🔥 この日の重要情報
2026-04-23 更新
📌 今週中に確認いただきたい情報

急ぎではありませんが、今週中に確認をお願いします。

B
今週中

Microsoftは、ASP.NET Coreのデータ保護機能における深刻な権限昇格の脆弱性(CVE-2026-40372)を修正する緊急アップデート

脆弱性🌐 英語ソース
🖥️ 製品GmailLINE
🔢 CVECVE-2026-40372
📅 2026-04-23📰 dailysecu
📌 一言でいうと
Microsoftは、ASP.NET Coreのデータ保護機能における深刻な権限昇格の脆弱性(CVE-2026-40372)を修正する緊急アップデートを公開しました。この脆弱性は、認証クッキーなどの検証プロセスに不備があり、攻撃者が偽造したデータを正常なものとして処理させ、SYSTEM権限まで奪取できる可能性があります。影響を受けるのはMicrosoft.AspNetCore.DataProtectionのバージョン10.0.0から10.0.6を使用し、主にLinuxやmacOSなどの非Windows環境で動作しているケースです。
🏢影響範囲
Microsoft.AspNetCore.DataProtection (v10.0.0-10.0.6) を利用し、Linux/macOS等の非Windows環境で運用している組織・アプリケーション
対応のポイント
影響を受けるNuGetパッケージを最新バージョンに更新してください。また、攻撃者が既に特権を奪取してセッション更新トークンやAPIキーを再発行させた可能性があるため、パッチ適用後のセッション管理の見直しとトークンの無効化を検討してください。
🔗 元の記事を読む
C
月内に

Cymulate社の研究者が、Microsoft Windows Admin Center (WAC) における一連の脆弱性を発見しました

脆弱性🌐 英語ソース
🖥️ 製品WindowsOperaAWS
🔢 CVECVE-2025-64669CVE-2026-20965CVE-2026-23660+1件
📅 2026-04-23📰 theregister
📌 一言でいうと
Cymulate社の研究者が、Microsoft Windows Admin Center (WAC) における一連の脆弱性を発見しました。これらの脆弱性は、オンプレミス環境からクラウドへ、またはその逆方向への攻撃を可能にするハイブリッドクラウドの攻撃表面を露呈させています。Microsoftは既にこれらの問題を修正済みですが、管理ツールのセキュリティ設定の重要性が改めて強調されています。
🏢影響範囲
Microsoft Windows Admin Centerを利用してハイブリッドクラウド環境を管理しているすべての組織
対応のポイント
Windows Admin Centerを最新バージョンにアップデートし、Microsoftが提供する修正パッチを適用すること。また、管理ツールのディレクトリ権限を確認し、不必要な書き込み権限を制限することを推奨します。
🔗 元の記事を読む
C
月内に

韓国の個人情報保護委員会は、安全管理措置を怠り個人情報を流出させた3社(KS韓国雇用情報、デュオ情報、金陵公園墓園)に対し、計約47.9億ウォンの過徴金を科しま…

脆弱性🌐 英語ソース📰 4記事
🖥️ 製品GmailLINE
📅 2026-04-23📰 dailysecu
📌 一言でいうと
韓国の個人情報保護委員会は、安全管理措置を怠り個人情報を流出させた3社(KS韓国雇用情報、デュオ情報、金陵公園墓園)に対し、計約47.9億ウォンの過徴金を科しました。特にKS韓国雇用情報では、管理者のアカウント情報が盗まれ、約4万人の個人情報と人事書類5万件が流出しました。調査の結果、IP制限の欠如や認証手段の不備、住民登録番号の暗号化未実施などの深刻な管理不備が判明しました。
🏢影響範囲
韓国のBPOサービス、結婚相談所、葬祭サービスなどの民間企業およびその顧客・従業員
対応のポイント
管理権限へのアクセスをIPアドレスで制限し、多要素認証(MFA)を導入すること。住民登録番号などの機密情報は必ず暗号化またはマスキング処理を行い、不要になった個人情報は速やかに破棄すること。
📰 関連する 3 件の記事
theregisterセルビアのウェブ開発者が、LinkedInを通じて巧妙な求人詐欺の標的となりましたtheregister中国に関連する脅威アクターが、世界中のルーターやIoTデバイスを侵害し、プロキシネットワークとして利用していることが10カ国の共同勧告で明ら…dailysecuSBOM(ソフトウェア部品表)の導入が世界的に義務化されつつあるが、サプライチェーン攻撃は依然として増加傾向にある
🔗 元の記事を読む
C
月内に

英国のバイオバンク(UK Biobank)のボランティア約50万人の医療データが、中国のECサイトAlibabaで販売されていること

事案🌐 英語ソース📰 2記事
🖥️ 製品OfficeLINE
📅 2026-04-23📰 theregister
📌 一言でいうと
英国のバイオバンク(UK Biobank)のボランティア約50万人の医療データが、中国のECサイトAlibabaで販売されていることが判明しました。データは匿名化されていたものの、個人の特定が完全に不可能であるとは保証されていません。この事態を受け、英国政府はデータ漏洩に関与した疑いのある中国の研究機関3施設をプラットフォームから追放しました。
対応のポイント
データアクセス権限の厳格な管理と監視、サードパーティ研究機関に対する監査の強化、および匿名化データの再識別リスクの再評価を行うこと。
📰 関連する 1 件の記事
theregisterある企業が利便性を優先し、ステージング環境と本番環境の両方で「admin123」という極めて脆弱な共通パスワードを使用していたこと
🔗 元の記事を読む