2026-04-25 のセキュリティ情報

🔥 この日の重要情報

2026-04-25 更新

今週中

Ciscoのファイアウォール（FirepowerおよびSecure Firewall）を標的としたカスタムマルウェア「Firestarter」

脆弱性🌐 英語ソース

🖥️ 製品GmailLINECisco

🔢 CVECVE-2025-20333CVE-2025-20362

📅 2026-04-25📰 dailysecu

📌 一言でいうと

Ciscoのファイアウォール（FirepowerおよびSecure Firewall）を標的としたカスタムマルウェア「Firestarter」が発見されました。このマルウェアは、セキュリティパッチの適用やデバイスの再起動後も永続的に残留し、攻撃者が再度アクセス可能なバックドアとして機能します。攻撃者はCVE-2025-20333およびCVE-2025-20362の脆弱性を悪用して初期侵入したとされており、UAT-4356という脅威アクターによる活動と分析されています。

🏢影響範囲

Cisco FirepowerおよびSecure Firewall（Adaptive Security Appliance/Firepower Threat Defense）を利用している世界中の政府機関、企業、重要インフラ組織。

✅対応のポイント

1. Ciscoの公式アドバイザリを確認し、最新のセキュリティパッチを適用すること。2. パッチ適用後も、デバイスに不審なファイルやプロセス（LINAプロセスへの異常な接続等）が残っていないか整合性チェックを実施すること。3. 侵害が疑われる場合は、デバイスの完全な初期化またはハードウェアの交換を検討すること。

📧注意喚起メール例

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】Ciscoファイアウォールにおける永続的マルウェア「Firestarter」への対応について

お疲れさまです。Cisco製品を標的とした高度な脅威に関する情報共有です。

■ 概要
Cisco FirepowerおよびSecure Firewallを標的としたマルウェア「Firestarter」が検出されました。本マルウェアはLINAプロセスに寄生し、OSのアップデートや再起動後も自動的に再インストールされる強力な永続性を備えています。初期侵入にはCVE-2025-20333およびCVE-2025-20362が利用された可能性があります。

■ 影響範囲
- Cisco Firepower / Cisco Secure Firewall
- Adaptive Security Appliance (ASA) / Firepower Threat Defense (FTD) ソフトウェア搭載機

■ 対応手順
1. 最新のセキュリティパッチおよびファームウェアを適用し、脆弱性を解消してください。
2. パッチ適用のみでは既存のバックドアを排除できないため、Ciscoが提供する検知ツールやログ分析を用いて、不審なプロセスの有無を確認してください。
3. 侵害が確認された場合は、設定のバックアップ後、デバイスのクリーンインストールを推奨します。

■ 参考情報
- CISA / NCSC アドバイザリ
- Cisco Talos Intelligence Group

対応優先度: 高
対応期限: 至急

Subject: [Urgent] Persistence Malware 'Firestarter' targeting Cisco Firewalls

Dear Security Team,

We are sharing critical intelligence regarding a custom malware named 'Firestarter' targeting Cisco network security appliances.

■ Overview
Firestarter is a sophisticated backdoor targeting Cisco Firepower and Secure Firewall devices. It is designed to survive firmware updates and reboots by manipulating boot/mount files and hiding within log paths. It is attributed to threat actor UAT-4356 and likely exploits CVE-2025-20333 and CVE-2025-20362 for initial access.

■ Affected Scope
- Cisco Firepower / Cisco Secure Firewall
- Systems running Adaptive Security Appliance (ASA) or Firepower Threat Defense (FTD) software

■ Mitigation Steps
1. Apply the latest security patches and firmware updates immediately to close the initial entry vectors.
2. Perform a deep integrity check of the system; since the malware persists after patching, standard updates are insufficient to remove an existing infection.
3. If compromise is detected, a full factory reset or hardware replacement may be necessary to ensure complete eradication.

■ Reference
- CISA / NCSC Advisories
- Cisco Talos Intelligence Group

Priority: High
Deadline: Immediate

🔗 元の記事を読む

今週中

Linuxのパッケージ管理ツールであるPackageKitに、12年間にわたり潜在していた権한昇格の脆弱性「Pack2TheRoot」

脆弱性🌐 英語ソース

🖥️ 製品GmailLINE

🔢 CVECVE-2026-41651

📅 2026-04-25📰 dailysecu

📌 一言でいうと

Linuxのパッケージ管理ツールであるPackageKitに、12年間にわたり潜在していた権한昇格の脆弱性「Pack2TheRoot」が発見されました。この脆弱性（CVE-2026-41651）を悪用すると、ローカルユーザーが認証なしでシステムパッケージを操作し、最終的にルート権限を奪取できる可能性があります。CVSSスコアは8.8と高く、多くの主要なLinuxディストリビューションに影響が及ぶとされています。

🏢影響範囲

Linuxベースのサーバーおよびワークステーションを運用しているすべての組織・企業

✅対応のポイント

PackageKitの最新アップデートを確認し、修正パッチを適用すること。また、不要なローカルユーザー権限の制限を検討すること。

📧注意喚起メール例

件名: 【共有】PackageKit 権限昇格の脆弱性 (CVE-2026-41651) 対応について

お疲れさまです。PackageKitにおける深刻な脆弱性に関する情報共有です。

■ 概要
Linuxのパッケージ管理ツール「PackageKit」において、認証なしでパッケージ操作が可能な権限昇格の脆弱性（Pack2TheRoot / CVE-2026-41651）が発見されました。CVSSスコアは8.8であり、ローカルユーザーがルート権限を奪取されるリスクがあります。

■ 影響範囲
- PackageKitを導入している主要なLinuxディストリビューション（デフォルト構成）

■ 対応手順
1. 運用中のLinuxサーバーおよびクライアントのPackageKitバージョンを確認してください。
2. 各ディストリビューションのベンダーから提供される最新のセキュリティパッチを適用してください。
3. 不要なローカルアカウントの権限を最小化し、攻撃表面を削減してください。

■ 参考情報
- CVE-2026-41651

対応優先度: 高
対応期限: 速やかに適用を検討してください

Subject: [Security Advisory] Privilege Escalation Vulnerability in PackageKit (CVE-2026-41651)

Dear IT Security Team,

We are sharing information regarding a critical vulnerability discovered in PackageKit, known as 'Pack2TheRoot'.

■ Overview
CVE-2026-41651 is a privilege escalation vulnerability in the PackageKit tool that allows local users to install or remove system packages without authentication, potentially leading to full root access. The CVSS score is 8.8.

■ Scope
- Major Linux distributions utilizing PackageKit in their default configuration.

■ Mitigation Steps
1. Identify all Linux systems running PackageKit.
2. Apply the latest security updates provided by your distribution's maintainers.
3. Review and restrict local user permissions to minimize the attack surface.

■ Reference
- CVE-2026-41651

Priority: High
Deadline: Immediate action recommended

🔗 元の記事を読む

月内に

新興のサイバー犯罪グループ「BlackFile」が、流通・ホテル業界を標的にしたアカウント奪取攻撃を展開しています

脆弱性🌐 英語ソース📰 3記事

🖥️ 製品GmailLINE

📅 2026-04-25📰 dailysecu

📌 一言でいうと

新興のサイバー犯罪グループ「BlackFile」が、流通・ホテル業界を標的にしたアカウント奪取攻撃を展開しています。ITサポート担当者を装った電話（Vishing）で社員を騙し、偽のログインページへ誘導してSSOアカウントとMFA認証コードを窃取します。侵入後はMFAデバイスを自身の端末に登録して永続性を確保し、SalesforceやSharePointなどのクラウドサービスから機密データを窃取します。

🏢影響範囲

流通、ホテル、宿泊業界の企業（特にクラウドサービスを利用している組織）

✅対応のポイント

1. ITサポートを装った不審な電話やSMSへの注意喚起を徹底すること。 2. MFA（多要素認証）の登録デバイスの変更や追加に関する監視を強化すること。 3. SSOログイン時のURLが正当なものであるかを確認する教育を実施すること。 4. クラウドストレージ（SharePoint等）における不審な大量ダウンロードやAPI利用の検知ルールを整備すること。

📧注意喚起メール例

件名: 【注意喚起】ITサポートを装った不審な電話への注意について

お疲れさまです。情報システム担当です。
現在、ITサポート担当者を装い、電話でパスワードや認証コードを聞き出そうとする攻撃が確認されています。

ご協力をお願いしたいこと:
1. 「認証設定の更新が必要」などの理由で、電話で外部サイトへの誘導や認証コードの入力を求められても、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内のセキュリティ担当者へ報告してください。
3. ログイン画面が表示された際は、URLが正しい社内ドメインであるか必ず確認してください。

対応期限: 本日中（周知徹底をお願いします）

Subject: [Security Alert] Beware of Phishing Calls Impersonating IT Support

Dear employees,

We have observed an increase in attacks where hackers impersonate IT support staff via phone calls to steal account credentials.

Please follow these guidelines:
1. Never provide your password or MFA (One-Time Password) codes over the phone or enter them into websites linked via a phone call.
2. If you receive a suspicious call claiming that your "authentication settings need updating," hang up immediately and report it to the security team.
3. Always verify that the URL of the login page is the official corporate domain before entering your credentials.

Deadline: Immediate action required.

件名: 【共有】脅威アクター「BlackFile」によるVishingおよびアカウント奪取について

お疲れさまです。BlackFile（UNC6671/Cordial Spider）による攻撃手法に関する情報共有です。

■ 概要
VoIPを用いたVishing（音声フィッシング）によりSSO資格情報とMFAコードを窃取し、正規ユーザーとしてクラウド環境（Salesforce, SharePoint等）に侵入する攻撃です。侵入後、攻撃者のデバイスをMFAデバイスとして登録し、永続性を確保します。

■ 影響範囲
- SSOおよびMFAを導入している全クラウドサービス
- 特に流通・ホテル業界の組織

■ 対応手順
1. MFAデバイスの新規登録ログを監視し、不審なデバイス追加がないか確認してください。
2. Microsoft Graph APIやSharePoint等での不自然な大量データエクスポートを検知するアラートを設定してください。
3. ユーザーに対し、電話による認証更新依頼は行わないことを再周知してください。

■ 参考情報
- Google Cloud Threat Intelligence / Security Vendor Reports

対応優先度: 高
対応期限: 今週中

Subject: [Threat Intel] Account Takeover Campaign by 'BlackFile' (UNC6671)

Dear Security Team,

This is a technical briefing regarding the activities of the threat actor 'BlackFile' (also tracked as UNC6671 or Cordial Spider).

■ Overview
The actor utilizes VoIP-based Vishing to deceive employees into providing SSO credentials and MFA codes via phishing pages. After gaining initial access, they register their own devices as MFA factors to maintain persistence and exfiltrate data from Salesforce and SharePoint using legitimate APIs.

■ Scope
- All cloud services utilizing SSO and MFA.
- Specifically targeting Retail and Hospitality sectors.

■ Mitigation Steps
1. Audit MFA device registration logs for unauthorized additions.
2. Implement monitoring for anomalous data exfiltration patterns via Microsoft Graph API and SharePoint.
3. Reinforce user awareness training regarding Vishing and social engineering.

■ Reference
- Google Cloud Threat Intelligence / Security Vendor Reports

Priority: High
Deadline: End of this week

🔗 元の記事を読む

2026年4月25日のセキュリティ情報

Ciscoのファイアウォール（FirepowerおよびSecure Firewall）を標的としたカスタムマルウェア「Firestarter」

Linuxのパッケージ管理ツールであるPackageKitに、12年間にわたり潜在していた権한昇格の脆弱性「Pack2TheRoot」

新興のサイバー犯罪グループ「BlackFile」が、流通・ホテル業界を標的にしたアカウント奪取攻撃を展開しています

2026年4月25日の
セキュリティ情報