🔥 この日の重要情報
2026-05-22 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

AnthropicのAI開発ツール「Claude Code」のネットワークサンドボックスに、空字節注入(null-byte injection)による脆弱性

事案🌐 英語ソース
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
AnthropicのAI開発ツール「Claude Code」のネットワークサンドボックスに、空字節注入(null-byte injection)による脆弱性が発見されました。この脆弱性を悪用し、プロンプト注入と組み合わせることで、攻撃者はサンドボックスの制限を回避して外部サーバーへ接続し、ソースコードやAPIキーなどの機密情報を窃取できる可能性があります。Anthropicはバージョン2.1.90で修正済みですが、公式なセキュリティ通知を公開していないことが研究者から批判されています。
🔍該当判定
  • 開発業務でAnthropic社のAIツール『Claude Code』をインストールして利用している
  • Claude Codeのバージョンが 2.0.24 から 2.1.89 の間である
  • Claude Codeを使い、GitHubのトークンやクラウドサービスのAPIキーなどの機密情報を扱う環境で実行している
上記いずれにも該当しない → 静観でOK
該当時の対応
Claude Codeを最新バージョン(2.1.90以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Claude Code ネットワークサンドボックスの脆弱性対応について

お疲れさまです。Claude Codeに関する脆弱性情報について共有いたします。

■ 概要
Claude Codeのネットワークサンドボックスにおいて、SOCKS5 Proxyの処理に起因する空字節注入(null-byte injection)の脆弱性が確認されました。プロンプト注入と組み合わせることで、ホワイトリストを回避して外部へ接続し、GitHubトークンやAPIキー等の機密情報を窃取されるリスクがあります。

■ 影響範囲
- 対象製品: Claude Code
- 対象バージョン: 2.0.24 ~ 2.1.89

■ 対応手順
1. 利用しているClaude Codeのバージョンを確認してください。
2. バージョン 2.1.90 以降へアップデートを適用してください。

■ 参考情報
- Aonan Guan氏による報告(HackerOne経由)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Vulnerability in Claude Code Network Sandbox

Dear IT/Security Team,

We are sharing information regarding a vulnerability found in Anthropic's Claude Code.

■ Overview
A null-byte injection vulnerability was identified in the SOCKS5 Proxy component of the Claude Code network sandbox. If combined with prompt injection, an attacker could bypass connection allowlists to exfiltrate sensitive data, such as GitHub tokens, cloud credentials, and source code, to an external server.

■ Scope
- Product: Claude Code
- Affected Versions: 2.0.24 through 2.1.89

■ Remediation
1. Verify the current version of Claude Code in use.
2. Update to version 2.1.90 or later immediately.

■ Reference
- Report by researcher Aonan Guan via HackerOne

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性

事案🌐 英語ソース
📅 Fri, 22 Ma📰 freebuf
📌 一言でいうと
Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性が発見されました。攻撃者はこのドライバーを悪用して、CrowdStrike FalconなどのEDRやアンチウイルスソフトを無効化し、検知を回避することが可能です。これは「BYOVD (Bring Your Own Vulnerable Driver)」と呼ばれる攻撃手法の一種であり、正規の署名があるため従来の検知をすり抜ける危険性があります。
🔍該当判定
  • 社内でLenovo(レノボ)製のPCを利用している
  • PCに「Lenovo PC Manager」という管理ツールがインストールされている
  • CrowdStrike FalconなどのEDR(エンドポイント検知・対応)製品を導入して運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Microsoftが推奨する脆弱なドライバーのブロックリストを適用する。2. 不審なドライバーのロードやカーネルレベルの挙動を監視する。3. 未承認のドライバーロードを制限する設定を導入する。4. 正規ドライバーの悪用を検知可能なEDR設定を検討する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Lenovo製ドライバー (BootRepair.sys) を悪用したEDR停止リスクについて

お疲れさまです。Lenovoの署名済みドライバーに起因するセキュリティリスクに関する情報共有です。

■ 概要
Lenovo PC Managerに付属する「BootRepair.sys」に、特権昇格およびプロセス強制終了が可能な脆弱性が存在します。攻撃者がこのドライバーをロードすることで、カーネル権限でEDRやアンチウイルス等のセキュリティプロセスを停止させることが可能です(BYOVD攻撃)。

■ 影響範囲
- 対象ドライバー: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Lenovo製PCを利用している環境

■ 対応手順
1. Windowsの「脆弱なドライバーのブロックリスト」機能を有効化し、既知の脆弱なドライバーのロードを制限してください。
2. EDR等のログを確認し、不審なドライバーのロードや、セキュリティサービスの予期せぬ停止が発生していないか監視してください。
3. 不要なLenovo製ユーティリティの削除または更新を検討してください。

■ 参考情報
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] EDR Termination Risk via Lenovo Driver (BootRepair.sys)

Dear IT/Security Team,

We are sharing information regarding a security risk associated with a signed Lenovo driver.

■ Overview
A vulnerability in the 'BootRepair.sys' driver (part of Lenovo PC Manager) allows attackers to terminate any process at the kernel level. This enables a BYOVD (Bring Your Own Vulnerable Driver) attack to disable security agents, such as EDRs (e.g., CrowdStrike Falcon), bypassing endpoint protections.

■ Scope
- Affected Driver: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Environments utilizing Lenovo PCs

■ Mitigation Steps
1. Enable Microsoft's 'Vulnerable Driver Blocklist' to prevent the loading of known vulnerable drivers.
2. Monitor EDR/SIEM logs for unauthorized driver loads or unexpected termination of security services.
3. Review and update or remove unnecessary Lenovo utility software.

■ Reference
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
B
今週中

Kaspersky ICS CERTの研究者が、QualcommチップのBootROMにおける深刻な脆弱性を発見しました

脆弱性🌐 英語ソース
📅 Fri, 22 Ma📰 kaspersky_ru
📌 一言でいうと
Kaspersky ICS CERTの研究者が、QualcommチップのBootROMにおける深刻な脆弱性を発見しました。この脆弱性は、デバイスの信頼の起点(Root of Trust)である不変のメモリ領域に存在するため、攻撃者が物理的にデバイスにアクセスできれば、ロックされたスマートフォンであっても悪意のあるコードを注入し、永続的な制御権を得る可能性があります。BootROMは製造後に変更できないため、ソフトウェアアップデートによる修正が困難な極めて深刻な問題です。
🔍該当判定
  • Qualcomm製のチップを搭載したスマートフォンを社用携帯として利用している
  • Qualcomm製のチップを搭載したIoTデバイス(産業用ゲートウェイやセンサー等)を社内で利用している
  • 社外の修理業者に、Qualcomm製チップ搭載デバイスの物理的な修理を依頼する運用がある
上記いずれにも該当しない → 静観でOK
該当時の対応
物理的なデバイス管理の徹底(信頼できない修理店への預け入れを避ける等)。メーカーからのハードウェアレベルの対策や、影響を受けるチップセットの特定を待つ必要があります。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Qualcommチップ BootROMの脆弱性に関する情報共有

お疲れさまです。Qualcomm製チップセットのBootROMにおける深刻な脆弱性に関する情報共有です。

■ 概要
Kaspersky ICS CERTにより、QualcommチップのBootROM(不変の起動メモリ)に脆弱性が発見されました。物理的なアクセス権を持つ攻撃者が、信頼の連鎖(Chain of Trust)をバイパスして悪意のあるコードを注入できる可能性があります。

■ 影響範囲
- 対象のQualcommチップセットを搭載したスマートフォンおよびIoTデバイス

■ 対応手順
1. 影響を受けるチップセットの特定(ベンダーからの詳細発表を待機)
2. 物理的なデバイス管理の再徹底(未承認の修理業者へのデバイス預け入れ禁止など)
3. 資産管理リストへの影響デバイスの記録

■ 参考情報
- Kaspersky Blog (Разбираем новую уязвимость чипов Qualcomm)

対応優先度: 高
対応期限: 継続的な監視
Subject: [Technical Alert] Vulnerability in Qualcomm Chip BootROM

Dear Team,

We are sharing information regarding a critical vulnerability discovered in the BootROM of Qualcomm chipsets.

■ Overview
Kaspersky ICS CERT has identified a flaw in the BootROM, the immutable root of trust. An attacker with physical access to the device can bypass the secure boot process and inject malicious code, potentially gaining full control over the device regardless of lock status.

■ Scope
- Smartphones and IoT devices utilizing the affected Qualcomm chipsets.

■ Recommended Actions
1. Monitor vendor advisories to identify specific affected chipsets.
2. Enforce strict physical device security policies (e.g., prohibiting the use of untrusted repair services).
3. Inventory devices within the organization that use Qualcomm hardware.

■ Reference
- Kaspersky Blog (Analysis of the new Qualcomm chip vulnerability)

Priority: High
Deadline: Ongoing monitoring
🔗 元の記事を読む
B
今週中

Googleのエンジニアが、Chromiumベースのブラウザにおける深刻な脆弱性の詳細を誤って公開しました

脆弱性🌐 英語ソース
📅 Fri, 22 Ma📰 xakep
📌 一言でいうと
Googleのエンジニアが、Chromiumベースのブラウザにおける深刻な脆弱性の詳細を誤って公開しました。この脆弱性はBackground Fetch APIに関連しており、悪意のあるサイトを通じてService Workerを永続的に動作させることが可能です。これにより、ブラウザを閉じたりデバイスを再起動したりした後でも、JavaScriptコードがバックグラウンドで実行され続け、DDoS攻撃やトラフィックプロキシなどのボットネットとして利用される恐れがあります。
🔍該当判定
  • Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arcのいずれかを業務で利用している
  • PCのブラウザで、大容量ファイルのバックグラウンドダウンロード機能(Background Fetch API)を利用するサイトにアクセスしたことがある
  • 社内PCにおいて、ブラウザを閉じた後や再起動後も特定のWebサイトの処理がバックグラウンドで動作し続ける設定を許可している
上記いずれにも該当しない → 静観でOK
該当時の対応
ブラウザを最新バージョンにアップデートし、不審なウェブサイトへのアクセスを避けてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザの更新をお願いします

お疲れさまです。情報システム担当です。
Google Chromeなどのブラウザにおいて、悪意のあるサイトを閲覧することで、パソコンのバックグラウンドで不正なプログラムが動作し続ける脆弱性が報告されました。

ご協力をお願いしたいこと:
1. ブラウザ(Chrome, Edge等)のメニューから「設定」→「ヘルプ」→「Google Chromeについて」等を確認し、最新バージョンに更新してください。
2. 心当たりのない不審なウェブサイトへのアクセスは控えてください。

対応期限: 本日中
Subject: [Action Required] Please Update Your Web Browser

Dear employees,

A vulnerability has been reported in Chromium-based browsers (such as Google Chrome and Microsoft Edge) that could allow malicious scripts to run in the background of your device.

Requested Actions:
1. Please update your browser to the latest version via the 'About' section in the browser settings.
2. Avoid visiting suspicious or unknown websites.

Deadline: End of today
件名: 【共有】Chromium Background Fetch API の脆弱性への対応について

お疲れさまです。Chromiumベースのブラウザにおける永続的なJavaScript実行の脆弱性に関する情報共有です。

■ 概要
Background Fetch APIの不備により、悪意のあるサイトからService Workerを起動させ、ブラウザ終了後や再起動後もJavaScriptをバックグラウンドで動作させ続けることが可能です。これにより、端末がJSボットネットの一部として利用されるリスクがあります。

■ 影響範囲
- Google Chrome
- Microsoft Edge
- Brave, Opera, Vivaldi, Arc 等のChromium系ブラウザ

■ 対応手順
1. 組織内の全端末でブラウザが最新バージョンに更新されているか確認してください。
2. 管理コンソール(Google Admin等)を用いて、強制的に最新版へアップデートを適用してください。

■ 参考情報
- xakep 記事 (ru)

対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vulnerability in Chromium Background Fetch API

Dear IT Security Team,

We are sharing information regarding a vulnerability in Chromium-based browsers that allows persistent JavaScript execution.

■ Overview
Due to a flaw in the Background Fetch API, an attacker can deploy a Service Worker that continues to run in the background even after the browser is closed or the system is rebooted. This allows the infected browser to be used as a persistent JS botnet for DDoS or proxying traffic.

■ Scope
- Google Chrome
- Microsoft Edge
- Other Chromium-based browsers (Brave, Opera, Vivaldi, Arc, etc.)

■ Mitigation Steps
1. Ensure all corporate endpoints are running the latest version of their respective browsers.
2. Use centralized management tools (e.g., Google Admin, Intune) to enforce browser updates.

■ Reference
- xakep report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

F5は、NGINX製品群における重大な脆弱性(CVE-2026-9256)に関するセキュリティアドバイザリ

脆弱性🌐 英語ソース
🖥️ 製品F5
🔢 CVECVE-2026-9256
📅 2026-05-22📰 cccs
📌 一言でいうと
F5は、NGINX製品群における重大な脆弱性(CVE-2026-9256)に関するセキュリティアドバイザリを公開しました。この脆弱性はngx_http_rewrite_moduleに起因し、NGINX Plus、Open Source、Instance Manager、WAF、DoS、Gateway Fabric、Ingress Controllerなど広範な製品に影響します。ユーザーおよび管理者は、速やかに最新のアップデートを適用することが推奨されています。
🔍該当判定
  • Webサーバーとして「NGINX (Open Source版またはPlus版)」を利用している
  • 「NGINX Instance Manager」や「NGINX Ingress Controller」を導入している
  • 「F5 WAF for NGINX」や「NGINX App Protect」などのセキュリティ製品を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
F5の公式アドバイザリ(K000161377)を確認し、影響を受ける製品の最新バージョンへのアップデートを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NGINX ngx_http_rewrite_module (CVE-2026-9256) 対応について

お疲れさまです。NGINX製品の脆弱性に関する情報共有です。

■ 概要
NGINXのngx_http_rewrite_moduleにおいて、重大な脆弱性(CVE-2026-9256)が報告されました。詳細なCVSSスコアはベンダー通知を確認してください。

■ 影響範囲
- NGINX Plus / Open Source (複数バージョン)
- NGINX Instance Manager (2.17.0 ~ 2.22.0)
- F5 WAF for NGINX (5.9.0 ~ 5.13.0)
- NGINX App Protect WAF (複数バージョン)
- F5 DoS for NGINX (4.9.0)
- NGINX App Protect DoS (4.3.0 ~ 4.7.0)
- NGINX Gateway Fabric / Ingress Controller (複数バージョン)

■ 対応手順
1. 利用中のNGINX製品およびバージョンの確認
2. F5 MyF5 ポータルより最新の修正パッチまたはアップデートを適用

■ 参考情報
- F5 Security Advisory K000161377

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] NGINX ngx_http_rewrite_module (CVE-2026-9256) Mitigation

Dear IT/Security Team,

This is a notification regarding a critical vulnerability identified in NGINX products.

■ Overview
A critical vulnerability (CVE-2026-9256) has been discovered in the ngx_http_rewrite_module of NGINX. Please refer to the vendor advisory for specific CVSS details.

■ Affected Scope
- NGINX Plus / Open Source (multiple versions)
- NGINX Instance Manager (v2.17.0 to 2.22.0)
- F5 WAF for NGINX (v5.9.0 to 5.13.0)
- NGINX App Protect WAF (multiple versions)
- F5 DoS for NGINX (v4.9.0)
- NGINX App Protect DoS (v4.3.0 to 4.7.0)
- NGINX Gateway Fabric / Ingress Controller (multiple versions)

■ Mitigation Steps
1. Identify the NGINX products and versions currently in use.
2. Apply the latest security updates/patches via the MyF5 portal.

■ Reference
- F5 Security Advisory K000161377

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

MicrosoftのASP.NETおよびASP.NET Coreにおける脆弱性(CVE-2026-45585、通称「YellowKey」)

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇷🇺 Russia · 🇹🇭 Thailand
🔢 CVECVE-2026-45585
📅 Fri, 22 Ma📰 thaicert
📌 一言でいうと
MicrosoftのASP.NETおよびASP.NET Coreにおける脆弱性(CVE-2026-45585、通称「YellowKey」)が報告されました。攻撃者が公開されたMachine Keyや署名検証の不備を悪用して、偽造したViewStateを送信することで、IIS Webサーバー上で任意のコードを実行し、リモートでシステムを制御できる可能性があります。特にLinux、macOS、およびNon-Windows環境で動作するMicrosoft.AspNetCore.DataProtectionの特定バージョンが影響を受けます。
🔍該当判定
  • 自社で ASP.NET または ASP.NET Core を使用してWebアプリケーションを開発・運用している
  • Webサーバーとして Linux または macOS を利用している
  • Microsoft.AspNetCore.DataProtection のバージョンが 10.0.0 から 10.0.6 の範囲である
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるMicrosoft.AspNetCore.DataProtectionのバージョンを確認し、最新のセキュリティアップデートを適用してください。また、Machine Keyが外部に漏洩していないか確認し、必要に応じて更新してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ASP.NET / ASP.NET Core (CVE-2026-45585) 対応について

お疲れさまです。ASP.NETおよびASP.NET Coreの脆弱性に関する情報共有です。

■ 概要
脆弱性「YellowKey」(CVE-2026-45585, CVSS 6.8) が報告されました。公開されたMachine Keyや署名検証の不備を悪用し、偽造ViewStateを介してIIS Webサーバー上でリモートコード実行 (RCE) が行われる可能性があります。

■ 影響範囲
- Microsoft.AspNetCore.DataProtection バージョン 10.0.0 ~ 10.0.6
- 特にLinux, macOS, および Non-Windows 環境で動作しているシステム

■ 対応手順
1. 利用しているライブラリのバージョンを確認し、最新の修正済みバージョンへアップデートしてください。
2. Machine Keyが公開設定になっていないか、または漏洩していないかを確認し、必要に応じて再生成してください。

■ 参考情報
- ThaiCERT / Microsoft 公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] ASP.NET / ASP.NET Core Vulnerability (CVE-2026-45585)

Dear IT Administration Team,

We are sharing information regarding a vulnerability in ASP.NET and ASP.NET Core.

■ Overview
A vulnerability dubbed "YellowKey" (CVE-2026-45585, CVSS 6.8) has been disclosed. Attackers can leverage leaked Machine Keys or cryptographic signature verification flaws to forge ViewState data, potentially leading to Remote Code Execution (RCE) on the IIS Web Server.

■ Affected Scope
- Microsoft.AspNetCore.DataProtection versions 10.0.0 to 10.0.6
- Specifically systems running on Linux, macOS, and Non-Windows environments.

■ Mitigation Steps
1. Verify the version of the affected library and update to the latest patched version.
2. Audit Machine Key configurations to ensure they are not publicly exposed and rotate them if necessary.

■ Reference
- ThaiCERT / Microsoft Official Advisory

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
xakepMicrosoft BitLockerの暗号化を回避し、保護されたデータにアクセスできる0-day脆弱性「YellowKey…
🔗 元の記事を読む
C
月内に

Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを…

事案🌐 英語ソース
📅 Fri, 22 Ma📰 xakep
📌 一言でいうと
Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを運営していたドメイン「signspace[.]cloud」を没収しました。このサービスは、Azure Trusted Signingを悪用して偽のコード署名証明書を発行し、マルウェアを信頼されたソフトウェアに見せかけていました。この活動は、金銭的動機を持つ攻撃グループ「Fox Tempest」によって管理されていたことが判明しています。
🔍該当判定
  • 自社でWindows向けソフトウェアを開発し、外部の署名サービスを利用している
  • Azure Trusted Signing (旧 Artifact Signing) を利用してコード署名を行っている
  • signspace[.]cloud というドメインにアクセスした履歴がある、または利用したことがある
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なソフトウェアの実行を避け、EDRなどのセキュリティ製品で署名済みであっても不審な挙動を示すバイナリを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】悪意のあるコード署名サービス (MSaaS) の摘発について

お疲れさまです。Microsoftによる脅威アクターのインフラ排除に関する情報共有です。

■ 概要
Microsoftは、悪意のあるソフトウェアに正当な署名を付与して検知を回避させる「Malware-Signing-as-a-Service (MSaaS)」を提供していたドメイン「signspace[.]cloud」を没収しました。攻撃グループ「Fox Tempest」がAzure Trusted Signingを悪用し、短期間有効な偽の証明書を発行していたとのことです。

■ 影響範囲
- Windows環境全般(署名済みマルウェアによる検知回避の可能性)

■ 対応手順
1. EDR/AV等のログを確認し、不審な署名を持つバイナリの実行履歴がないか確認してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。

■ 参考情報
- Microsoft Threat Intelligence / OpFauxSign

対応優先度: 低
対応期限: なし
Subject: [Info] Takedown of Malware-Signing-as-a-Service (MSaaS) Infrastructure

Dear team,

We are sharing information regarding Microsoft's recent operation to dismantle a malicious code-signing service.

■ Overview
Microsoft has seized the domain signspace[.]cloud, which provided 'Malware-Signing-as-a-Service (MSaaS)'. The threat actor, Fox Tempest, abused Azure Trusted Signing to generate fraudulent certificates, enabling malware to bypass security controls by appearing as legitimate Windows software.

■ Scope
- Windows environments (potential for detection bypass via signed malware).

■ Recommended Actions
1. Review EDR/AV logs for any suspicious binaries that may have been signed by fraudulent certificates.
2. Reinforce policies restricting the installation of software from untrusted sources.

■ Reference
- Microsoft Threat Intelligence / OpFauxSign

Priority: Low
Deadline: N/A
🔗 元の記事を読む
C
月内に

中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています

脆弱性🌐 英語ソース
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています。このマルウェアはMicrosoft Graph APIを悪用し、OneDriveをC2(コマンド&コントロール)チャネルとして利用することで、正規のクラウドトラフィックに紛れて攻撃を隠蔽します。また、DiscordをC2として利用する「EchoCreep」という別のマルウェアも確認されており、信頼されたクラウドサービスの悪用傾向が強まっています。
🔍該当判定
  • Microsoft 365 (OneDrive) を社内で利用している
  • Microsoft Graph API を利用した自社アプリや外部連携ツールを導入している
  • 社内でチャットツール Discord を業務利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Microsoft Graph APIへの不審なアクセスや、OneDrive上の未知のフォルダ作成を監視する。 2. 信頼されたクラウドサービス経由であっても、異常なトラフィックパターンを検知できるEDR/NDRの導入・設定を検討する。 3. 不審な外部通信を行うプロセスの監視を強化する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Webwormによるクラウドサービス悪用マルウェア(GraphWorm/EchoCreep)について

お疲れさまです。Webwormによる新たな攻撃手法に関する情報共有です。

■ 概要
中国系APTグループWebwormが、Microsoft Graph APIを悪用してOneDriveをC2チャネルとするマルウェア「GraphWorm」および、DiscordをC2とする「EchoCreep」を運用していることが判明しました。正規のクラウドサービスを利用することで、従来の境界防御やトラフィック監視を回避する傾向があります。

■ 影響範囲
- Microsoft OneDrive および Discord を利用している環境
- 特に欧州政府機関が標的となっていますが、他組織への波及が懸念されます

■ 対応手順
1. OneDrive上の不審なディレクトリ作成およびGraph API経由の異常な通信ログを確認してください。
2. 通信内容はAES-256-CBCで暗号化されBase64エンコードされているため、ペイロード解析よりも通信先および頻度の分析を優先してください。
3. Discord等のチャットツールをC2として利用する挙動がないか、エンドポイントの監視を強化してください。

■ 参考情報
- ESET Security Report

対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Abuse of Cloud Services by Webworm (GraphWorm/EchoCreep)

Dear Team,

We are sharing intelligence regarding new malware campaigns by the China-linked actor Webworm.

■ Overview
Webworm is deploying "GraphWorm," which abuses the Microsoft Graph API to use OneDrive as a C2 channel, and "EchoCreep," which utilizes Discord for C2 communications. By leveraging trusted cloud services, the attackers can effectively blend in with legitimate traffic and bypass traditional security controls.

■ Scope
- Environments utilizing Microsoft OneDrive and Discord.
- While European government agencies are primary targets, other sectors should remain vigilant.

■ Recommended Actions
1. Monitor for suspicious directory creation in OneDrive and anomalous API calls via Microsoft Graph API.
2. Since C2 traffic is AES-256-CBC encrypted and Base64 encoded, focus on traffic patterns and destination analysis rather than payload inspection.
3. Enhance endpoint monitoring for unauthorized processes communicating with Discord API endpoints.

■ Reference
- ESET Security Report

Priority: Medium
Deadline: Ongoing monitoring
🔗 元の記事を読む
C
月内に

CISAは、トレンドマイクロのApex Oneにおけるパス・トラバーサル脆弱性(CVE-2026-34926)が実際に悪用されているとして、KEV(既知の悪用済…

脆弱性🌐 英語ソース📰 5記事🌐 4 countries ⭐
🇹🇼 Taiwan (2) · 🇭🇰 HK · 🇮🇹 Italy · 🇺🇸 US
🔢 CVECVE-2026-34926CVE-2025-34291
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
CISAは、トレンドマイクロのApex Oneにおけるパス・トラバーサル脆弱性(CVE-2026-34926)が実際に悪用されているとして、KEV(既知の悪用済み脆弱性カタログ)に追加しました。また、LLM開発ツールのLangflowにおける重大な脆弱性(CVE-2025-34291)も同時にKEVに登録されました。Langflowの脆弱性は、アカウント奪取やリモートコード実行(RCE)を可能にするもので、CVSS v4.0で9.4の高スコアが付けられています。
🔍該当判定
  • トレンドマイクロ社のエンドポイントセキュリティ製品「Apex One」を導入している
  • LLM(大規模言語モデル)の開発ツール「Langflow」を利用している
  • Langflowのバージョンが 1.6.9 より前の古いバージョンである
上記いずれにも該当しない → 静観でOK
該当時の対応
Apex OneおよびLangflowの最新バージョンへのアップデートを早急に実施してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Trend Micro Apex One および Langflow の脆弱性対応について

お疲れさまです。脆弱性情報に関する共有です。

■ 概要
CISAにより、Trend Micro Apex Oneのパス・トラバーサル脆弱性(CVE-2026-34926)およびLangflowのRCE脆弱性(CVE-2025-34291)が、実際に悪用されている脆弱性としてKEVに登録されました。特にLangflowの脆弱性はCVSS v4.0で9.4と極めて高く、迅速な対応が必要です。

■ 影響範囲
- Trend Micro Apex One (CVE-2026-34926)
- Langflow 1.6.9以前 (CVE-2025-34291)

■ 対応手順
1. 各製品の管理コンソールにて最新のパッチ適用状況を確認してください。
2. ベンダーが提供する最新バージョンへのアップデートを適用してください。

■ 参考情報
- CISA KEV Catalog
- Trend Micro 公式アドバイザリ

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Vulnerabilities in Trend Micro Apex One and Langflow

Dear IT/Security Team,

This is an alert regarding vulnerabilities recently added to the CISA Known Exploited Vulnerabilities (KEV) catalog.

■ Overview
CISA has flagged a path traversal vulnerability in Trend Micro Apex One (CVE-2026-34926) and a critical RCE vulnerability in Langflow (CVE-2025-34291) as being actively exploited in the wild. The Langflow vulnerability is particularly severe, with a CVSS v4.0 score of 9.4.

■ Affected Scope
- Trend Micro Apex One (CVE-2026-34926)
- Langflow versions prior to 1.6.9 (CVE-2025-34291)

■ Remediation Steps
1. Verify the current version and patch level of the affected software.
2. Apply the latest security updates provided by the respective vendors immediately.

■ Reference
- CISA KEV Catalog
- Trend Micro Official Advisory

Priority: High
Deadline: Immediate
📰 関連する 4 件の記事
bleepingTrend Microの企業向けエンドポイントセキュリティ製品「Apex One」のオンプレミス版において、ディレクトリトラバーサル脆弱性(…ithome_twトレンドマイクロのApex Oneおよび関連製品において、複数の脆弱性が修正されましたcsirt_itTrend MicroのApex OneおよびTrendAI Vision Oneにおいて、8つの脆弱性が修正されましたhkcertTrend Micro Apex Oneにおいて、権限昇格、リモートコード実行、データ操作を可能にする複数の脆弱性
🔗 元の記事を読む