🔥 この日の重要情報
2026-04-27 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

Windows SmartScreenおよびWindows Shellのセキュリティプロンプトをバイパスする不完全なパッチにより、ゼロクリック攻撃が可能な脆弱性

脆弱性🌐 英語ソース
🖥️ 製品Windows
🔢 CVECVE-2026-21510CVE-2026-21513
📅 Mon, 27 Ap📰 securityweek
📌 一言でいうと
Windows SmartScreenおよびWindows Shellのセキュリティプロンプトをバイパスする不完全なパッチにより、ゼロクリック攻撃が可能な脆弱性が報告されました。ロシアのAPT28(Fancy Bear)が、CVE-2026-21510およびMSHTMLフレームワークのCVE-2026-21513を組み合わせて悪用していることがAkamaiにより判明しました。攻撃者は悪意のあるショートカットファイル(.lnk)やHTMLファイルを介してリモートコード実行(RCE)を狙います。
🏢影響範囲
Windows OSを利用している全世界の政府機関、外交機関、および企業組織。
該当時の対応
最新のWindowsセキュリティ更新プログラムを適用し、不審なメールに添付されたショートカットファイル(.lnk)やHTMLファイルを開かないようユーザーに周知してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なファイル(ショートカット・HTML)の開封禁止について

お疲れさまです。情報システム担当です。
Windowsの脆弱性を悪用し、ファイルを開くだけでウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知らない送信元から届いたメールの添付ファイル(特に.lnkや.html形式)は絶対に開かないでください。
2. Windows Updateを適用し、OSを最新の状態に保ってください。

対応期限: 本日中
Subject: [Security Alert] Do Not Open Suspicious Files (Shortcuts/HTML)

Dear all,
We have received reports of attacks exploiting Windows vulnerabilities that can infect your system simply by opening a malicious file.

Requested Actions:
1. Do not open attachments (especially .lnk or .html files) from unknown or untrusted senders.
2. Ensure your Windows OS is fully updated via Windows Update.

Deadline: Immediate
件名: 【共有】Windows SmartScreen/Shell (CVE-2026-21510, CVE-2026-21513) 対応について

お疲れさまです。Windowsの脆弱性およびAPT28による悪用に関する情報共有です。

■ 概要
Windows SmartScreenおよびWindows Shellの不完全なパッチにより、ゼロクリック攻撃が可能な状態となっています。ロシアのAPT28がCVE-2026-21510およびCVE-2026-21513(MSHTMLバイパス)を組み合わせてRCEを狙う攻撃を仕掛けています。

■ 影響範囲
- Windows OS (SmartScreen / Windows Shell / MSHTML framework)

■ 対応手順
1. 最新のWindows累積更新プログラムが全端末に適用されているか確認してください。
2. EDR等のログにて、不審な.lnkファイルやHTMLファイルの実行履歴がないか調査してください。

■ 参考情報
- Akamai Threat Intelligence / Microsoft Security Advisory

対応優先度: 高
対応期限: 至急
Subject: [Technical Alert] Windows SmartScreen/Shell Vulnerabilities (CVE-2026-21510, CVE-2026-21513)

Dear Security Team,

Please be advised of the exploitation of Windows vulnerabilities by APT28.

■ Overview
An incomplete patch for Windows SmartScreen and Windows Shell has created a vulnerability enabling zero-click attacks. APT28 is leveraging CVE-2026-21510 and CVE-2026-21513 (MSHTML bypass) to achieve Remote Code Execution (RCE).

■ Scope
- Windows OS (SmartScreen, Windows Shell, MSHTML framework)

■ Mitigation Steps
1. Verify that the latest Windows cumulative updates are deployed across all endpoints.
2. Monitor EDR logs for suspicious execution of .lnk or HTML files.

■ Reference
- Akamai Threat Intelligence / Microsoft Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Linuxのパッケージ管理抽象化レイヤーであるPackageKitに、権限昇格が可能な脆弱性(Pack2TheRoot)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-41651
📅 Mon, 27 Ap📰 securityweek
📌 一言でいうと
Linuxのパッケージ管理抽象化レイヤーであるPackageKitに、権限昇格が可能な脆弱性(Pack2TheRoot)が発見されました。この脆弱性はTOCTOU(Time-of-Check Time-of-Use)レースコンディションに起因し、一般ユーザーが認証なしにルート権限で任意のRPMパッケージをインストールすることを可能にします。影響範囲はバージョン1.0.2から1.3.4までであり、さらに古いバージョンまで遡る可能性があります。
🏢影響範囲
PackageKitを利用しているLinuxディストリビューションを運用している全ての組織・サーバー管理者
該当時の対応
PackageKitの最新バージョンへのアップデートを確認し、適用すること。また、不必要な一般ユーザーによるパッケージ管理操作の制限を検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PackageKit CVE-2026-41651 (Pack2TheRoot) 対応について

お疲れさまです。PackageKitの脆弱性に関する情報共有です。

■ 概要
PackageKitにおいて、TOCTOUレースコンディションによる権限昇格の脆弱性(CVE-2026-41651)が報告されました。CVSSスコアは8.1で、一般ユーザーが認証なしにルート権限で任意のRPMパッケージをインストールできる可能性があります。

■ 影響範囲
- PackageKit バージョン 1.0.2 ~ 1.3.4 (およびそれ以前のバージョン)

■ 対応手順
1. 運用中のLinuxサーバーおよびクライアントにおけるPackageKitのバージョンを確認してください。
2. 各ディストリビューションから提供される最新のセキュリティパッチを適用してください。
3. 権限昇格の兆候がないか、システムログを確認してください。

■ 参考情報
- NIST Advisory / Deutsche Telekom Red Team Report

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] PackageKit CVE-2026-41651 (Pack2TheRoot) Mitigation

Dear IT Security Team,

We are sharing information regarding a critical vulnerability in PackageKit.

■ Overview
A TOCTOU race condition vulnerability (CVE-2026-41651), known as 'Pack2TheRoot', has been identified in the PackageKit abstraction layer. With a CVSS score of 8.1, this flaw allows unprivileged users to install arbitrary RPM packages with root privileges without authentication.

■ Affected Scope
- PackageKit versions 1.0.2 through 1.3.4 (potentially affecting versions as old as 0.8.1).

■ Mitigation Steps
1. Identify all Linux systems running the affected versions of PackageKit.
2. Apply the latest security updates provided by your Linux distribution vendor.
3. Review system logs for any unauthorized package installations or privilege escalation attempts.

■ Reference
- NIST Advisory / Deutsche Telekom Red Team Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

脅威アクターUNC6692が、大量のメール送信(メールボンビング)とITサポートへのなりすましを組み合わせた攻撃を展開しています

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
📅 Mon, 27 Ap📰 securityweek
📌 一言でいうと
脅威アクターUNC6692が、大量のメール送信(メールボンビング)とITサポートへのなりすましを組み合わせた攻撃を展開しています。攻撃者はMicrosoft Teamsで被害者に接触し、偽のメールボックス修復ツールを介して資格情報を窃取し、「Snowbelt」と呼ばれるJavaScriptベースのバックドアを感染させます。この攻撃は、心理的な混乱に乗じて偽の認証画面や修復ツールを信じ込ませる巧妙なソーシャルエンジニアリングを用いています。
🏢影響範囲
Microsoft TeamsおよびMicrosoft Edgeを利用している組織、特にITサポートへの信頼性が高い一般社員を抱える組織。
該当時の対応
不審な大量メール受信後のITサポートからの連絡に注意し、公式なルート以外でのツール導入や資格情報入力を禁止すること。また、エンドポイントでのAutoHotKeyなどのスクリプト実行制限を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審な連絡への注意について

お疲れさまです。情報システム担当です。
大量のメールが届いた直後に、ITサポート担当者を名乗る人物からMicrosoft Teamsなどで連絡があり、不審なサイトへ誘導される攻撃が確認されています。

ご協力をお願いしたいこと:
1. ITサポートを名乗る人物から、心当たりのない「修復ツール」の利用やURLのクリックを求められた場合は、絶対にに応じないでください。
2. 偽のログイン画面が表示された場合、パスワードなどの資格情報を入力しないでください。
3. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。

対応期限: 本日中
Subject: [Security Alert] Beware of Impersonation Attacks via IT Support

Dear employees,
We have observed attacks where actors send a flood of emails and then impersonate IT support via Microsoft Teams to trick users into installing fake repair tools.

What we need from you:
1. Do not click on any links or use 'repair utilities' suggested by individuals claiming to be IT support via chat, unless verified through official channels.
2. Never enter your corporate credentials into unfamiliar login boxes or pop-ups.
3. Report any suspicious contact to the IT Security team immediately.

Deadline: Immediate
件名: 【共有】UNC6692によるメールボンビングおよびSnowbeltマルウェアへの対応について

お疲れさまです。UNC6692による新たな攻撃手法に関する情報共有です。

■ 概要
攻撃者はメールボンビングで標的を混乱させた後、Microsoft TeamsでITサポートを装い接触します。偽のメールボックス修復ページへ誘導し、資格情報の窃取およびAutoHotKeyを利用してJavaScriptベースのバックドア「Snowbelt」を配備します。

■ 影響範囲
- Microsoft EdgeおよびMicrosoft Teamsを利用している全ユーザー

■ 対応手順
1. ユーザーに対し、ITサポートを名乗る不審なチャット連絡への注意喚起を実施する。
2. EDR等において、不審なAutoHotKeyバイナリおよびスクリプトの実行を監視・ブロックする。
3. 資格情報窃取の兆候(不審なログイン試行)がないかログを確認する。

■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] UNC6692 Email Bombing and Snowbelt Malware Deployment

Dear Security Team,
This is a technical update regarding the activities of threat actor UNC6692.

■ Overview
UNC6692 utilizes email bombing to overwhelm targets, followed by social engineering via Microsoft Teams. They lure victims to a phishing page posing as a mailbox repair utility to harvest credentials and deploy the 'Snowbelt' JavaScript backdoor via AutoHotKey scripts.

■ Scope
- All users utilizing Microsoft Edge and Microsoft Teams.

■ Mitigation Steps
1. Issue a security advisory to employees regarding impersonation via Teams.
2. Configure EDR/AV to monitor and block unauthorized execution of AutoHotKey binaries and scripts.
3. Audit authentication logs for signs of credential theft and unauthorized access.

■ Reference
- Google Threat Intelligence Group (GTIG) Report

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
darkreadUNC6692という新たな脅威アクターが、Microsoft TeamsやAWS S3バケットを悪用した巧妙なキャンペーンを展開しています
🔗 元の記事を読む
B
今週中

MicrosoftがASP.NET CoreのData Protection APIにおける深刻な脆弱性(CVE-2026-40372)を修正する緊急パッチをリ…

脆弱性🌐 英語ソース
🔢 CVECVE-2026-40372
📅 Mon, 27 Ap📰 xakep
📌 一言でいうと
MicrosoftがASP.NET CoreのData Protection APIにおける深刻な脆弱性(CVE-2026-40372)を修正する緊急パッチをリリースしました。この脆弱性は、認証クッキーなどの暗号化データの検証プロセスに不備があるため、攻撃者が認証ファイルを偽造し、SYSTEM権限を取得できる可能性があります。CVSSスコアは9.1と非常に高く、.NET 10.0.0から10.0.6のバージョンが影響を受けます。
🏢影響範囲
ASP.NET Core (特に.NET 10.0.0-10.0.6) を利用してアプリケーションを開発・運用している組織
該当時の対応
影響を受けるMicrosoft.AspNetCore.DataProtection NuGetパッケージを最新バージョンに更新してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ASP.NET Core Data Protection API (CVE-2026-40372) 対応について

お疲れさまです。ASP.NET Coreの深刻な脆弱性に関する情報共有です。

■ 概要
ASP.NET CoreのData Protection APIにおいて、HMACタグの検証に不備がある脆弱性が発見されました。攻撃者が認証クッキーやアンチフォージェリトークンを偽造し、SYSTEM権限でコードを実行させる可能性があります。CVSSスコアは9.1 (Critical) です。

■ 影響範囲
- Microsoft.AspNetCore.DataProtection NuGetパッケージ バージョン 10.0.0 ~ 10.0.6

■ 対応手順
1. 利用しているプロジェクトのNuGetパッケージ依存関係を確認してください。
2. Microsoft.AspNetCore.DataProtection を修正済みの最新バージョンへアップデートし、再デプロイしてください。

■ 参考情報
- Microsoft 公式セキュリティ更新プログラム

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] ASP.NET Core Data Protection API (CVE-2026-40372) Mitigation

Dear IT Security Team,

We are sharing information regarding a critical vulnerability in ASP.NET Core.

■ Overview
A critical flaw (CVE-2026-40372) has been identified in the Data Protection API. Due to a regression in HMAC validation, unauthenticated attackers can forge authentication cookies, antiforgery tokens, and other protected data, potentially leading to SYSTEM privilege escalation. CVSS Score: 9.1.

■ Scope
- Microsoft.AspNetCore.DataProtection NuGet packages versions 10.0.0 through 10.0.6.

■ Mitigation Steps
1. Audit all projects using the affected NuGet package versions.
2. Update Microsoft.AspNetCore.DataProtection to the latest patched version and redeploy the applications.

■ Reference
- Microsoft Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

PyPIで月間110万回ダウンロードされる人気パッケージ「elementary-data」のバージョン0.23.3に、機密情報や暗号資産ウォレットを盗むインフォ…

脆弱性🌐 英語ソース
📅 Mon, 27 Ap📰 bleeping
📌 一言でいうと
PyPIで月間110万回ダウンロードされる人気パッケージ「elementary-data」のバージョン0.23.3に、機密情報や暗号資産ウォレットを盗むインフォスティーラーが仕込まれました。攻撃者はプロジェクトのワークフローの脆弱性を悪用し、悪意のあるコードをPyPIおよびDockerイメージに配信しました。現在は修正版の0.23.4がリリースされていますが、悪意のあるバージョンを導入したユーザーは侵害された可能性があります。
🏢影響範囲
Python開発者、データエンジニア、dbtエコシステムを利用する組織
該当時の対応
速やかに elementary-data を最新バージョン(0.23.4以降)にアップデートしてください。バージョン0.23.3をインストールしていた場合は、認証情報の変更およびシステムのスキャンを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PyPIパッケージ elementary-data のサプライチェーン攻撃への対応について

お疲れさまです。PyPIで配信されているデータ観測ツール「elementary-data」におけるサプライチェーン攻撃に関する情報共有です。

■ 概要
攻撃者がプロジェクトのワークフローの脆弱性を悪用し、インフォスティーラーを含む悪意のあるバージョン(0.23.3)をPyPIおよびDockerレジストリに公開しました。これにより、開発者の機密情報や暗号資産ウォレットが窃取されるリスクがあります。

■ 影響範囲
- 対象製品: elementary-data
- 影響バージョン: 0.23.3

■ 対応手順
1. 開発環境および本番環境における elementary-data のバージョンを確認してください。
2. バージョン 0.23.3 が検出された場合は、直ちに最新のクリーンなバージョン(0.23.4以降)へアップデートしてください。
3. 0.23.3 を利用していた環境では、環境変数や設定ファイルに含まれるAPIキー、パスワード等の機密情報をリセットすることを強く推奨します。

■ 参考情報
- BleepingComputer 記事
- StepSecurity 分析レポート

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on PyPI Package 'elementary-data'

Dear Team,

We are sharing critical information regarding a supply chain attack affecting the 'elementary-data' package on PyPI.

■ Overview
An attacker exploited a flaw in the project's workflow to push a malicious version (0.23.3) containing an infostealer. This malicious code was distributed via PyPI and the associated Docker image, targeting sensitive developer data and cryptocurrency wallets.

■ Scope
- Product: elementary-data
- Affected Version: 0.23.3

■ Mitigation Steps
1. Audit all development and production environments for the installation of elementary-data v0.23.3.
2. Immediately upgrade to the clean version (0.23.4 or later).
3. For environments where v0.23.3 was present, we strongly recommend rotating all secrets, API keys, and passwords stored in environment variables or configuration files.

■ Reference
- BleepingComputer Article
- StepSecurity Analysis

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

FirefoxおよびThunderbirdのIndexedDBにおける情報漏洩の脆弱性(CVE-2026-6770)

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
🖥️ 製品Firefox
🔢 CVECVE-2026-6770
📅 Mon, 27 Ap📰 secaffairs
📌 一言でいうと
FirefoxおよびThunderbirdのIndexedDBにおける情報漏洩の脆弱性(CVE-2026-6770)が公開されました。この脆弱性は、プライベートブラウジングモードやTor Browserを使用していても、攻撃者がユーザーを識別(フィンガープリント)し、サイトをまたいだ追跡を可能にするものです。MozillaはFirefox 150およびESR 140.10で修正を適用しており、Tor ProjectもTor Browser 15.0.10をリリースしました。
🏢影響範囲
Firefox, Thunderbird, および Tor Browser を利用しているすべてのユーザーおよび組織
該当時の対応
Firefoxをバージョン150以降、またはESR 140.10以降にアップデートしてください。ThunderbirdおよびTor Browser(15.0.10以降)を利用している場合は、最新バージョンへの更新を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザ(Firefox)の更新のお願い

お疲れさまです。情報システム担当です。
WebブラウザのFirefoxにおいて、プライバシー保護機能が不十分になる脆弱性が発見されました。

ご協力をお願いしたいこと:
1. Firefoxブラウザを起動し、最新バージョンにアップデートしてください。
2. Thunderbird(メールソフト)を利用している方は、同様に最新版へ更新してください。

対応期限: 本日中
Subject: [Action Required] Please update your Firefox browser

Hi everyone,

A vulnerability has been identified in the Firefox browser that could potentially compromise user privacy.

What we need you to do:
1. Please update your Firefox browser to the latest version immediately.
2. If you use Thunderbird for email, please ensure it is also updated to the latest version.

Deadline: End of today
件名: 【共有】Firefox/Thunderbird IndexedDBの脆弱性 (CVE-2026-6770) 対応について

お疲れさまです。CVE-2026-6770に関する情報共有です。

■ 概要
FirefoxおよびThunderbirdのIndexedDBにおける情報漏洩の脆弱性です。攻撃者はユーザーのインタラクションなしに、プライベートモードやTor Browserのセッションリセットをバイパスして、安定した識別子を取得し、クロスサイトトラッキング(フィンガープリント)を行うことが可能です。

■ 影響範囲
- Firefox (150未満)
- Firefox ESR (140.10未満)
- Thunderbird
- Tor Browser (15.0.10未満)

■ 対応手順
1. 社内端末のFirefoxをバージョン150またはESR 140.10以降にアップデートする。
2. ThunderbirdおよびTor Browserの最新版適用を確認する。

■ 参考情報
- Mozilla Security Advisories
- Tor Project Blog

対応優先度: 中
対応期限: 2026年4月30日
Subject: [Technical Alert] Firefox/Thunderbird IndexedDB Vulnerability (CVE-2026-6770)

Dear team,

This is a technical notification regarding CVE-2026-6770.

■ Overview
An information disclosure vulnerability exists in the IndexedDB implementation of Firefox and Thunderbird. This flaw allows attackers to bypass privacy protections, including Private Browsing and Tor's New Identity feature, to perform cross-site tracking via browser fingerprinting without user interaction.

■ Scope
- Firefox (versions prior to 150)
- Firefox ESR (versions prior to 140.10)
- Thunderbird
- Tor Browser (versions prior to 15.0.10)

■ Remediation
1. Update all Firefox installations to version 150 or ESR 140.10.
2. Ensure Thunderbird and Tor Browser are updated to their latest respective versions.

■ Reference
- Mozilla Security Advisories
- Tor Project Blog

Priority: Medium
Deadline: 2026-04-30
📰 関連する 1 件の記事
securityweekFirefoxおよびTorブラウザにおいて、IndexedDB APIの仕様に起因するユーザーフィンガープリントが可能な脆弱性(CVE-20…
🔗 元の記事を読む
C
月内に

暗号資産を盗み出すトロイ木馬「SparkCat」の新しい変種が、Google PlayやApp Store、および偽のウェブページを通じて配布されていること

脆弱性🌐 英語ソース
📅 Mon, 27 Ap📰 boannews
📌 一言でいうと
暗号資産を盗み出すトロイ木馬「SparkCat」の新しい変種が、Google PlayやApp Store、および偽のウェブページを通じて配布されていることが判明しました。このマルウェアは、配送アプリやメッセンジャーに偽装してインストールされ、OCR(光学文字認識)技術を用いてギャラリー内の画像から暗号資産ウォレットのリカバリーフレーズ(シードフレーズ)を抽出します。特にAndroid版はアジア圏(日中韓)を標的としており、高度な難読化と検知回避手法が導入されています。
🏢影響範囲
暗号資産を保有し、スマートフォン(Android/iOS)を利用する個人および組織。特に日本、韓国、中国を含むアジア地域。
該当時の対応
1. 公式ストア以外からのアプリインストールを禁止する。2. 暗号資産のリカバリーフレーズなどの機密情報を画像としてスマートフォンに保存せず、専用のパスワードマネージャーやオフラインの物理的な保管方法を利用する。3. OSおよびアプリを常に最新の状態に更新する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】スマートフォンへの偽アプリインストールにご注意ください

お疲れさまです。情報システム担当です。
配送アプリやメッセンジャーを装い、スマートフォンの画像から暗号資産などの機密情報を盗み出す悪質なアプリ(マルウェア)が確認されています。

ご協力をお願いしたいこと:
1. 公式のアプリストア(Google Play / App Store)以外からアプリをインストールしない。
2. 暗号資産のリカバリーフレーズやパスワードなどの重要な情報を、スクリーンショットや写真としてスマホのギャラリーに保存しない。
3. 不審なURLからアプリのインストールを促された場合は、絶対に操作せず、すぐに報告してください。

対応期限: 本日中
Subject: [Security Alert] Beware of Fake Mobile Applications

Dear employees,

We have received reports of malicious apps disguising themselves as delivery or messenger services to steal sensitive information (such as cryptocurrency seed phrases) from your phone's image gallery.

Requested Actions:
1. Do not install applications from sources other than official stores (Google Play / App Store).
2. Avoid saving sensitive information, such as passwords or recovery phrases, as screenshots or images in your phone's gallery.
3. If you encounter a suspicious link prompting you to install an app, do not click it and report it to the IT team immediately.

Deadline: Immediate
件名: 【共有】暗号資産窃取マルウェア「SparkCat」変種への対応について

お疲れさまです。SparkCatの新型変種に関する情報共有です。

■ 概要
OCR(光学文字認識)を用いて、端末内の画像から暗号資産ウォレットのシードフレーズを抽出・窃取するトロイ木馬です。Android版は高度な難読化およびコード仮想化を実装しており、検知回避能力が高いのが特徴です。また、アジア圏(日中韓)を重点的に標的としています。

■ 影響範囲
- AndroidおよびiOSデバイスを利用するユーザー

■ 対応手順
1. 従業員に対し、機密情報の画像保存(スクリーンショット等)の危険性を周知し、パスワードマネージャーの利用を推奨する。
2. MDM(モバイルデバイス管理)を導入している場合、未承認アプリのインストール制限を再確認する。
3. 不審なアプリの配布元となっている偽ウェブページへのアクセスをネットワークレベルで遮断することを検討する。

■ 参考情報
- Kaspersky Threat Intelligence

対応優先度: 中
対応期限: 今週中
Subject: [Intel] New Variant of SparkCat Cryptocurrency Trojan

Dear Security Team,

This is a technical update regarding a new variant of the SparkCat trojan.

■ Overview
SparkCat is a trojan that utilizes Optical Character Recognition (OCR) to scan device galleries for cryptocurrency recovery phrases. The Android variant employs advanced obfuscation, code virtualization, and cross-platform languages to evade detection. It specifically targets users in Asia (Japan, Korea, China).

■ Scope
- Android and iOS device users

■ Mitigation Steps
1. Educate users on the risks of storing sensitive credentials as images and promote the use of secure password managers.
2. Review and enforce application whitelisting/restrictions via MDM (Mobile Device Management).
3. Consider blocking known phishing domains used to distribute the malware at the network level.

■ Reference
- Kaspersky Threat Intelligence

Priority: Medium
Deadline: End of this week
🔗 元の記事を読む
C
月内に

Kasperskyの研究者が、Windows RPC(Remote Procedure Call)のアーキテクチャにおける特権昇格手法「PhantomRPC」を…

脆弱性🌐 英語ソース
🖥️ 製品Windows
📅 Mon, 27 Ap📰 xakep
📌 一言でいうと
Kasperskyの研究者が、Windows RPC(Remote Procedure Call)のアーキテクチャにおける特権昇格手法「PhantomRPC」を発見しました。この手法は、WindowsがRPCサーバーの正当性を検証しない点を利用し、攻撃者が偽のRPCサーバーを構築して特権プロセスからのリクエストを傍受することで、SYSTEM権限まで昇格させるものです。特にSeImpersonatePrivilegeを持つプロセスを侵害した攻撃者にリスクがあります。
🏢影響範囲
Windows OSを利用しているすべての組織およびシステム管理者
該当時の対応
Microsoftからの公式パッチまたは緩和策の提供を待機し、OSを最新の状態に保つこと。また、不必要な特権(SeImpersonatePrivilege等)を持つサービスの最小権限原則の適用を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows RPCにおける特権昇格手法「PhantomRPC」について

お疲れさまです。Windows RPCの脆弱性を利用した新しい特権昇格手法に関する情報共有です。

■ 概要
Windows RPC (Remote Procedure Call) のアーキテクチャにおいて、RPCサーバーの正当性検証が不十分であるため、偽のRPCサーバーを構築して特権プロセスをなりすまし、SYSTEM権限まで昇格させる手法「PhantomRPC」が報告されました。

■ 影響範囲
- Windows OS (RPCランタイム rpcrt4.dll を使用する環境)
- 特に SeImpersonatePrivilege を持つアカウントが侵害された場合

■ 対応手順
1. Microsoftより本件に関するセキュリティ更新プログラムがリリースされていないか定期的に確認してください。
2. サーバーおよびエンドポイントにおいて、不審なプロセスの動作や特権昇格の兆候がないか監視を強化してください。
3. 最小権限の原則に基づき、不要な特権を持つサービスの権限見直しを検討してください。

■ 参考情報
- Black Hat Asia 2026 発表内容

対応優先度: 中
対応期限: パッチ提供後速やかに
Subject: [Info] Privilege Escalation Technique 'PhantomRPC' in Windows RPC

Dear IT Security Team,

We are sharing information regarding a new privilege escalation technique called 'PhantomRPC' affecting Windows RPC.

■ Overview
Researchers have identified a flaw in the Windows RPC (Remote Procedure Call) architecture where the system fails to verify the legitimacy of RPC servers. An attacker with SeImpersonatePrivilege can deploy a rogue RPC server to intercept requests from privileged processes and escalate privileges to the SYSTEM level.

■ Scope
- Windows OS (environments utilizing rpcrt4.dll)
- Specifically critical if processes with SeImpersonatePrivilege are compromised.

■ Recommended Actions
1. Monitor for official security updates or mitigations from Microsoft.
2. Enhance monitoring for unusual process behavior or unauthorized privilege escalation attempts on critical systems.
3. Review service permissions to ensure the principle of least privilege is applied.

■ Reference
- Black Hat Asia 2026 Presentation

Priority: Medium
Deadline: Upon release of official patches
🔗 元の記事を読む
C
月内に

GoogleのGemini CLIおよび関連するGitHub Actionに、リモートコード実行(RCE)が可能な高危深刻な脆弱性

脆弱性🌐 英語ソース
📅 Mon, 27 Ap📰 freebuf
📌 一言でいうと
GoogleのGemini CLIおよび関連するGitHub Actionに、リモートコード実行(RCE)が可能な高危深刻な脆弱性が発見されました。この脆弱性は、ヘッドレスモードにおける不適切なワークスペース信頼処理と、--yoloモードでのツールホワイトリスト回避に起因します。特にCI/CDパイプラインなどの自動化環境で、外部からのプルリクエストなどを処理する場合にリスクが高まります。Googleは修正版をリリースしており、速やかなアップデートを推奨しています。
🏢影響範囲
Gemini CLI (@google/gemini-cli) および run-gemini-cli GitHub Action を利用してCI/CDパイプラインを構築している開発者および組織。
該当時の対応
1. @google/gemini-cli を最新バージョンにアップデートしてください。 2. run-gemini-cli GitHub Action を最新バージョンに更新してください。 3. ヘッドレスモードで動作させる場合、GEMINI_TRUST_WORKSPACE: 'true' の設定が必要になるため、設定を見直してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Gemini CLI および run-gemini-cli のRCE脆弱性対応について

お疲れさまです。Gemini CLIに関する脆弱性情報について共有いたします。

■ 概要
Gemini CLIおよび関連するGitHub Actionにおいて、リモートコード実行(RCE)が可能な脆弱性が報告されました。ヘッドレスモードでの不適切なフォルダ信頼メカニズムおよび--yoloモード時のホワイトリスト回避により、攻撃者が悪意のあるコードを実行させる可能性があります。

■ 影響範囲
- npmパッケージ: @google/gemini-cli (旧バージョン)
- GitHub Action: google-github-actions/run-gemini-cli (旧バージョン)
- 特にCI/CDパイプライン等の非対話型環境で利用している場合

■ 対応手順
1. @google/gemini-cli を最新バージョンへアップデートする
2. run-gemini-cli GitHub Action を最新バージョンへ更新する
3. 信頼できる入力のみを扱うワークフローにおいて、必要に応じて GEMINI_TRUST_WORKSPACE: 'true' を明示的に設定する

■ 参考情報
- Google公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] RCE Vulnerability in Gemini CLI and run-gemini-cli

Dear Team,

We are sharing critical information regarding a vulnerability found in the Gemini CLI.

■ Overview
A high-severity vulnerability allowing Remote Code Execution (RCE) has been identified in the Gemini CLI and the run-gemini-cli GitHub Action. The issue is caused by insecure workspace trust handling in headless mode and a whitelist bypass in --yolo mode, potentially allowing attackers to execute arbitrary commands via untrusted inputs (e.g., malicious PRs).

■ Scope
- npm package: @google/gemini-cli (older versions)
- GitHub Action: google-github-actions/run-gemini-cli (older versions)
- Specifically impacts headless environments such as CI/CD pipelines.

■ Remediation Steps
1. Update @google/gemini-cli to the latest version.
2. Update the run-gemini-cli GitHub Action to the latest version.
3. Review workspace trust settings; explicitly set GEMINI_TRUST_WORKSPACE: 'true' only for trusted inputs.

■ Reference
- Google Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む