🔥 この日の重要情報
2026-04-22 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

AIエージェント向けSNS「Moltbook」のデータベース露出により、APIトークンやOpenAI APIキーなどの機密情報が大量に流出した事例

脆弱性🌐 英語ソース
🖥️ 製品SlackGitHubSalesforce
📅 Wed, 22 Ap📰 freebuf
📌 一言でいうと
AIエージェント向けSNS「Moltbook」のデータベース露出により、APIトークンやOpenAI APIキーなどの機密情報が大量に流出した事例が報告されました。これは、複数のアプリケーション間で権限が橋渡しされることで、単一アプリの監査では検知できない「毒性のある組み合わせ(Toxic Combination)」というリスク面が形成された結果です。AIエージェントやMCPサーバーなどの非人間エンティティが、異なるSaaS間で過剰な権限を持つことで、攻撃者が容易に権限昇格やデータ窃取を行える危険性が指摘されています。
🏢影響範囲
AIエージェントを利用する企業、SaaS統合サービスを利用する組織、Moltbookユーザー
該当時の対応
非人間エンティティ(AIエージェント、ボット、MCPサーバー)のインベントリを作成し、アプリケーション間の権限相関を監査すること。単一アプリの権限確認ではなく、統合サービスを介した権限の連鎖(権限の組み合わせ)を重点的にレビューし、最小権限の原則を適用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AIエージェント等による「権限の毒性組み合わせ」リスクについて

お疲れさまです。AIエージェントおよびSaaS連携における新たなセキュリティリスクに関する情報共有です。

■ 概要
AIエージェントやMCPサーバー、OAuth連携などの「非人間エンティティ」が複数のアプリケーションを橋渡しすることで、単一アプリの監査では検知できない権限の連鎖(Toxic Combination)が発生し、機密情報の漏洩や権限昇格を招くリスクが指摘されています。具体例として、Moltbookのデータベース露出により、APIトークンやOpenAI APIキー等の機密情報が大量に流出した事例が報告されています。

■ 影響範囲
- AIエージェント、ボット、MCPサーバー等の非人間エンティティを利用している環境
- 複数のSaaS間でAPI連携やOAuth認可を行っている組織

■ 対応手順
1. 非人間エンティティ(AIエージェント、ボット、連携コネクタ等)のインベントリを整備し、可視化する。
2. 単一アプリの権限確認ではなく、アプリケーション間を跨ぐ「権限の連鎖」に焦点を当てた監査を実施する。
3. 最小権限の原則に基づき、不要なAPIスコープや過剰な認可を削除する。

■ 参考情報
- Cloud Security Alliance (CSA) 2025 SaaS Security State Report

対応優先度: 高(AIエージェントの導入が進んでいる場合は、速やかな現状確認を推奨します)
Subject: [Security Advisory] Risks of "Toxic Combinations" in AI Agent Permissions

Hi all,

This is a security update regarding a critical risk pattern emerging from AI agents and SaaS integrations.

■ Overview
Research highlights a risk known as "Toxic Combinations," where AI agents, MCP servers, or OAuth bridges link multiple applications. This creates a combined attack surface that is often invisible to single-application audits. A recent breach of the Moltbook database demonstrated this, resulting in the leak of 1.5 million API tokens and OpenAI keys due to unencrypted storage of cross-app credentials.

■ Scope
- Environments utilizing AI agents, bots, or MCP servers.
- Organizations with extensive SaaS-to-SaaS integrations via API or OAuth.

■ Recommended Actions
1. Establish a comprehensive inventory of all non-human entities (AI agents, bots, third-party connectors).
2. Shift audit focus from single-app permissions to "permission chains" across integrated services.
3. Apply the Principle of Least Privilege (PoLP) to API scopes and OAuth authorizations to eliminate over-privileged accounts.

■ Reference
- Cloud Security Alliance (CSA) 2025 SaaS Security State Report

Priority: High (Prompt review is recommended for organizations deploying AI agents or complex SaaS ecosystems).
🔗 元の記事を読む
B
今週中

Miraiボットネットが、D-Linkの旧型ルーターに存在するコマンド注入の脆弱性(CVE-2025-29635)を悪用していることがAkamaiにより報告され…

脆弱性🌐 英語ソース📰 3記事🌐 2 countries
🇺🇸 US (2) · 🇮🇹 Italy
🖥️ 製品macOSFirefoxOpera
🔢 CVECVE-2023-1389CVE-2025-29635
📅 Wed, 22 Ap📰 securityweek
📌 一言でいうと
Miraiボットネットが、D-Linkの旧型ルーターに存在するコマンド注入の脆弱性(CVE-2025-29635)を悪用していることがAkamaiにより報告されました。攻撃者は細工したPOSTリクエストを送信し、シェルスクリプトを介してMiraiの特徴を持つペイロードをダウンロード・実行させます。影響を受けるDIR-823Xシリーズは既に販売終了しており、ベンダーからの更新プログラムは提供されません。D-Link社は、これらの製品の使用を停止し、廃棄することを強く推奨しています。
🏢影響範囲
D-Link DIR-823Xシリーズルーターを利用している個人および組織
該当時の対応
影響を受けるデバイス(DIR-823Xシリーズ)はサポートが終了しているため、速やかに新しい安全なルーターへリプレースし、廃棄することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】D-Link製ルーターにおけるMiraiボットネットの悪用について

お疲れさまです。D-Link製ルーターの脆弱性に関する情報共有です。

■ 概要
販売終了済みのD-Link製ルーターにおいて、コマンド注入の脆弱性(CVE-2025-29635)が悪用され、Miraiボットネットへの感染が報告されています。攻撃者は細工したPOSTリクエストを送信することで、任意のシェルスクリプトを実行させることが可能です。

■ 影響範囲
- 対象製品: D-Link DIR-823X シリーズ
- ファームウェアバージョン: 240126 および 24082

■ 対応手順
1. 社内ネットワークおよび拠点において、対象製品(DIR-823Xシリーズ)が利用されていないか至急確認してください。
2. 本製品は既にサポートが終了しており、修正パッチが提供されないため、利用が確認された場合は速やかに新しい安全なルーターへリプレースし、当該デバイスを廃棄してください。

■ 参考情報
- CVE-2025-29635
- Akamai Security Report

対応優先度: 高(速やかなリプレースを推奨)
Subject: [Security Advisory] Mirai Botnet Exploiting Discontinued D-Link Routers

Hi all,

This is a security notification regarding a critical vulnerability affecting legacy D-Link routers.

■ Overview
Akamai has reported that the Mirai botnet is actively exploiting a command injection vulnerability (CVE-2025-29635) in discontinued D-Link routers. Attackers can execute arbitrary shell scripts via crafted POST requests due to a lack of validation in a controllable function value.

■ Affected Scope
- Product: D-Link DIR-823X series
- Firmware Versions: 240126 and 24082

■ Required Actions
1. Promptly audit your network infrastructure to identify any active DIR-823X series routers.
2. Since these devices are end-of-life (EOL) and no security updates are available, please prioritize replacing them with secure, supported hardware and decommission the affected units.

■ Reference
- CVE-2025-29635
- Akamai Security Report

Priority: High (Prompt replacement is strongly recommended)
📰 関連する 2 件の記事
bleepingD-Link DIR-823Xルーターのコマンド注入の脆弱性(CVE-2025-29635)を悪用した、新しいMiraiベースのマルウェアキ…secaffairsMiraiボットネットが、D-Link製ルーターのDIR-823Xシリーズに存在するコマンド注入の脆弱性(CVE-2025-29635)を悪…
🔗 元の記事を読む
B
今週中

AIエージェント向けSNS「Moltbook」において、データベースの不適切な設定により35,000件のメールアドレスと150万件のAPIトークンが流出しました

脆弱性🌐 英語ソース
🖥️ 製品AndroidChromeEdge
🔢 CVECVE-2026-33032
📅 Wed, 22 Ap📰 hackernews
📌 一言でいうと
AIエージェント向けSNS「Moltbook」において、データベースの不適切な設定により35,000件のメールアドレスと150万件のAPIトークンが流出しました。特に深刻なのは、AIエージェントを介して共有されたOpenAIなどのサードパーティ製認証情報が平文で保存されていたことです。これは複数のアプリ間の権限が組み合わさることでリスクが増大する「Toxic Combinations」という脆弱性の典型例であり、単一アプリの権限レビューだけでは検知できない盲点となっています。
該当時の対応
APIキーや認証情報を平文で保存せず、暗号化またはシークレット管理ツールを使用すること。単一アプリの権限確認だけでなく、AIエージェントやOAuth連携による権限の連鎖(権限の積み上げ)を可視化し、レビューする体制を構築すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AIエージェント連携における権限集積リスク(Toxic Combinations)について

お疲れさまです。AIエージェントおよびSaaS連携におけるセキュリティリスクに関する情報共有です。

■ 概要
AIエージェント向けSNS「Moltbook」において、データベースの不適切な設定によりAPIトークンやサードパーティ製認証情報(OpenAI APIキー等)が流出した事例が報告されました。本件は、複数のアプリ間権限がAIエージェントを介して連鎖し、単一アプリの権限レビューでは検知できないリスクが増大する「Toxic Combinations」の典型例として注目されています。

■ 影響範囲
- AIエージェント、OAuth連携、およびクロスアプリ統合を利用している環境
- 認証情報を平文で保存しているSaaS/アプリケーション

■ 対応手順
1. AIエージェントや統合ツールに付与されている権限の棚卸しを行い、過剰な権限が付与されていないか確認してください。
2. APIキーやシークレットなどの認証情報が平文で保存されていないか、シークレット管理ツールの導入を検討してください。
3. 単一アプリの権限確認だけでなく、アプリ間の連携による「権限の連鎖」を可視化するレビュー体制を構築してください。

■ 参考情報
- The Hacker News: Toxic Combinations: When Cross-App Permissions Stack into Risk

対応優先度: 高(速やかな現状確認と対策の検討を推奨)
Subject: [Security Advisory] Risk of "Toxic Combinations" in AI Agent Cross-App Permissions

Hi all,

This is a security notification regarding the risks associated with permission stacking in AI agent integrations.

■ Overview
Researchers disclosed a data leak in "Moltbook," a social network for AI agents, where misconfigured databases exposed API tokens and plaintext third-party credentials (e.g., OpenAI API keys). This highlights a vulnerability known as "Toxic Combinations," where permissions across multiple applications stack via an AI agent or OAuth grant, creating a risk surface that is often invisible during standard single-app access reviews.

■ Scope
- Environments utilizing AI agents, OAuth integrations, and cross-app automation.
- SaaS applications storing credentials in plaintext.

■ Recommended Actions
1. Audit permissions granted to AI agents and integration tools to ensure the principle of least privilege is applied.
2. Ensure that API keys and secrets are encrypted or managed via dedicated secret management tools rather than stored in plaintext.
3. Implement a review process that visualizes the "chain of permissions" across integrated apps, rather than reviewing apps in isolation.

■ Reference
- The Hacker News: Toxic Combinations: When Cross-App Permissions Stack into Risk

Priority: High (Prompt review and mitigation are recommended)
🔗 元の記事を読む
B
今週中

Microsoftは、ASP.NET Coreにおける権限昇格の脆弱性(CVE-2026-40372)を修正する緊急アップデートをリリースしました

脆弱性🌐 英語ソース📰 4記事🌐 3 countries
🇺🇸 US (2) · 🇮🇹 Italy · 🏳️ Sweden
🖥️ 製品WindowsmacOSiOS
🔢 CVECVE-2025-29635CVE-2025-55315CVE-2026-33032+2件
📅 Wed, 22 Ap📰 hackernews
📌 一言でいうと
Microsoftは、ASP.NET Coreにおける権限昇格の脆弱性(CVE-2026-40372)を修正する緊急アップデートをリリースしました。この脆弱性は暗号署名の検証不備に起因し、攻撃者がネットワーク経由でSYSTEM権限を取得し、ファイルの開示やデータの改ざんを行う可能性があります。CVSSスコアは9.1と非常に高く、特定のNuGetパッケージ(Microsoft.AspNetCore.DataProtection 10.0.6)を使用している環境が影響を受けます。
🏢影響範囲
ASP.NET CoreおよびMicrosoft.AspNetCore.DataProtection 10.0.6パッケージを利用している全世界のソフトウェア開発者および組織
該当時の対応
影響を受けるASP.NET Coreおよび関連するNuGetパッケージを最新バージョンにアップデートすることを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】ASP.NET Coreにおける権限昇格の脆弱性(CVE-2026-40372)について

お疲れさまです。標記の脆弱性に関する情報共有です。

■ 概要
ASP.NET Coreにおいて、暗号署名の検証不備により、ネットワーク経由で攻撃者がSYSTEM権限を取得できる深刻な脆弱性が発見されました。CVSSスコアは9.1(CRITICAL)と非常に高く、悪用された場合はファイルの開示やデータの改ざんが行われる恐れがあります。

■ 影響範囲
- Microsoft.AspNetCore.DataProtection 10.0.6 (NuGetパッケージ) を直接的または間接的に利用している環境

■ 対応手順
1. プロジェクト内で利用しているNuGetパッケージの依存関係を確認してください。
2. 影響を受けるライブラリを最新の修正済みバージョンへアップデートし、再デプロイを行ってください。

■ 参考情報
- Microsoft 公式セキュリティアドバイザリ
- CVE-2026-40372

対応優先度: 高(速やかな対応を推奨します)
Subject: [Action Required] Critical Privilege Escalation Vulnerability in ASP.NET Core (CVE-2026-40372)

Hi all,

This is a security advisory regarding a critical vulnerability identified in ASP.NET Core.

■ Overview
An improper verification of cryptographic signatures in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network. With a CVSS score of 9.1, a successful exploit could grant the attacker SYSTEM privileges, leading to unauthorized file disclosure and data modification.

■ Affected Scope
- Applications using the Microsoft.AspNetCore.DataProtection 10.0.6 NuGet package (either directly or via dependencies such as Microsoft.AspNetCore.DataProtection.StackExchangeRedis).

■ Remediation Steps
1. Audit your project dependencies to identify the use of the affected NuGet package version.
2. Update the library to the latest patched version and redeploy the affected applications.

■ Reference
- Microsoft Security Advisory
- CVE-2026-40372

Priority: High (Prompt remediation is strongly recommended)
📰 関連する 3 件の記事
secaffairsMicrosoftは、ASP.NET Coreにおける深刻な権限昇格の脆弱性(CVE-2026-40372)を修正する帯域外アップデートをリ…cert_seMicrosoft ASP.NET Core Data Protectionにおいて、暗号署名の検証不備による深刻な脆弱性(CVE-2026…bleepingMicrosoftは、ASP.NET Coreの特権昇格に関する深刻な脆弱性(CVE-2026-40372)を修正する緊急パッチをリリースし…
🔗 元の記事を読む
B
今週中

中国のApp Storeにおいて、MetaMaskやCoinbaseなどの人気仮想通貨ウォレットを装った26個のフィッシングアプリ「FakeWallet」

脆弱性🌐 英語ソース
🖥️ 製品iOSAndroidEdge
📅 Wed, 22 Ap📰 xakep
📌 一言でいうと
中国のApp Storeにおいて、MetaMaskやCoinbaseなどの人気仮想通貨ウォレットを装った26個のフィッシングアプリ「FakeWallet」が発見されました。攻撃者は地域制限で本物のアプリが利用できない状況を悪用し、タイポスクワッティングや偽のゲーム・計算機アプリを通じてユーザーを誘導しました。最終的に、iOSのエンタープライズプロビジョニングプロファイルを利用してトロイの木馬をサイドロードさせ、シードフレーズを盗み出す仕組みとなっていました。
🏢影響範囲
中国国内のiOSユーザー、仮想通貨ウォレット利用者
該当時の対応
公式ストア以外からのプロビジョニングプロファイルのインストールを避けること。アプリの名称や開発者が正確であるかを確認し、シードフレーズを安易に入力しないよう注意してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】仮想通貨ウォレットを装った偽アプリにご注意ください

お疲れさまです。情報システム担当です。
中国のApp Storeにおいて、有名な仮想通貨ウォレット(MetaMaskやCoinbase等)を装い、資産を盗み出す偽アプリ「FakeWallet」が多数発見されました。

ご協力をお願いしたいこと:
1. 公式ストア以外からのアプリインストールや、不審な「プロビジョニングプロファイル」のインストールを絶対に行わないでください。
2. アプリの名称に綴りの間違いがないか、開発者が正当なものであるかを確認してください。
3. どのような状況であっても、シードフレーズ(秘密のリカバリーフレーズ)を安易に入力しないでください。

資産保護のため、十分にご注意いただけますようお願いいたします。
Subject: [Security Notice] Beware of Fake Cryptocurrency Wallet Apps

Hi everyone,

A series of phishing apps known as "FakeWallet" have been discovered in the Chinese App Store. These apps impersonate popular cryptocurrency wallets (such as MetaMask and Coinbase) to steal seed phrases and assets.

How to protect yourself:
1. Never install apps from unofficial sources or accept suspicious "provisioning profiles" on your iOS device.
2. Carefully check the app name for typos and verify the developer's identity before downloading.
3. Never enter your seed phrase or recovery phrase into any app or website unless you are absolutely certain of its authenticity.

Please remain vigilant to ensure the security of your digital assets.
件名: 【共有】iOS向け仮想通貨ウォレットを装ったフィッシングキャンペーン(FakeWallet)について

お疲れさまです。標記の脅威に関する情報共有です。

■ 概要
中国のApp Storeにて、MetaMaskやCoinbase等の人気ウォレットを装った26個のフィッシングアプリ(FakeWallet)が検出されました。攻撃者はタイポスクワッティングや偽の計算機アプリ等を用いてユーザーを誘導し、iOSのエンタープライズプロビジョニングプロファイルを悪用してトロイの木馬をサイドロードさせ、シードフレーズを窃取します。

■ 影響範囲
- 中国国内のiOSユーザーおよび仮想通貨ウォレット利用者

■ 対応手順
1. 社員に対し、公式ストア以外からのプロビジョニングプロファイル導入の危険性を周知してください。
2. MDM(モバイルデバイス管理)を導入している場合は、未承認のプロファイルインストールが制限されているか確認してください。
3. 不審なアプリのインストールが確認された端末の隔離および調査を検討してください。

■ 参考情報
- Kaspersky / xakep (FakeWallet campaign)

対応優先度: 中(ユーザーへの注意喚起を優先的にご検討ください)
Subject: [FYI] Phishing Campaign Targeting Crypto Wallets on iOS (FakeWallet)

Hi,

This is a security advisory regarding a phishing campaign targeting iOS users in China.

■ Overview
Twenty-six phishing applications, collectively named "FakeWallet," were discovered in the Chinese App Store. These apps impersonate well-known wallets (MetaMask, Coinbase, etc.) using typosquatting and deceptive app categories (e.g., calculators). The attackers leverage iOS enterprise provisioning profiles to sideload trojanized versions of wallets to steal users' seed phrases.

■ Scope
- iOS users in China and cryptocurrency wallet users.

■ Recommended Actions
1. Alert employees about the risks of installing provisioning profiles from untrusted sources.
2. If using MDM (Mobile Device Management), verify that the installation of unauthorized configuration profiles is restricted.
3. Implement monitoring or auditing for unauthorized app sideloading on corporate-managed mobile devices.

■ Reference
- Kaspersky / xakep (FakeWallet campaign)

Priority: Medium (Prompt user awareness is recommended)
🔗 元の記事を読む
C
月内に

Apple Intelligenceの認証トークン(TGTおよびOTT)がmacOSのログインキーチェーンに平文で保存されており、窃取して他デバイスで再利用可能…

脆弱性🌐 英語ソース
🖥️ 製品macOS
🔢 CVECVE-2025-43509
📅 Wed, 22 Ap📰 freebuf
📌 一言でいうと
Apple Intelligenceの認証トークン(TGTおよびOTT)がmacOSのログインキーチェーンに平文で保存されており、窃取して他デバイスで再利用可能な脆弱性が発見されました。攻撃者は「Serpent」と呼ばれる手法を用いてトークンを抽出し、被害者のふりをしてAIサービスを利用したり、利用枠を使い切らせたりすることが可能です。Appleはこの問題に対しCVE-2025-43509を割り当て、macOS 26.2で保存場所をiCloudキーチェーンに変更する修正を行いました。
🏢影響範囲
macOS 26.0を利用するApple IntelligenceユーザーおよびAppleエコシステムを利用する組織
該当時の対応
macOSを最新バージョン(26.2以降)にアップデートし、不審なアプリケーションへのキーチェーンアクセス許可を与えないよう注意してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】Macをご利用の方へ:OSアップデートのお願い

お疲れさまです。情報システム担当です。
AppleのAIサービス(Apple Intelligence)において、認証情報が盗まれ、他のデバイスで悪用される可能性がある脆弱性が発見されました。

ご協力をお願いしたいこと:
1. macOSを最新バージョン(26.2以降)にアップデートしてください。
2. 不審なアプリケーションから「キーチェーンへのアクセス」を求める許可ダイアログが表示された場合、安易に「許可」を押さず、すぐにシステム管理者に報告してください。

セキュリティ向上のため、お早めにご対応をお願いいたします。
Subject: [Action Required] macOS Update for Apple Intelligence Users

Hi everyone,

A security vulnerability has been identified in Apple Intelligence that could allow an attacker to steal authentication tokens and use them on other devices.

To protect your data, please take the following actions:
1. Update your macOS to the latest version (26.2 or later).
2. Be cautious of any unexpected pop-ups asking for permission to access your "Keychain." If you see such a request from an unknown app, do not grant permission and report it to the IT team immediately.

Please prioritize this update to ensure your device remains secure.
件名: 【脆弱性対応】Apple Intelligenceにおけるトークン窃取の脆弱性 (CVE-2025-43509)

お疲れさまです。標記の脆弱性に関する情報共有です。

■ 概要
macOS 26.0において、Apple Intelligenceの認証トークン(TGTおよびOTT)がログインキーチェーンに平文で保存されており、標準ユーザー権限を持つアプリがこれらを窃取し、他デバイスで再利用可能な脆弱性が発見されました(Serpent攻撃)。これにより、AIサービスの不正利用やクォータ消費によるサービス拒否状態が引き起こされる可能性があります。

■ 影響範囲
- macOS 26.0 (Tahoe) を利用し、Apple Intelligenceを有効にしている環境

■ 対応手順
1. 管理下にあるMac端末のOSバージョンを確認し、macOS 26.2以降へのアップデートを適用してください。
2. エンドポイントでの不審な /usr/bin/security コマンドの実行や、キーチェーンアクセス権限の要求ログを監視してください。

■ 参考情報
- CVE-2025-43509
- Apple Intelligence flaw kept stolen tokens reusable on another device

対応優先度: 高(速やかなアップデート適用を推奨)
Subject: [Security Advisory] Token Theft Vulnerability in Apple Intelligence (CVE-2025-43509)

Dear IT Administration Team,

We are sharing information regarding a high-severity vulnerability affecting Apple Intelligence.

■ Overview
In macOS 26.0, authentication tokens (TGT and OTT) are stored in plaintext within the login keychain. This allows malicious applications with standard user privileges to extract these tokens via the SecItemCopyMatching API or the /usr/bin/security tool. Once stolen, these "bearer tokens" can be reused on other devices (Serpent attack) to impersonate users or exhaust their AI service quotas.

■ Scope
- Devices running macOS 26.0 (Tahoe) utilizing Apple Intelligence.

■ Mitigation Steps
1. Ensure all corporate macOS devices are updated to version 26.2 or later, which moves token storage to the iCloud Keychain with kernel-level checks.
2. Monitor for unauthorized execution of keychain-related utilities or anomalous requests for keychain access permissions.

■ Reference
- CVE-2025-43509
- Apple Intelligence flaw kept stolen tokens reusable on another device

Priority: High (Prompt update is recommended)
🔗 元の記事を読む
C
月内に

ProxySmartという共有制御プラットフォームを利用した、世界17カ国にまたがる大規模な「SIMカードファーム即サービス」ネットワークが発覚しました

脆弱性🌐 英語ソース
🖥️ 製品WindowsmacOSiOS
📅 Wed, 22 Ap📰 freebuf
📌 一言でいうと
ProxySmartという共有制御プラットフォームを利用した、世界17カ国にまたがる大規模な「SIMカードファーム即サービス」ネットワークが発覚しました。このインフラは、物理的なスマートフォンや4G/5Gモデムを用いて、OS指紋の偽装やIPアドレスの高速回転を行い、検知を回避しながら大量の不正アクセスやアカウント作成を可能にします。主にアカウント乗っ取り、ソーシャルメディアの操作、地理的制限の回避などの犯罪活動に利用されており、世界的な通信キャリアのネットワークが悪用されています。
該当時の対応
IPベースの制限だけでなく、デバイスの振る舞い分析や高度なボット検知ソリューションを導入すること。また、SMS認証のみに頼らず、多要素認証(MFA)の強化やハードウェアトークンの利用を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】SMS認証のセキュリティ強化と不審な通知への警戒について

お疲れさまです。情報システム担当です。
世界的に、スマートフォンのネットワークを悪用して認証を突破し、アカウントを乗っ取ろうとする攻撃インフラが確認されています。

ご協力をお願いしたいこと:
1. SMS(ショートメッセージ)による認証のみに頼らず、可能な限り認証アプリや物理キーなどの多要素認証(MFA)を導入・利用してください。
2. 心当たりのない認証コードが届いた場合や、不審なログイン通知があった場合は、決してコードを入力せず、すぐにシステム管理者に報告してください。

セキュリティ向上のため、お早めにご対応をお願いいたします。
Subject: [Security Notice] Strengthening SMS Authentication and Alerting Suspicious Activity

Hi everyone,

We are seeing reports of global infrastructure being used to bypass authentication and hijack accounts by exploiting mobile networks.

How you can help:
1. Avoid relying solely on SMS-based authentication. Please use multi-factor authentication (MFA) apps or hardware security keys wherever possible.
2. If you receive an unexpected authentication code or a suspicious login notification, do not enter the code and report it to the IT security team immediately.

Please prioritize these security measures to protect your accounts.
件名: 【共有】ProxySmartを利用した大規模SIMカードファームネットワークの検出について

お疲れさまです。標記の件に関する情報共有です。

■ 概要
ProxySmartという共有制御プラットフォームを利用した、世界17カ国にまたがる「SIMカードファーム即サービス」ネットワークが発覚しました。物理的なスマートフォンや4G/5Gモデムを用い、OS指紋の偽装やIPアドレスの高速回転(CGNAT悪用)を行うことで、従来のIPベースの制限やボット検知を回避し、アカウント乗っ取りや不正アクセスを大規模に実施するインフラです。

■ 影響範囲
- SMS認証を利用している全サービス
- IP制限のみでアクセス制御を行っている外部公開システム
- モバイルプロキシ経由のアクセスを許容しているWebアプリケーション

■ 対応手順
1. IPベースの制限に加え、デバイスの振る舞い分析や高度なボット検知ソリューションの導入を検討してください。
2. SMS認証の脆弱性を補完するため、FIDO2準拠のハードウェアトークンや認証アプリへの移行を推進してください。
3. 不自然なIP回転を伴う大量の認証リクエストなどのログを監視し、異常検知ルールを最適化してください。

■ 参考情報
- Infrawatch 調査レポート

対応優先度: 高(速やかな対策検討を推奨)
Subject: [Security Advisory] Detection of Large-Scale SIM Card Farm Network via ProxySmart

Dear IT/Security Team,

We are sharing information regarding a global "SIM Card Farm as a Service" network powered by the ProxySmart control platform.

■ Overview
An industrial-scale mobile proxy ecosystem spanning 17 countries has been exposed. This infrastructure utilizes physical smartphones and 4G/5G modems to perform OS fingerprint spoofing and rapid IP rotation (leveraging CGNAT). This allows threat actors to bypass traditional IP-based blocking and anti-bot mechanisms to conduct large-scale account takeovers and fraud.

■ Impact Scope
- All services relying on SMS-based authentication.
- Externally facing systems relying solely on IP whitelisting/blocking.
- Web applications permitting access via mobile proxies.

■ Recommended Actions
1. Implement behavioral analysis and advanced bot detection solutions to supplement IP-based restrictions.
2. Transition from SMS-based MFA to more secure alternatives, such as FIDO2-compliant hardware tokens or authenticator apps.
3. Monitor logs for patterns of rapid IP rotation and high-volume authentication requests to optimize anomaly detection rules.

■ Reference
- Infrawatch Investigation Report

Priority: High (Prompt review and mitigation recommended)
🔗 元の記事を読む
C
月内に

ロシアのTelegramサードパーティクライアント「Telega」が、App Storeからの削除と開発者アカウントの停止を受け、ロシア連邦反独占庁(FAS)に…

脆弱性🌐 英語ソース
🖥️ 製品iOSAndroidFortinet
📅 Wed, 22 Ap📰 xakep
📌 一言でいうと
ロシアのTelegramサードパーティクライアント「Telega」が、App Storeからの削除と開発者アカウントの停止を受け、ロシア連邦反独占庁(FAS)にAppleを提訴しました。以前から、このアプリがTelegramのデータセンターを偽装し、トラフィックをロシア国内のプロキシ経由でルーティングするMITM(中間者攻撃)のような動作をしているとの指摘がありました。RKS Globalの調査でも、データがロシアのサーバーに送信されていることが報告されています。
🏢影響範囲
Telegaアプリを利用しているユーザー、およびロシア国内のTelegram利用者
該当時の対応
サードパーティ製の非公式Telegramクライアントの使用を避け、公式アプリを利用することを強く推奨します。特に、通信経路の変更やデータ転送先が不明確なアプリの使用は避けてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】非公式のTelegramアプリ利用に関する注意について

お疲れさまです。情報システム担当です。
非公式のTelegramクライアントアプリ(特に「Telega」など)において、通信内容が第三者に傍受されるリスクがあることが報告されています。

ご協力をお願いしたいこと:
1. 公式のTelegramアプリ以外(サードパーティ製クライアント)を使用している場合は、直ちにアンインストールしてください。
2. 今後は、公式ストアで提供されている正規のアプリケーションのみを利用してください。

対応期限: 本日中
Subject: [Security Alert] Warning Regarding Unofficial Telegram Clients

Dear employees,
It has been reported that some unofficial Telegram client apps (such as 'Telega') may pose a security risk by intercepting user communications.

Requested Actions:
1. If you are using any third-party Telegram clients other than the official app, please uninstall them immediately.
2. Please ensure you only use official applications provided through authorized app stores.

Deadline: Immediate
件名: 【共有】サードパーティ製Telegramクライアント「Telega」のMITMリスクについて

お疲れさまです。サードパーティ製Telegramクライアント「Telega」に関する情報共有です。

■ 概要
当該アプリがTelegramのデータセンターアドレスを偽装し、MTProtoトラフィックをロシア国内のプロキシサーバー経由でルーティングさせるMITM(中間者攻撃)的な動作を行っているとの指摘があります。これにより、通信内容が開発者側に捕捉される可能性があります。

■ 影響範囲
- 「Telega」アプリを利用しているユーザー

■ 対応手順
1. 社内端末における非公式Telegramクライアントのインストール状況を確認し、利用を禁止する。
2. ユーザーに対し、公式クライアントのみを利用するよう周知徹底する。

■ 参考情報
- xakep (ru) 記事

対応優先度: 中
対応期限: 今週中
Subject: [Info] MITM Risk in Third-Party Telegram Client 'Telega'

Dear IT/Security Team,
This is a technical update regarding the third-party Telegram client 'Telega'.

■ Overview
Technical analyses indicate that the 'Telega' app may implement a Man-in-the-Middle (MITM) mechanism by substituting Telegram's data center addresses with its own, routing MTProto traffic through Russian proxies. This potentially allows the app developers to intercept user traffic.

■ Scope
- Users of the 'Telega' application.

■ Mitigation Steps
1. Audit corporate devices for the installation of unofficial Telegram clients and prohibit their use.
2. Instruct users to utilize only the official Telegram application.

■ Reference
- xakep (ru) report

Priority: Medium
Deadline: End of this week
🔗 元の記事を読む
C
月内に

北朝鮮のハッカー集団が、金融機関のmacOSユーザーを標的にした攻撃を展開しています

事案🌐 英語ソース
🖥️ 製品macOSFirefoxOffice
📅 Wed, 22 Ap📰 securityweek
📌 一言でいうと
北朝鮮のハッカー集団が、金融機関のmacOSユーザーを標的にした攻撃を展開しています。Telegramを通じて偽の会議招待を送り、ClickFix手法を用いてユーザーにターミナルでコマンドを実行させ、「Mach-O Man」と呼ばれる情報窃取マルウェアをインストールさせます。この攻撃ではAppleScriptも利用されており、認証情報やKeychainの内容、ブラウザセッションなどの機密データが窃取され、Telegram経由で外部へ送信されます。
🏢影響範囲
金融機関のビジネスリーダーおよびmacOSユーザー
該当時の対応
不審な送信元からの会議招待やリンクを避け、ターミナルで未知のコマンドを実行しないよう従業員に教育すること。また、エンドポイント保護製品を導入し、不審なAppleScriptやバイナリの実行を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な会議招待およびターミナル操作に関するお願い

お疲れさまです。情報システム担当です。
現在、macOSユーザーを標的に、偽の会議招待(ZoomやTeams等)を通じてウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、不自然な会議招待やリンクには注意し、安易にクリックしないでください。
2. ブラウザ上で「接続エラーを修正してください」等の指示が出ても、指示通りにコマンドをコピーして「ターミナル」で実行しないでください。

不審な点に気づいた場合は、すぐに情報システム担当までご連絡ください。速やかなご確認をお願いいたします。
Subject: [Security Notice] Warning Regarding Suspicious Meeting Invitations and Terminal Commands

Hi everyone,

Our security team has identified a current threat targeting macOS users. Attackers are using fake meeting invitations (mimicking Zoom, Teams, or Google Meet) to trick users into installing malware.

Please follow these precautions:
1. Be cautious of unexpected meeting invitations or links, even if they appear to come from known contacts.
2. Never copy and paste commands into the "Terminal" app if prompted by a website to "fix" a connection issue.

If you encounter any suspicious activity, please report it to the IT department immediately. We appreciate your prompt attention to this matter.
件名: 【共有】macOSを標的としたSapphire Sleetによる情報窃取攻撃について

お疲れさまです。標的型攻撃に関する情報共有です。

■ 概要
北朝鮮の脅威アクター「Sapphire Sleet」らが、ClickFix手法やAppleScriptを用いてmacOSユーザーを標的にした攻撃を展開しています。偽の会議招待から誘導先のサイトでターミナルコマンドを実行させ、「Mach-O Man」マルウェアを感染させ、Keychainやブラウザセッション等の機密情報を窃取しTelegram経由で外部送信します。

■ 影響範囲
- macOSを利用している全ユーザー(特に金融関連のビジネスリーダー等)

■ 対応手順
1. EDR等のエンドポイント保護製品において、不審なAppleScriptの実行や、未知のMach-Oバイナリの挙動を監視してください。
2. ユーザーに対し、ブラウザ経由でターミナルコマンドを実行させる手法(ClickFix)への注意喚起を徹底してください。
3. Telegram等の不審な外部通信が発生していないか、ネットワークログを確認してください。

■ 参考情報
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks

対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [FYI] Information Stealing Campaign Targeting macOS by Sapphire Sleet

Hi,

This is a security advisory regarding a recent campaign targeting macOS users.

■ Overview
Threat actors, including "Sapphire Sleet," are utilizing the "ClickFix" technique and AppleScript to deploy the "Mach-O Man" malware. The attack begins with social engineering via Telegram (fake meeting invites), leading victims to execute malicious commands in the Terminal. The malware is designed to exfiltrate credentials, Keychain entries, and browser sessions via Telegram.

■ Scope
- All macOS users (particularly those in financial organizations/leadership roles)

■ Recommended Actions
1. Configure EDR/endpoint security tools to monitor for suspicious AppleScript execution and unauthorized Mach-O binaries.
2. Conduct security awareness training focusing on the "ClickFix" method (preventing users from executing Terminal commands via browser prompts).
3. Review network logs for anomalous traffic to Telegram API endpoints.

■ Reference
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks

Priority: High (Prompt review of monitoring and controls is recommended)
🔗 元の記事を読む