🔥 この日の重要情報
2026-05-28 更新

📋 本日の目次 (7件)

A
今日中悪用が確認されている深刻な問題
2件
B
今週中急ぎではないが早めに対応
5件
A
今日中

CISAは、LiteSpeed cPanel Pluginの脆弱性(CVE-2026-48172)を既知の悪用済み脆弱性(KEV)カタログに追加しました

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇹🇼 Taiwan
🔢 CVECVE-2026-48172
📅 2026-05-28📰 secaffairs
📌 一言でいうと
CISAは、LiteSpeed cPanel Pluginの脆弱性(CVE-2026-48172)を既知の悪用済み脆弱性(KEV)カタログに追加しました。この脆弱性はCVSSスコア10.0の深刻なもので、Redisの有効化/無効化機能の不適切な処理により、攻撃者がルート権限までの特権昇格を行う可能性があります。すでに野生での悪用が確認されており、バージョン2.4.7へのアップデートが推奨されています。
🔍該当判定
  • サーバー管理に「cPanel」を利用している
  • cPanel内で「LiteSpeed」プラグインをインストールして利用している
  • LiteSpeed cPanelプラグインのバージョンが 2.4.5 未満である
上記いずれにも該当しない → 静観でOK
該当時の対応
LiteSpeed cPanel Pluginをバージョン2.4.7以上にアップデートし、cPanelログで不審なRedis関連のAPIコールがないか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】LiteSpeed cPanel Plugin CVE-2026-48172 対応について

お疲れさまです。LiteSpeed cPanel Pluginの深刻な脆弱性に関する情報共有です。

■ 概要
Redisの有効化/無効化機能の不適切な処理により、特権昇格(最大でroot権限)が可能な脆弱性が発見されました。CVSSスコアは10.0であり、CISAのKEVカタログに登録されるなど、既に実環境での悪用が確認されています。

■ 影響範囲
- LiteSpeed User-End cPanel plugin バージョン 2.4.5 未満

■ 対応手順
1. プラグインを最新バージョン(2.4.7以降)にアップデートしてください。
2. cPanelログを確認し、不審なRedis関連のAPIコールや不正なIPアクティビティがないか調査してください。

■ 参考情報
- CISA Known Exploited Vulnerabilities (KEV) Catalog

対応優先度: 高
対応期限: 至急
Subject: [Security Advisory] LiteSpeed cPanel Plugin CVE-2026-48172

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in the LiteSpeed cPanel Plugin.

■ Overview
CVE-2026-48172 is a critical flaw (CVSS 10.0) caused by improper handling of Redis enable/disable functions. This allows attackers to perform unauthorized actions and escalate privileges, potentially to root. CISA has added this to the KEV catalog as it is being actively exploited in the wild.

■ Affected Scope
- LiteSpeed User-End cPanel plugin versions prior to 2.4.5

■ Remediation Steps
1. Upgrade the plugin to version 2.4.7 or later immediately.
2. Review cPanel logs for suspicious Redis-related API calls and analyze IP activity for signs of compromise.

■ Reference
- CISA Known Exploited Vulnerabilities (KEV) Catalog

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
ithome_twLiteSpeedが提供するcPanel向け外掛プログラムに、権限昇格の重大な脆弱性(CVE-2026-48172)
🔗 元の記事を読む
A
今日中

オープンソースのセルフホスト型GitサービスであるGogsに、認証済みユーザーが任意のコードを実行できる深刻な脆弱性

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
📅 2026-05-28📰 hackernews
📌 一言でいうと
オープンソースのセルフホスト型GitサービスであるGogsに、認証済みユーザーが任意のコードを実行できる深刻な脆弱性が発見されました。攻撃者は悪意のあるブランチ名を含むプルリクエストを作成し、「マージ前のリベース」操作時にgit rebaseの--execフラグを注入することでRCEを達成します。CVSSスコアは9.4と非常に高く、サーバー上の権限でコードが実行されるリスクがあります。
🔍該当判定
  • 自社サーバーやクラウド上に「Gogs」をインストールして利用している
  • Gogsにおいて、ユーザーがプルリクエストを作成し、管理者がそれをマージ(統合)する運用をしている
  • Gogsの機能で「Rebase before merging(マージ前にリベース)」の設定を有効にしている
上記いずれにも該当しない → 静観でOK
該当時の対応
Gogsの最新バージョンへのアップデートを確認し、適用すること。また、信頼できないユーザーによるプルリクエストやリベース操作の権限管理を再検討することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Gogs RCE脆弱性への対応について

お疲れさまです。Gogsにおける深刻な脆弱性に関する情報共有です。

■ 概要
認証済みユーザーが、悪意のあるブランチ名を用いたプルリクエストを作成し、「Rebase before merging」操作を行うことで、サーバー上で任意のコードを実行(RCE)できる脆弱性が報告されました。CVSSスコアは9.4と極めて高く、迅速な対応が必要です。

■ 影響範囲
- 対象製品: Gogs (セルフホスト型Gitサービス)
- 条件: 認証済みユーザーがプルリクエストを作成可能な環境

■ 対応手順
1. 自社環境でGogsを利用しているか確認してください。
2. 利用している場合、最新のセキュリティパッチが適用されたバージョンへアップデートしてください。
3. アップデートが困難な場合は、信頼できないユーザーによるリベース操作を制限するなどの暫定策を検討してください。

■ 参考情報
- Rapid7 / Jonah Burgess による報告

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] RCE Vulnerability in Gogs

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability discovered in Gogs.

■ Overview
An authenticated user can achieve Remote Code Execution (RCE) on the server by creating a pull request with a malicious branch name. This injects the --exec flag into the 'git rebase' command during the 'Rebase before merging' operation. The vulnerability has a CVSS score of 9.4.

■ Scope
- Product: Gogs (Self-hosted Git service)
- Condition: Environments where authenticated users can create pull requests.

■ Action Plan
1. Identify if Gogs is deployed within the corporate infrastructure.
2. Update Gogs to the latest patched version immediately.
3. If an immediate update is not possible, restrict rebase operations for untrusted users as a temporary mitigation.

■ Reference
- Reported by Jonah Burgess / Rapid7

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
bleepingセルフホスト型Gitサービス「Gogs」に、リモートコード実行(RCE)が可能なゼロデイ脆弱性
🔗 元の記事を読む
B
今週中

GitHubは、GitHub Enterprise Server (GHES) の重大な脆弱性を修正するバージョン 3.20.3 をリリースしました

脆弱性🌐 英語ソース
🔢 CVECVE-2026-9312CVE-2026-43284CVE-2026-43500+1件
📅 2026-05-28📰 ithome_tw
📌 一言でいうと
GitHubは、GitHub Enterprise Server (GHES) の重大な脆弱性を修正するバージョン 3.20.3 をリリースしました。この更新では、認証前のSSRF脆弱性 (CVE-2026-9312) や、内部サービスへのリクエストを誘発し機密情報を推測させるSSRF (CVE-2026-8606)、およびLinuxカーネルの脆弱性 (Dirty Frag) が修正されています。また、過去のセキュリティインシデントへの対策として、すべての署名キーの更新も行われています。
🔍該当判定
  • 自社で『GitHub Enterprise Server』をサーバーにインストールして運用している
  • GitHub Enterprise Serverのバージョンが『3.20.3』より前のものである
  • GitHub Enterprise Serverで『GitHub Packages』機能を有効にしている
  • GitHub ActionsからAWS S3やGoogle Cloud StorageへOIDC認証で接続している
上記いずれにも該当しない(例:クラウド版のGitHub.comのみ利用している) → 静観でOK
該当時の対応
1. GHESをバージョン 3.20.3 にアップデートする。 2. アップデート前に、インスタンスのGPG公鑰をローテーションさせる。 3. アップデート後のカスタムファイアウォールルールの再設定および、管理コンソールのロック状態を確認する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Enterprise Server 3.20.3 へのアップデート対応について

お疲れさまです。GHESの重大な脆弱性修正に関する情報共有です。

■ 概要
GitHub Enterprise Serverにおいて、認証前のSSRF (CVE-2026-9312) や機密情報を漏洩させるSSRF (CVE-2026-8606)、およびLinuxカーネルの脆弱性 (Dirty Frag) が確認されました。また、過去のインシデント対策として署名キーの更新が行われています。

■ 影響範囲
- 対象製品: GitHub Enterprise Server (GHES)
- 修正バージョン: 3.20.3

■ 対応手順
1. インスタンスのGPG公鑰をローテーションさせる(アップデート前の必須作業)。
2. GHES 3.20.3 へアップデートを適用する。
3. アップデート後、カスタムファイアウォールルールが消去されているため、再設定を行う。
4. GitHub Actionsとクラウドストレージ (S3/GCS) の連携にエラーが出ていないか確認し、必要に応じて手動修復を行う。

■ 参考情報
- GitHub公式リリースノート

対応優先度: 高
対応期限: 速やかに
Subject: [Action Required] Update to GitHub Enterprise Server 3.20.3

Dear IT/Security Team,

GitHub has released version 3.20.3 for GitHub Enterprise Server (GHES) to address several critical vulnerabilities.

■ Overview
This update patches pre-authentication SSRF (CVE-2026-9312), a high-risk SSRF allowing leakage of sensitive environment variables (CVE-2026-8606), and Linux kernel vulnerabilities (Dirty Frag). It also includes a rotation of all signature keys due to a previous security incident.

■ Scope
- Product: GitHub Enterprise Server (GHES)
- Fixed Version: 3.20.3

■ Action Plan
1. Rotate the instance's GPG public keys before applying the update.
2. Upgrade GHES to version 3.20.3.
3. Re-configure custom firewall rules, as they will be cleared during the update.
4. Verify GitHub Actions connectivity with AWS S3 or Google Cloud Storage (OIDC) and apply manual fixes if errors occur.

■ Reference
- GitHub Official Release Notes

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Veeam Backup & Replicationのバージョン13.0.1.2067およびそれ以前に、2件の脆弱性

脆弱性📰 2記事🌐 2 countries
🇯🇵 Japan · 🇹🇼 Taiwan
🔢 CVECVE-2026-32997CVE-2026-32996
📅 2026-05-28📰 secnext
📌 一言でいうと
Veeam Backup & Replicationのバージョン13.0.1.2067およびそれ以前に、2件の脆弱性が発見されました。CVE-2026-32997はLinux版のVeeam Software Applianceにおいて、管理者権限を持つユーザーによる任意のファイル書き込みを可能にします。また、CVE-2026-32996はWindows版のVeeam Agentにおいて、ローカル環境からの権限昇格を可能にします。修正版のアップデートが公開されています。
🔍該当判定
  • バックアップソフト「Veeam Backup & Replication」を利用している
  • 「Veeam Backup & Replication」のバージョンが 13.0.1.2067 以前である
  • Linuxサーバ上で「Veeam Software Appliance」を稼働させている
  • Windows PC/サーバで「Veeam Agent for Microsoft Windows」を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるバージョンを確認し、速やかに最新の修正済みバージョン(13.0.2以降)へアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Veeam Backup & Replication 脆弱性 (CVE-2026-32996, CVE-2026-32997) 対応について

お疲れさまです。Veeam製品の脆弱性に関する情報共有です。

■ 概要
Veeam Backup & Replicationにおいて、任意のファイル書き込みおよび権限昇格が可能な2件の脆弱性が報告されました。

■ 影響範囲
- 対象製品: Veeam Backup & Replication
- 対象バージョン: 13.0.1.2067 およびそれ以前
- 詳細:
- CVE-2026-32997: Linux版 Software Applianceにて、Backup Administrator権限による任意ファイル書き込みが可能
- CVE-2026-32996: Windows版 Veeam Agentにて、ローカル権限昇格が可能

■ 対応手順
1. 現在利用しているVeeam製品のバージョンを確認してください。
2. 修正済みバージョン(13.0.2以降)へのアップデートを適用してください。

■ 参考情報
- Veeam公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Veeam Backup & Replication Vulnerabilities (CVE-2026-32996, CVE-2026-32997)

Dear IT Administration Team,

This is a notification regarding critical vulnerabilities found in Veeam Backup & Replication.

■ Overview
Two vulnerabilities have been disclosed that could allow arbitrary file writes and local privilege escalation.

■ Scope
- Product: Veeam Backup & Replication
- Affected Versions: 13.0.1.2067 and earlier
- Details:
- CVE-2026-32997: Allows arbitrary file write by users with Backup Administrator role in Linux-based Software Appliance.
- CVE-2026-32996: Allows local privilege escalation in Veeam Agent for Microsoft Windows.

■ Mitigation Steps
1. Verify the current version of your Veeam installation.
2. Update to the patched version (13.0.2 or later) immediately.

■ Reference
- Veeam Official Security Advisory

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
ithome_twVeeamは、Veeam Backup & Replicationの脆弱性を修正するバージョン13.0.2をリリースしました
🔗 元の記事を読む
B
今週中

台湾の資安署が中国製アプリ4種の調査を行い、高徳地圖(Amap)がクリップボードの無断取得など高いリスクを持つことを明らかにしました

脆弱性🌐 英語ソース
📅 2026-05-28📰 ithome_tw
📌 一言でいうと
台湾の資安署が中国製アプリ4種の調査を行い、高徳地圖(Amap)がクリップボードの無断取得など高いリスクを持つことを明らかにしました。また、GoogleはAIを活用した中国のフィッシングサービス(PhaaS)の台頭と、日本を標的とした「YY Lai Yu」プラットフォームの活動を警告しています。さらに、中国系アクターRed Lamassuが新種のマルウェアShowboatおよびJFMBackdoorを用いて、アジア・中東の通信事業者を攻撃していることが判明しました。
🔍該当判定
  • 社用スマホや個人端末で「高德地圖」「Bilibili」「iQIYI」「BIMO」のいずれかをインストールしている
  • Microsoft Teamsで、社外(未知の相手)からITサポートを名乗るメッセージを受け取り、指示されたファイルやツールを実行した
  • 自社でLinuxまたはWindowsサーバーを運用しており、かつ通信事業者(テレコム)に関連する業務を行っている
  • 従業員が不自然な日本語のフィッシングメールや偽サイトに誘導され、ID・パスワードを入力した可能性がある
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないアプリのインストールを避け、特に権限要求に注意すること。不審なチャットツール(Teams等)経由のファイル実行やリンククリックを禁止し、多要素認証を導入すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なアプリの利用およびチャットツール経由の攻撃について

お疲れさまです。情報システム担当です。
最近、特定の海外製アプリによる個人情報の不正取得や、Microsoft Teamsなどのチャットツールを悪用したなりすまし攻撃が増加しています。

ご協力をお願いしたいこと:
1. 業務外の不審なアプリ(特に地図や動画系)を社内端末にインストールしないこと
2. Teams等でITサポートを名乗る人物から、心当たりのないツール実行やリンククリックを求められた場合は、絶対に操作せず、すぐにシステム担当へ報告してください

対応期限: 本日中
Subject: [Security Alert] Caution Regarding Untrusted Apps and Chat-based Attacks

Dear employees,
We have observed an increase in unauthorized data collection by certain overseas apps and impersonation attacks via chat platforms like Microsoft Teams.

Requested Actions:
1. Do not install untrusted third-party applications on company devices.
2. If you receive a request from someone claiming to be IT support via Teams to run a tool or click a link, do not proceed and report it to the IT department immediately.

Deadline: Immediate
🔗 元の記事を読む
B
今週中

IBM Engineering Lifecycle Management (ELM) の基盤コンポーネントである「Jazz Foundation」に…

脆弱性
🔢 CVECVE-2026-3660
📅 2026-05-28📰 secnext
📌 一言でいうと
IBM Engineering Lifecycle Management (ELM) の基盤コンポーネントである「Jazz Foundation」に、認証バイパスの脆弱性(CVE-2026-3660)が発見されました。この脆弱性は認可処理の不備によるもので、リモートからサーバのプロパティファイルを更新され、アプリケーションへ不正アクセスされる恐れがあります。CVSSv3.1のベーススコアは9.8(クリティカル)とされており、IBMは修正パッチをリリースしています。
🔍該当判定
  • 社内で「IBM Engineering Lifecycle Management (ELM)」を導入して利用している
  • 製品開発や設計管理に「Jazz Foundation」というコンポーネントを使用している
  • IBM ELMのバージョンが「7.2.0」「7.1.0」「7.0.3」のいずれかである
上記いずれにも該当しない → 静観でOK
該当時の対応
利用しているJazz Foundationのバージョンを確認し、提供されている修正パッチ(7.2.0 iFix002、7.1.0 iFix010、7.0.3 iFix022)を速やかに適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】IBM ELM (Jazz Foundation) CVE-2026-3660 対応について

お疲れさまです。IBM ELMの基盤コンポーネントに関する脆弱性の情報共有です。

■ 概要
Jazz Foundationにおいて、認可処理の不備により認証バイパスが可能な脆弱性が判明しました。リモートからサーバのプロパティファイルを更新され、アプリケーションへ不正アクセスされるリスクがあります。CVSSv3.1スコアは9.8 (Critical) と非常に深刻です。

■ 影響範囲
- IBM Engineering Lifecycle Management (Jazz Foundation)

■ 対応手順
1. 利用中のバージョンを確認してください。
2. 以下の修正パッチを適用してください:
- 7.2.0 iFix002
- 7.1.0 iFix010
- 7.0.3 iFix022

■ 参考情報
- IBM公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] IBM ELM (Jazz Foundation) CVE-2026-3660 Mitigation

Dear Team,

We are sharing critical vulnerability information regarding the Jazz Foundation component of IBM Engineering Lifecycle Management (ELM).

■ Overview
An authentication bypass vulnerability (CVE-2026-3660) has been discovered due to improper authorization processing. This allows a remote attacker to update server property files, potentially leading to unauthorized application access. The CVSSv3.1 base score is 9.8 (Critical).

■ Affected Scope
- IBM Engineering Lifecycle Management (Jazz Foundation)

■ Mitigation Steps
1. Verify the current installed version of Jazz Foundation.
2. Apply the appropriate iFix as released by IBM:
- 7.2.0 iFix002
- 7.1.0 iFix010
- 7.0.3 iFix022

■ Reference
- IBM Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

LMSプラットフォーム「KnowledgeDeliver」において、認証なしでリモートコード実行が可能なゼロデイ脆弱性(CVE-2026-5426)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-5426
📅 2026-05-28📰 thaicert
📌 一言でいうと
LMSプラットフォーム「KnowledgeDeliver」において、認証なしでリモートコード実行が可能なゼロデイ脆弱性(CVE-2026-5426)が発見されました。この脆弱性はASP.NETのMachine Keyが固定されていたことに起因し、攻撃者はViewState Deserializationを用いてシステムを制御します。実際にGodzillaウェブシェルの設置や、偽のインストーラーを配布させるJavaScriptの改ざんなどの攻撃が確認されています。
🔍該当判定
  • 学習管理システム(LMS)の『KnowledgeDeliver』を導入している
  • KnowledgeDeliverを2026年2月24日より前のバージョンで利用している
  • 自社サーバーにKnowledgeDeliverをインストールして運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
2026年2月24日以降にリリースされた最新バージョンへのアップデートを適用し、不審なウェブシェルの存在やJavaScriptファイルの改ざんがないかシステムログおよびファイル整合性を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】KnowledgeDeliver CVE-2026-5426 対応について

お疲れさまです。KnowledgeDeliverの脆弱性に関する情報共有です。

■ 概要
KnowledgeDeliverにおいて、認証なしでリモートコード実行が可能なゼロデイ脆弱性(CVE-2026-5426)が報告されました。ASP.NETのMachine Keyが固定されていたため、ViewState Deserialization攻撃が可能となっており、攻撃者はGodzillaウェブシェルの設置やJSファイルの改ざんによるマルウェア配布を行っています。

■ 影響範囲
- 対象製品: KnowledgeDeliver
- 対象バージョン: 2026年2月24日より前にインストールされたバージョン

■ 対応手順
1. 最新バージョンへのアップデートを適用してください。
2. サーバー内に不審なウェブシェル(Godzilla等)が設置されていないか確認してください。
3. アプリケーションのJavaScriptファイルに不正な改ざんがないか整合性チェックを実施してください。

■ 参考情報
- thaicert アドバイザリ

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] KnowledgeDeliver CVE-2026-5426 Remediation

Dear IT Administration Team,

We are sharing critical information regarding a vulnerability in KnowledgeDeliver.

■ Overview
A zero-day vulnerability (CVE-2026-5426) has been identified in the KnowledgeDeliver LMS platform, allowing unauthenticated remote code execution (RCE). The vulnerability is caused by a hardcoded ASP.NET Machine Key, enabling ViewState Deserialization attacks. Evidence shows attackers deploying the Godzilla web shell and modifying JavaScript files to distribute malware.

■ Scope
- Product: KnowledgeDeliver
- Affected Versions: Installations prior to February 24, 2026

■ Remediation Steps
1. Update the platform to the latest version released after February 24, 2026.
2. Scan for the presence of unauthorized web shells (e.g., Godzilla) in the web root.
3. Verify the integrity of application JavaScript files to ensure no malicious modifications have occurred.

■ Reference
- thaicert Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

ChatGPTやClaudeなどの人気AIツールの偽インストールプログラムを装い、DinDoorというバックドアを配布するキャンペーン

事案🌐 英語ソース
📅 2026-05-28📰 freebuf
📌 一言でいうと
ChatGPTやClaudeなどの人気AIツールの偽インストールプログラムを装い、DinDoorというバックドアを配布するキャンペーンが確認されました。攻撃者はGitHubやSourceForgeなどの信頼されたプラットフォームや、侵害されたYouTubeチャンネルを利用して被害者を誘導しています。インストールされたDinDoorは、暗号資産ウォレットの窃取、画面キャプチャ、さらにはMicrosoft Edgeを悪用したリアルタイムのビデオストリーミングによる監視機能を持つRATを配備します。
🔍該当判定
  • ChatGPTやClaudeの『デスクトップ版アプリ』を、公式サイト以外(GitHubやSourceForgeなど)からダウンロードしてインストールした
  • Ableton Live、AutoTune、Kontaktなどの音楽制作ソフトや、GearUPなどのゲーム加速器を非公式ルートで導入した
  • BWRというAI透かし除去ツールをSourceForgeなどのプラットフォームからインストールした
  • 社内で仮想通貨ウォレット(Atomic Wallet, Exodus, Electrum等)を業務端末にインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
公式ウェブサイト以外からソフトウェアをダウンロードしないこと。不審なYouTube動画のリンクからファイルをダウンロードしないこと。エンドポイント保護製品(EDR)を導入し、不審なレジストリ変更やネットワーク通信を監視すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツール(ChatGPT/Claude等)を装った偽ソフトにご注意ください

お疲れさまです。情報システム担当です。
ChatGPTやClaudeなどの人気AIツールを装った偽のインストールプログラムにより、PC内の情報を盗み出すウイルス(バックドア)が拡散しています。

ご協力をお願いしたいこと:
1. 公式サイト(openai.com や anthropic.com 等)以外からAIツールやプラグインをダウンロードしないでください。
2. YouTubeなどの動画サイトで紹介されている「便利なツール」のリンクからソフトをインストールしないでください。
3. 万が一、不審なソフトをインストールした可能性がある場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中
Subject: [Security Alert] Beware of Fake AI Tool Installers (ChatGPT/Claude)

Dear employees,

We have received reports of malware being distributed through fake installation programs masquerading as popular AI tools like ChatGPT and Claude.

Requested Actions:
1. Only download software and plugins from official websites (e.g., openai.com, anthropic.com).
2. Do not install software from links provided in YouTube videos or unofficial third-party platforms.
3. If you suspect you have installed an unofficial version of these tools, please contact the IT department immediately.

Deadline: Immediate
🔗 元の記事を読む
C
月内に

CISAは、サプライチェーン攻撃によって悪意のあるコードが植え込まれた3つの脆弱性(CVE-2026-8398, CVE-2026-45321,…

脆弱性🌐 英語ソース📰 4記事🌐 3 countries
🇮🇹 Italy (2) · 🇯🇵 Japan · 🇹🇼 Taiwan
🔢 CVECVE-2026-8398CVE-2026-45321CVE-2026-48027
📅 2026-05-28📰 ithome_tw
📌 一言でいうと
CISAは、サプライチェーン攻撃によって悪意のあるコードが植え込まれた3つの脆弱性(CVE-2026-8398, CVE-2026-45321, CVE-2026-48027)を既知の悪用済み脆弱性(KEV)カタログに追加しました。影響を受けるソフトウェアには、Daemon Tools Lite、TanStack Router、およびNx ConsoleのVS Code拡張機能が含まれます。CISAは連邦政府機関に対し、期限までにこれらの脆弱性への対応を完了させるよう要求しています。
🔍該当判定
  • 仮想ドライブ作成ソフト「Daemon Tools Lite」のバージョン12.5.0.2421〜12.5.0.2434をインストールしている
  • Web開発でNPMパッケージ「TanStack Router」を利用している
  • VS Codeの拡張機能「Nx Console」をインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるソフトウェアの最新バージョンへの更新を確認し、悪意のあるパッケージや改ざんされたインストーラーが導入されていないか点検してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】サプライチェーン攻撃による悪意のあるコード混入(CVE-2026-8398他)への対応について

お疲れさまです。CISAより、サプライチェーン攻撃に起因する脆弱性がKEVカタログに追加されたとの情報共有です。

■ 概要
ソフトウェアの配布プロセスやGitHub Actionsが侵害され、正規の署名を持つインストーラーやパッケージに悪意のあるコードが混入した事例が報告されています。

■ 影響範囲
- Daemon Tools Lite (バージョン 12.5.0.2421 ~ 12.5.0.2434)
- TanStack Router (NPMパッケージ)
- Nx Console (Visual Studio Code 拡張機能)

■ 対応手順
1. 社内および開発環境で上記ソフトウェアの利用状況を確認してください。
2. 影響を受けるバージョンを使用している場合は、速やかに最新の安全なバージョンへアップデートしてください。
3. 開発環境において、不審な外部ドメインへの通信が発生していないかログを確認してください。

■ 参考情報
- CISA Known Exploited Vulnerabilities (KEV) Catalog

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Supply Chain Compromise in Daemon Tools Lite, TanStack Router, and Nx Console

Dear IT/Security Team,

CISA has added three vulnerabilities to the KEV catalog resulting from supply chain attacks where malicious code was injected into legitimate software.

■ Overview
Attackers compromised distribution channels and GitHub Actions to publish malicious packages and installers, some of which carried valid digital signatures.

■ Affected Products
- Daemon Tools Lite (Versions 12.5.0.2421 to 12.5.0.2434)
- TanStack Router (NPM package)
- Nx Console (VS Code extension)

■ Action Items
1. Audit internal and development environments for the presence of the affected software versions.
2. Update affected software to the latest secure versions immediately.
3. Review network logs for unauthorized connections to suspicious domains associated with these tools.

■ Reference
- CISA Known Exploited Vulnerabilities (KEV) Catalog

Priority: High
Deadline: Immediate
📰 関連する 3 件の記事
csirt_itDAEMON Tools Liteの公式インストールパッケージが侵害され、サプライチェーン攻撃を受けたことsecaffairsCISAは、Daemon Tools Lite、TanStack、およびNx Consoleの脆弱性を既知の悪用済み脆弱性(KEV)カタログ…secnext米CISAが、サプライチェーン侵害に起因する3件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」に追加しました
🔗 元の記事を読む
C
月内に

CrowdStrike、Google、Shadowserver Foundationが共同で、開発者を標的とする「Glassworm」ボットネットのC2サーバー…

脆弱性🌐 英語ソース📰 3記事🌐 3 countries
🇷🇺 Russia · 🇹🇼 Taiwan · 🇹🇭 Thailand
📅 2026-05-28📰 thaicert
📌 一言でいうと
CrowdStrike、Google、Shadowserver Foundationが共同で、開発者を標的とする「Glassworm」ボットネットのC2サーバー4件を遮断しました。この攻撃キャンペーンは、VS CodeなどのIDE向け偽拡張機能や、npmおよびPythonの悪意あるパッケージ、GitHubリポジトリへのコード注入を通じて拡散していました。攻撃者は開発者の認証情報を盗み出し、クラウド資格情報やCI/CDシステムへのアクセスを狙っていたことが判明しています。
🔍該当判定
  • VS Code, Cursor, Windsurf, VSCodiumなどのエディタで、WakaTimeなどの拡張機能をインストールして利用している
  • npmやPython(pip)を使用して、外部ライブラリやパッケージをインストールして開発を行っている
  • GitHubなどのリポジトリでソースコードを管理し、CI/CDツールやクラウド認証情報(Cloud Credential)を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. VS Code等のIDE拡張機能の導入元を厳格に確認し、信頼できないサードパーティ製ツールをインストールしない。2. npmやPythonパッケージの依存関係を更新する際は、パッケージ名やソースの正当性を検証する。3. 開発者アカウントに多要素認証 (MFA) を導入し、認証情報の漏洩リスクを低減させる。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Glassworm Botnet によるサプライチェーン攻撃への注意喚起

お疲れさまです。Glassworm Botnetに関する情報共有です。

■ 概要
開発者を標的としたボットネット「Glassworm」が、偽のIDE拡張機能や悪意あるnpm/Pythonパッケージを通じて拡散しています。C2サーバーは遮断されましたが、開発者の認証情報を盗み出し、CI/CDパイプラインやクラウド資格情報を奪取する高度なサプライチェーン攻撃が仕掛けられています。

■ 影響範囲
- VS Code, Cursor, Windsurf, VSCodium 等のIDE利用者
- npm, Python パッケージを利用する開発環境
- GitHub リポジトリを管理する開発者

■ 対応手順
1. 開発環境における未承認のIDE拡張機能の棚卸しと削除を実施してください。
2. 依存関係管理ツール(npm, pip等)において、タイポスクワッティング等の不審なパッケージが導入されていないか確認してください。
3. 開発者アカウントおよびクラウド管理アカウントのパスワード変更と、MFAの強制適用を推奨します。

■ 参考情報
- CrowdStrike Counter Adversary Operations レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Glassworm Botnet Supply Chain Attack

Dear IT/Security Team,

We are sharing information regarding the Glassworm botnet campaign targeting software developers.

■ Overview
The Glassworm botnet has been distributing malware via fake IDE extensions, malicious npm/Python packages, and compromised GitHub repositories. While four C2 servers have been taken down by a coalition of CrowdStrike, Google, and Shadowserver, the campaign highlights a significant risk to CI/CD pipelines and cloud credentials.

■ Scope
- Users of IDEs such as VS Code, Cursor, Windsurf, and VSCodium.
- Development environments utilizing npm and Python packages.
- Developers managing GitHub repositories.

■ Recommended Actions
1. Audit and remove unauthorized or suspicious IDE extensions from development environments.
2. Verify the integrity of dependencies in npm and Python projects to detect typosquatting or malicious packages.
3. Enforce Multi-Factor Authentication (MFA) and rotate credentials for developer and cloud administrative accounts.

■ Reference
- CrowdStrike Counter Adversary Operations Report

Priority: High
Deadline: Immediate
📰 関連する 2 件の記事
ithome_twCrowdStrike、Google、Shadowserver基金会が連携し、ソフトウェアサプライチェーンを標的とする蠕虫「GlassWor…xakepCrowdStrike、Google、Shadowserver Foundationの共同作戦により、ボットネット「Glassworm」のイ…
🔗 元の記事を読む
C
月内に

Mysterium VPNの調査により、主要クラウドストレージ(AWS S3, Google Cloud, Azure等)で53万以上の公開バケットが発見され…

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇰🇷 Korea
📅 2026-05-28📰 dailysecu
📌 一言でいうと
Mysterium VPNの調査により、主要クラウドストレージ(AWS S3, Google Cloud, Azure等)で53万以上の公開バケットが発見され、約196億個のファイルが外部からアクセス可能な状態にあることが判明しました。特に、.envファイルやDBバックアップなどの機密情報を含むファイルが多数露出しており、認証情報の漏洩による二次被害のリスクが高まっています。攻撃者は特別な脆弱性を利用せず、単純な設定ミス(公開設定)を悪用してデータを収集しています。
🔍該当判定
  • Amazon S3, Google Cloud Storage, Azure Blob Storage などのクラウドストレージを利用している
  • クラウド上の保存フォルダ(バケット)の設定で「公開(パブリック)」に設定している箇所がある
  • クラウドストレージに、DBバックアップファイル(.sql, .bak)や設定ファイル(.env)を保存している
  • クラウドストレージに、顧客名簿や給与などの機密ファイルを保存している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. クラウドストレージ(S3, Azure Blob, GCP Bucket等)のアクセス権限設定を再点検し、不要な公開設定を無効化すること。2. 機密情報(APIキー、パスワード、DBバックアップ)を公開バケットに保存しない運用を徹底すること。3. 漏洩の可能性がある認証情報(.envファイル等)を速やかに更新・変更すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】クラウドストレージの公開設定不備による情報漏洩リスクについて

お疲れさまです。クラウドストレージのセキュリティ設定に関する情報共有です。

■ 概要
主要クラウドプロバイダー(AWS, Azure, GCP等)において、設定ミスにより53万以上のストレージバケットが公開状態となり、約196億個のファイルが外部から閲覧可能であるという調査結果が公開されました。特に.envファイルやDBバックアップなどの機密情報が多数含まれており、これらが攻撃者に悪用されるリスクがあります。

■ 影響範囲
- AWS S3, Google Cloud Storage, Microsoft Azure Blob Storage, DigitalOcean Spaces, Alibaba Cloud OSS 等を利用している環境

■ 対応手順
1. 自社で利用しているクラウドストレージのバケット権限設定を確認し、「パブリックアクセス」が意図せず有効になっていないか点検してください。
2. 機密情報(APIキー、パスワード、秘密鍵、DBバックアップ)がストレージに保存されている場合、適切なアクセス制御(IAM等)が適用されているか確認してください。
3. 万が一、公開設定になっていた場合は直ちに非公開に変更し、含まれていた認証情報をすべて更新してください。

■ 参考情報
- Mysterium VPN 調査レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Risk of Data Exposure via Misconfigured Cloud Storage

Dear IT/Security Team,

We are sharing information regarding a widespread issue of misconfigured cloud storage buckets.

■ Overview
Recent research by Mysterium VPN found over 530,000 public cloud buckets across AWS, Azure, and GCP, exposing approximately 19.6 billion files. A significant number of these files contain sensitive data such as .env files, private keys, and database backups, which can be leveraged by attackers for further compromise.

■ Scope
- Environments utilizing AWS S3, Google Cloud Storage, Microsoft Azure Blob Storage, DigitalOcean Spaces, and Alibaba Cloud OSS.

■ Action Plan
1. Audit all cloud storage bucket permissions to ensure that "Public Access" is not enabled unintentionally.
2. Verify that sensitive data (API keys, passwords, private keys, DB backups) are stored with strict access controls (e.g., IAM policies).
3. If any public exposure is detected, immediately restrict access and rotate all compromised credentials.

■ Reference
- Mysterium VPN Research Report

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
secaffairsMysterium VPNの調査により、クラウドストレージ(S3, Google Cloud, Azure等)の誤設定により…
🔗 元の記事を読む