2026年5月1日の
セキュリティ情報

この日に重要だったセキュリティ情報をお届けします。

254 件取得126 件重要9 件掲載55 情報源

🔥 この日の重要情報

2026-05-01 更新

📋 本日の目次 (7件)

今週中急ぎではないが早めに対応

5件

GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、C...
SonicWallは、SonicOSの脆弱性3件（CVE-2026-0204, CVE-2026-0...
GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて...
PyPi、NPM、PHPのエコシステムを標的とした「Mini Shai-Hulud」と呼ばれるサプラ...
Linuxカーネルの暗号化サブシステム（algif_aeadモジュール）に、2017年から潜伏してい...

月内に計画的に対応すれば良い

2件

セキュリティ企業Theoriが、Linuxカーネルにおいて一般ユーザーがルート権限を取得できるローカ...
DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワーク

今週中

GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0の深刻な脆弱性が修正されました

脆弱性🌐 英語ソース📰 2記事🌐 1 country

🇺🇸 US (2)

📅 2026-05-01📰 hackernews

📌 一言でいうと

GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0の深刻な脆弱性が修正されました。この脆弱性は、攻撃者が悪意のあるコンテンツをGeminiの設定として読み込ませることで、ホストシステム上で任意のコマンドを実行できるRCE（リモートコード実行）を可能にするものです。影響を受けるバージョンは @google/gemini-cli 0.39.1未満および 0.40.0-preview.3未満、google-github-actions/run-gemini-cli 0.1.22未満です。

🏢影響範囲

Gemini CLIまたは関連するGitHub Actionsワークフローを利用してCI/CDパイプラインを構築している開発者および組織

✅該当時の対応

影響を受けるパッケージ（@google/gemini-cli および google-github-actions/run-gemini-cli）を最新バージョンにアップデートしてください。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【脆弱性対応】Google Gemini CLIにおけるリモートコード実行(RCE)の脆弱性について

お疲れさまです。Gemini CLIに関する深刻な脆弱性の情報共有です。

■ 概要
GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0（最大深刻度）の脆弱性が報告されました。攻撃者が悪意のあるコンテンツをGeminiの設定として読み込ませることで、ホストシステム上で任意のコマンドを実行（RCE）される恐れがあります。

■ 影響範囲
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
※特にヘッドレスモードで利用しているワークフローに影響します。

■ 対応手順
1. 利用中のプロジェクトにおいて、上記パッケージのバージョンを確認してください。
2. 影響を受けるバージョンを使用している場合は、速やかに最新バージョンへアップデートしてください。

■ 参考情報
- Novee Security Report / Google Advisory

対応優先度: 高（至急のアップデートを推奨します）

Subject: [Action Required] Critical RCE Vulnerability in Google Gemini CLI

Hi all,

This is a security advisory regarding a critical vulnerability found in the Google Gemini CLI and associated GitHub Actions workflows.

■ Overview
A maximum severity vulnerability (CVSS 10.0) has been identified that allows an unprivileged external attacker to force malicious content to load as Gemini configuration. This can lead to arbitrary command execution (RCE) on the host system, bypassing the agent's sandbox.

■ Affected Versions
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
Note: Impact is primarily limited to workflows using Gemini CLI in headless mode.

■ Remediation
1. Audit your CI/CD pipelines and projects for the affected package versions.
2. Update the packages to the latest secure versions promptly.

■ Reference
- Novee Security Report / Google Advisory

Priority: High (Prompt update is strongly recommended)

🔗 元の記事を読む

今週中

SonicWallは、SonicOSの脆弱性3件（CVE-2026-0204, CVE-2026-0205, CVE-2026-0206）に対する修正パッチをリ…

脆弱性🌐 英語ソース📰 2記事🌐 2 countries

🇮🇹 Italy · 🇺🇸 US

🖥️ 製品SonicWall

🔢 CVECVE-2026-0204CVE-2026-0205CVE-2026-0206

📅 2026-05-01📰 securityweek

📌 一言でいうと

SonicWallは、SonicOSの脆弱性3件（CVE-2026-0204, CVE-2026-0205, CVE-2026-0206）に対する修正パッチをリリースしました。高深刻度のCVE-2026-0204は、アクセス制御をバイパスして管理インターフェースの機能にアクセスされる恐れがあります。また、パストラバーサルによる制限付きサービスへのアクセスや、リモートからのDoS攻撃によるクラッシュの可能性も指摘されています。Gen 6, Gen 7, Gen 8の各ファイアウォール利用者は、速やかなファームウェア更新が推奨されています。

🏢影響範囲

SonicWall Gen 6, Gen 7, Gen 8 ファイアウォールを利用している全世界の企業および組織

✅該当時の対応

対象となるSonicOSバージョンを確認し、最新の修正済みファームウェアへアップデートすることを強く推奨します。

📧 メール案を見る (管理者向け)

件名: 【共有】SonicWall SonicOS 脆弱性 (CVE-2026-0204 他) 対応について

お疲れさまです。SonicWall製品の脆弱性に関する情報共有です。

■ 概要
SonicOSにおいて、アクセス制御バイパス（高）、パストラバーサル（中）、およびDoS（中）の3つの脆弱性が報告されました。特にCVE-2026-0204では、管理インターフェースへの不正アクセスにより設定変更やセキュリティ機能の無効化が行われるリスクがあります。

■ 影響範囲
- 対象製品: SonicWall Gen 6, Gen 7, Gen 8 ファイアウォール
- 対象バージョン: 6.5.5.1-6n, 7.0.1-5169, 7.3.1-7013, 8.1.0-8017 までのバージョン

■ 対応手順
1. 現在のファームウェアバージョンを確認してください。
2. SonicWallのサポートポータルより、最新の修正済みファームウェアをダウンロードし、適用してください。
3. 管理インターフェースへのアクセス制限（ACL等）が適切に設定されているか再確認してください。

■ 参考情報
- SonicWall 公式アドバイザリ

対応優先度: 高
対応期限: 速やかに

Subject: [Security Advisory] SonicWall SonicOS Vulnerabilities (CVE-2026-0204 et al.)

Dear Team,

This is a notification regarding critical vulnerabilities identified in SonicWall SonicOS.

■ Overview
Three vulnerabilities have been disclosed: CVE-2026-0204 (High), CVE-2026-0205 (Medium), and CVE-2026-0206 (Medium). The high-severity flaw allows attackers to bypass access controls and potentially modify firewall configurations or disable security protections.

■ Scope
- Affected Products: SonicWall Gen 6, Gen 7, and Gen 8 firewalls
- Affected Versions: Firmware versions up to 6.5.5.1-6n, 7.0.1-5169, 7.3.1-7013, and 8.1.0-8017

■ Remediation Steps
1. Verify the current firmware version of your deployed firewalls.
2. Download and apply the latest patched firmware from the SonicWall support portal.
3. Review and tighten access control lists (ACLs) for the management interface.

■ Reference
- SonicWall Official Advisory

Priority: High
Deadline: Immediate

🔗 元の記事を読む

今週中

GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて、CVSS 10.0の極めて深刻な脆弱性

脆弱性🌐 英語ソース

📅 2026-05-01📰 dailysecu

📌 一言でいうと

GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて、CVSS 10.0の極めて深刻な脆弱性が発見されました。攻撃者が悪意のある設定ファイルを注入することで、サンドボックスを回避して任意のコードを実行できる可能性があります。特にCI/CDパイプラインなどの自動化環境（ヘッドレスモード）において、信頼されていないフォルダの設定ファイルを自動的に読み込む仕様が悪用されるリスクがあります。Googleは対策として、作業スペースの明示的な信頼設定を必須とする修正を行いました。

🏢影響範囲

Gemini CLI (@google/gemini-cli) および google-github-actions/run-gemini-cli を利用して開発・自動化を行っている組織および開発者

✅該当時の対応

Gemini CLIおよび関連するGitHub Actionsを最新バージョンにアップデートし、作業ディレクトリの信頼設定が正しく適用されているか確認してください。

📧 メール案を見る (管理者向け)

件名: 【共有】Google Gemini CLI 任意コード実行脆弱性への対応について

お疲れさまです。Gemini CLIに関する深刻な脆弱性の情報共有です。

■ 概要
GoogleのGemini CLIおよびGitHub Actionsにおいて、悪意のある設定ファイルを介して任意のコードが実行される脆弱性が報告されました。CVSSスコアは10.0（最高レベル）と評価されており、特にCI/CDパイプライン等の自動化環境でリスクが高まります。

■ 影響範囲
- npmパッケージ: @google/gemini-cli
- GitHub Actions: google-github-actions/run-gemini-cli

■ 対応手順
1. 利用しているGemini CLIおよびGitHub Actionsを最新バージョンに更新してください。
2. 信頼されていない外部リポジトリや設定ファイルを自動的に読み込む設定になっていないか確認してください。
3. Googleが導入した「フォルダ信頼設定」の要件に従い、明示的に信頼したワークスペースのみで動作させる運用を徹底してください。

■ 参考情報
- Nob Security Analysis

対応優先度: 高
対応期限: 直ちに実施

Subject: [Security Alert] Arbitrary Code Execution Vulnerability in Google Gemini CLI

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability found in Google's Gemini CLI.

■ Overview
A critical vulnerability (CVSS 10.0) has been identified in the Gemini CLI and its associated GitHub Actions. Attackers can execute arbitrary code by injecting malicious configuration files, bypassing sandboxing. This is particularly dangerous in headless modes used within CI/CD pipelines.

■ Affected Components
- npm package: @google/gemini-cli
- GitHub Action: google-github-actions/run-gemini-cli

■ Mitigation Steps
1. Update Gemini CLI and the corresponding GitHub Actions to the latest version immediately.
2. Review CI/CD workflows to ensure that untrusted external repositories are not automatically processed.
3. Implement the mandatory 'folder trust' settings as required by the latest Google update to ensure only trusted workspaces are executed.

■ Reference
- Nob Security Analysis

Priority: High
Deadline: Immediate

🔗 元の記事を読む

今週中

PyPi、NPM、PHPのエコシステムを標的とした「Mini Shai-Hulud」と呼ばれるサプライチェーン攻撃

脆弱性🌐 英語ソース📰 2記事🌐 1 country

🇺🇸 US (2)

🖥️ 製品SAP

📅 2026-05-01📰 securityweek

📌 一言でいうと

PyPi、NPM、PHPのエコシステムを標的とした「Mini Shai-Hulud」と呼ばれるサプライチェーン攻撃が確認されました。TeamPCPというグループによるもので、SAPのNPMパッケージ、Lightning PyPiパッケージ、intercom-client NPMパッケージに悪意のあるコードが混入されました。このマルウェアは開発者のマシンから認証情報やトークンなどの機密情報を窃取し、GitHubリポジトリに公開します。影響を受けた開発者は1,800人以上にのぼると報告されています。

🏢影響範囲

ソフトウェア開発者、およびLightningやintercom-clientなどのパッケージを利用している組織

✅該当時の対応

影響を受けるパッケージ（Lightning v2.6.2/2.6.3, intercom-client v7等）の使用を直ちに停止し、最新の安全なバージョンに更新してください。また、漏洩の可能性があるAPIキー、パスワード、認証トークンを速やかにリセットしてください。

📧 メール案を見る (管理者向け)

件名: 【共有】Mini Shai-Hulud サプライチェーン攻撃への対応について

お疲れさまです。Mini Shai-Huludと呼ばれるサプライチェーン攻撃に関する情報共有です。

■ 概要
PyPiおよびNPMエコシステムにおいて、開発者の認証情報を窃取するマルウェアが混入したパッケージが配布されました。窃取されたデータはGitHub上に公開される仕組みとなっており、広範囲な資格情報の漏洩が懸念されます。

■ 影響範囲
- Lightning (PyPi): バージョン 2.6.2, 2.6.3
- intercom-client (NPM): バージョン 7
- 一部のSAP NPMパッケージ

■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージのバージョンを確認してください。
2. 影響のあるバージョンが検出された場合、直ちに最新のクリーンなバージョンへアップデートしてください。
3. 該当パッケージを利用していた環境で管理されていたAPIキー、シークレット、認証トークンをすべて無効化し、再発行してください。

■ 参考情報
- SecurityWeek: 1,800 Hit in Mini Shai-Hulud Attack on SAP, Lightning, Intercom

対応優先度: 高
対応期限: 直ちに

Subject: [Alert] Response to Mini Shai-Hulud Supply Chain Attack

Dear Team,

This is a technical alert regarding the 'Mini Shai-Hulud' supply chain attack targeting the PyPi and NPM ecosystems.

■ Overview
Malicious packages have been identified that steal developer credentials, keys, and tokens. The stolen data is subsequently published to public GitHub repositories. This campaign is attributed to the threat actor TeamPCP.

■ Affected Scope
- Lightning (PyPi): Versions 2.6.2, 2.6.3
- intercom-client (NPM): Version 7
- Certain SAP NPM packages

■ Mitigation Steps
1. Audit all development environments and CI/CD pipelines for the affected package versions.
2. Immediately update the identified packages to the latest secure versions.
3. Rotate all secrets, API keys, and authentication tokens that were present on infected machines.

■ Reference
- SecurityWeek: 1,800 Hit in Mini Shai-Hulud Attack on SAP, Lightning, Intercom

Priority: High
Deadline: Immediate

🔗 元の記事を読む

今週中

Linuxカーネルの暗号化サブシステム（algif_aeadモジュール）に、2017年から潜伏していた深刻な脆弱性「Copy Fail」

脆弱性🌐 英語ソース📰 5記事🌐 2 countries

🇨🇳 China (4) · 🇺🇸 US

🔢 CVECVE-2026-31431

📅 2026-05-01📰 freebuf

📌 一言でいうと

Linuxカーネルの暗号化サブシステム（algif_aeadモジュール）に、2017年から潜伏していた深刻な脆弱性「Copy Fail」が発見されました。この脆弱性を利用すると、攻撃者はメモリ上のページキャッシュを操作し、/usr/bin/suなどの高権限プログラムを書き換えることで、root権限を完全に奪取することが可能です。メモリ内のみで動作するため検知が困難であり、Ubuntu、Amazon Linux、RHEL、SUSEなど広範なディストリビューションに影響します。

🏢影響範囲

Linuxカーネルを利用する全てのサーバー、クラウドインフラ、およびエンタープライズ環境（Ubuntu, RHEL, Amazon Linux, SUSE等）。

✅該当時の対応

1. 最新のLinuxカーネルパッチ（コミット a664bf3d603d）を適用すること。2. 即時のアップデートが困難な場合は、暫定処置として 'algif_aead' モジュールを無効化すること。

📧 メール案を見る (管理者向け)

件名: 【共有】Linuxカーネル権限昇格脆弱性 (CVE-2026-31431) 対応について

お疲れさまです。Linuxカーネルにおける深刻な脆弱性「Copy Fail」に関する情報共有です。

■ 概要
Linuxの暗号化サブシステム（algif_aeadモジュール）のロジック欠陥により、メモリ上のページキャッシュを不正に書き換え、root権限を奪取される可能性があります。本脆弱性は決定論的に動作し、成功率が極めて高いのが特徴です。

■ 影響範囲
- Linuxカーネル（2017年以降のバージョン）
- Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1, SUSE 16 等

■ 対応手順
1. カーネルの最新アップデートを確認し、修正パッチ（commit a664bf3d603d）を適用してください。
2. パッチ適用が困難な環境では、暫定的に 'algif_aead' モジュールを無効化してください。

■ 参考情報
- CVE-2026-31431
- Linux Kernel Commit: a664bf3d603d

対応優先度: 高
対応期限: 速やかに

Subject: [Security Alert] Linux Kernel Privilege Escalation Vulnerability (CVE-2026-31431)

Dear IT Security Team,

We are sharing information regarding a critical vulnerability in the Linux kernel known as "Copy Fail."

■ Overview
A logic flaw in the Linux encryption subsystem (algif_aead module) allows an attacker to manipulate the page cache in memory. This enables the overwriting of high-privilege binaries (e.g., /usr/bin/su) to obtain full root access. The exploit is highly reliable and leaves minimal forensic traces.

■ Affected Scope
- Linux Kernels (versions since 2017)
- Distributions including Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, and SUSE 16.

■ Remediation Steps
1. Update the Linux kernel to the latest version containing the fix (commit a664bf3d603d).
2. As a temporary mitigation, disable the 'algif_aead' module if immediate patching is not possible.

■ Reference
- CVE-2026-31431
- Linux Kernel Commit: a664bf3d603d

Priority: High
Deadline: Immediate

🔗 元の記事を読む

月内に

セキュリティ企業Theoriが、Linuxカーネルにおいて一般ユーザーがルート権限を取得できるローカル権限昇格の脆弱性「CopyFail (CVE-2026-3…

脆弱性🌐 英語ソース📰 5記事🌐 4 countries ⭐

🇰🇷 Korea (2) · 🇮🇹 Italy · 🇯🇵 Japan · 🇺🇸 US

🔢 CVECVE-2026-31431

📅 2026-05-01📰 dailysecu

📌 一言でいうと

セキュリティ企業Theoriが、Linuxカーネルにおいて一般ユーザーがルート権限を取得できるローカル権限昇格の脆弱性「CopyFail (CVE-2026-31431)」を発見しました。この脆弱性はAF_ALGとsplice()の処理における論理的欠陥により、メモリ上のページキャッシュを改ざんすることで発生します。影響範囲は2017年以降にビルドされた主要なLinuxディストリビューション（Ubuntu, Amazon Linux, RHEL, SUSE等）に及び、コンテナ環境での脱出リスクも指摘されています。

🏢影響範囲

Linuxカーネルを利用するサーバー、クラウドインフラ、コンテナ環境（Docker, Kubernetes等）を運用するあらゆる組織

✅該当時の対応

Linuxカーネルを最新バージョンにアップデートし、2026年4月1日のメインラインコミット（a664bf3d603d）以降のパッチが適用されていることを確認してください。

📧 メール案を見る (管理者向け)

件名: 【共有】Linuxカーネル権限昇格脆弱性 (CVE-2026-31431) 対応について

お疲れさまです。Linuxカーネルにおける深刻な権限昇格の脆弱性に関する情報共有です。

■ 概要
AF_ALGとsplice()の処理における論理的欠陥により、メモリ上のページキャッシュを改ざんし、一般ユーザーがルート権限を奪取できる脆弱性「CopyFail」が発見されました。ディスク上のファイルは変更されないため、従来のファイル整合性チェックでは検知が困難です。

■ 影響範囲
- 2017年以降にビルドされた主要なLinuxディストリビューション（Ubuntu, Amazon Linux, RHEL, SUSE等）
- コンテナ環境（Docker, LXC, Kubernetes）におけるホスト権限奪取のリスクあり

■ 対応手順
1. 運用中のLinuxサーバーおよびコンテナホストのカーネルバージョンを確認してください。
2. 2026年4月1日のメインラインコミット (a664bf3d603d) 以降の修正が適用された最新カーネルへアップデートしてください。
3. アップデート後、システムの再起動を行い、修正の適用を確認してください。

■ 参考情報
- CVE-2026-31431
- Theori / CERT-EU アドバイザリ

対応優先度: 高
対応期限: 速やかに実施

Subject: [Security Advisory] Linux Kernel Privilege Escalation Vulnerability (CVE-2026-31431)

Dear IT Security Team,

We are sharing information regarding a critical local privilege escalation vulnerability in the Linux kernel known as 'CopyFail'.

■ Overview
CVE-2026-31431 is a logical flaw involving AF_ALG and splice() that allows an attacker with local access to manipulate the page cache in memory. This can be leveraged to overwrite setuid binaries and escalate privileges to root. Since the original disk files remain unchanged, standard file integrity monitoring may not detect this attack.

■ Scope
- Major Linux distributions built since 2017 (including Ubuntu, Amazon Linux, RHEL, and SUSE).
- High risk of container escape in Docker, LXC, and Kubernetes environments.

■ Remediation Steps
1. Identify all Linux servers and container hosts running vulnerable kernel versions.
2. Update the kernel to the latest version incorporating the fix from the mainline commit a664bf3d603d (dated April 1, 2026).
3. Reboot the affected systems to ensure the patched kernel is active.

■ Reference
- CVE-2026-31431
- Theori / CERT-EU Advisories

Priority: High
Deadline: Immediate action recommended

🔗 元の記事を読む

月内に

DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワーク

事案🌐 英語ソース

📅 2026-05-01📰 freebuf

📌 一言でいうと

DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワークが発見されました。このツールは、フィッシングなどを通じて配布されるバッチファイルからPythonペイロードを展開し、bore.pubという公開トンネルサービスを利用してC2通信を行います。ブラウザやクラウドサービス（AWS, GCP, Azure）の認証情報窃取、キーログ、画面キャプチャなどの高度なスパイウェア機能を備えており、Windows Defenderの無効化やAMSIパッチなどの強力な検知回避策を実装しています。

🏢影響範囲

Windows OSを利用し、クラウドサービス（AWS, Azure, GCP）を運用しているあらゆる組織

✅該当時の対応

不審なバッチファイルやスクリプトの実行を禁止し、エンドポイントでのPython実行権限を制限すること。また、bore.pubなどの公開トンネルサービスへの通信をネットワークレベルで監視・制限することを推奨します。

📧 メール案を見る (社員向け + 管理者向け)

件名: 【注意喚起】不審なメールの添付ファイル実行に関する注意について

お疲れさまです。情報システム担当です。
最近、巧妙な手口でパソコンに侵入し、パスワードやクラウドサービスの情報を盗み出す悪意のあるプログラムが確認されています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールに添付されているファイル（特に.batや.exeなどの実行ファイル）は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、パソコンの動作に違和感がある場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中（確認をお願いします）

Subject: [Security Alert] Caution Regarding Suspicious Email Attachments

Dear Employees,

Our security team has identified a new type of malicious software that steals passwords and cloud service credentials by tricking users into running harmful files.

Please follow these guidelines:
1. Do not open attachments (especially .bat or .exe files) from unknown or untrusted senders.
2. If you have accidentally opened a suspicious file or notice unusual behavior on your computer, please report it to the IT department immediately.

Deadline: Immediate

件名: 【共有】新型Pythonバックドア「DEEP#DOOR」への対応について

お疲れさまです。新型のPythonベースRAT「DEEP#DOOR」に関する情報共有です。

■ 概要
Pythonで実装された高度なバックドアで、bore.pubという公開トンネルサービスをC2として利用します。AMSI/ETWパッチ、NTDLLアンフッキング、Windows Defenderの無効化など、強力な検知回避機能を備えています。また、クラウド認証情報（AWS/GCP/Azure）の窃取機能を有しています。

■ 影響範囲
- Windows OS環境
- Python実行環境が整っている端末

■ 対応手順
1. ネットワーク境界において、C2通信先として利用される「bore.pub」への通信ログを確認し、不審な通信がないか調査してください。
2. EDR等の検知ルールに、不審なバッチファイル（install_obf.bat等）によるPythonスクリプトの動的展開パターンを追加してください。
3. 特権アカウントの多要素認証（MFA）を徹底し、認証情報が窃取された際のリスクを低減してください。

■ 参考情報
- Securonix Report / The Hacker News

対応優先度: 高
対応期限: 速やかに確認

Subject: [Technical Alert] New Python Backdoor "DEEP#DOOR"

Dear Security Team,

We are sharing intelligence regarding a new Python-based RAT known as DEEP#DOOR.

■ Overview
DEEP#DOOR is a sophisticated backdoor that leverages the public tunneling service 'bore.pub' for C2 communication. It implements advanced evasion techniques, including AMSI/ETW patching, NTDLL unhooking, and disabling Windows Defender. It specifically targets browser and cloud provider (AWS, GCP, Azure) credentials.

■ Scope
- Windows OS environments
- Systems with Python runtime capabilities

■ Mitigation Steps
1. Review network logs for any outbound traffic to 'bore.pub' and investigate anomalies.
2. Update EDR/SIEM detection rules to identify patterns of Python payloads being dynamically extracted and executed via batch scripts.
3. Enforce strict Multi-Factor Authentication (MFA) for all cloud service accounts to mitigate the impact of credential theft.

■ Reference
- Securonix Report / The Hacker News

Priority: High
Deadline: Immediate

🔗 元の記事を読む

月内に

CrowdStrikeは、The Comに関連する新興の脅威グループ「Cordial Spider」と「Snarky Spider」が、米国を中心に重要インフラ…

事案🌐 英語ソース

📅 2026-05-01📰 cyberscoop

📌 一言でいうと

CrowdStrikeは、The Comに関連する新興の脅威グループ「Cordial Spider」と「Snarky Spider」が、米国を中心に重要インフラを標的にしたデータ窃取と恐喝攻撃を行っていると報告しました。これらのグループはScattered Spiderの手法を模倣し、ボイスフィッシング（Vishing）やソーシャルエンジニアリングを用いてアイデンティティプラットフォームに侵入します。一度侵入すると、SaaS環境を横断的に移動し、迅速にデータを窃取する傾向があります。

🏢影響範囲

米国ベースの学術、航空、小売、ホスピタリティ、自動車、金融サービス、法務、テクノロジーセクター

✅該当時の対応

多要素認証（MFA）の強化（特に耐フィッシング性の高いFIDO2等の導入）、従業員へのボイスフィッシング（Vishing）注意喚起の実施、アイデンティティ管理プラットフォームのログ監視強化。

📧 メール案を見る (社員向け + 管理者向け)

件名: 【注意喚起】電話やメールによるなりすまし詐欺への警戒について

お疲れさまです。情報システム担当です。
現在、企業の社員になりすまして電話やメールでパスワードや認証コードを聞き出そうとする攻撃が増加しています。

ご協力をお願いしたいこと:
1. 電話やメールで、パスワードや多要素認証（MFA）のコードを教えるよう求められても、絶対に応じないでください。
2. 不審な連絡を受けた場合は、すぐに情報システム担当まで報告してください。

対応期限: 本日中（周知徹底をお願いします）

Subject: [Security Alert] Beware of Impersonation and Phishing Attacks

Hi everyone,
We have observed an increase in attacks where hackers impersonate company staff via phone calls or emails to steal passwords and authentication codes.

What we need from you:
1. Never share your password or Multi-Factor Authentication (MFA) codes with anyone, even if they claim to be from IT or management.
2. Report any suspicious requests or unusual phone calls to the IT security team immediately.

Deadline: Immediate (Please stay vigilant)

件名: 【共有】Cordial SpiderおよびSnarky Spiderによるアイデンティティ攻撃への対応について

お疲れさまです。新興の脅威アクターに関する情報共有です。

■ 概要
Scattered Spiderの手法を模倣するCordial SpiderおよびSnarky Spiderが、Vishing（ボイスフィッシング）やソーシャルエンジニアリングを用いてIDプラットフォームに侵入し、SaaS環境を横断してデータを窃取する攻撃を展開しています。

■ 影響範囲
- ID管理プラットフォーム（Okta, Azure AD等）および連携するSaaS環境

■ 対応手順
1. MFAの強度見直し（SMS/プッシュ通知からFIDO2/WebAuthn等の耐フィッシング認証への移行検討）
2. IDプラットフォームにおける特権アカウントのログインログおよび不審なデバイス登録の監視強化
3. 従業員に対するVishing（電話による詐欺）への注意喚起の実施

■ 参考情報
- CrowdStrike Threat Intelligence Report

対応優先度: 高
対応期限: 速やかに

Subject: [Intel] Identity-based attacks by Cordial Spider and Snarky Spider

Hi team,
Sharing intelligence regarding new threat actors affiliated with The Com.

■ Overview
Cordial Spider and Snarky Spider are employing the Scattered Spider playbook, using Vishing and social engineering to breach identity platforms and rapidly traverse SaaS environments for data extortion.

■ Scope
- Identity providers (IdPs) and connected SaaS ecosystems.

■ Mitigation Steps
1. Strengthen MFA implementation (transition from SMS/Push to phishing-resistant FIDO2/WebAuthn).
2. Enhance monitoring of IdP logs for anomalous logins and unauthorized device registrations.
3. Conduct targeted security awareness training focusing on Vishing attacks.

■ Reference
- CrowdStrike Threat Intelligence Report

Priority: High
Deadline: Immediate

🔗 元の記事を読む

月内に

北朝鮮のラザラグループ傘下であるBlueNoroffが、Web3および仮想通貨企業の経営陣を標的にした社会工学的な攻撃を展開しています

脆弱性🌐 英語ソース

📅 2026-05-01📰 boannews

📌 一言でいうと

北朝鮮のラザラグループ傘下であるBlueNoroffが、Web3および仮想通貨企業の経営陣を標的にした社会工学的な攻撃を展開しています。攻撃者はZoomやTeamsを装った偽のドメインを用いてビデオ会議に誘い出し、AIで生成した偽人物を配置して実時間カメラ映像を奪取し、最終的に個人鍵や取引所の管理権限を盗み出そうとします。米国、シンガポール、英国など20カ国の企業100名以上が被害に遭っており、AIによるディープフェイク技術を悪用した高度な攻撃が特徴です。

🏢影響範囲

Web3/仮想通貨関連企業、ブロックチェーン企業、およびその経営層（特に米国、シンガポール、英国など）

✅該当時の対応

不審なビデオ会議の招待（特にドメイン名が微妙に異なるもの）への警戒、多要素認証（MFA）の徹底、ゼロトラストベースの身元確認プロセスの導入、およびAI生成コンテンツ（ディープフェイク）の可能性を考慮した本人確認手順の策定。

📧 メール案を見る (社員向け + 管理者向け)

件名: 【注意喚起】ビデオ会議（Zoom/Teams）を装ったなりすましメールにご注意ください

お疲れさまです。情報システム担当です。
最近、ZoomやTeamsなどのビデオ会議への招待を装い、偽のサイトへ誘導して情報を盗み出す巧妙な攻撃が報告されています。

ご協力をお願いしたいこと:
1. 知り合いからの招待であっても、URLの綴りが正しいか（例: zoom.us が z00m.us になっていないか）を必ず確認してください。
2. 不審なリンクをクリックしてカメラやマイクの権限を許可しないようご注意ください。
3. 少しでも違和感がある場合は、別の連絡手段で相手に本人確認を行ってください。

対応期限: 本日中

Subject: [Security Alert] Beware of Impersonation Attacks via Video Meeting Invites

Hi everyone,

Our security team has identified a trend of sophisticated attacks where hackers impersonate video conferencing tools like Zoom and Teams to steal sensitive information.

Please take the following actions:
1. Carefully check the URL of any meeting invite to ensure the domain is correct (e.g., ensure it is zoom.us and not a slight variation).
2. Do not grant camera or microphone permissions to suspicious or unexpected websites.
3. If an invite seems unusual, verify the sender's identity through a different communication channel.

Deadline: Immediate

件名: 【共有】BlueNoroffによるAI悪用型フィッシング攻撃への対応について

お疲れさまです。BlueNoroff（Lazarus Group傘下）による標的型攻撃に関する情報共有です。

■ 概要
Web3/仮想通貨企業を標的に、AI生成の偽人物と偽のビデオ会議ドメイン（Zoom/Teams模倣）を組み合わせた高度な社会工学攻撃が確認されました。目的は個人鍵や取引所管理権限の奪取であり、AIによるディープフェイクを用いて被害者の信頼を得る手法が用いられています。

■ 影響範囲
- 経営層および特権権限保持者
- Web3/仮想通貨関連インフラ

■ 対応手順
1. 境界防御だけでなく、ゼロトラストベースのアイデンティティ検証（ID検証）の強化を検討してください。
2. 経営層に対し、AIによるなりすまし（ディープフェイク）の可能性について周知し、重要操作前の多重確認フローを徹底させてください。
3. DNSフィルタリングやプロキシログにて、不審なビデオ会議模倣ドメインへの通信がないか監視を強化してください。

■ 参考情報
- 攻撃アクター: BlueNoroff (Lazarus Group)
- 手法: AI-generated personas, Typosquatting domains

対応優先度: 高
対応期限: 速やかに

Subject: [Threat Intel] AI-Driven Phishing Campaign by BlueNoroff

Dear Security Team,

We are sharing intelligence regarding a campaign by BlueNoroff (Lazarus Group) targeting Web3 and cryptocurrency executives.

■ Overview
The attackers utilize typosquatted Zoom/Teams domains and AI-generated personas to conduct social engineering. The ultimate goal is the theft of private keys and exchange management panel access. This campaign highlights the use of deepfake technology to bypass traditional security perimeters.

■ Scope
- C-level executives and privileged account holders
- Web3/Blockchain infrastructure

■ Mitigation Steps
1. Implement and strengthen Zero Trust identity verification processes.
2. Educate high-value targets on the risks of AI-driven deepfakes and establish out-of-band verification for critical transactions.
3. Enhance monitoring of DNS/Proxy logs for suspicious domains mimicking video conferencing services.

■ Reference
- Actor: BlueNoroff (Lazarus Group)
- TTPs: Typosquatting, AI-generated content, Social Engineering

Priority: High
Deadline: Immediate

🔗 元の記事を読む

優先度の見方

今日中
悪用が確認されている深刻な問題

今週中
急ぎではないが早めに対応

月内に
計画的に対応すれば良い

把握のみ
知っておくと良い情報

🗓過去の記事

日

月

火

水

木

金

土

少

多

📡 RSS で受け取る

最新のセキュリティ情報を、お使いのRSSリーダーで購読できます。
RSSフィードを開く →

2026年5月1日のセキュリティ情報

📋 本日の目次 (7件)

GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0の深刻な脆弱性が修正されました

SonicWallは、SonicOSの脆弱性3件（CVE-2026-0204, CVE-2026-0205, CVE-2026-0206）に対する修正パッチをリ…

GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて、CVSS 10.0の極めて深刻な脆弱性

PyPi、NPM、PHPのエコシステムを標的とした「Mini Shai-Hulud」と呼ばれるサプライチェーン攻撃

Linuxカーネルの暗号化サブシステム（algif_aeadモジュール）に、2017年から潜伏していた深刻な脆弱性「Copy Fail」

セキュリティ企業Theoriが、Linuxカーネルにおいて一般ユーザーがルート権限を取得できるローカル権限昇格の脆弱性「CopyFail (CVE-2026-3…

DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワーク

CrowdStrikeは、The Comに関連する新興の脅威グループ「Cordial Spider」と「Snarky Spider」が、米国を中心に重要インフラ…

北朝鮮のラザラグループ傘下であるBlueNoroffが、Web3および仮想通貨企業の経営陣を標的にした社会工学的な攻撃を展開しています

2026年5月1日の
セキュリティ情報