🔥 この日の重要情報
2026-05-06 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

Palo Alto NetworksのPAN-OSにおける認証ポータルのメモリ破損の脆弱性(CVE-2026-0300)が、実環境で悪用されていること

脆弱性🌐 英語ソース📰 5記事🌐 3 countries
🇺🇸 US (3) · 🇮🇹 Italy · 🇰🇷 Korea
🖥️ 製品Palo AltoPAN-OS
🔢 CVECVE-2026-0300
📅 2026-05-06📰 cyberscoop
📌 一言でいうと
Palo Alto NetworksのPAN-OSにおける認証ポータルのメモリ破損の脆弱性(CVE-2026-0300)が、実環境で悪用されていることが判明しました。この脆弱性を利用すると、認証されていない攻撃者がPA-SeriesおよびVM-Seriesファイアウォール上でルート権限でコードを実行できる可能性があります。影響を受けるのは、User-ID認証ポータルをインターネットに公開している限定的な顧客です。ベンダーは修正プログラムを準備中であり、5月13日に提供される予定です。
🔍該当判定
  • Palo Alto Networks社の「PA-Series」または「VM-Series」のファイアウォールを導入している
  • PAN-OSの「User-ID認証ポータル(キャプティブポータル)」機能を有効にしている
  • 上記認証ポータルを、インターネット(外部)からアクセス可能な状態で公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
User-ID認証ポータル(Captive Portal)へのアクセスを信頼できるIPアドレスに制限し、インターネットからの直接的なアクセスを遮断すること。5月13日以降にリリースされるベンダーの修正パッチを速やかに適用すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Palo Alto PAN-OS CVE-2026-0300 対応について

お疲れさまです。Palo Alto NetworksのPAN-OSにおけるゼロデイ脆弱性に関する情報共有です。

■ 概要
PAN-OSの認証ポータルにおけるメモリ破損の脆弱性(CVE-2026-0300)が発見され、既に実環境での悪用が確認されています。認証されていない攻撃者がルート権限で任意のコードを実行できる極めて深刻な脆弱性です。

■ 影響範囲
- 対象製品: PA-Series および VM-Series ファイアウォール
- 条件: User-ID Authentication Portal (Captive Portal) をインターネットまたは信頼できないIPアドレスに公開している環境

■ 対応手順
1. User-ID認証ポータルへのアクセス制限を確認し、信頼できない外部IPからのアクセスを遮断してください。
2. ベンダーより修正パッチがリリースされる(5月13日予定)まで、監視を強化してください。
3. パッチリリース後、速やかにアップデートを適用してください。

■ 参考情報
- Palo Alto Networks 公式アドバイザリ
- CISA Known Exploited Vulnerabilities (KEV) カタログ

対応優先度: 高
対応期限: パッチリリース後速やかに
Subject: [Urgent] Palo Alto PAN-OS CVE-2026-0300 Vulnerability Response

Dear Team,

This is a technical alert regarding a zero-day vulnerability in Palo Alto Networks' PAN-OS.

■ Overview
A critical memory corruption vulnerability (CVE-2026-0300) in the PAN-OS authentication portal is being actively exploited in the wild. This flaw allows unauthenticated attackers to execute arbitrary code with root privileges.

■ Scope
- Affected Products: PA-Series and VM-Series firewalls
- Condition: Environments where the User-ID Authentication Portal (Captive Portal) is exposed to the public internet or untrusted IP addresses.

■ Action Plan
1. Immediately restrict access to the User-ID Authentication Portal to trusted IP addresses only.
2. Monitor logs for any unauthorized access attempts to the authentication portal.
3. Apply the official software fix as soon as it becomes available (expected May 13).

■ Reference
- Palo Alto Networks Official Advisory
- CISA KEV Catalog

Priority: High
Deadline: Immediate mitigation / Patch upon release
📰 関連する 4 件の記事
dailysecuPalo Alto NetworksのPAN-OSにおけるUser-ID認証ポータル(キャプティブポータル)の深刻な脆弱性(CVE-2026…paloalto_advPalo Alto NetworksのPAN-OSにおけるUser-ID認証ポータル(キャプティブポータル)に、認証不要でルート権限での任意…bleepingPalo Alto NetworksのPAN-OS User-ID認証ポータルにおいて、認証不要でルート権限での任意コード実行が可能なゼロデ…secaffairsPalo Alto NetworksのPAN-OSにおいて、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-0…
🔗 元の記事を読む
B
今週中

CiscoのCrosswork Network Controller (CNC) および Network Services Orchestrator…

脆弱性🌐 英語ソース
🖥️ 製品Cisco
🔢 CVECVE-2026-20188
📅 2026-05-06📰 bleeping
📌 一言でいうと
CiscoのCrosswork Network Controller (CNC) および Network Services Orchestrator (NSO) において、深刻なDoS脆弱性(CVE-2026-20188)が発見されました。この脆弱性は、不十分なレート制限により、認証されていない攻撃者がリモートから接続リソースを枯渇させ、システムを停止させることが可能です。影響を受けたシステムを復旧させるには、手動での再起動が必要となります。
🔍該当判定
  • Cisco Crosswork Network Controller (CNC) を導入・利用している
  • Cisco Network Services Orchestrator (NSO) を導入・利用している
  • Ciscoのネットワーク管理・自動化プラットフォーム(CNC/NSO)を運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
Ciscoが提供する最新のセキュリティアップデートを速やかに適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cisco CNCおよびNSO DoS脆弱性 (CVE-2026-20188) 対応について

お疲れさまです。Cisco製品の脆弱性に関する情報共有です。

■ 概要
Cisco Crosswork Network Controller (CNC) および Network Services Orchestrator (NSO) において、不十分なレート制限に起因するDoS脆弱性 (CVE-2026-20188) が公開されました。攻撃者が接続リソースを枯渇させることでシステムを応答不能にさせることができ、復旧には手動再起動が必要です。

■ 影響範囲
- Cisco Crosswork Network Controller (CNC)
- Cisco Network Services Orchestrator (NSO)

■ 対応手順
1. 利用中のCNC/NSOのバージョンを確認してください。
2. Cisco公式アドバイザリに基づき、最新の修正パッチを適用してください。
3. パッチ適用後、システムの正常動作を確認してください。

■ 参考情報
- Cisco Security Advisory

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Cisco CNC and NSO DoS Vulnerability (CVE-2026-20188)

Hi team,

This is a notification regarding a high-severity DoS vulnerability affecting Cisco CNC and NSO.

■ Overview
CVE-2026-20188 is a denial-of-service vulnerability caused by inadequate rate limiting on incoming network connections. An unauthenticated remote attacker can exhaust connection resources, rendering the system unresponsive. A manual reboot is required for recovery.

■ Affected Products
- Cisco Crosswork Network Controller (CNC)
- Cisco Network Services Orchestrator (NSO)

■ Remediation Steps
1. Identify affected versions of CNC and NSO in the environment.
2. Apply the latest security updates provided by Cisco.
3. Verify system stability post-update.

■ Reference
- Cisco Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Apache HTTP ServerのHTTP/2プロトコル処理におけるダブルフリーの脆弱性(CVE-2026-23918)が修正されました

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇸🇪 Sweden
🖥️ 製品Apache
🔢 CVECVE-2026-23918
📅 2026-05-06📰 secaffairs
📌 一言でいうと
Apache HTTP ServerのHTTP/2プロトコル処理におけるダブルフリーの脆弱性(CVE-2026-23918)が修正されました。この脆弱性は、細工されたHTTP/2シーケンスによってメモリ破損を引き起こし、リモートコード実行(RCE)やサービス拒否(DoS)につながる可能性があります。CVSSスコアは8.8と高く、バージョン2.4.66が影響を受けます。最新のバージョン2.4.67へのアップデートが推奨されています。
🔍該当判定
  • 自社でWebサーバーとして「Apache HTTP Server」を運用している
  • Apacheのバージョンが「2.4.66」である
  • Apacheの設定で「HTTP/2」プロトコルを有効にしている(mod_http2を利用している)
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるApache HTTP Server 2.4.66を、修正済みのバージョン2.4.67へ速やかにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Apache HTTP Server CVE-2026-23918 対応について

お疲れさまです。Apache HTTP Serverの深刻な脆弱性に関する情報共有です。

■ 概要
HTTP/2プロトコルの処理において、特定のシーケンスによりメモリが二重に解放される「ダブルフリー」の脆弱性が発見されました。攻撃者がこれを悪用した場合、リモートでのコード実行(RCE)やサービス拒否(DoS)を引き起こす可能性があります(CVSS 8.8)。

■ 影響範囲
- 対象製品: Apache HTTP Server
- 対象バージョン: 2.4.66

■ 対応手順
1. 現在のApache HTTP Serverのバージョンを確認してください。
2. 脆弱性が修正された最新バージョン 2.4.67 へアップデートを適用してください。
3. アップデート後、サーバーを再起動し、正常に動作することを確認してください。

■ 参考情報
- Apache Software Foundation 公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Apache HTTP Server CVE-2026-23918 Mitigation

Dear IT/Security Team,

This is a notification regarding a critical vulnerability in the Apache HTTP Server.

■ Overview
A double-free vulnerability (CVE-2026-23918) has been identified in the HTTP/2 protocol handling of Apache httpd. A specially crafted HTTP/2 sequence can cause memory corruption, potentially allowing an attacker to achieve Remote Code Execution (RCE) or cause a Denial of Service (DoS). The CVSS score is 8.8.

■ Scope
- Product: Apache HTTP Server
- Affected Version: 2.4.66

■ Mitigation Steps
1. Verify the current version of the Apache HTTP Server in use.
2. Update the server to the patched version 2.4.67 immediately.
3. Restart the service to ensure the update is applied.

■ Reference
- Apache Software Foundation Official Advisory

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
cert_seApache HTTP Server 2.4.66において、深刻な脆弱性(CVE-2026-23918)
🔗 元の記事を読む
B
今週中

CloudZ RATと新プラグイン「Pheno」を用いて、Microsoftの「スマートフォン連携(Phone Link)」アプリを悪用する攻撃

脆弱性🌐 英語ソース
🖥️ 製品Windows
📅 2026-05-06📰 hackernews
📌 一言でいうと
CloudZ RATと新プラグイン「Pheno」を用いて、Microsoftの「スマートフォン連携(Phone Link)」アプリを悪用する攻撃が確認されました。この攻撃はPCとスマートフォンの連携機能をハイジャックし、スマートフォン側にマルウェアをインストールすることなく、SMSやワンタイムパスワード(OTP)などの機密情報を窃取します。これにより、二要素認証(2FA)をバイパスしてアカウントを乗っ取ることが可能になります。
🔍該当判定
  • Windows PCで「スマートフォン連携 (Phone Link)」アプリを利用している
  • Windows PCとAndroid/iPhoneを連携させ、PC上でSMSの送受信を行っている
  • PCでスマホの通知を受け取る設定にしており、そこで2要素認証のコード(OTP)を受信している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なソフトウェアのインストールを避け、エンドポイント保護(EDR)を最新の状態に保つこと。また、SMSベースの二要素認証から、認証アプリや物理セキュリティキーへの移行を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】PCとスマートフォンの連携機能(スマートフォン連携)の利用について

お疲れさまです。情報システム担当です。
Windowsの「スマートフォン連携」アプリを悪用して、スマホに届く認証コード(OTP)やメッセージを盗み出す攻撃が報告されています。

ご協力をお願いしたいこと:
1. 心当たりのない不審なメールの添付ファイルやリンクを開かないでください。
2. SMS(ショートメッセージ)による二要素認証ではなく、可能な限り認証アプリ(Microsoft Authenticator等)を利用してください。

対応期限: 本日中
Subject: [Security Alert] Regarding the use of Windows Phone Link

Dear employees,

It has been reported that attackers are exploiting the Windows "Phone Link" application to steal authentication codes (OTPs) and messages from connected smartphones.

Please take the following actions:
1. Do not open suspicious email attachments or click on unknown links.
2. Use authentication apps (e.g., Microsoft Authenticator) instead of SMS-based two-factor authentication whenever possible.

Deadline: Immediate
件名: 【共有】CloudZ RATによるMicrosoft Phone Link悪用について

お疲れさまです。CloudZ RATおよび新プラグイン「Pheno」による脅威情報に関する共有です。

■ 概要
CloudZ RATがPhenoプラグインを用いて、Microsoft Phone LinkのPC-スマホ間ブリッジをハイジャックし、スマホ側にマルウェアを配置せずにSMSやOTPを窃取する手法が確認されました。これにより、SMSベースの2FAをバイパスされるリスクがあります。

■ 影響範囲
- Microsoft Phone Linkを利用しているWindows端末および連携済みスマートフォン

■ 対応手順
1. EDR等のエンドポイント監視において、不審なプロセスによるPhone Linkプロセスの監視・干渉を検知するルールを検討してください。
2. 組織的にSMS認証から認証アプリ(TOTP)やFIDO2ベースの認証への移行を推進してください。

■ 参考情報
- Cisco Talos Analysis

対応優先度: 高
対応期限: 今週中
Subject: [Technical Info] Exploitation of Microsoft Phone Link by CloudZ RAT

Dear Security Team,

This is a technical update regarding the CloudZ RAT and its new plugin, "Pheno."

■ Overview
Attackers are using the Pheno plugin to hijack the established PC-to-phone bridge via the Microsoft Phone Link application. This allows them to intercept sensitive mobile data, including SMS and OTPs, without deploying malware on the mobile device, effectively bypassing SMS-based 2FA.

■ Scope
- Windows endpoints utilizing Microsoft Phone Link and their paired mobile devices.

■ Mitigation Steps
1. Review EDR telemetry for unusual process interactions with the Phone Link application.
2. Accelerate the transition from SMS-based MFA to more secure methods such as TOTP apps or FIDO2 security keys.

■ Reference
- Cisco Talos Analysis

Priority: High
Deadline: End of this week
🔗 元の記事を読む
B
今週中

Mirai派生のボットネット「xlabs_v1」が、Android Debug Bridge (ADB) のポート5555が開放されているIoTデバイスを標的に…

脆弱性🌐 英語ソース
📅 2026-05-06📰 hackernews
📌 一言でいうと
Mirai派生のボットネット「xlabs_v1」が、Android Debug Bridge (ADB) のポート5555が開放されているIoTデバイスを標的にしていることが判明しました。このマルウェアはAndroid TVボックスやスマートTVなどを乗っ取り、ゲームサーバーなどを標的とした大規模なDDoS攻撃に利用します。21種類のフロッド攻撃をサポートしており、消費者向けのDDoS保護を回避する能力を持つとされています。
🔍該当判定
  • 社内でAndroid TVボックスやスマートTV、セットトップボックスを業務利用している
  • Android端末の「USBデバッグ」を有効にしたまま、ネットワークに接続している
  • 社内ネットワーク内でTCPポート5555番を開放して外部からアクセス可能にしている
上記いずれにも該当しない → 静観でOK
該当時の対応
インターネットに公開されているデバイスのADB(TCPポート5555)を無効化するか、ファイアウォールでアクセス制限をかけること。不要なサービスの公開を停止し、デバイスのファームウェアを最新に保つことを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Mirai派生ボットネット「xlabs_v1」によるADB悪用について

お疲れさまです。xlabs_v1に関する情報共有です。

■ 概要
Mirai派生のボットネット「xlabs_v1」が、TCPポート5555でADB (Android Debug Bridge) を有効にしているIoTデバイスを標的に、DDoS攻撃用のボットとして乗っ取る事例が報告されています。21種類のフロッド攻撃をサポートしており、ゲームサーバー等を標的としたDDoS-for-hireサービスとして利用されています。

■ 影響範囲
- ADBサービスがインターネットに公開されているAndroidベースのデバイス(Android TV, セットトップボックス, スマートTV等)

■ 対応手順
1. ネットワーク内でTCPポート5555が外部に公開されていないかスキャンし、不要な公開を停止する。
2. デバイス設定でADBを無効化し、必要な場合は認証付きの接続に制限する。
3. 境界ファイアウォールにて、信頼できないソースからのポート5555へのアクセスを遮断する。

■ 参考情報
- Hunt.io 分析レポート

対応優先度: 中
対応期限: 速やかに確認
Subject: [Intel] Mirai-derived Botnet xlabs_v1 Exploiting ADB

Hi team,

This is a technical update regarding the xlabs_v1 botnet.

■ Overview
Researchers have identified a Mirai-derived botnet named xlabs_v1 that targets IoT devices with exposed Android Debug Bridge (ADB) services on TCP port 5555. The botnet is used for DDoS-for-hire services, specifically targeting game servers, and supports 21 different flood variants to bypass consumer-grade protections.

■ Scope
- Android-based IoT devices (Android TV boxes, set-top boxes, smart TVs) with ADB enabled and exposed to the internet.

■ Mitigation Steps
1. Audit network perimeter for any devices exposing TCP port 5555 to the public internet.
2. Disable ADB on all production IoT devices or restrict access via strong authentication.
3. Implement firewall rules to block inbound traffic to port 5555 from untrusted sources.

■ Reference
- Hunt.io Analysis

Priority: Medium
Deadline: Immediate review
🔗 元の記事を読む
C
月内に

Cisco Talosは、南米および東南欧の政府機関を標的とする中国系ハッキンググループ「UAT-8302」

脆弱性🌐 英語ソース
📅 2026-05-06📰 dailysecu
📌 一言でいうと
Cisco Talosは、南米および東南欧の政府機関を標的とする中国系ハッキンググループ「UAT-8302」を公開しました。このグループはNetDraftなどのバックドアや、オープンソースのネットワークスキャンツール「gogo」を使用して内部ネットワークの偵察と権限昇格を試みます。また、他の中国系APTグループとツールを共有したり、アクセス権を譲渡したりする「Premier Pass-as-a-Service」のような連携体制を持っている可能性が指摘されています。
🏢影響範囲
南米および東南欧の政府機関、および中国系APTの標的となる可能性のある組織
該当時の対応
外部公開しているウェブアプリケーションの脆弱性診断の実施、パッチ適用、および内部ネットワークにおける異常なスキャン活動(gogo等のツール利用)の監視強化を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループ「UAT-8302」の活動について

お疲れさまです。中国系ハッキンググループUAT-8302に関する情報共有です。

■ 概要
Cisco Talosにより、南米・東南欧の政府機関を標的とするAPTグループUAT-8302が特定されました。NetDraftバックドアやオープンソースのスキャンツール「gogo」を用い、初期侵入後に内部偵察および権限奪取を試みる傾向があります。また、他の中国系APTとの連携(アクセス権の譲渡等)が疑われています。

■ 影響範囲
- 政府機関および重要インフラ組織
- 脆弱なウェブアプリケーションを公開しているサーバー

■ 対応手順
1. 外部公開サーバー(Web App等)の既知の脆弱性(N-day)およびゼロデイ対策の再確認
2. 内部ネットワークにおける不審なポートスキャンや、gogo等のネットワークスキャンツールの実行ログの監視
3. 特権アカウントの認証強化および不審なログイン試行の監視

■ 参考情報
- Cisco Talos Technical Analysis

対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] Activity of Chinese APT Group UAT-8302

Dear Team,

This is a technical update regarding the Chinese-linked threat actor UAT-8302.

■ Overview
Cisco Talos has identified UAT-8302, a group targeting government entities in South America and Southeast Europe. The group employs the NetDraft backdoor and the 'gogo' open-source scanning engine for internal reconnaissance and lateral movement. There are indications of a collaborative operational model where access is shared among different Chinese APT groups.

■ Scope of Impact
- Government agencies and critical infrastructure
- Systems with exposed, vulnerable web applications

■ Recommended Actions
1. Audit and patch all public-facing web applications to mitigate N-day and potential zero-day exploits.
2. Monitor internal network traffic for unauthorized scanning activity, specifically looking for tools like 'gogo'.
3. Enhance monitoring for privileged account anomalies and unauthorized lateral movement.

■ Reference
- Cisco Talos Technical Analysis

Priority: Medium
Deadline: Ongoing Monitoring
🔗 元の記事を読む
C
月内に

CISAは、重要インフラ事業者が紛争などの緊急時に、ITネットワークや外部ツールから切り離された状態で数週間から数ヶ月間運用を継続できるよう計画を立てることを推…

脆弱性🌐 英語ソース
📅 2026-05-06📰 cyberscoop
📌 一言でいうと
CISAは、重要インフラ事業者が紛争などの緊急時に、ITネットワークや外部ツールから切り離された状態で数週間から数ヶ月間運用を継続できるよう計画を立てることを推奨しています。特に中国系の攻撃グループであるSalt TyphoonやVolt Typhoonによる、電力・水・インターネットなどの重要セクターへの脅威が懸念されています。CISAは「CI Fortify」イニシアチブを通じて、OT(制御技術)システムの保護と技術評価を支援する方針です。
🔍該当判定
  • 電力、水道、ガス、通信などの重要インフラ事業を運営している
  • 工場やプラントで、機械を制御するシステム(OT/制御システム)を利用している
  • 外部ベンダーが提供する遠隔監視・制御ツールを導入している
  • 米国政府(CISA)の管轄下にある重要インフラ組織に該当する
上記いずれにも該当しない → 静観でOK
該当時の対応
1. ITネットワークとOTネットワークの物理的・論理的な分離(セグメンテーション)の再確認。2. 外部接続が遮断された状態での運用継続計画(BCP)の策定。3. サードパーティベンダー製品経由の侵入経路の点検と制限。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】重要インフラにおけるOTシステムの隔離運用計画(CI Fortify)について

お疲れさまです。CISAによる重要インフラ保護に関する情報共有です。

■ 概要
CISAは、Salt TyphoonやVolt Typhoonなどの中国系APTグループによる脅威に対抗するため、ITネットワークから隔離された状態で数週間〜数ヶ月間運用を継続できる体制(CI Fortify)の構築を推奨しています。ビジネスIT側からの横展開(Lateral Movement)によるOTシステムへの影響を最小限に抑えることが目的です。

■ 影響範囲
- 重要インフラを制御するOT(Operational Technology)システム
- ITネットワークと連携している産業制御システム

■ 対応手順
1. IT/OT境界のセグメンテーションおよびアクセス制御の再レビューを実施する。
2. 外部ネットワークやサードパーティツールに依存せず、重要サービスを維持するためのオフライン運用手順書を整備する。
3. CISAが提供する技術アセスメント等の支援策の活用を検討する。

■ 参考情報
- CISA CI Fortify Initiative

対応優先度: 高
対応期限: 次回BCP見直し時まで
Subject: [Info] Planning for OT System Isolation (CISA CI Fortify)

Dear Security Team,

This is a notification regarding CISA's guidance on critical infrastructure resilience.

■ Overview
CISA is urging critical infrastructure operators to develop plans that allow essential services to operate in isolation from IT networks and third-party tools for weeks to months. This is a strategic response to threats from Chinese APT groups, such as Salt Typhoon and Volt Typhoon, who target OT systems via business IT environments.

■ Scope
- Operational Technology (OT) systems controlling critical infrastructure.
- Industrial Control Systems (ICS) integrated with corporate IT networks.

■ Recommended Actions
1. Review and strengthen the segmentation between IT and OT networks.
2. Develop and document operational procedures for maintaining essential services while completely isolated from external networks.
3. Evaluate the use of CISA's technical assessments under the 'CI Fortify' initiative.

■ Reference
- CISA CI Fortify Initiative

Priority: High
Deadline: Next BCP review cycle
🔗 元の記事を読む
C
月内に

NVIDIAのAmpere世代GPUにおいて、Rowhammer攻撃を用いてホストCPUのメモリを操作し、システム全体を完全に乗っ取ることが可能であるという研究…

事案🌐 英語ソース
📅 2026-05-06📰 schneier
📌 一言でいうと
NVIDIAのAmpere世代GPUにおいて、Rowhammer攻撃を用いてホストCPUのメモリを操作し、システム全体を完全に乗っ取ることが可能であるという研究結果が発表されました。この攻撃はGDDRメモリのビット反転を誘発し、CPUメモリへの任意読み書きアクセスを可能にします。特にBIOS設定でIOMMUがデフォルトで無効になっている場合にリスクが高まります。また、RTX A6000ではルート権限への昇格が可能であることも示されました。
🔍該当判定
  • NVIDIA製のGPU(特にAmpere世代のRTX 30シリーズやAシリーズ)を搭載したPC・サーバーを利用している
  • AI学習や3Dレンダリングなどの高負荷な処理を外部からアクセス可能な状態で実行している
  • PCのBIOS設定で「IOMMU」というメモリ管理機能が「無効(Disabled)」になっている
上記いずれにも該当しない → 静観でOK
該当時の対応
BIOS/UEFI設定を確認し、IOMMU(Intel VT-dやAMD-Vi)を有効に設定することを強く推奨します。また、GPUドライバおよびファームウェアを最新の状態に更新してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NVIDIA GPUにおけるRowhammer攻撃による特権昇格の脆弱性について

お疲れさまです。NVIDIA製GPUを標的としたRowhammer攻撃に関する情報共有です。

■ 概要
NVIDIA Ampere世代のGPUにおいて、GDDRメモリのビット反転を誘発させることで、ホストCPUのメモリ領域への任意読み書きアクセスを可能にする攻撃手法が報告されました。これにより、攻撃者はシステム全体の制御権を奪取し、ルート権限への昇格が可能です。

■ 影響範囲
- NVIDIA Ampere世代のGPU(例: RTX A6000等)
- IOMMU設定が「無効」となっているシステム

■ 対応手順
1. サーバーおよびワークステーションのBIOS/UEFI設定を確認し、IOMMU (Intel VT-d / AMD-Vi) が有効になっていることを確認してください。
2. NVIDIA GPUドライバおよびファームウェアを最新バージョンにアップデートしてください。
3. 信頼できないコードをGPU上で実行させる環境(マルチテナント環境等)の隔離設定を見直してください。

■ 参考情報
- GDDRHammer: Greatly Disturbing DRAM Rows—Cross-Component Rowhammer Attacks from Modern GPUs

対応優先度: 高
対応期限: 次回メンテナンス時まで
Subject: [Technical Alert] Rowhammer Attack leading to Privilege Escalation on NVIDIA GPUs

Dear Team,

We are sharing technical information regarding a Rowhammer attack targeting NVIDIA GPUs.

■ Overview
Research has demonstrated that Rowhammer attacks on NVIDIA Ampere generation GPUs can induce bit flips in GDDR memory, allowing an attacker to gain arbitrary read/write access to the host CPU's memory. This can lead to a complete system compromise and privilege escalation to a root shell.

■ Scope
- NVIDIA Ampere generation GPUs (e.g., RTX A6000)
- Systems where IOMMU is disabled in BIOS/UEFI settings

■ Mitigation Steps
1. Verify that IOMMU (Intel VT-d or AMD-Vi) is enabled in the BIOS/UEFI settings of all affected hosts.
2. Update NVIDIA GPU drivers and firmware to the latest available versions.
3. Review isolation policies for environments where untrusted code is executed on GPUs.

■ Reference
- GDDRHammer: Greatly Disturbing DRAM Rows—Cross-Component Rowhammer Attacks from Modern GPUs

Priority: High
Deadline: Next scheduled maintenance window
🔗 元の記事を読む
C
月内に

北朝鮮のAPTグループ「ScarCruft」が、中国のゲームプラットフォーム「SQGame」を悪用してAndroid向けスパイウェア「BirdCall」を配布し…

脆弱性🌐 英語ソース
📅 2026-05-06📰 dailysecu
📌 一言でいうと
北朝鮮のAPTグループ「ScarCruft」が、中国のゲームプラットフォーム「SQGame」を悪用してAndroid向けスパイウェア「BirdCall」を配布していたことが判明しました。この攻撃は主に中国延辺地域の韓国人利用者を標的としており、連絡先、メッセージ、通話履歴などの広範な個人情報を収集します。もともとWindows向けだったBirdCallのAndroid版変種が確認されたことで、攻撃対象の拡大が示唆されています。
🏢影響範囲
中国延辺地域の韓国人、脱北者、人権活動家、および関連する政府・軍事・産業セクター
該当時の対応
信頼できないサードパーティ製アプリストアやプラットフォームからのAPKファイルインストールを禁止し、公式ストア(Google Play等)のみを利用することを推奨します。また、不審な権限を要求するアプリのインストールに注意してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】北朝鮮系APT「ScarCruft」によるAndroidスパイウェア配布について

お疲れさまです。ScarCruftによるサプライチェーン攻撃に関する情報共有です。

■ 概要
北朝鮮のAPTグループScarCruft(APT37等)が、中国のゲームプラットフォームを侵害し、Android向けスパイウェア「BirdCall」を配布しています。本マルウェアはデバイス内の連絡先、SMS、通話履歴、システム情報などを広範に収集し、C2サーバーへ送信します。

■ 影響範囲
- Android OSを搭載したモバイルデバイス
- 特に中国延辺地域に関連するユーザーや組織

■ 対応手順
1. 従業員に対し、非公式なプラットフォームからのAPKファイル直接インストールの危険性を再周知する。
2. MDM(モバイルデバイス管理)を導入している場合、未知のアプリのインストール制限を強化する。
3. 不審な通信先(C2)のログを確認し、感染の兆候がないか監視する。

■ 参考情報
- ESET Security Report

対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] Android Spyware Distribution by North Korean APT ScarCruft

Dear Security Team,

We are sharing intelligence regarding a supply chain attack conducted by the North Korean APT group ScarCruft (also known as APT37).

■ Overview
ScarCruft has compromised a Chinese gaming platform to distribute a new Android variant of the 'BirdCall' spyware. The malware is designed for extensive data exfiltration, including contacts, SMS, call logs, and device system information.

■ Scope
- Android-based mobile devices
- Users/organizations with ties to the Yanbian region of China

■ Recommended Actions
1. Reinforce policies against installing APKs from unofficial third-party platforms.
2. If using MDM, tighten restrictions on the installation of unknown or unapproved applications.
3. Monitor network logs for suspicious traffic patterns associated with known ScarCruft C2 infrastructure.

■ Reference
- ESET Security Report

Priority: Medium
Deadline: Ongoing Monitoring
🔗 元の記事を読む