脆弱性が存在することjpcertJPCERT/CCが2026年4月15日付の週報
🔗 元の記事を読む
B
今週中

AI技術の悪用によるセキュリティリスクについて論じたコラムです

脆弱性🌐 英語ソース
🖥️ 製品GmailLINE
📅 2026-04-15📰 dailysecu
📌 一言でいうと
AI技術の悪用によるセキュリティリスクについて論じたコラムです。具体例として、ディープフェイクを用いた香港での巨額詐欺、プロンプトインジェクションによるチャットボットの操作、Hugging Faceにおける悪意のあるAIモデルの配布などが挙げられています。AIが脆弱性の発見だけでなく、エクスプロイトの作成まで自律的に行える段階に達していることに警鐘を鳴らしています。
🏢影響範囲
グローバル企業、金融機関、AIモデルを利用する全ての組織および個人
対応のポイント
多要素認証の導入、AIモデルのサプライチェーン検証の強化、プロンプトインジェクション対策の実施、およびディープフェイクを想定した本人確認プロセスの再構築を推奨します。
🔗 元の記事を読む
B
今週中

17年前に公開されたMicrosoft Excelの深刻な脆弱性(CVE-2009-0238)が悪用されていること

脆弱性🌐 英語ソース
🖥️ 製品WindowsOperaOffice
🔢 CVECVE-2009-0238CVE-2026-32201
📅 2026-04-15📰 theregister
📌 一言でいうと
17年前に公開されたMicrosoft Excelの深刻な脆弱性(CVE-2009-0238)が悪用されていることが判明しました。攻撃者は、不正に細工されたExcelドキュメントを開かせることで、リモートでコードを実行させることが可能です。CISAはこの脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦政府機関に対して迅速なパッチ適用を指示しました。
🏢影響範囲
Microsoft Excelを利用している全世界の組織、特に米国連邦政府機関および未パッチのレガシーシステムを運用している企業。
対応のポイント
最新のMicrosoft Excelアップデートを適用し、CVE-2009-0238に対する修正プログラムを導入すること。また、信頼できない送信元からのExcelファイルの開封を避けるようユーザーに周知すること。
🔗 元の記事を読む
B
今週中

JPCERT/CCが公開した週報にて、OpenSSL、GitLab、Movable Typeなどの複数のソフトウェアに脆弱性が発見されたこと

脆弱性📰 5記事
🖥️ 製品FirefoxWordOpenSSL
📅 2026-04-15📰 jpcert
📌 一言でいうと
JPCERT/CCが公開した週報にて、OpenSSL、GitLab、Movable Typeなどの複数のソフトウェアに脆弱性が発見されたことが報告されました。特にOpenSSLなどの基盤的なライブラリに脆弱性が含まれており、迅速なアップデートが推奨されています。また、配布終了済みのEmoCheckについても使用停止が呼びかけられています。
🏢影響範囲
OpenSSLやGitLab、Movable Type等の製品を利用している全世界の組織およびシステム管理者
対応のポイント
各製品(OpenSSL, GitLab, Movable Type等)の最新の修正済みバージョンへ速やかに更新すること。また、EmoCheckを利用している場合は直ちに使用を停止すること。
📰 関連する 4 件の記事
jpcertAdobe AcrobatおよびReaderに、任意のコードが実行される恐れのある脆弱性(APSB26-44)jpcertJPCERT/CCが2026年4月15日に公開した週報にて、複数の製品における脆弱性jpcertJPCERT/CCが2026年4月15日に公開した週次レポートですjpcertGitLabにおいて複数の脆弱性
🔗 元の記事を読む
B
今週中

マイクロソフトが2026年4月のセキュリティ更新プログラム

脆弱性
🖥️ 製品WindowsSharePoint
🔢 CVECVE-2026-32201
📅 2026-04-15📰 jpcert
📌 一言でいうと
マイクロソフトが2026年4月のセキュリティ更新プログラムを公開しました。特にMicrosoft SharePoint Serverのなりすまし脆弱性(CVE-2026-32201)は既に悪用が確認されており、注意が必要です。脆弱性が悪用されると、認証不要でネットワーク経由のなりすましやリモートでのコード実行が行われる可能性があります。
🏢影響範囲
Microsoft製品(特にSharePoint Server)を利用している全世界の組織および企業
対応のポイント
Microsoft UpdateまたはWindows Updateを利用し、最新のセキュリティ更新プログラムを速やかに適用してください。
🔗 元の記事を読む
C
月内に

GitHubと連携するAIエージェント(AnthropicのClaude Code、GoogleのGemini CLI、MicrosoftのGitHub…

脆弱性🌐 英語ソース📰 3記事
🖥️ 製品SlackLINEbash
📅 2026-04-15📰 theregister
📌 一言でいうと
GitHubと連携するAIエージェント(AnthropicのClaude Code、GoogleのGemini CLI、MicrosoftのGitHub Copilot)において、プロンプトインジェクションを用いてAPIキーやアクセストークンを盗み出す脆弱性が発見されました。研究者は各社からバグバウンティを受け取りましたが、ベンダー側はCVEの割り当てや公開アドバイザリの発行を行っていません。これにより、ユーザーが脆弱なバージョンを使用し続けている可能性があり、攻撃に気づかないリスクが指摘されています。
対応のポイント
AIエージェントに付与する権限を最小限に制限し、機密情報の管理を徹底すること。また、ベンダーからの最新のアップデートを適用し、不審なプロンプトや外部入力に対する監視を強化することを推奨します。
📰 関連する 2 件の記事
theregisterフランスで仮想通貨起業家の妻と10歳の息子が誘拐され、身代金として数十万ユーロが要求される事件が発生しましたtheregisterOpen Rights Groupの報告書により、英国の公共セクターが米国のビッグテック企業に過度に依存していることが国家安全保障上のリスク…
🔗 元の記事を読む
C
月内に

Autodesk Fusion Desktopのバージョン2606.0以前に、3つの高深刻度の脆弱性

脆弱性🌐 英語ソース
🖥️ 製品iOS
🔢 CVECVE-2026-4344CVE-2026-4345CVE-2026-4369
📅 2026-04-15📰 incibe
📌 一言でいうと
Autodesk Fusion Desktopのバージョン2606.0以前に、3つの高深刻度の脆弱性が発見されました。攻撃者が悪意のあるHTMLコンテンツや変数名を利用することで、ローカルファイルの読み取りや任意のコード実行が可能になる恐れがあります。ユーザーが確認ウィンドウで特定の名前をクリックすることで脆弱性が誘発されます。対策として、バージョン2702.1.47以降へのアップデートが強く推奨されています。
🏢影響範囲
Autodesk Fusion Desktopを利用している設計者、エンジニア、および製造業などの組織
対応のポイント
Autodesk Fusion Desktopを最新バージョン(2702.1.47以降)にアップデートしてください。
🔗 元の記事を読む
C
月内に

Anthropic社は、脆弱性発見能力が極めて高い最新AIモデル「Mythos」を、限定的なパートナー企業に提供する「Project Glasswing」を開始…

脆弱性🌐 英語ソース
🖥️ 製品Linux kernelFirefoxOpera
🔢 CVECVE-2026-4747
📅 2026-04-15📰 theregister
📌 一言でいうと
Anthropic社は、脆弱性発見能力が極めて高い最新AIモデル「Mythos」を、限定的なパートナー企業に提供する「Project Glasswing」を開始しました。同社は主要なOSやブラウザのゼロデイ脆弱性を発見可能であると主張していますが、実際にいくつのCVEが発見されたかは不明です。専門家は、実際の成果が限定的である可能性を指摘しています。
対応のポイント
AIによる自動脆弱性診断の台頭に備え、パッチ管理プロセスの迅速化と防御態勢の強化を推奨します。
🔗 元の記事を読む
C
月内に

Adobeの複数の製品(Acrobat, Photoshop, Illustrator, ColdFusionなど)において、複数の脆弱性

脆弱性🌐 英語ソース
🖥️ 製品WindowsiOSAdobe Acrobat
🔢 CVECVE-2026-27243CVE-2026-27245CVE-2026-27246+2件
📅 2026-04-15📰 incibe
📌 一言でいうと
Adobeの複数の製品(Acrobat, Photoshop, Illustrator, ColdFusionなど)において、複数の脆弱性が報告されました。影響を受けるバージョンは多岐にわたり、重要度は「高」とされています。ユーザーは速やかに最新の修正済みバージョンへアップデートすることが推奨されます。
🏢影響範囲
Adobe製品を利用している全世界の個人、企業、および組織
対応のポイント
影響を受けるAdobe製品(Acrobat, Reader, Photoshop, Illustrator, ColdFusion等)を最新バージョンにアップデートしてください。
🔗 元の記事を読む
C
月内に

Adobe AcrobatおよびReaderに存在する脆弱性を悪用した攻撃への注意喚起です

脆弱性
🖥️ 製品Adobe Acrobat
📅 2026-04-15📰 ipa
📌 一言でいうと
Adobe AcrobatおよびReaderに存在する脆弱性を悪用した攻撃への注意喚起です。攻撃者が細工したPDFファイルを開かせることで、任意のコード実行などの被害を受ける可能性があります。利用者は速やかに最新バージョンへのアップデートを適用することが推奨されています。
🏢影響範囲
Adobe AcrobatおよびReaderを利用しているすべての個人および組織
対応のポイント
Adobe社が提供する最新のセキュリティアップデートを適用し、ソフトウェアを最新の状態に更新してください。
🔗 元の記事を読む
C
月内に

JPCERT/CCが提供していたEmoCheckに、ファイル検索パスの制御不備の脆弱性

脆弱性
🖥️ 製品FirefoxWordOpenSSL
📅 2026-04-15📰 jpcert
📌 一言でいうと
JPCERT/CCが提供していたEmoCheckに、ファイル検索パスの制御不備の脆弱性が発見されました。この製品はすでに配布が終了しています。JPCERT/CCは、当該製品の使用を停止することを推奨しています。
対応のポイント
EmoCheckの使用を停止してください。
🔗 元の記事を読む