🔥 この日の重要情報
2026-04-26 更新

📋 本日の目次 (5件)

B
今週中急ぎではないが早めに対応
2件
C
月内に計画的に対応すれば良い
3件
B
今週中

CrowdStrikeのLogScaleセルフホスト版において、認証なしで任意のファイルにアクセス可能なパストラバーサル脆弱性(CVE-2026-40050)

脆弱性🌐 英語ソース
🖥️ 製品CrowdStrike
🔢 CVECVE-2026-40050
📅 Sun, 26 Ap📰 secaffairs
📌 一言でいうと
CrowdStrikeのLogScaleセルフホスト版において、認証なしで任意のファイルにアクセス可能なパストラバーサル脆弱性(CVE-2026-40050)が公開されました。攻撃者は特定のクラスターAPIエンドポイントを通じて、サーバー上の機密ファイルを読み取ることが可能です。この脆弱性はセルフホスト版のみに影響し、Next-Gen SIEM(クラウド版)のユーザーには影響しません。CrowdStrikeは既に修正アップデートをリリースしています。
🏢影響範囲
CrowdStrike LogScaleをセルフホスト形式で運用している組織
該当時の対応
LogScaleセルフホスト版を利用している場合は、速やかにCrowdStrikeが提供する最新のセキュリティアップデートを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】CrowdStrike LogScale CVE-2026-40050 対応について

お疲れさまです。CrowdStrike LogScaleの脆弱性に関する情報共有です。

■ 概要
LogScaleセルフホスト版において、認証なしでサーバー上の任意ファイルを読み取ることが可能なパストラバーサル脆弱性(CVE-2026-40050)が発見されました。特定のクラスターAPIエンドポイントが露出している場合に攻撃が可能です。

■ 影響範囲
- CrowdStrike LogScale セルフホスト版(特定のバージョン)
※Next-Gen SIEM(クラウド版)は影響を受けません。

■ 対応手順
1. 自社で運用しているLogScaleのバージョンを確認してください。
2. CrowdStrikeが提供する最新のセキュリティアップデートを適用してください。

■ 参考情報
- CrowdStrike公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] CrowdStrike LogScale CVE-2026-40050 Mitigation

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in CrowdStrike LogScale.

■ Overview
An unauthenticated path traversal vulnerability (CVE-2026-40050) has been identified in the self-hosted version of LogScale. This flaw allows a remote attacker to read arbitrary files from the server filesystem via a specific cluster API endpoint.

■ Scope
- CrowdStrike LogScale (Self-hosted versions)
*Note: Next-Gen SIEM customers are not affected.

■ Mitigation Steps
1. Verify the version of LogScale currently deployed in your environment.
2. Apply the latest security updates provided by CrowdStrike immediately.

■ Reference
- CrowdStrike Official Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

CISAは、Samsung、SimpleHelp、およびD-Linkの脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました

脆弱性🌐 英語ソース
🔢 CVECVE-2024-7399CVE-2024-57726CVE-2024-57728+1件
📅 Sat, 25 Ap📰 secaffairs
📌 一言でいうと
CISAは、Samsung、SimpleHelp、およびD-Linkの脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました。Samsung MagicINFO 9 Serverのパストラバーサル(CVE-2024-7399)やD-Link DIR-823Xのコマンド注入(CVE-2025-29635)などが含まれています。これらの脆弱性は攻撃者にシステム権限でのファイル書き込みやリモートコード実行を許す可能性があります。
🏢影響範囲
Samsung MagicINFO、SimpleHelp、およびD-Link製ルーターを利用している企業および組織
該当時の対応
対象製品の最新バージョンへのアップデートを適用し、CISAのKEVカタログに基づいた優先的なパッチ適用を行うこと。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Samsung, SimpleHelp, D-Link 脆弱性(CISA KEV追加)への対応について

お疲れさまです。CISAの既知の悪用済み脆弱性(KEV)カタログに新たな脆弱性が追加された件について情報共有です。

■ 概要
Samsung MagicINFO、SimpleHelp、D-Linkの製品において、パストラバーサルやコマンド注入などの深刻な脆弱性が確認され、実際に悪用されていることが報告されています。特にSamsungのCVE-2024-7399はCVSS 8.8と高く、システム権限でのファイル書き込みが可能です。

■ 影響範囲
- Samsung MagicINFO 9 Server (v21.1050未満)
- SimpleHelp (CVE-2024-57726, CVE-2024-57728)
- D-Link DIR-823X (CVE-2025-29635)

■ 対応手順
1. 社内で上記製品およびバージョンを利用しているか確認してください。
2. 各ベンダーが提供する最新のセキュリティパッチを適用してください。
3. 外部からアクセス可能な管理インターフェースがある場合は、アクセス制限を再確認してください。

■ 参考情報
- CISA Known Exploited Vulnerabilities (KEV) Catalog

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Remediation for Samsung, SimpleHelp, and D-Link Vulnerabilities (CISA KEV)

Hi team,

This is to inform you that CISA has added several vulnerabilities to the Known Exploited Vulnerabilities (KEV) catalog.

■ Overview
Critical vulnerabilities including path traversal and command injection have been identified and exploited in the wild affecting Samsung MagicINFO, SimpleHelp, and D-Link products. Notably, CVE-2024-7399 (CVSS 8.8) allows attackers to write arbitrary files with system authority.

■ Affected Scope
- Samsung MagicINFO 9 Server (versions prior to 21.1050)
- SimpleHelp (CVE-2024-57726, CVE-2024-57728)
- D-Link DIR-823X (CVE-2025-29635)

■ Remediation Steps
1. Identify if the affected products and versions are deployed within our environment.
2. Apply the latest security updates provided by the respective vendors immediately.
3. Review and restrict access to management interfaces exposed to the internet.

■ Reference
- CISA Known Exploited Vulnerabilities (KEV) Catalog

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

本記事は、最新のマルウェア動向をまとめたニュースレターです

事案🌐 英語ソース
🔢 CVECVE-2025-29635
📅 Sun, 26 Ap📰 secaffairs
📌 一言でいうと
本記事は、最新のマルウェア動向をまとめたニュースレターです。D-Linkデバイスを標的としたMiraiキャンペーン(CVE-2025-29635)や、エネルギー・公共セクターを狙うLotus Wiper、Mustang Pandaによる銀行・政治セクターへの攻撃などが報告されています。また、npmパッケージを介したサプライチェーン攻撃や、iOSを標的としたDarkSword/Corunaなどの高度なスパイウェアについても言及されています。
🏢影響範囲
エネルギー・公共セクター、金融機関、政府機関、D-Linkデバイス利用者、npmパッケージ利用者
該当時の対応
D-Linkデバイスのファームウェアを最新版に更新すること。npmパッケージの導入時に依存関係の整合性を確認し、不審なパッケージを排除すること。不審なメールやリンクへの警戒を強化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】最新マルウェア動向およびD-Link脆弱性(CVE-2025-29635)への対応について

お疲れさまです。最新の脅威インテリジェンスに関する情報共有です。

■ 概要
複数の高度な脅威が報告されています。特にD-Linkデバイスを標的としたMiraiキャンペーン(CVE-2025-29635)や、エネルギーセクターを狙うLotus Wiper、npmエコシステムを悪用したサプライチェーン攻撃などが確認されています。

■ 影響範囲
- D-Link製ネットワークデバイス
- エネルギー・公共インフラセクター
- npmパッケージを利用して開発を行っている環境
- iOSデバイス(高度な標的型攻撃の場合)

■ 対応手順
1. D-Linkデバイスの脆弱性情報を確認し、最新のパッチを適用してください。
2. 開発環境において、npmパッケージの依存関係を監査し、不審なパッケージ(TeamPCP-Style等)が含まれていないか確認してください。
3. ネットワーク境界における不審な通信(C2通信)の監視を強化してください。

■ 参考情報
- Security Affairs Malware Newsletter Round 94

対応優先度: 高
対応期限: 2026年5月上旬
Subject: [Intel] Latest Malware Trends and D-Link Vulnerability (CVE-2025-29635)

Hi team,

I am sharing the latest threat intelligence summary from the Security Affairs Malware Newsletter.

■ Overview
Several high-profile threats have been identified, including a Mirai campaign targeting D-Link devices (CVE-2025-29635), the Lotus Wiper targeting energy/utility sectors, and supply chain attacks leveraging malicious npm packages.

■ Scope
- D-Link network devices
- Energy and Utility sectors
- Development environments using npm packages
- iOS devices (in targeted scenarios)

■ Action Items
1. Review D-Link device firmware and apply the latest security patches for CVE-2025-29635.
2. Audit npm dependencies in development pipelines to ensure no malicious packages are present.
3. Enhance monitoring for anomalous outbound traffic associated with known APT C2 patterns.

■ Reference
- Security Affairs Malware Newsletter Round 94

Priority: High
Deadline: Early May 2026
🔗 元の記事を読む
C
月内に

脅威アクターUNC6692が、MS Teamsを悪用してITサポートを装い、企業内部ネットワークへ侵入する攻撃を展開しています

脆弱性🌐 英語ソース
📅 2026-04-26📰 dailysecu
📌 一言でいうと
脅威アクターUNC6692が、MS Teamsを悪用してITサポートを装い、企業内部ネットワークへ侵入する攻撃を展開しています。攻撃者はまず大量のメールを送信して混乱を招き、その後Teamsで「スパム対策パッチ」を偽装した悪性ファイルを配布します。この攻撃では「Snow」と呼ばれるカスタムマルウェア(ブラウザ拡張機能、トンネリングツール、バックドア)が使用され、最終的にドメイン権限の奪取を狙います。
🏢影響範囲
Microsoft Teamsを利用している企業の全組織、特にITサポート体制が整備されていない、または外部からのTeams連絡を許可している組織。
該当時の対応
1. 外部ユーザーからのMS Teams招待およびメッセージに対する警戒を強化すること。 2. ITサポートがTeamsを通じて個別にパッチのインストールを要求することはない旨を社員に周知すること。 3. 外部ユーザーとの通信設定を見直し、信頼できない外部アカウントからのアクセスを制限すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った偽メッセージにご注意ください

お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のセキュリティパッチをインストールさせようとする攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知らない相手や外部アカウントからTeamsで「パッチの適用」や「設定変更」を依頼された場合、絶対にリンクをクリックしたりファイルをダウンロードしたりしないでください。
2. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Fake IT Support Messages on MS Teams

Dear employees,
We have detected a security threat where attackers impersonate IT support staff via Microsoft Teams to trick users into installing malicious software.

What we need from you:
1. Do NOT click any links or download any files sent via Teams by unknown users or external accounts, especially those claiming to be 'security patches.'
2. If you receive any suspicious messages, please report them to the IT Security team immediately.

Deadline: Immediate
件名: 【共有】UNC6692によるMS Teams悪用攻撃(Snowマルウェア)への対応について

お疲れさまです。UNC6692による標的型攻撃に関する情報共有です。

■ 概要
攻撃者は大量のメール送信で混乱を誘発した後、MS TeamsでITヘルプデスクを装い、AutoHotkeyスクリプトおよび「SnowBelt」という悪性ブラウザ拡張機能を含むマルウェアスイート「Snow」を配布します。最終的な目的は認証情報の窃取およびドメイン権限の奪取です。

■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーとのコラボレーションを許可している組織

■ 対応手順
1. Teamsの外部アクセス設定(External Access)を見直し、必要最小限の制限をかける。
2. EDR/SIEMにて、AutoHotkeyの不審な実行や、AWS S3からの不審なバイナリダウンロードを監視する。
3. ユーザーに対し、ITサポートがTeamsで個別にパッチ配布を行うことはない旨を再徹底する。

■ 参考情報
- Mandiant Research

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] UNC6692 Campaign utilizing MS Teams and 'Snow' Malware

Dear Security Team,

This is a technical alert regarding the activities of threat actor UNC6692.

■ Overview
The actor employs a social engineering tactic involving an initial email flood followed by impersonation of IT support via MS Teams. They distribute a custom malware suite named 'Snow,' which includes a malicious Chromium-based extension (SnowBelt), tunneling tools, and backdoors to achieve domain dominance.

■ Scope
- Organizations utilizing Microsoft Teams with enabled external collaboration features.

■ Mitigation Steps
1. Review and restrict MS Teams External Access settings to minimize the attack surface.
2. Monitor EDR/SIEM for unauthorized AutoHotkey execution and suspicious downloads from AWS S3 buckets.
3. Conduct security awareness training focusing on 'Helpdesk Impersonation' via collaboration tools.

■ Reference
- Mandiant Research

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

Trigonaランサムウェアが、データの窃取と検知回避のために独自のカスタムツールを導入したこと

事案🌐 英語ソース🏢 他社事案
📅 Sun, 26 Ap📰 secaffairs
📌 一言でいうと
Trigonaランサムウェアが、データの窃取と検知回避のために独自のカスタムツールを導入したことが判明しました。従来使用されていたRcloneやMegaSyncなどの汎用ツールはセキュリティ製品に検知されやすいため、独自のツールに切り替えることでステルス性を高めています。この傾向は2026年3月の攻撃で確認されており、攻撃者が独自のマルウェア開発に投資していることを示唆しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🏢影響範囲
Trigonaランサムウェアの標的となるあらゆる組織およびセクター
該当時の対応
EDR/SIEMにおいて、既知のツール(Rclone等)以外の不審なデータ転送プロセスの監視を強化すること。また、特権アカウントの監視とネットワークセグメンテーションを徹底し、データの大量流出を検知・遮断できる体制を構築することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Trigonaランサムウェアによるカスタムデータ窃取ツールの導入について

お疲れさまです。Trigonaランサムウェアの戦術変更に関する情報共有です。

■ 概要
Trigonaランサムウェアが、従来のRcloneやMegaSyncに代わり、検知回避を目的とした独自のカスタムデータ窃取ツールを使用し始めたことがSymantecにより報告されました。これにより、標準的なセキュリティ製品による検知を回避し、より効率的にデータを外部へ転送することが可能になります。

■ 影響範囲
- Trigonaランサムウェアの攻撃対象となる全組織

■ 対応手順
1. EDR等の監視設定を見直し、既知のツール以外の不審なコマンドライン引数や外部通信プロセスの検知ルールを強化する。
2. サーバーからの大量データ転送(Exfiltration)を検知するためのネットワークトラフィック監視を強化する。
3. 特権アカウントの挙動監視を徹底し、不審なツールの実行を早期に検知する。

■ 参考情報
- Symantec研究レポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Trigona Ransomware Adopting Custom Data Exfiltration Tool

Dear Security Team,

We are sharing intelligence regarding a tactical shift in Trigona ransomware operations.

■ Overview
Symantec researchers have reported that Trigona ransomware has transitioned from using common utilities like Rclone and MegaSync to a custom-built data exfiltration tool. This change is designed to bypass security solutions that typically flag well-known public tools, thereby increasing the stealth and efficiency of their data theft operations.

■ Scope
- All organizations targeted by Trigona ransomware affiliates.

■ Recommended Actions
1. Update EDR/SIEM detection rules to monitor for suspicious command-line activity and unknown processes initiating large data transfers.
2. Enhance network traffic monitoring to detect anomalies in outbound data volume (Exfiltration).
3. Implement strict monitoring of privileged accounts to identify the execution of unauthorized proprietary tools.

■ Reference
- Symantec Research Report

Priority: High
Deadline: Immediate review
🔗 元の記事を読む