🔥 この日の重要情報
2026-06-15 更新

📋 本日の目次 (7件)

A
今日中悪用が確認されている深刻な問題
4件
B
今週中急ぎではないが早めに対応
3件
A
今日中

Microsoft 365 Copilot Enterpriseにおいて、巧妙に細工されたURLを通じてメールやOneDrive、SharePointから機密デ…

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品Microsoft 365
🔢 CVECVE-2026-42824
📅 2026-06-15📰 bleeping
📌 一言でいうと
Microsoft 365 Copilot Enterpriseにおいて、巧妙に細工されたURLを通じてメールやOneDrive、SharePointから機密データを盗み出す脆弱性「SearchLeak」が発見されました。この攻撃は、プロンプトインジェクション、HTMLレンダリングのレースコンディション、およびBingのSSRFを利用したCSPバイパスを組み合わせた3段階のチェーンで構成されています。Microsoftはこの脆弱性を修正済みであり、CVE-2026-42824として重要度「緊急」に指定しています。
🔍該当判定
  • Microsoft 365 Copilot Enterprise(法人向け有料プラン)を導入して利用している
  • 社員がCopilotを使ってメール、OneDrive、SharePoint内の社内データを検索・要約している
  • 外部から送られてきたURLを、Copilotが有効な状態でクリックする運用がある
上記いずれにも該当しない → 静観でOK
該当時の対応
Microsoftが提供する最新のアップデートを適用し、不審なURLをクリックしないようユーザーに注意喚起してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なURLのクリックに関するご注意(Microsoft 365 Copilot)

お疲れさまです。情報システム担当です。
Microsoft 365 Copilotにおいて、悪意のあるリンクをクリックすることで、メールや保存ファイルなどの機密情報が外部に送信されてしまう脆弱性が報告されました。

ご協力をお願いしたいこと:
1. 知らない送信元からの不審なURLやリンクは絶対にクリックしないでください。
2. 万が一、不審なリンクをクリックし、Copilotが予期せぬ動作をした場合は、すぐに情報システム担当まで報告してください。

対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious URLs (Microsoft 365 Copilot)

Dear employees,

A vulnerability has been reported in Microsoft 365 Copilot where clicking a malicious link could lead to the theft of sensitive information from your emails and files.

Requested Actions:
1. Do not click on suspicious URLs or links from unknown senders.
2. If you have clicked a suspicious link and noticed unusual behavior in Copilot, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】Microsoft 365 Copilot CVE-2026-42824 対応について

お疲れさまです。Microsoft 365 Copilotにおける脆弱性「SearchLeak」に関する情報共有です。

■ 概要
3つの脆弱性(P2Pインジェクション、HTMLレンダリングのレースコンディション、Bing SSRFによるCSPバイパス)を組み合わせることで、ユーザーのメール、OneDrive、SharePointからデータを窃取される可能性があります。CVSS重要度はCriticalです。

■ 影響範囲
- Microsoft 365 Copilot Enterprise

■ 対応手順
1. Microsoftによる最新のセキュリティ更新プログラムが適用されているか確認してください(本件は月初に修正済み)。
2. 組織内での不審なURLへのアクセスログを確認し、不審な挙動がないか監視してください。

■ 参考情報
- CVE-2026-42824

対応優先度: 高
対応期限: 速やかに確認
Subject: [Technical Info] Microsoft 365 Copilot CVE-2026-42824 Mitigation

Dear IT/Security Team,

This is a technical update regarding the 'SearchLeak' vulnerability in Microsoft 365 Copilot.

■ Overview
An attack chain combining parameter-to-prompt injection, an HTML rendering race condition, and a CSP bypass via Bing SSRF allows for the exfiltration of sensitive data from mailboxes, OneDrive, and SharePoint. The severity is rated as Critical.

■ Scope
- Microsoft 365 Copilot Enterprise

■ Mitigation Steps
1. Verify that the latest Microsoft security updates are applied (the fix was released earlier this month).
2. Monitor access logs for suspicious URLs and anomalous Copilot activity.

■ Reference
- CVE-2026-42824

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
hackernewsMicrosoft 365 Copilotのエンタープライズ検索における脆弱性(SearchLeak)
🔗 元の記事を読む
A
今日中

Ciscoは、Catalyst SD-WAN Manager(旧vManage)において、ルート権限への昇格が可能なゼロデイ脆弱性(CVE-2026-20262…

脆弱性🌐 英語ソース
🖥️ 製品Cisco
🔢 CVECVE-2026-20262
📅 2026-06-15📰 bleeping
📌 一言でいうと
Ciscoは、Catalyst SD-WAN Manager(旧vManage)において、ルート権限への昇格が可能なゼロデイ脆弱性(CVE-2026-20262)を修正しました。この脆弱性は、ファイルアップロード時の入力検証不足に起因し、認証済みのリモート攻撃者が任意のコマンドを実行したり、ファイルを上書きしたりすることが可能です。すでに攻撃に悪用されたことが確認されており、オンプレミスおよびクラウド版を含むすべての展開タイプが影響を受けます。
🔍該当判定
  • Cisco Catalyst SD-WAN Manager(旧称: vManage)を導入している
  • Cisco SD-WAN Cloud-Pro または Cisco SD-WAN Cloud (Cisco Managed) を利用している
  • 自社サーバーに Cisco SD-WAN Manager をインストールして運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
速やかにCiscoが提供する最新のセキュリティアップデートを適用してください。また、不審なファイルアップロードやAPIリクエストのログを確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cisco Catalyst SD-WAN Manager CVE-2026-20262 対応について

お疲れさまです。Cisco Catalyst SD-WAN Managerの脆弱性に関する情報共有です。

■ 概要
Catalyst SD-WAN Manager(旧vManage)において、ルート権限への昇格が可能なゼロデイ脆弱性(CVE-2026-20262)が報告されました。認証済みの攻撃者が、細工したHTTPリクエストをAPIエンドポイントに送信することで、任意のコマンド実行やファイル上書きが可能です。すでに実環境での悪用が確認されています。

■ 影響範囲
- Cisco Catalyst SD-WAN Manager (旧 SD-WAN vManage)
- 全展開タイプ(オンプレミス、Cloud-Pro、Cisco Managed、FedRAMP)

■ 対応手順
1. Cisco公式アドバイザリを確認し、影響を受けるバージョンであるか特定する
2. 最新の修正済みソフトウェアバージョンへアップデートを適用する

■ 参考情報
- Cisco公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Urgent] Cisco Catalyst SD-WAN Manager CVE-2026-20262 Remediation

Dear Team,

We are sharing critical information regarding a vulnerability in Cisco Catalyst SD-WAN Manager.

■ Overview
A zero-day vulnerability (CVE-2026-20262) has been identified in Catalyst SD-WAN Manager (formerly vManage). This flaw allows an authenticated remote attacker to escalate privileges to root by sending crafted HTTP requests to a specific API endpoint, enabling arbitrary command execution or file overwriting. This vulnerability has been exploited in the wild.

■ Scope
- Cisco Catalyst SD-WAN Manager (formerly SD-WAN vManage)
- All deployment types (On-prem, Cloud-Pro, Cisco Managed, FedRAMP)

■ Action Plan
1. Identify if current versions are affected via the Cisco security advisory.
2. Apply the latest security updates provided by Cisco immediately.

■ Reference
- Cisco Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
A
今日中

Palo Alto NetworksのGlobalProtectにおける認証バイパスの脆弱性(CVE-2026-0257)が、公開からわずか4日後に悪用されたこ…

脆弱性🔄 続報🌐 英語ソース📰 4記事🌐 3 countries
🇺🇸 US (2) · 🇮🇹 Italy · 🇰🇷 Korea
🖥️ 製品Palo AltoGlobalProtect
🔢 CVECVE-2026-0257
📅 2026-06-15📰 latestnews
📌 一言でいうと
Palo Alto NetworksのGlobalProtectにおける認証バイパスの脆弱性(CVE-2026-0257)が、公開からわずか4日後に悪用されたことが判明しました。この脆弱性は設計上の不備によるもので、攻撃者がTLSハンドシェイクから公開鍵を取得し、認証オーバーライドクッキーを偽造することで認証を回避できます。CISAの既知の悪用済み脆弱性(KEV)カタログにも追加されており、現在も攻撃が継続していることが確認されています。
🔍該当判定
  • Palo Alto Networks社のVPN製品「GlobalProtect」を導入している
  • 社外から社内ネットワークへ接続するための「GlobalProtect」ゲートウェイをインターネットに公開している
  • GlobalProtectの認証回避に関する脆弱性(CVE-2026-0257)への対策パッチをまだ適用していない
上記いずれにも該当しない → 静観でOK
該当時の対応
速やかにベンダーが提供する最新のパッチを適用し、認証オーバーライドクッキーの設定および証明書の管理状況を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Palo Alto GlobalProtect CVE-2026-0257 対応について

お疲れさまです。GlobalProtectの認証バイパス脆弱性に関する情報共有です。

■ 概要
GlobalProtectの認証オーバーライドクッキーの設計不備により、攻撃者が認証を回避して内部ネットワークへアクセスできる脆弱性が確認されました(CVSS 7.8)。公開後短期間で悪用が開始されており、CISAのKEVカタログにも登録されています。

■ 影響範囲
- Palo Alto Networks GlobalProtect (認証オーバーライドクッキー機能を利用している環境)

■ 対応手順
1. 最新のセキュリティアップデートを適用し、脆弱性を修正してください。
2. 認証バイパスの兆候がないか、VPNアクセスログを確認してください。

■ 参考情報
- Palo Alto Networks 公式アドバイザリ
- CISA Known Exploited Vulnerabilities (KEV) Catalog

対応優先度: 高
対応期限: 至急
Subject: [Urgent] Palo Alto GlobalProtect CVE-2026-0257 Mitigation

Dear Team,

We are sharing critical information regarding an authentication bypass vulnerability in Palo Alto Networks GlobalProtect.

■ Overview
CVE-2026-0257 is a design flaw allowing attackers to forge authentication override cookies by extracting public keys from the TLS handshake, bypassing authentication (CVSS 7.8). This vulnerability is being actively exploited in the wild and has been added to CISA's KEV catalog.

■ Scope
- Palo Alto Networks GlobalProtect (environments utilizing the authentication override cookie feature)

■ Action Plan
1. Apply the latest security patches provided by Palo Alto Networks immediately.
2. Review VPN access logs for any signs of unauthorized authentication bypass.

■ Reference
- Palo Alto Networks Official Advisory
- CISA KEV Catalog

Priority: High
Deadline: Immediate
📰 関連する 3 件の記事
dailysecuパロアルトネットワークスのPAN-OSにおける認証回避の脆弱性(CVE-2026-0257)が、実際の攻撃に悪用されていることsecaffairsPalo Alto NetworksのPAN-OSにおける認証バイパスの脆弱性(CVE-2026-0257)が、実際に悪用されていることhackernewsPalo Alto Networksは、PAN-OSのGlobalProtect VPNにおける認証バイパスの脆弱性(CVE-2026-02…
🔗 元の記事を読む
A
今日中

AIゲートウェイであるLiteLLMにおいて、低権限ユーザーが管理者権限を奪取し、サーバー上で任意のコードを実行できる脆弱性の連鎖

脆弱性🌐 英語ソース
🔢 CVECVE-2026-47101
📅 2026-06-15📰 hackernews
📌 一言でいうと
AIゲートウェイであるLiteLLMにおいて、低権限ユーザーが管理者権限を奪取し、サーバー上で任意のコードを実行できる脆弱性の連鎖が発見されました。この攻撃により、保存されているAPIキーや機密情報、および通過するすべてのプロンプトとレスポンスが漏洩する恐れがあります。CVSSスコアは9.9(Critical)とされており、v1.83.14-stable以降へのアップデートが推奨されています。
🔍該当判定
  • 自社で「LiteLLM」をサーバーにインストールして利用している
  • AIゲートウェイとして「LiteLLM」を導入し、複数のAIモデル(OpenAI等)を統合管理している
  • LiteLLMのバージョンが v1.83.14-stable より古い
上記いずれにも該当しない → 静観でOK
該当時の対応
LiteLLMを v1.83.14-stable またはそれ以降の最新バージョンにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】LiteLLM 脆弱性 (CVE-2026-47101 等) 対応について

お疲れさまです。LiteLLMに関する深刻な脆弱性の情報共有です。

■ 概要
低権限ユーザーが権限昇格を経てサーバー上で任意のコードを実行できる脆弱性の連鎖が報告されました。CVSSスコアは9.9 (Critical) と非常に高く、APIキーや機密情報の漏洩、サーバーの完全な制御奪取につながる恐れがあります。

■ 影響範囲
- 対象製品: LiteLLM
- 修正済みバージョン: v1.83.14-stable 以降

■ 対応手順
1. 現在利用しているLiteLLMのバージョンを確認してください。
2. v1.83.14-stable 未満である場合は、速やかに最新バージョンへアップデートを適用してください。

■ 参考情報
- Obsidian Security 公開レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] LiteLLM Vulnerability (CVE-2026-47101 et al.)

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability chain discovered in LiteLLM.

■ Overview
Researchers have identified a chain of vulnerabilities that allows a low-privilege user to escalate privileges to administrator and execute arbitrary code on the server. The CVSS score is 9.9 (Critical), posing a severe risk of API key theft and full server compromise.

■ Scope
- Product: LiteLLM
- Fixed Version: v1.83.14-stable and later

■ Action Required
1. Verify the current version of LiteLLM deployed in your environment.
2. If the version is prior to v1.83.14-stable, upgrade to the latest stable release immediately.

■ Reference
- Obsidian Security Disclosure

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Joomla!のプラグイン「Joomla Content Editor (JCE)」に、リモートコード実行 (RCE) が可能な深刻な脆弱性 (CVE-2026…

脆弱性🌐 英語ソース
🖥️ 製品Joomla
🔢 CVECVE-2026-48907
📅 2026-06-15📰 csirt_it
📌 一言でいうと
Joomla!のプラグイン「Joomla Content Editor (JCE)」に、リモートコード実行 (RCE) が可能な深刻な脆弱性 (CVE-2026-48907) が発見され、既に悪用が確認されています。この脆弱性はエディタプロファイルのインポート機能におけるアクセス制御の不備に起因しており、認証されていない攻撃者が任意のPHPファイルをアップロードし、システム上でコードを実行できる可能性があります。CVSS v4.0のスコアは10.0と最大値であり、迅速なアップデートが推奨されます。
🔍該当判定
  • Webサイトの構築にCMSの「Joomla!」を利用している
  • Joomla!のプラグインとして「JCE (Joomla Content Editor)」をインストールしている
  • JCEのバージョンが最新版にアップデートされていない
上記いずれにも該当しない → 静観でOK
該当時の対応
JCEプラグインを最新バージョンにアップデートし、脆弱性が修正されたことを確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Joomla JCE (CVE-2026-48907) の脆弱性対応について

お疲れさまです。Joomla!のプラグイン「JCE」に関する深刻な脆弱性の情報共有です。

■ 概要
Joomla Content Editor (JCE) において、認証不要でリモートコード実行 (RCE) が可能な脆弱性が確認されました。CVSS v4.0 スコアは 10.0 と極めて高く、既にネットワーク上での悪用が観測されています。

■ 影響範囲
- 対象製品: Joomla Content Editor (JCE) プラグイン
- 脆弱性: CVE-2026-48907

■ 対応手順
1. 自社管理のJoomla!サイトでJCEプラグインを使用しているか確認してください。
2. 使用している場合は、直ちにベンダーが提供する最新バージョンへアップデートを適用してください。

■ 参考情報
- CSIRT-ITA Alert AL02/260615/CSIRT-ITA

対応優先度: 高
対応期限: 至急
Subject: [Urgent] Security Update for Joomla JCE (CVE-2026-48907)

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in the Joomla Content Editor (JCE) plugin.

■ Overview
An unauthenticated Remote Code Execution (RCE) vulnerability (CVE-2026-48907) has been identified in the JCE plugin. This vulnerability has a CVSS v4.0 score of 10.0 and is currently being exploited in the wild.

■ Scope
- Affected Product: Joomla Content Editor (JCE) plugin
- CVE: CVE-2026-48907

■ Action Required
1. Verify if any managed Joomla! installations are using the JCE plugin.
2. If installed, immediately update the plugin to the latest patched version provided by the vendor.

■ Reference
- CSIRT-ITA Alert AL02/260615/CSIRT-ITA

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

セキュリティ研究者のNightmare Eclipse氏が、BitLockerの暗号化を回避できる「GreatXML」というエクスプロイト

脆弱性🌐 英語ソース
📅 2026-06-15📰 xakep
📌 一言でいうと
セキュリティ研究者のNightmare Eclipse氏が、BitLockerの暗号化を回避できる「GreatXML」というエクスプロイトを公開しました。この脆弱性は、Microsoft Defender Offline Scanが一度でも実行されたシステムで発生し、回復パーティションに特定のファイルを配置してWinRE(Windows回復環境)に再起動することで、暗号化されたボリュームへの無制限アクセスが可能になります。攻撃者が物理的にデバイスにアクセスできる状況でリスクが高まります。
🔍該当判定
  • Windowsのディスク暗号化機能『BitLocker』を利用してPCを保護している
  • 過去に一度でも『Microsoft Defender オフラインスキャン』を実行したことがある
  • PCが物理的に盗難に遭ったり、第三者に直接操作されたりするリスクがある環境で利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
物理的なデバイスアクセスを制限し、BIOS/UEFIパスワードの設定やセキュアブートの有効化、およびBitLockerの回復キーを安全に管理することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】BitLocker暗号化回避エクスプロイト「GreatXML」について

お疲れさまです。BitLockerの暗号化を回避する手法に関する情報共有です。

■ 概要
研究者により、Microsoft Defender Offline Scanが実行された履歴のあるシステムにおいて、WinRE(Windows回復環境)を介してBitLockerで暗号化されたボリュームにアクセス可能になるエクスプロイト「GreatXML」が公開されました。物理的なアクセス権を持つ攻撃者が、回復パーティションに特定の構成ファイルを配置することで権限昇格およびデータアクセスを実現します。

■ 影響範囲
- Microsoft Defender Offline Scanを一度でも実行したことのあるWindowsシステム

■ 対応手順
1. デバイスの物理的セキュリティを強化し、未承認のUSBデバイス接続や再起動を防止する。
2. BIOS/UEFIパスワードを設定し、ブート順序の変更を禁止する。
3. セキュアブートが有効であることを確認する。

■ 参考情報
- xakep (ru) 記事

対応優先度: 中
対応期限: 随時
Subject: [Security Advisory] BitLocker Encryption Bypass Exploit 'GreatXML'

Dear IT Administration Team,

We are sharing information regarding a newly disclosed exploit named 'GreatXML' that bypasses BitLocker encryption.

■ Overview
An exploit has been published that allows unrestricted access to BitLocker-encrypted volumes via the Windows Recovery Environment (WinRE). This attack is viable on systems where Microsoft Defender Offline Scan has been previously executed. An attacker with physical access can place specific files (unattend.xml and ReAgent.xml) into the recovery partition to trigger a shell with elevated privileges.

■ Scope
- Windows systems that have run Microsoft Defender Offline Scan at least once.

■ Mitigation Steps
1. Strengthen physical security of endpoints to prevent unauthorized boot-level access.
2. Implement BIOS/UEFI passwords to prevent unauthorized changes to boot order.
3. Ensure Secure Boot is enabled across the fleet.

■ Reference
- xakep (ru) report

Priority: Medium
Deadline: As soon as possible
🔗 元の記事を読む
B
今週中

Google Threat Intelligence Group (GTIG) は、中国政府に関連するとみられるサイバー諜報グループ「UNC6508」による攻撃…

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
📅 2026-06-15📰 securityweek
📌 一言でいうと
Google Threat Intelligence Group (GTIG) は、中国政府に関連するとみられるサイバー諜報グループ「UNC6508」による攻撃を分析しました。このグループは主に北米の医療、軍事、AI研究機関を標的としており、臨床研究データベース管理プラットフォームである「REDCap」サーバーを定期的に狙っていることが判明しました。攻撃の目的は、分子発見や臨床試験、公衆衛生政策などの機密情報の窃取であると考えられています。
🔍該当判定
  • 北米(アメリカ・カナダ)に拠点を持つ組織である
  • 医療、軍事、またはAI分野の研究開発を行っている
  • 臨床研究データベース管理プラットフォーム「REDCap」を導入・利用している
  • 大学や公的医療機関、政府系研究機関に所属している
上記いずれにも該当しない → 静観でOK
該当時の対応
REDCapサーバーのアクセスログを監視し、不審なログインやデータエクスポートがないか確認してください。また、特権アカウントの多要素認証 (MFA) の導入と、パッチ適用の徹底を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系アクター UNC6508 による REDCap 標的攻撃について

お疲れさまです。UNC6508によるサイバー諜報活動に関する情報共有です。

■ 概要
中国政府に関連するアクター UNC6508 が、北米の医療・軍事・AI研究機関を標的に攻撃を行っています。特に臨床研究データベースプラットフォーム「REDCap」が狙われており、機密研究データの窃取が目的とされています。

■ 影響範囲
- REDCap を運用しているサーバーおよび管理組織

■ 対応手順
1. REDCap サーバーへの不審なアクセスログ(特に海外からの未知のIP)の確認
2. 管理者アカウントへの多要素認証 (MFA) の強制適用
3. サーバー OS およびアプリケーションの最新パッチ適用

■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート

対応優先度: 中
対応期限: 速やかに確認
Subject: [Intel] Targeted Attacks on REDCap by Chinese Actor UNC6508

Dear Team,

We are sharing intelligence regarding the cyberespionage activities of UNC6508, a group linked to the Chinese government.

■ Overview
UNC6508 is targeting medical, military, and AI research organizations in North America. The group specifically targets servers hosting REDCap (clinical research database platform) to exfiltrate sensitive research and policy data.

■ Scope
- Organizations operating REDCap servers.

■ Recommended Actions
1. Review REDCap server access logs for unauthorized or anomalous login attempts.
2. Enforce Multi-Factor Authentication (MFA) for all administrative accounts.
3. Ensure all server OS and application patches are up to date.

■ Reference
- Google Threat Intelligence Group (GTIG) Report

Priority: Medium
Deadline: Immediate review
📰 関連する 1 件の記事
bleeping中国系の脅威アクターUNC6508が、北米の医療機関で利用されているREDCapサーバーを標的に攻撃を仕掛けました
🔗 元の記事を読む
B
今週中

LinuxカーネルのESP-in-TCPサブシステムにおける論理的欠陥による権限昇格の脆弱性(CVE-2026-46300)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-46300
📅 2026-06-15📰 nsfocus
📌 一言でいうと
LinuxカーネルのESP-in-TCPサブシステムにおける論理的欠陥による権限昇格の脆弱性(CVE-2026-46300)が公開されました。攻撃者は特定のシーケンスを用いてメモリ上のページキャッシュに任意データを注入し、/usr/bin/suなどの高権限バイナリを書き換えることでroot権限を取得できます。この脆弱性は「Dirty Frag」の変種である「Fragnesia」と呼ばれ、ディスク上のファイルを変更しないため検知が困難です。
🔍該当判定
  • Ubuntu, Debian, RHEL, CentOS, AlmaLinux, FedoraなどのLinuxサーバーを運用している
  • 1台のサーバーを複数のユーザーで共有して利用している(多租户サーバー、跳板機など)
  • DockerやKubernetesなどのコンテナ環境を利用している
  • Linuxカーネルのバージョンが2026年5月13日のパッチ適用前である
上記いずれにも該当しない → 静観でOK
該当時の対応
各ディストリビューションが提供する最新のカーネルパッチ([PATCH net] net: skbuff: preserve shared-frag marker during coalescing を含むバージョン)を適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxカーネル 権限昇格の脆弱性 (CVE-2026-46300) 対応について

お疲れさまです。Linuxカーネルにおける深刻な権限昇格の脆弱性に関する情報共有です。

■ 概要
LinuxカーネルのESP-in-TCPサブシステムにおける論理的欠陥により、ローカル攻撃者がroot権限を取得できる脆弱性が公開されました(CVE-2026-46300)。メモリ上のページキャッシュを直接操作するため、ディスクスキャンベースの検知ツールでは発見が困難な極めて隠蔽性の高い攻撃です。CVSSスコアは7.8とされています。

■ 影響範囲
- 対象製品: Linuxカーネル (Ubuntu, Debian, RHEL, CentOS, Fedora, Arch Linux等、多くの主要ディストリビューション)
- 対象バージョン: commit cef401de7be8 <= commit < 2026.5.13パッチ適用前

■ 対応手順
1. 稼働中のサーバーおよびコンテナホストのカーネルバージョンを確認してください。
2. 各ディストリビューションが提供する最新のセキュリティアップデートを適用し、カーネルを更新してください。
3. 更新後、システムの再起動を行い、パッチが適用されたバージョンで動作していることを確認してください。

■ 参考情報
- Red Hat Security Advisory: https://access.redhat.com/security/cve/CVE-2026-46300

対応優先度: 高
対応期限: 速やかに実施してください
Subject: [Security Advisory] Linux Kernel Privilege Escalation Vulnerability (CVE-2026-46300)

Dear IT Administration Team,

We are sharing information regarding a critical privilege escalation vulnerability in the Linux kernel.

■ Overview
A vulnerability (CVE-2026-46300), dubbed 'Fragnesia', has been identified in the ESP-in-TCP subsystem. It allows a local attacker to inject arbitrary bytes into the page cache of high-privilege binaries (e.g., /usr/bin/su) to obtain root privileges. This exploit is highly stealthy as it modifies memory without altering disk files, making it difficult for traditional security tools to detect. CVSS Score: 7.8.

■ Scope
- Affected Products: Linux Kernel (Major distributions including Ubuntu, Debian, RHEL, CentOS, Fedora, Arch Linux, etc.)
- Affected Versions: commit cef401de7be8 <= commit < 2026.5.13 patch

■ Mitigation Steps
1. Verify the kernel versions of all production servers and container hosts.
2. Apply the latest security updates provided by your respective Linux distributions.
3. Reboot the systems to ensure the patched kernel is active.

■ Reference
- Red Hat Security Advisory: https://access.redhat.com/security/cve/CVE-2026-46300

Priority: High
Deadline: Immediate action recommended
🔗 元の記事を読む
B
今週中

GL.iNet GL-MT3000ルーターにおいて、2つのコマンド注入の脆弱性(CVE-2026-12186およびCVE-2026-12187)が発見され…

脆弱性🌐 英語ソース
🔢 CVECVE-2026-12186CVE-2026-12187
📅 2026-06-15📰 csirt_it
📌 一言でいうと
GL.iNet GL-MT3000ルーターにおいて、2つのコマンド注入の脆弱性(CVE-2026-12186およびCVE-2026-12187)が発見され、公開PoCが公開されました。これらの脆弱性は、Torプロキシサービスとオンラインファームウェア更新機能に存在し、攻撃者がリモートから任意のコマンドを実行できる可能性があります。ベンダーにより既に修正されており、ユーザーは最新のファームウェアへの更新が推奨されます。
🔍該当判定
  • GL.iNet社のルーター(特にモデル名 GL-MT3000)を社内で利用している
  • GL.iNet製ルーターの「Tor Proxy」機能を有効にして利用している
  • GL.iNet製ルーターの「オンラインファームウェア更新」機能を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
対象デバイスのファームウェアを最新バージョンにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GL.iNet GL-MT3000 脆弱性 (CVE-2026-12186, CVE-2026-12187) 対応について

お疲れさまです。GL.iNet製ルーターの脆弱性に関する情報共有です。

■ 概要
GL.iNet GL-MT3000において、コマンド注入の脆弱性が2件(CVE-2026-12186, CVE-2026-12187)報告されました。CVSS v3.1 スコアは共に 8.8 と高く、公開PoCが存在するため、攻撃者がリモートから任意のコマンドを実行するリスクがあります。

■ 影響範囲
- 対象製品: GL.iNet GL-MT3000
- 影響箇所: Tor Proxy Service Configuration Handler および Online Firmware Upgrade Handler

■ 対応手順
1. 利用中のデバイスが GL-MT3000 であるか確認してください。
2. ベンダーが提供する最新の修正済みファームウェアを適用してください。

■ 参考情報
- CSIRT-ITA Alert AL01/260615/CSIRT-ITA

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] GL.iNet GL-MT3000 Vulnerabilities (CVE-2026-12186, CVE-2026-12187)

Dear IT Administration Team,

We are sharing information regarding critical vulnerabilities found in GL.iNet GL-MT3000 routers.

■ Overview
Two command injection vulnerabilities (CVE-2026-12186 and CVE-2026-12187) have been discovered, both with a CVSS v3.1 score of 8.8. Public Proof-of-Concept (PoC) exploits are available, which could allow a remote attacker with limited privileges to execute arbitrary commands on the device.

■ Scope
- Affected Product: GL.iNet GL-MT3000
- Affected Components: Tor Proxy Service Configuration Handler and Online Firmware Upgrade Handler

■ Mitigation Steps
1. Identify if GL-MT3000 devices are deployed within the environment.
2. Update the firmware to the latest patched version provided by the vendor.

■ Reference
- CSIRT-ITA Alert AL01/260615/CSIRT-ITA

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

2026年FIFAワールドカップに関連したフィッシング攻撃が急増しており、FortiGuard Labsは1月〜5月までに13,000以上の新ドメインが登録され…

脆弱性🌐 英語ソース
📅 2026-06-15📰 ithome_tw
📌 一言でいうと
2026年FIFAワールドカップに関連したフィッシング攻撃が急増しており、FortiGuard Labsは1月〜5月までに13,000以上の新ドメインが登録され、その約8.8%が悪意あるものと判断したと報告しました。攻撃者はチケット販売やライブ配信に加え、大会運営の臨時雇用の求人広告を装って資格情報を盗み出す「Credential Harvesting」攻撃を展開しています。偽のGoogleログインページへ誘導し、アカウント情報を窃取する手口が確認されており、注意が必要です。
🔍該当判定
  • 2026年ワールドカップのチケット購入や観戦予約を、会社支給のPCやスマホで行っている
  • FIFAや大会スポンサー企業を名乗る「求人案内」や「採用面接」のメール・SNS投稿を受け取った
  • Googleアカウントを利用して、ワールドカップ関連のイベント申し込みや外部サービスへのログインを行った
上記いずれにも該当しない → 静観でOK
該当時の対応
不審な求人広告やメール内のリンクを安易にクリックしないこと。特にGoogleなどのログイン画面が表示された際は、URLが正当なものであるかを確認し、多要素認証 (MFA) を有効にすることを推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ワールドカップ関連の偽求人・フィッシングメールにご注意ください

お疲れさまです。情報システム担当です。
2026年ワールドカップに関連し、偽の求人広告やチケット販売を装ってパスワードなどを盗み出すフィッシング攻撃が増加しています。

ご協力をお願いしたいこと:
1. 「FIFA」や「ワールドカップ」に関連する不審なメールやSNSの求人広告にあるリンクを安易にクリックしない。
2. ログイン画面が表示された際、URLが正しいか確認し、不審な点があればすぐに閉じる。
3. Googleアカウント等の多要素認証 (MFA) を必ず有効にする。

対応期限: 本日中
Subject: [Security Alert] Beware of World Cup-themed Phishing and Fake Job Offers

Hi everyone,
We have observed an increase in phishing attacks themed around the 2026 FIFA World Cup, specifically targeting job seekers and fans to steal login credentials.

What we need you to do:
1. Do not click on suspicious links in emails or social media posts regarding World Cup tickets or job opportunities.
2. Always verify the URL of any login page before entering your credentials.
3. Ensure that Multi-Factor Authentication (MFA) is enabled on your accounts.

Deadline: Immediate
🔗 元の記事を読む
C
月内に

CanonのEOS Utility(バージョン3.12.0から3.20.20)に含まれるEOS Network Setting Toolに、複数の脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-9258CVE-2026-9259CVE-2026-9260+1件
📅 2026-06-15📰 incibe
📌 一言でいうと
CanonのEOS Utility(バージョン3.12.0から3.20.20)に含まれるEOS Network Setting Toolに、複数の脆弱性が発見されました。不適切な暗号鍵管理や脆弱な暗号化アルゴリズムの使用により、FTP/FTPS/SFTP通信テスト機能で使用される認証情報が漏洩する可能性があります。WindowsおよびmacOSの両方のユーザーに影響します。対策として、EOS Utilityをバージョン3.20.21以降に更新することが推奨されています。
🔍該当判定
  • キヤノン製カメラの管理ソフト「EOS Utility」をWindowsまたはMacで利用している
  • EOS Utilityのバージョンが 3.12.0 から 3.20.20 の間である
  • EOS Utilityに含まれる「EOS Network Setting Tool」のバージョンが 1.5.0 である
上記いずれにも該当しない → 静観でOK
該当時の対応
EOS Utilityをバージョン3.20.21以降(EOS Network Setting Tool バージョン1.5.1以降を含む)にアップデートしてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Canon製ソフト「EOS Utility」をご利用の方へアップデートのお願い

お疲れさまです。情報システム担当です。
キヤノン製のカメラ設定ソフト「EOS Utility」に、セキュリティ上の弱点が見つかりました。古いバージョンを使用している場合、認証情報が外部に漏れる可能性があります。

ご協力をお願いしたいこと:
1. お使いのPCに「EOS Utility」がインストールされているか確認してください。
2. インストールされている場合は、最新バージョン(3.20.21以降)にアップデートしてください。

対応期限: 今週中
Subject: [Action Required] Update Canon EOS Utility Software

Dear employees,

A security vulnerability has been identified in Canon's "EOS Utility" software. If you are using an outdated version, there is a risk that authentication information could be exposed.

Requested Actions:
1. Check if "EOS Utility" is installed on your computer.
2. If installed, please update the software to the latest version (3.20.21 or later).

Deadline: By the end of this week
件名: 【共有】Canon EOS Utility 脆弱性 (CVE-2026-9258等) 対応について

お疲れさまです。Canon EOS Utilityに関する脆弱性情報共有です。

■ 概要
EOS Utilityに含まれるEOS Network Setting Toolにおいて、暗号鍵の管理不備および脆弱な暗号化アルゴリズムの使用による脆弱性が報告されました。攻撃者がFTP/FTPS/SFTP通信テスト機能の認証情報を奪取する可能性があります。

■ 影響範囲
- 対象製品: EOS Utility (バージョン 3.12.0 ~ 3.20.20)
- 影響コンポーネント: EOS Network Setting Tool (バージョン 1.5.0)
- OS: Windows, macOS

■ 対応手順
1. EOS Utilityをバージョン 3.20.21 以降にアップデートする
2. 内部的に EOS Network Setting Tool がバージョン 1.5.1 になっていることを確認する

■ 参考情報
- INCIBE-2026-425

対応優先度: 中
対応期限: 速やかに
Subject: [Security Advisory] Canon EOS Utility Vulnerabilities (CVE-2026-9258 et al.)

Dear IT team,

We are sharing information regarding vulnerabilities found in Canon's EOS Utility.

■ Overview
Improper cryptographic key management and the use of obsolete/weak encryption algorithms in SSH connections within the EOS Network Setting Tool could allow an attacker to compromise authentication information used for FTP/FTPS/SFTP communication tests.

■ Scope
- Affected Product: EOS Utility (versions 3.12.0 to 3.20.20)
- Affected Component: EOS Network Setting Tool (version 1.5.0)
- OS: Windows, macOS

■ Remediation
1. Update EOS Utility to version 3.20.21 or later.
2. Verify that EOS Network Setting Tool is updated to version 1.5.1.

■ Reference
- INCIBE-2026-425

Priority: Medium
Deadline: As soon as possible
🔗 元の記事を読む
C
月内に

Googleは、中国の犯罪グループ「Outsider Enterprise」がAI(Gemini等)とフィッシングツールキットを用いて大規模な詐欺インフラを構築…

脆弱性🔄 続報🌐 英語ソース📰 3記事🌐 3 countries
🇰🇷 Korea · 🇹🇼 Taiwan · 🇺🇸 US
📅 2026-06-15📰 ithome_tw
📌 一言でいうと
Googleは、中国の犯罪グループ「Outsider Enterprise」がAI(Gemini等)とフィッシングツールキットを用いて大規模な詐欺インフラを構築したとして提訴しました。このグループは、290種類のテンプレートを備えた「Outsider」というツールを提供し、AIで生成したコードを組み合わせて精巧な偽サイトを量産しています。すでに100万以上の悪意あるドメインが作成され、Androidユーザーを中心に数十万人が被害に遭ったと報告されています。
🔍該当判定
  • 社員が業務でAndroidスマートフォンを利用している
  • 社員がSMS(ショートメッセージ)で外部から連絡を受け取る環境にある
  • 金融機関や政府機関、大手小売店などのサービスを業務で利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なSMSに含まれるリンクを安易にクリックしないこと。多要素認証(MFA)を有効にし、公式サイト以外で個人情報やクレジットカード情報を入力しないよう注意喚起を徹底してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なSMS(ショートメッセージ)によるフィッシング詐欺について

お疲れさまです。情報システム担当です。
最近、AIを利用して非常に精巧に作られた偽サイトへ誘導し、パスワードやクレジットカード情報を盗み出す詐欺被害が急増しています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元からのSMSに記載されたURLは絶対にクリックしないでください。
2. サイト上でパスワードやクレジットカード情報の入力を求められた際は、必ず公式サイトであることを確認してください。
3. 万が一、情報を入力してしまった場合は、すぐにパスワードの変更とカード会社への連絡を行ってください。

対応期限: 本日中(確認および注意徹底をお願いします)
Subject: [Security Alert] Beware of Sophisticated SMS Phishing Scams

Dear employees,

We have observed a surge in highly sophisticated phishing scams that use AI to create convincing fake websites to steal passwords and credit card information via SMS.

Requested Actions:
1. Do not click on links in SMS messages from unknown or suspicious senders.
2. Always verify that you are on an official website before entering any sensitive information, such as passwords or credit card details.
3. If you believe you have entered your information into a fraudulent site, please change your passwords immediately and notify your credit card provider.

Deadline: Immediate attention required.
📰 関連する 2 件の記事
securityweekFBIとGoogleが、中国を拠点とする大規模なフィッシングサービス「Outsider Enterprise」を解体しましたboannewsFBIとGoogleなどの共同作戦「リップタイド作戦」により、中国ベースのフィッシングサービス(PaaS)組織「Outsider…
🔗 元の記事を読む
C
月内に

IBMは2026年6月8日から14日にかけて、複数の製品における脆弱性を修正するセキュリティアドバイザリ

脆弱性🌐 英語ソース
📅 2026-06-15📰 cccs
📌 一言でいうと
IBMは2026年6月8日から14日にかけて、複数の製品における脆弱性を修正するセキュリティアドバイザリを公開しました。影響を受ける製品には、IBM Aspera Shares、Cloud Pak for Applications/Data System、Rational ClearCase/ClearQuest、Guardium Key Lifecycle Managerなどが含まれます。ユーザーは各製品の最新バージョンへのアップデートが推奨されます。
🔍該当判定
  • IBM Aspera Shares (バージョン 1.9.9 〜 1.11.2) を利用している
  • IBM Cloud Pak (for Applications または for Data System) を導入している
  • IBM Rational (ClearCase, ClearQuest, Developer for i) を利用している
  • IBM Guardium Key Lifecycle Manager (バージョン 4.1) を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受ける製品のバージョンを確認し、IBMが提供する最新のセキュリティパッチまたは修正バージョンを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】IBM製品群の脆弱性対応について

お疲れさまです。IBM製品のセキュリティアップデートに関する情報共有です。

■ 概要
IBMより、複数の製品における脆弱性を修正するセキュリティアドバイザリが公開されました。製品によって影響範囲が異なりますが、重要度の高い更新が含まれています。

■ 影響範囲
- IBM Aspera Shares (v1.9.9 - 1.11.2)
- IBM Cloud Pak for Applications / Data System (CPDS v1.0.0.0 - 1.0.10.0)
- IBM Rational ClearCase / ClearQuest
- IBM Guardium Key Lifecycle Manager (v4.1)
- その他、IBM DevOps Code ClearCase, Enterprise Application Runtimes 等

■ 対応手順
1. 自社環境で利用しているIBM製品およびバージョンのリストを確認してください。
2. IBM公式のセキュリティアドバイザリ(AV26-597等)を参照し、該当する製品に最新パッチを適用してください。

■ 参考情報
- IBM Security Advisory (AV26-597)

対応優先度: 高
対応期限: 速やかに確認し、次回のメンテナンスウィンドウにて適用を検討してください。
Subject: [Security] IBM Product Vulnerability Updates (AV26-597)

Dear IT Administration Team,

This is a notification regarding security advisories published by IBM between June 8 and 14, 2026.

■ Overview
IBM has released critical updates to address vulnerabilities across a wide range of its product portfolio.

■ Affected Scope
- IBM Aspera Shares (v1.9.9 to 1.11.2)
- IBM Cloud Pak for Applications / Data System (CPDS v1.0.0.0 to 1.0.10.0)
- IBM Rational ClearCase / ClearQuest
- IBM Guardium Key Lifecycle Manager (v4.1)
- Others: IBM DevOps Code ClearCase, Enterprise Application Runtimes, etc.

■ Action Plan
1. Audit your environment to identify installed IBM products and their current versions.
2. Refer to the official IBM security advisories (AV26-597) and apply the necessary patches or upgrades.

■ Reference
- IBM Security Advisory (AV26-597)

Priority: High
Deadline: Immediate review and patching during the next available maintenance window.
🔗 元の記事を読む