🔥 この日の重要情報
2026-06-22 更新

📋 本日の目次 (7件)

A
今日中悪用が確認されている深刻な問題
2件
B
今週中急ぎではないが早めに対応
5件
A
今日中

オープンソースのAIワークフロープラットフォーム「Dify」において、認証なしで他テナントのAIチャット内容を閲覧できる4つの脆弱性(総称:DifyTap)

脆弱性🌐 英語ソース
📅 2026-06-22📰 hackernews
📌 一言でいうと
オープンソースのAIワークフロープラットフォーム「Dify」において、認証なしで他テナントのAIチャット内容を閲覧できる4つの脆弱性(総称:DifyTap)が発見されました。これらの脆弱性のうち2つは深刻度が「クリティカル」であり、マルチテナント環境において顧客間のデータ漏洩を招く可能性があります。攻撃者は内部APIを介して機密メッセージやアップロードされたドキュメントを不正に取得できる恐れがあります。
🔍該当判定
  • 自社でオープンソースのAIプラットフォーム「Dify」をインストールして利用している
  • Difyのクラウド版(公式のSaaSサービス)を利用してAIチャットを運用している
  • Difyを用いて、社外のユーザーや顧客向けにAIチャットボットを公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
Difyの最新バージョンへのアップデートを確認し、速やかに適用すること。また、内部APIへのアクセス制御を見直すことを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Dify の脆弱性(DifyTap)への対応について

お疲れさまです。Difyに関する脆弱性情報について共有します。

■ 概要
オープンソースのAIプラットフォーム「Dify」において、認証なしで他テナントのAIチャットやドキュメントを閲覧できる脆弱性(DifyTap)が報告されました。2件のクリティカルな脆弱性が含まれており、マルチテナント環境でのデータ漏洩リスクがあります。

■ 影響範囲
- 対象製品: Dify (オープンソース AI ワークフロープラットフォーム)
- 特にマルチテナントクラウドサービスを利用している環境

■ 対応手順
1. 利用しているDifyのバージョンを確認してください。
2. ベンダーから提供されている最新のセキュリティパッチを適用し、バージョンを更新してください。
3. 内部API(Plugin Daemon API等)への不審なリクエストがないかログを確認してください。

■ 参考情報
- Zafran Security による報告

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Addressing Dify Vulnerabilities (DifyTap)

Dear IT/Security Team,

We are sharing information regarding vulnerabilities discovered in the Dify AI platform.

■ Overview
Four vulnerabilities, collectively named 'DifyTap', have been disclosed in Dify. These flaws allow unauthenticated attackers to access AI conversations and documents across tenants, with two vulnerabilities rated as critical.

■ Scope
- Product: Dify (Open-source agentic workflow platform)
- Impacted: Multi-tenant cloud service and self-hosted instances

■ Action Plan
1. Verify the current version of Dify in use.
2. Update Dify to the latest patched version immediately.
3. Review logs for unauthorized requests to the internal Plugin Daemon API.

■ Reference
- Disclosure by Zafran Security

Priority: High
Deadline: Immediate
🔗 元の記事を読む
A
今日中

ShapedPlugin社が提供するWordPressのPro向けプラグインにおいて、サプライチェーン攻撃によるバックドアの混入

脆弱性🌐 英語ソース
🖥️ 製品WordPress
🔢 CVECVE-2026-49777
📅 2026-06-22📰 hackernews
📌 一言でいうと
ShapedPlugin社が提供するWordPressのPro向けプラグインにおいて、サプライチェーン攻撃によるバックドアの混入が判明しました。攻撃者はベンダーのビルドおよび配布パイプラインを侵害し、公式の更新チャネルを通じて悪意のあるコードを配信していました。影響を受けるのはPro版のみで、WordPress.orgで配布されている無料版は影響を受けません。
🔍該当判定
  • WordPressで「Product Slider Pro for WooCommerce」の有料版を利用している
  • WordPressで「Real Testimonials Pro」の有料版を利用している
  • WordPressで「Smart Post Show Pro」の有料版を利用している
上記いずれにも該当しない(無料版のみ利用、または他社プラグインのみ利用) → 静観でOK
該当時の対応
影響を受けるプラグインを最新バージョン(Product Slider Pro 3.5.4以降、Real Testimonials Pro 3.2.6以降、Smart Post Show Pro 4.0.2以降)にアップデートし、侵害の痕跡がないか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ShapedPlugin WordPress Proプラグインのサプライチェーン攻撃 (CVE-2026-49777) 対応について

お疲れさまです。ShapedPlugin社のPro向けプラグインにおけるサプライチェーン攻撃に関する情報共有です。

■ 概要
ベンダーのビルド・配布パイプラインが侵害され、公式更新チャネルを通じてバックドアが仕込まれたコードが配信されました。Product Slider Pro for WooCommerceに関してはCVSS 10.0の最高深刻度が割り当てられています。

■ 影響範囲
- Product Slider Pro for WooCommerce (3.5.4未満)
- Real Testimonials Pro (3.2.5)
- Smart Post Show Pro (4.0.2未満)
※ベンダーのEDDインフラ(account.shapedplugin.com)経由で配布されたPro版のみが対象。無料版は影響なし。

■ 対応手順
1. 自社管理サイトで上記Proプラグインを利用しているか確認する。
2. 利用している場合、直ちに最新バージョンへアップデートを適用する。
3. バックドアによる不正アクセスの形跡がないか、ログおよび不審なファイルの有無を確認する。

■ 参考情報
- Wordfence Analysis

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on ShapedPlugin WordPress Pro Plugins (CVE-2026-49777)

Dear IT/Security Team,

We are sharing information regarding a supply chain attack affecting Pro plugins from ShapedPlugin.

■ Overview
Threat actors compromised the vendor's build and distribution pipeline, injecting backdoor code into Pro plugin releases distributed through official licensed update channels. CVE-2026-49777 has been assigned to Product Slider Pro for WooCommerce with a CVSS score of 10.0.

■ Affected Scope
- Product Slider Pro for WooCommerce (versions before 3.5.4)
- Real Testimonials Pro (version 3.2.5)
- Smart Post Show Pro (versions before 4.0.2)
*Note: Only Pro versions distributed via account.shapedplugin.com are affected. Free versions on WordPress.org are NOT impacted.

■ Action Plan
1. Identify if any managed WordPress sites are using the affected Pro plugins.
2. Immediately update the plugins to the latest patched versions.
3. Conduct a security audit to check for signs of compromise or unauthorized access.

■ Reference
- Wordfence Analysis

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

北朝鮮の国家支援アクター「Sapphire Sleet」が、AIエージェント構築用フレームワーク「Mastra」のサプライチェーン攻撃を行ったこと

脆弱性🔄 続報🌐 英語ソース📰 2記事🌐 2 countries
🇹🇼 Taiwan · 🇺🇸 US
📅 2026-06-22📰 securityweek
📌 一言でいうと
北朝鮮の国家支援アクター「Sapphire Sleet」が、AIエージェント構築用フレームワーク「Mastra」のサプライチェーン攻撃を行ったことが判明しました。攻撃者はNPMメンテナーアカウントを侵害し、正当なライブラリ「dayjs」を模した悪意のあるパッケージ「easy-day-js」を依存関係に含めた141個のパッケージを公開しました。影響を受けるパッケージの週間ダウンロード数は約800万回に及び、6月17日の攻撃時間帯にインストールしたユーザーは影響を受けた可能性があります。
🔍該当判定
  • AIエージェントやRAG構築のために『Mastra』というTypeScriptフレームワークを利用している
  • 2024年6月17日に、npm経由で『@mastra』で始まるパッケージを新規インストールまたは更新した
  • プロジェクトの依存関係(package.json等)に『easy-day-js』というライブラリが含まれている
上記いずれにも該当しない → 静観でOK
該当時の対応
6月17日に@mastraパッケージをインストールまたは更新した環境を確認し、依存関係に'easy-day-js'が含まれていないかチェックしてください。含まれている場合は、直ちにパッケージを削除し、侵害された可能性のある認証情報や秘密鍵をローテーションすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Mastra NPMサプライチェーン攻撃への対応について

お疲れさまです。Mastraフレームワークを標的としたサプライチェーン攻撃に関する情報共有です。

■ 概要
北朝鮮のAPTグループ「Sapphire Sleet」がNPMメンテナーアカウントを侵害し、悪意のある依存パッケージ「easy-day-js」をMastraエコシステムの141個のパッケージに混入させました。これにより、インストールした環境で任意のコードが実行されるリスクがあります。

■ 影響範囲
- 対象製品: Mastra (TypeScript framework for AI agents)
- 影響期間: 2024年6月17日の約45分間
- 悪意のあるパッケージ: easy-day-js

■ 対応手順
1. 開発環境および本番環境の package-lock.json または yarn.lock を確認し、「easy-day-js」が含まれていないかスキャンしてください。
2. 該当パッケージが検出された場合、直ちに削除し、最新のクリーンなバージョンへ更新してください。
3. 侵害された環境で利用していたAPIキーや環境変数をすべて無効化し、再発行してください。

■ 参考情報
- Microsoft Threat Intelligence Report

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Mastra NPM Supply Chain Attack

Dear IT/Security Team,

We are sharing information regarding a supply chain attack targeting the Mastra AI framework.

■ Overview
The North Korean threat actor Sapphire Sleet compromised an NPM maintainer account to inject a malicious typosquatted dependency, 'easy-day-js' (mimicking 'dayjs'), into 141 packages within the Mastra ecosystem. This allows for potential remote code execution on systems that installed the affected versions.

■ Scope
- Affected Product: Mastra (TypeScript framework for AI agents)
- Attack Window: June 17, 2024 (approx. 45-minute window)
- Malicious Package: easy-day-js

■ Action Plan
1. Audit package-lock.json or yarn.lock files across development and production environments for the presence of 'easy-day-js'.
2. If detected, immediately remove the malicious package and update to a verified clean version.
3. Rotate all API keys, secrets, and environment variables that were present on the affected systems.

■ Reference
- Microsoft Threat Intelligence Report

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
ithome_twAIアプリケーションフレームワーク「Mastra」のNPMパッケージが、北朝鮮の攻撃グループBlueNoroffによるサプライチェーン攻撃を…
🔗 元の記事を読む
B
今週中

EaseUS Partition Master 14.5において、権限昇格が可能な2つの脆弱性(CVE-2026-12781, CVE-2026-12782)の…

脆弱性🌐 英語ソース
🔢 CVECVE-2026-12781CVE-2026-12782
📅 2026-06-22📰 csirt_it
📌 一言でいうと
EaseUS Partition Master 14.5において、権限昇格が可能な2つの脆弱性(CVE-2026-12781, CVE-2026-12782)のProof of Concept (PoC) が公開されました。これらの脆弱性はカーネルドライバー(epmntdrv.sysおよびeuedkepm.sys)の不適切なアクセス制御に起因します。攻撃者が適切に構成されたIOCTLリクエストを送信することで、ローカルで制限された権限から特権昇格を達成する可能性があります。
🔍該当判定
  • PCに「EaseUS Partition Master」をインストールしている
  • 利用している「EaseUS Partition Master」のバージョンが 14.5 である
  • 社内PCでディスクパーティションの操作(容量変更や分割)に上記ソフトを使用している
上記いずれにも該当しない → 静観でOK
該当時の対応
最新バージョンの EaseUS Partition Master へのアップデートを確認し、適用してください。また、信頼できないソフトウェアのインストールを制限し、最小権限の原則を徹底してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】EaseUS Partition Master 権限昇格の脆弱性 (CVE-2026-12781, CVE-2026-12782) 対応について

お疲れさまです。EaseUS Partition Master に関する脆弱性情報共有です。

■ 概要
EaseUS Partition Master 14.5 のカーネルドライバーにおいて、不適切なアクセス制御による権限昇格の脆弱性が確認されました。CVSS v3.1 スコアは 7.8 (High) であり、PoCが公開されているため、攻撃者がローカルで特権を奪取するリスクがあります。

■ 影響範囲
- 対象製品: EaseUS Partition Master 14.5
- 影響コンポーネント: epmntdrv.sys, euedkepm.sys

■ 対応手順
1. 社内端末における EaseUS Partition Master 14.5 の利用状況を確認してください。
2. ベンダーから提供されている最新の修正済みバージョンへのアップデートを適用してください。

■ 参考情報
- CSIRT-ITA Alert AL01/260622/CSIRT-ITA

対応優先度: 中
対応期限: 速やかに確認し、アップデートを検討してください。
Subject: [Security Advisory] Privilege Escalation in EaseUS Partition Master (CVE-2026-12781, CVE-2026-12782)

Dear IT Administration Team,

We are sharing information regarding vulnerabilities found in EaseUS Partition Master.

■ Overview
Two high-severity vulnerabilities (CVE-2026-12781 and CVE-2026-12782) have been identified in EaseUS Partition Master 14.5. These flaws involve improper access control in kernel drivers (epmntdrv.sys and euedkepm.sys), allowing a local attacker to elevate privileges. CVSS v3.1 score is 7.8.

■ Scope
- Affected Product: EaseUS Partition Master 14.5
- Affected Components: epmntdrv.sys, euedkepm.sys

■ Action Plan
1. Identify systems running EaseUS Partition Master 14.5.
2. Update the software to the latest patched version provided by the vendor.

■ Reference
- CSIRT-ITA Alert AL01/260622/CSIRT-ITA

Priority: Medium
Deadline: As soon as possible.
🔗 元の記事を読む
B
今週中

AOMEIの製品(Backupper, Partition Assistant Standard, Dynamic Disk Manager)において…

脆弱性🌐 英語ソース
🔢 CVECVE-2026-12778CVE-2026-12779CVE-2026-12780
📅 2026-06-22📰 csirt_it
📌 一言でいうと
AOMEIの製品(Backupper, Partition Assistant Standard, Dynamic Disk Manager)において、3つの高深刻度の脆弱性が報告されました。これらの脆弱性はカーネルドライバー(ampa10.sys, ddmdrv.sys, amwrtdrv.sys)に存在し、不適切なアクセス制御が原因です。攻撃者がこれらを悪用した場合、データの改ざんやSYSTEM権限への特権昇格が可能になる恐れがあり、既に公開のPoCが存在しています。
🔍該当判定
  • AOMEI Backupper をインストールして利用している
  • AOMEI Partition Assistant Standard をインストールして利用している
  • AOMEI Dynamic Disk Manager をインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
AOMEIの最新のセキュリティアップデートを確認し、修正済みのバージョンへ速やかに更新することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AOMEI製品の特権昇格脆弱性 (CVE-2026-12778 他) 対応について

お疲れさまです。AOMEI製品における脆弱性に関する情報共有です。

■ 概要
AOMEIのカーネルドライバーにおける不適切なアクセス制御により、ローカル攻撃者がSYSTEM権限への特権昇格やデータ改ざんを行える脆弱性が報告されました。CVSS v3.1 スコアは 7.8 (High) であり、既に公開のPoCが存在するため、迅速な対応が推奨されます。

■ 影響範囲
- AOMEI Backupper
- AOMEI Partition Assistant Standard
- AOMEI Dynamic Disk Manager
(対象ドライバー: ampa10.sys, ddmdrv.sys, amwrtdrv.sys)

■ 対応手順
1. 社内で利用しているAOMEI製品の有無およびバージョンを確認してください。
2. ベンダーから提供されている最新のパッチまたはアップデートを適用してください。

■ 参考情報
- CSIRT-ITA Alert AL07/260622/CSIRT-ITA

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Privilege Escalation Vulnerabilities in AOMEI Products (CVE-2026-12778 et al.)

Dear IT Administration Team,

We are sharing information regarding critical vulnerabilities identified in AOMEI software.

■ Overview
Improper access control vulnerabilities have been discovered in AOMEI kernel drivers, allowing a local attacker to elevate privileges to SYSTEM level or manipulate data. The CVSS v3.1 score is 7.8 (High), and public Proof-of-Concept (PoC) exploits are available.

■ Affected Scope
- AOMEI Backupper
- AOMEI Partition Assistant Standard
- AOMEI Dynamic Disk Manager
(Affected drivers: ampa10.sys, ddmdrv.sys, amwrtdrv.sys)

■ Mitigation Steps
1. Identify all instances of AOMEI software within the corporate environment.
2. Apply the latest security updates or patches provided by the vendor immediately.

■ Reference
- CSIRT-ITA Alert AL07/260622/CSIRT-ITA

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

MicrosoftのAIエージェント構築フレームワーク「AutoGen Studio」において、任意のコード実行を可能にする脆弱性チェーン「AutoJack」

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇹🇼 Taiwan · 🇺🇸 US
📅 2026-06-22📰 bleeping
📌 一言でいうと
MicrosoftのAIエージェント構築フレームワーク「AutoGen Studio」において、任意のコード実行を可能にする脆弱性チェーン「AutoJack」が発見されました。攻撃者が用意した悪意のあるウェブページを閲覧させることで、ホストシステム上で任意のコマンドを実行される恐れがあります。この問題は開発段階で修正されており、PyPIで公開された正式パッケージには含まれていませんが、特定の期間にGitHubのメインブランチから直接ビルドした開発者が影響を受けます。
🔍該当判定
  • MicrosoftのAIエージェント開発フレームワーク「AutoGen」を利用している
  • AutoGenのGUIツールである「AutoGen Studio」を導入している
  • GitHubのメインブランチから直接AutoGen Studioをビルドして利用したことがある
上記いずれにも該当しない → 静観でOK
該当時の対応
GitHubのメインブランチからビルドして利用している場合は、最新の修正済みコミットを適用して再ビルドしてください。PyPI経由でインストールしたユーザーは影響を受けません。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft AutoGen Studio の脆弱性 (AutoJack) 対応について

お疲れさまです。AutoGen Studioに関する脆弱性情報共有です。

■ 概要
AIエージェント構築用インターフェース「AutoGen Studio」において、悪意のあるウェブサイトへのアクセスを通じてホストシステム上で任意のコードが実行される脆弱性(AutoJack)が報告されました。

■ 影響範囲
- 対象製品: AutoGen Studio
- 対象バージョン: MCPプラグイン導入後からハードニングコミット適用前までの期間に、GitHubのメインブランチから直接ビルドした環境
※PyPIで公開された正式パッケージを利用している場合は影響を受けません。

■ 対応手順
1. 開発環境でGitHubのメインブランチから直接ビルドして利用しているか確認してください。
2. 該当する場合、最新の修正済みコードをプルして再ビルドおよび再デプロイを行ってください。

■ 参考情報
- BleepingComputer 記事

対応優先度: 中
対応期限: 速やかに
Subject: [Security Advisory] Vulnerability in Microsoft AutoGen Studio (AutoJack)

Dear IT/Security Team,

We are sharing information regarding a vulnerability chain named 'AutoJack' found in Microsoft's AutoGen Studio.

■ Overview
AutoJack allows an attacker to manipulate an AI agent into executing arbitrary commands on the host system simply by inducing the user to visit a malicious webpage.

■ Scope
- Product: AutoGen Studio
- Affected Versions: Environments built directly from the main GitHub branch during the window between the MCP plugin landing and the hardening commit.
*Note: Official PyPI releases are NOT affected as the fix was applied before publication.*

■ Mitigation Steps
1. Identify if any developers are using AutoGen Studio built directly from the GitHub main branch.
2. Ensure these environments are updated to the latest commit and rebuilt.

■ Reference
- BleepingComputer report

Priority: Medium
Deadline: Immediate
📰 関連する 1 件の記事
ithome_twMicrosoftの研究チームが、AIエージェントを介して本機で任意のプログラムを実行させる攻撃手法「AutoJack」
🔗 元の記事を読む
B
今週中

Realtek RTL819Xチップを搭載した古いルーターを標的とする新種のマルウェア「AryStinger」

脆弱性🔄 続報🌐 英語ソース📰 4記事🌐 4 countries ⭐
🇮🇹 Italy · 🇰🇷 Korea · 🇹🇼 Taiwan · 🇺🇸 US
📅 2026-06-22📰 hackernews
📌 一言でいうと
Realtek RTL819Xチップを搭載した古いルーターを標的とする新種のマルウェア「AryStinger」が発見されました。このマルウェアは、DDoS攻撃ではなく、偵察用プロキシネットワークを構築して攻撃者の身元を隠蔽し、インターネット上のサービス走査やサブドメイン列挙を行うことを目的としています。CVE-2013-3307およびCVE-2016-5681という古い脆弱性を悪用して感染を広げており、既に4,300台以上のデバイスが感染していると報告されています。
🔍該当判定
  • 2012年〜2015年頃に製造された古いルーターを現在も社内で利用している
  • Linksys製の古いルーターを利用している
  • D-Link製の古いルーターを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受ける古いルーターの使用を停止し、最新のセキュリティアップデートが提供される現行モデルへの買い替えを強く推奨します。また、不要な外部からの管理アクセスを遮断してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】旧世代ルーターを標的としたマルウェア AryStinger について

お疲れさまです。旧世代ルーターを悪用した偵察ネットワークの構築に関する情報共有です。

■ 概要
Realtek RTL819Xチップ搭載のルーターを標的とするマルウェア「AryStinger」が観測されています。本マルウェアは、感染したデバイスをプロキシとして利用し、攻撃者の身元を隠蔽した状態で偵察活動(サービス走査やサブドメイン列挙)を行うものです。

■ 影響範囲
- Realtek RTL819Xチップ搭載のレガシールーター
- Linksys (CVE-2013-3307) および D-Link (CVE-2016-5681) の一部モデル

■ 対応手順
1. 社内および拠点において、2012〜2015年頃に製造された旧世代ルーターが運用されていないか確認してください。
2. 該当製品が発見された場合は、速やかに最新のハードウェアへリプレースしてください(古い製品のため、有効なパッチが存在しない可能性があります)。
3. 外部からのルーター管理画面へのアクセスを制限してください。

■ 参考情報
- QiAnXin XLab Report

対応優先度: 中
対応期限: 速やかに確認
Subject: [Info] AryStinger Malware Targeting Legacy Routers

Dear Team,

We are sharing information regarding a new malware family, AryStinger, which targets legacy routers to build a reconnaissance proxy network.

■ Overview
AryStinger infects routers using Realtek RTL819X chips to create a distributed proxy network. This allows attackers to hide their origin while performing reconnaissance tasks such as service fingerprinting and subdomain enumeration.

■ Affected Scope
- Legacy routers with Realtek RTL819X chips
- Specific Linksys models (CVE-2013-3307) and D-Link models (CVE-2016-5681)

■ Action Plan
1. Audit network infrastructure to identify any legacy routers manufactured between 2012 and 2015.
2. Replace identified legacy hardware with modern, supported devices, as these vulnerabilities may no longer be patchable.
3. Ensure that remote management interfaces are disabled or strictly restricted.

■ Reference
- QiAnXin XLab Report

Priority: Medium
Deadline: Immediate review
📰 関連する 3 件の記事
dailysecu旧型のD-Link製ルーターやNASを標的とした新種のボットネット「AryStinger」が拡散していますithome_tw[再翻訳要] 殭屍網路AryStinger感染約4千臺D-Link路由器secaffairsAryStingerと呼ばれるマルウェアが、Realtek RTL819Xチップを搭載した古いルーターの脆弱性を悪用し、4,300台以上のデ…
🔗 元の記事を読む
C
月内に

Elastic Security Labsは、窃資ソフトウェア「CastleStealer」を配布するために設計された新型のローダー「OXLoader」を検出し…

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇹🇼 Taiwan · 🇺🇸 US
📅 2026-06-22📰 ithome_tw
📌 一言でいうと
Elastic Security Labsは、窃資ソフトウェア「CastleStealer」を配布するために設計された新型のローダー「OXLoader」を検出しました。このツールはNode.jsやAPI Monitorなどの正規ソフトウェアの偽装サイトを介して配布され、Google広告を悪用してユーザーを誘導します。高度な難読化やアンチサンドボックス機能を備えており、最終的にメモリ上でCastleStealerを実行し、ブラウザの認証情報などの機密情報を窃取します。
🔍該当判定
  • 社内でNode.js(JavaScript実行環境)を新しくインストールしようとしている、またはインストールした
  • API Monitor(API監視ツール)を公式サイト以外からダウンロードしてインストールした
  • Google検索の広告枠からソフトウェアのダウンロードサイトへ誘導され、実行ファイルをダウンロードした
  • Windows PCで、身に覚えのないプログラムを実行した後にブラウザのパスワード等が漏洩した疑いがある
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないサイトや広告経由でのソフトウェアダウンロードを避け、公式サイトからのみ入手すること。エンドポイント保護製品(EDR)を導入し、不審なプロセスのメモリ動作を監視すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ソフトウェアの偽装配布サイトにご注意ください

お疲れさまです。情報システム担当です。
正規のソフトウェア(Node.jsやAPI Monitorなど)を装った偽のダウンロードサイトから、ウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. ソフトウェアをインストールする際は、必ず公式サイトからダウンロードしてください。
2. 検索結果に表示される「広告」枠のリンクから直接ソフトをダウンロードせず、URLが正しいか確認してください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Fake Software Download Sites

Hi everyone,
We have received reports of malicious websites masquerading as official download pages for software such as Node.js and API Monitor to distribute malware.

What we need you to do:
1. Always download software directly from the official vendor websites.
2. Be cautious of "Ad" links in search results; always verify the URL before clicking or downloading.

Deadline: Immediate
📰 関連する 1 件の記事
hackernewsGoogle広告を悪用してCastleStealerを配布する新しいマルウェアローダー「OXLOADER」
🔗 元の記事を読む
C
月内に

テックサイトGizmodoのページ上で、偽のCAPTCHA画面を表示して悪意のあるコードの実行を促す「ClickFix」マルウェアのプロンプトが表示される事案が…

事案🌐 英語ソース
📅 2026-06-22📰 theregister
📌 一言でいうと
テックサイトGizmodoのページ上で、偽のCAPTCHA画面を表示して悪意のあるコードの実行を促す「ClickFix」マルウェアのプロンプトが表示される事案が発生しました。WindowsユーザーにはNetSupport RATのインストールを試み、macOSユーザーにもOSに合わせた攻撃が仕掛けられていました。この攻撃は、攻撃者が任意のマルウェアを配信できる「ClickFix-as-a-service」プログラムの提供者によるものと見られています。
🔍該当判定
  • Windows PCで、Webサイト閲覧中に『CAPTCHA(私はロボットではありません)』のような偽の確認画面が表示された
  • Webサイトの指示に従い、コマンドプロンプトやターミナルにコードをコピー&ペーストして実行した
  • 社内で『NetSupport Manager』というリモート管理ツールを導入・利用している
  • 従業員がGizmodoなどの海外テック系ニュースサイトを業務で頻繁に閲覧している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なウェブサイトで表示される「CAPTCHA」や「更新」を装った指示に従い、ターミナルやコマンドプロンプトにコードを貼り付けて実行しないよう注意してください。また、不審なポップアップが表示された場合は、すぐにブラウザを閉じてください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ウェブサイト上の偽CAPTCHAによるウイルス感染について

お疲れさまです。情報システム担当です。
信頼しているウェブサイトであっても、偽の「私はロボットではありません」という確認画面(CAPTCHA)が表示され、特定の操作を指示される攻撃が確認されています。

ご協力をお願いしたいこと:
1. ブラウザで不審なポップアップや、コマンドの実行(コピー&ペースト)を求める指示が出た場合は、絶対に従わず、すぐにページを閉じてください。
2. 万が一、指示に従って操作してしまった場合は、速やかに情報システム担当まで報告してください。

対応期限: 本日中
Subject: [Security Alert] Malware Infection via Fake CAPTCHA Prompts

Dear employees,
We have observed attacks where fake "I am not a robot" (CAPTCHA) windows appear on legitimate websites to trick users into running malicious code.

What we need you to do:
1. If you encounter any suspicious pop-ups or instructions asking you to copy and paste commands into your terminal or command prompt, do NOT follow them and close the page immediately.
2. If you have already performed such actions, please report it to the IT security team immediately.

Deadline: Immediate
🔗 元の記事を読む
C
月内に

Fortinet VPNを標的とした大規模なクレデンシャルスプレー攻撃キャンペーン「FortiBleed」

事案🔄 続報🌐 英語ソース📰 5記事🌐 3 countries
🇹🇼 Taiwan (2) · 🇺🇸 US (2) · 🇹🇭 Thailand
🖥️ 製品Fortinet
📅 2026-06-22📰 thaicert
📌 一言でいうと
Fortinet VPNを標的とした大規模なクレデンシャルスプレー攻撃キャンペーン「FortiBleed」が判明しました。攻撃者は専用ツール「forticheck」を用いて、世界中のFortiGate SSL VPNおよびSophosユーザーポータルに対して数十億回のログイン試行を行っています。侵入に成功した後は、ネットワーク上の非暗号化プロトコル(HTTP, FTP, SMTP等)を介して認証情報を収集する仕組みが構築されています。
🔍該当判定
  • Fortinet社の製品(FortiGate)でSSL-VPN機能を有効にして外部からアクセスさせている
  • Sophos社のユーザーポータル(User Portal)を運用している
  • 外部から直接アクセス可能な状態のMSSQL Serverを運用している
  • VPNやサーバーのログイン認証において、多要素認証(MFA)を導入せずパスワードのみで運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 強力なパスワードポリシーの適用と、多要素認証 (MFA) の強制有効化。 2. VPNログイン試行のログ監視を強化し、異常な回数の失敗があるアカウントを特定・遮断すること。 3. ネットワーク内での平文プロトコル(HTTP, FTP, SMTP, LDAP等)の使用を禁止し、暗号化プロトコル(HTTPS, SFTP, SMTPS, LDAPS等)へ移行すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Fortinet VPN 標的のクレデンシャルスプレー攻撃(FortiBleed)への対応について

お疲れさまです。Fortinet VPN等を標的とした大規模な攻撃キャンペーンに関する情報共有です。

■ 概要
「FortiBleed」と呼ばれるキャンペーンにより、専用ツールを用いた数十億回規模のクレデンシャルスプレー攻撃が観測されています。攻撃者はVPNへの侵入後、ネットワーク内の平文通信を傍受してさらなる認証情報を窃取します。

■ 影響範囲
- FortiGate SSL VPN endpoint
- Sophos user portal

■ 対応手順
1. 全VPNユーザーに対する多要素認証 (MFA) の強制適用を確認してください。
2. 認証ログを確認し、短期間に大量のログイン失敗が発生しているIPアドレスやアカウントがないか調査してください。
3. 内部ネットワークにおいて、HTTP, FTP, SMTP, LDAPなどの非暗号化プロトコルの利用を廃止し、暗号化版への移行を推進してください。

■ 参考情報
- SecurityDiscovery.com (Volodymyr “Bob” Diachenko)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Response to FortiBleed Credential Spraying Campaign targeting Fortinet VPN

Dear IT/Security Team,

We are sharing information regarding a large-scale credential spraying campaign known as "FortiBleed."

■ Overview
Attackers are using a specialized tool called "forticheck" to perform billions of login attempts against FortiGate SSL VPNs and Sophos user portals. Upon successful entry, they deploy network sniffers to capture credentials sent via unencrypted protocols.

■ Scope
- FortiGate SSL VPN endpoints
- Sophos user portals

■ Action Items
1. Ensure Multi-Factor Authentication (MFA) is strictly enforced for all VPN users.
2. Review authentication logs for patterns of massive login failures originating from single IPs or targeting multiple accounts.
3. Audit internal network traffic to eliminate the use of unencrypted protocols (HTTP, FTP, SMTP, LDAP) and migrate to secure alternatives.

■ Reference
- SecurityDiscovery.com (Volodymyr “Bob” Diachenko)

Priority: High
Deadline: Immediate
📰 関連する 4 件の記事
ithome_twFortinet製品のログイン認証情報が大規模に流出した「FortiBleed」事件を受け、CISAが5つの対策を公布しましたithome_twFortinetのFortiGateおよびVPNデバイスのログイン資格情報が大量に流出した「FortiBleed」事件が発生しましたhackernewsFortinetのFortiGateファイアウォールおよびSSL VPNゲートウェイを標的とした大規模なキャンペーン「FortiBleed」securityweekFortinet製品を標的とした大規模な資格情報窃取キャンペーン「FortiBleed」
🔗 元の記事を読む
C
月内に

Hack The Boxの「NanoCorp」マシンを対象とした、Windowsにおける権限昇格の手法に関する解説記事です

事案🌐 英語ソース
📅 2026-06-22📰 xakep
📌 一言でいうと
Hack The Boxの「NanoCorp」マシンを対象とした、Windowsにおける権限昇格の手法に関する解説記事です。インストール済みのMSIパッケージの修復メカニズムを悪用し、高権限サービスが書き込み可能なディレクトリに一時スクリプトを作成して実行させることで、特権昇格が可能になる仕組みを説明しています。また、NTLMハッシュの漏洩を利用したドメインアカウントの奪取についても触れています。
🔍該当判定
  • Windowsサーバーを運用しており、アプリケーションのインストールにMSIパッケージ(.msiファイル)を利用している
  • Windowsサーバー上で、一般ユーザーが書き込み可能な共有フォルダや一時フォルダが存在する
  • Active Directory(ドメイン環境)を構築し、サーバー間で権限管理を行っている
  • WindowsサーバーでWinRM(リモート管理機能)を有効にして外部からアクセス可能にしている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. MSIパッケージの修復・更新プロセスにおいて、一般ユーザーが書き込み可能なディレクトリにスクリプトを配置しないよう設定を確認すること。 2. 不要なMSIキャッシュファイルの削除およびディレクトリ権限の最小化を行うこと。 3. NTLMハッシュの漏洩を防ぐため、SMB署名の強制や不必要なアウトバウンド通信の制限を検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows MSIパッケージの修復メカニズムを悪用した権限昇格について

お疲れさまです。Windows環境における権限昇格の潜在的なリスクに関する情報共有です。

■ 概要
一部のMSIパッケージにおいて、修復プロセス中に高権限サービスが書き込み可能なディレクトリに一時的なスクリプトを作成し、それを実行する挙動が確認されています。攻撃者がこのディレクトリに悪意のあるスクリプトを配置することで、システム権限への昇格を許す可能性があります。

■ 影響範囲
- 不適切なディレクトリ権限を持つMSIパッケージがインストールされたWindowsサーバー

■ 対応手順
1. サーバー上のMSIキャッシュディレクトリおよび一時ディレクトリのアクセス権限を確認し、一般ユーザーによる書き込み権限を制限してください。
2. 不要な古いインストーラーパッケージをクリーンアップしてください。
3. NTLMハッシュ漏洩リスクを低減するため、ネットワークレベルでの制限(SMB制限等)を適用してください。

■ 参考情報
- Hack The Box NanoCorp Write-up (xakep)

対応優先度: 中
対応期限: 次回定期メンテナンス時まで
Subject: [Info] Privilege Escalation via Windows MSI Recovery Mechanisms

Dear team,

We are sharing technical information regarding a potential privilege escalation vector in Windows environments.

■ Overview
Certain MSI package recovery mechanisms may allow high-privilege services to create and execute temporary scripts in directories that are writable by low-privileged users. An attacker can exploit this by replacing the script to execute arbitrary code with SYSTEM privileges.

■ Scope
- Windows servers with MSI packages configured with insecure directory permissions.

■ Mitigation Steps
1. Audit access permissions for MSI cache and temporary directories to ensure low-privileged users cannot write to them.
2. Clean up unnecessary legacy installer packages.
3. Implement network-level restrictions (e.g., SMB signing/blocking) to prevent NTLM hash leakage.

■ Reference
- Hack The Box NanoCorp Write-up (xakep)

Priority: Medium
Deadline: Next scheduled maintenance
🔗 元の記事を読む