2026年6月24日の
セキュリティ情報

この日に重要だったセキュリティ情報をお届けします。

165 件取得58 件重要10 件掲載55 情報源

🔥 この日の重要情報

2026-06-24 更新

📋 本日の目次 (7件)

今日中悪用が確認されている深刻な問題

1件

Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「C...

今週中急ぎではないが早めに対応

5件

2022年にスポーツベッティングサイトDraftKingsを標的とした資格情報詰め合わせ（クレデンシ...
CSIRT Italiaによる2026年5月の運用サマリーです
日本の通信事業者KDDIが管理するメールサービスにおいて、第三者ソフトウェアの脆弱性を悪用した不正ア...
Tenableは、Tenable Identity Exposureのバージョン3.93.4より前の...
米国司法省（DoJ）は、カンボジアの複合企業HuiOne Groupの傘下企業が利用していたクラウド...

月内に計画的に対応すれば良い

1件

欧州警察機構(Europol)やMicrosoftなどの国際的な連携による「Operation En...

今日中

Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「Cordyceps」を発見しました

脆弱性🌐 英語ソース

🖥️ 製品GitHub

📅 2026-06-24📰 hackernews

📌 一言でいうと

Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「Cordyceps」を発見しました。この脆弱性を悪用すると、認証されていないユーザーがプルリクエストを通じてコード実行や認証情報の窃取、サプライチェーン攻撃を行うことが可能です。MicrosoftやGoogleを含む大手組織の300以上のリポジトリが影響を受けていることが判明しています。

🔍該当判定

GitHubでソースコードを管理し、GitHub ActionsなどのCI/CDツールを利用している
GitHubのプルリクエスト（PR）において、外部ユーザーからの提案を自動的に処理する設定にしている
GitHubのリポジトリ設定で、プルリクエストに過剰な権限（書き込み権限など）を付与している
自社でオープンソースソフトウェア（OSS）を公開・運用している

上記いずれにも該当しない → 静観でOK

✅該当時の対応

CI/CDワークフローの設定を見直し、プルリクエスト（PR）に過剰な権限が付与されていないか確認すること。特に、外部からのPRが機密情報にアクセスしたり、承認なしにコードを実行したりできる設定を排除し、最小権限の原則を適用してください。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】GitHub CI/CDワークフローの脆弱性（Cordyceps）への対応について

お疲れさまです。GitHubのCI/CD設定に関する重大な脆弱性「Cordyceps」に関する情報共有です。

■ 概要
CI/CDワークフローの不適切な権限設定により、認証されていない外部ユーザーがプルリクエストを通じてワークフローをハイジャックし、コード実行や認証情報の窃取が可能になる脆弱性です。

■ 影響範囲
- GitHub Actions等のCI/CDワークフローを利用しているリポジトリ
- 特に、外部からのプルリクエストに過剰な権限を許可している設定

■ 対応手順
1. GitHubリポジトリのワークフロー設定（GitHub Actions等）を確認し、`pull_request` イベントにおける権限設定をレビューする。
2. 外部コントリビューターによるPRが、機密変数（Secrets）へのアクセスや特権操作を行えないよう制限をかける。
3. 最小権限の原則に基づき、ワークフローの `permissions` 属性を明示的に定義する。

■ 参考情報
- Novee Security による Cordyceps 報告

対応優先度: 高
対応期限: 速やかに確認

Subject: [Security Alert] Addressing GitHub CI/CD Workflow Vulnerability (Cordyceps)

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in GitHub CI/CD configurations codenamed 'Cordyceps'.

■ Overview
Due to weak CI/CD configurations, unauthenticated users can hijack workflows via pull requests (PRs), leading to arbitrary code execution and credential theft.

■ Scope
- Repositories utilizing CI/CD workflows (e.g., GitHub Actions).
- Specifically, those granting excessive permissions to PRs from external contributors.

■ Mitigation Steps
1. Review GitHub workflow configurations and audit permissions associated with `pull_request` events.
2. Ensure that PRs from external forks cannot access sensitive secrets or perform privileged operations without manual approval.
3. Explicitly define the `permissions` attribute in workflow files following the principle of least privilege.

■ Reference
- Novee Security Cordyceps Research

Priority: High
Deadline: Immediate review recommended

🔗 元の記事を読む

今週中

2022年にスポーツベッティングサイトDraftKingsを標的とした資格情報詰め合わせ（クレデンシャルスタッフィング）攻撃に関与した3人目の容疑者…

脆弱性🌐 英語ソース

📅 2026-06-24📰 securityweek

📌 一言でいうと

2022年にスポーツベッティングサイトDraftKingsを標的とした資格情報詰め合わせ（クレデンシャルスタッフィング）攻撃に関与した3人目の容疑者、Nathan Austadに禁錮18ヶ月の判決が言い渡されました。攻撃者は他所で流出した6万件以上のアカウント情報を利用して不正アクセスし、資金の窃取やアカウントの転売を行いました。合計で約60万ドルが盗まれ、容疑者は約180万ドルの賠償金と没収金の支払いを命じられています。

🔍該当判定

スポーツベッティングサイト「DraftKings」を業務や個人で利用している
他のサイトと同じ「IDとパスワードの使い回し」を社内で許可・推奨している
社内で利用しているWebサービスのログインに「二要素認証（SMSやアプリ認証）」を導入していない

上記いずれにも該当しない → 静観でOK

✅該当時の対応

パスワードの使い回しを避け、多要素認証 (MFA) を有効にすることを強く推奨します。

📧 メール案を見る (社員向け)

件名: 【注意喚起】パスワードの使い回しによる不正アクセスのリスクについて

お疲れさまです。情報システム担当です。
他社から流出したIDとパスワードを使い、別のサービスに不正ログインを試みる「パスワードリスト攻撃」による被害事例が報告されています。

ご協力をお願いしたいこと:
1. 複数のサービスで同じパスワードを使い回さないでください。
2. 可能な限り、二段階認証（多要素認証）を設定してください。

対応期限: 本日中

Subject: [Security Alert] Risks of Password Reuse and Unauthorized Access

Hi everyone,
We are sharing a reminder about the risks of "credential stuffing" attacks, where attackers use leaked usernames and passwords from one site to gain access to others.

What we need you to do:
1. Avoid using the same password across multiple services.
2. Enable multi-factor authentication (MFA) wherever possible.

Deadline: As soon as possible

🔗 元の記事を読む

今週中

CSIRT Italiaによる2026年5月の運用サマリーです

事案🌐 英語ソース

📅 2026-06-24📰 csirt_it

📌 一言でいうと

CSIRT Italiaによる2026年5月の運用サマリーです。インシデント件数は前月比10%減少したものの、イベント数は47%増加しました。主な脅威として、ハクティビストによるDDoS攻撃の再開や、フィッシングおよびソーシャルエンジニアリングによる認証情報の窃取が確認されています。特にテクノロジーサプライヤーを標的とした攻撃がサプライチェーン全体に影響を及ぼしている点が強調されています。

🔍該当判定

社外からアクセス可能なサーバーやWebサイトを公開している
社員がメールやチャットツールを利用して外部とやり取りしている
クラウドサービスやITシステムの運用を外部のベンダー（委託先）に任せている

上記いずれにも該当しない → 静観でOK

✅該当時の対応

フィッシングメールへの警戒を強め、多要素認証 (MFA) の導入を徹底すること。また、サプライヤーのセキュリティ状況を定期的に確認し、特権アカウントの管理を強化することを推奨します。

📧 メール案を見る (社員向け)

件名: 【注意喚起】フィッシングメールと不審な連絡への注意について

お疲れさまです。情報システム担当です。
最近、巧妙なフィッシングメールやなりすましによる攻撃が増加しており、パスワードなどの認証情報を盗み出そうとする事例が報告されています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールやリンク、添付ファイルは絶対に開かないでください。
2. パスワードの入力を求める不審な画面が表示された場合は、すぐに情報システム担当まで報告してください。
3. 可能な限り、多要素認証（MFA）の設定を有効にしてください。

対応期限: 本日中（確認と注意の徹底をお願いします）

Subject: [Security Alert] Beware of Phishing and Social Engineering Attacks

Dear employees,

Our security team has observed an increase in phishing and social engineering attacks designed to steal login credentials.

Requested Actions:
1. Do not click on links or open attachments from unknown or suspicious senders.
2. Immediately report any suspicious prompts asking for your password to the IT department.
3. Ensure that Multi-Factor Authentication (MFA) is enabled on all your accounts where available.

Deadline: Immediate (Please remain vigilant)

🔗 元の記事を読む

今週中

日本の通信事業者KDDIが管理するメールサービスにおいて、第三者ソフトウェアの脆弱性を悪用した不正アクセスが発生しました

事案🔄 続報🌐 英語ソース

📅 2026-06-24📰 theregister

📌 一言でいうと

日本の通信事業者KDDIが管理するメールサービスにおいて、第三者ソフトウェアの脆弱性を悪用した不正アクセスが発生しました。これにより、KDDIおよび同社がサービス提供している他のISPを含む最大1,420万ユーザーのメールアドレスとパスワードが流出した可能性があります。KDDIは攻撃を検知した当日に侵入を阻止し、防御策を強化したとしています。

🔍該当判定

KDDIが提供する法人向けメールサービスを利用している
KDDI以外のプロバイダを利用しているが、メールサーバーの管理をKDDIに委託している
社内でKDDI系のメールアドレス（@kddi.com等）を業務利用している

上記いずれにも該当しない → 静観でOK

✅該当時の対応

影響を受けるユーザーは、速やかにメールパスワードを変更し、他のサービスで同じパスワードを使い回している場合はそれらも変更することを推奨します。

📧 メール案を見る (社員向け)

件名: 【注意喚起】メールパスワード変更のお願い（KDDIメールサービス利用者の方向け）

お疲れさまです。情報システム担当です。
日本の通信事業者KDDIが提供するメールサービスにおいて、不正アクセスによりパスワード等が流出した可能性があるとの発表がありました。

ご協力をお願いしたいこと:
1. KDDIのメールサービスを利用している方は、速やかにパスワードを変更してください。
2. 他のサービスで同じパスワードを使い回している場合は、併せて変更をお願いします。

対応期限: 本日中

Subject: [Security Alert] Please Change Your Email Password (For KDDI Email Users)

Dear employees,

KDDI, a Japanese telecommunications provider, has announced a security incident where unauthorized access to their email service may have exposed user credentials.

Requested Actions:
1. If you use KDDI email services, please change your password immediately.
2. If you reuse the same password for other accounts, please change those as well.

Deadline: End of today

🔗 元の記事を読む

今週中

Tenableは、Tenable Identity Exposureのバージョン3.93.4より前のバージョンに深刻な脆弱性が存在すること

脆弱性🌐 英語ソース

📅 2026-06-24📰 cccs

📌 一言でいうと

Tenableは、Tenable Identity Exposureのバージョン3.93.4より前のバージョンに深刻な脆弱性が存在することを発表しました。これらの脆弱性は、最新バージョンである3.93.5にアップデートすることで修正されます。利用者は速やかにアップデートを適用することが推奨されています。

🔍該当判定

社内で「Tenable Identity Exposure」という製品を利用している
利用している「Tenable Identity Exposure」のバージョンが 3.93.4 より古い
Tenable社の製品を導入しており、Active DirectoryなどのID管理の脆弱性診断を行っている

上記いずれにも該当しない → 静観でOK

✅該当時の対応

Tenable Identity Exposureを最新バージョン (3.93.5以降) にアップデートしてください。

📧 メール案を見る (管理者向け)

件名: 【共有】Tenable Identity Exposure 脆弱性対応について

お疲れさまです。Tenable Identity Exposureに関する脆弱性情報共有です。

■ 概要
Tenable Identity Exposureの旧バージョンにおいて、深刻な脆弱性が確認されました。最新の修正済みバージョンへのアップデートが推奨されています。

■ 影響範囲
- 対象製品: Tenable Identity Exposure
- 対象バージョン: 3.93.4 未満

■ 対応手順
1. 現在の製品バージョンを確認してください。
2. 最新バージョン (3.93.5) へのアップデートを適用してください。

■ 参考情報
- Tenable Product Security Advisories

対応優先度: 高
対応期限: 速やかに

Subject: [Security Advisory] Tenable Identity Exposure Vulnerability Update

Dear IT/Security Team,

This is a notification regarding critical vulnerabilities identified in Tenable Identity Exposure.

■ Overview
Critical vulnerabilities have been discovered in versions of Tenable Identity Exposure prior to 3.93.4. A security update has been released to address these issues.

■ Scope
- Product: Tenable Identity Exposure
- Affected Versions: Prior to 3.93.4

■ Remediation Steps
1. Verify the current installed version of Tenable Identity Exposure.
2. Update the software to version 3.93.5 or later.

■ Reference
- Tenable Product Security Advisories

Priority: High
Deadline: Immediate

🔗 元の記事を読む

今週中

米国司法省（DoJ）は、カンボジアの複合企業HuiOne Groupの傘下企業が利用していたクラウドアカウントを差し押さえました

脆弱性🌐 英語ソース📰 2記事🌐 1 country

🇺🇸 US (2)

📅 2026-06-24📰 hackernews

📌 一言でいうと

米国司法省（DoJ）は、カンボジアの複合企業HuiOne Groupの傘下企業が利用していたクラウドアカウントを差し押さえました。これらのアカウントは、暗号資産投資詐欺やサイバー詐欺による犯罪収益を洗浄し、正当な銀行セクターへ転送するためのインフラとして利用されていました。また、HuiOne Guaranteeなどの子会社は、Telegramベースの不正マーケットプレイスを運営し、数十億ドル規模の犯罪ツール取引に関与していたとされています。

🔍該当判定

カンボジアの「Huione Cloud」というクラウドサービスを利用している
「Huione Guarantee」または「Haowang Guarantee」というサービスを利用している
Telegram上のマーケットプレイスで、システム開発やデータ購入などの取引を行ったことがある

上記いずれにも該当しない → 静観でOK

✅該当時の対応

不審な暗号資産取引の監視を強化し、Telegram等のSNSを通じた不正なツール提供やサービスへの接触を禁止すること。

🔗 元の記事を読む

月内に

欧州警察機構(Europol)やMicrosoftなどの国際的な連携による「Operation Endgame」により、AmadeyおよびStealCマルウェア…

事案🌐 英語ソース

📅 2026-06-24📰 bleeping

📌 一言でいうと

欧州警察機構(Europol)やMicrosoftなどの国際的な連携による「Operation Endgame」により、AmadeyおよびStealCマルウェアのインフラが遮断されました。この作戦では326台のサーバーと142のドメインが停止され、約4,100万ユーロ相当の暗号資産が特定されました。また、38.5万台以上の侵害システムから盗まれた約2,700万件の認証情報も回収されています。あわせて、偽の更新画面を通じて感染させるSocGholish（FakeUpdates）のインフラも標的となりました。

🔍該当判定

社内で「ソフトウェアの更新が必要です」という偽の通知画面が表示され、ファイルをダウンロードした心当たりがある
不審なメールの添付ファイルやリンクを開いた後、PCの動作が急に重くなった
Webサイト閲覧中に、意図しないプログラムのインストールを促すポップアップが表示された

上記いずれにも該当しない → 静観でOK

✅該当時の対応

不審なウェブサイトでの「ブラウザやソフトの更新」を促すポップアップに注意し、公式ルート以外からのアップデートを避けること。また、漏洩した認証情報が悪用される可能性があるため、多要素認証(MFA)の導入を推奨します。

📧 メール案を見る (社員向け)

件名: 【注意喚起】偽のソフトウェア更新画面によるウイルス感染について

お疲れさまです。情報システム担当です。
インターネット閲覧中に「ブラウザやAdobeなどのソフトを更新してください」という偽の画面を表示させ、ウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. ブラウザやOSの更新案内が出た際は、画面上のボタンを安易にクリックせず、公式の設定画面から更新を確認してください。
2. 不審なファイルやメールの添付ファイルをダウンロード・実行しないでください。

対応期限: 本日中（意識的に徹底してください）

Subject: [Security Alert] Beware of Fake Software Update Prompts

Hi everyone,
We would like to alert you to a common attack method where fake "Update your browser/software" pop-ups are used to infect systems with malware.

What we need from you:
1. Do not click on update prompts that appear unexpectedly while browsing the web. Always use official system settings to perform updates.
2. Avoid downloading or running suspicious files from unknown sources.

Deadline: Immediate (Please remain vigilant)

🔗 元の記事を読む

月内に

サービスデスクを標的としたソーシャルエンジニアリング攻撃が依然として有効な手法として利用されています

事案🌐 英語ソース

📅 2026-06-24📰 bleeping

📌 一言でいうと

サービスデスクを標的としたソーシャルエンジニアリング攻撃が依然として有効な手法として利用されています。Scattered SpiderやSilent Ransom Groupなどの攻撃者が、従業員やITサポート担当者を装い、資格情報の再設定やリモートアクセス権限の取得を試みる事例が報告されています。特にサードパーティのサービスデスク代理店が攻撃の突破口となるケースが確認されており、認証プロセスの強化が急務となっています。

🔍該当判定

社外の業者（アウトソーシング先）に、社員のパスワードリセットなどの権限を委託している
電話やチャットだけで本人確認を行い、パスワードの再発行やアカウント設定の変更を行っている
ITサポート担当者が、社員のPCを遠隔操作するツール（AnyDeskやTeamViewer等）を日常的に利用している

上記いずれにも該当しない → 静観でOK

✅該当時の対応

1. サービスデスクにおける本人確認プロセスの厳格化（多要素認証の導入や、事前登録された連絡先での確認など）。 2. 従業員およびサービスデスク担当者へのソーシャルエンジニアリング対策トレーニングの実施。 3. 特権アカウントの再設定フローに承認ワークフローを導入し、単一の担当者で完結させない体制の構築。

📧 メール案を見る (社員向け)

件名: 【注意喚起】ITサポートを装ったなりすまし電話・メールへの注意について

お疲れさまです。情報システム担当です。
最近、ITサポートや社内担当者を装い、パスワードの変更やリモート操作を誘導する「なりすまし」の手法による攻撃が増えています。

ご協力をお願いしたいこと:
1. 電話やメールで急ぎのパスワード変更や、不審なソフトのインストールを求められた場合は、すぐに指示に従わず、社内の正規ルートで担当者に確認してください。
2. 相手が社内の人間を名乗っていても、不自然な要求（認証情報の聞き出し等）があった場合は、速やかに情報システム部へ報告してください。

対応期限: 本日中（周知確認）

Subject: [Security Alert] Beware of Impersonation Attacks via IT Support

Hi everyone,

We have observed an increase in social engineering attacks where attackers impersonate IT support or company employees to trick staff into resetting passwords or granting remote access to their computers.

What we need from you:
1. If you receive an urgent request to change your password or install software via phone or email, do not follow the instructions immediately. Verify the request through official internal channels.
2. Report any suspicious requests for your credentials or unusual access requests to the IT Security team immediately.

Deadline: Immediate awareness

🔗 元の記事を読む

月内に

台湾の刑事警察局が、LINEの画面共有機能（派對機能）を悪用してTWQR決済コードを盗み出す新しいソーシャルエンジニアリング手法

事案🌐 英語ソース

📅 2026-06-24📰 ithome_tw

📌 一言でいうと

台湾の刑事警察局が、LINEの画面共有機能（派對機能）を悪用してTWQR決済コードを盗み出す新しいソーシャルエンジニアリング手法を公開しました。攻撃者はSNSの格安商品や無料配布を餌に被害者を釣った後、偽のカスタマーサポートを装い、画面共有を通じて決済アプリのコードをリアルタイムで窃取します。この手法により、1,300人以上の被害者が発生し、総額1.3億元の損害が出たと報告されています。

🔍該当判定

台湾の決済規格「TWQR」を利用した支払いサービスを導入・利用している
社内や個人で「LINE」の画面共有機能（派對機能）を利用している
台湾のコンビニ（7-ELEVEN等）の配送・決済サービスを業務で利用している

上記いずれにも該当しない → 静観でOK

✅該当時の対応

1. 見知らぬ相手からの画面共有リクエストには絶対に応じない。2. 決済アプリの操作画面を他人に共有しない。3. 公式ルート以外からの個人情報入力やアプリ操作指示を疑う。

📧 メール案を見る (社員向け)

件名: 【注意喚起】LINEの画面共有機能を悪用した詐欺について

お疲れさまです。情報システム担当です。
LINEの「画面共有（派對機能）」を悪用して、電子決済のコードを盗み出す詐欺が発生しています。

ご協力をお願いしたいこと:
1. 知らない相手や、サポートを名乗る人物から「画面共有」を求められても、絶対に応じないでください。
2. 決済アプリや銀行アプリなどの機密情報を扱う画面を、他人に共有しないでください。
3. SNS上の「格安商品」や「無料プレゼント」などの不審なリンクに注意してください。

対応期限: 本日中（周知徹底をお願いします）

Subject: [Security Alert] Fraud Using LINE Screen-Sharing Feature

Dear employees,

We have received reports of a scam that abuses the LINE "screen-sharing" feature to steal electronic payment codes.

Requested Actions:
1. Never accept screen-sharing requests from strangers or individuals claiming to be "customer support."
2. Do not share your screen while operating payment or banking applications.
3. Be cautious of suspicious links on social media promising "cheap deals" or "free gifts."

Deadline: Immediate (Please ensure awareness)

🔗 元の記事を読む

月内に

macOSにおいて、管理者権限やカーネルエクスプロイトを必要とせずに、セキュリティツールや統合ブラウザツールを無効化できる脆弱性

脆弱性🌐 英語ソース📰 2記事🌐 1 country

🇺🇸 US (2)

🖥️ 製品macOS

📅 2026-06-24📰 darkread

📌 一言でいうと

macOSにおいて、管理者権限やカーネルエクスプロイトを必要とせずに、セキュリティツールや統合ブラウザツールを無効化できる脆弱性が発見されました。攻撃者はこの手法を用いて、エンドポイント保護製品などのセキュリティ対策を回避し、検知を逃れながら攻撃を継続することが可能です。現在、具体的なパッチ情報は提供されていませんが、OSレベルの設計上の不備が指摘されています。

🔍該当判定

社内でMac（MacOS）を業務利用している
Macでセキュリティソフトやウイルス対策ツールを導入している
Macの標準ブラウザ（Safari等）を業務で利用している

上記いずれにも該当しない（Windowsのみ利用など） → 静観でOK

✅該当時の対応

OSの最新アップデートを適用し、不審なプロセスの動作やセキュリティソフトの予期せぬ停止を監視してください。また、EDRなどのログでセキュリティツールの無効化イベントが記録されていないか確認することを推奨します。

📧 メール案を見る (管理者向け)

件名: 【共有】macOSにおけるセキュリティツール無効化の脆弱性について

お疲れさまです。macOSのセキュリティ設定に関する脆弱性の情報共有です。

■ 概要
管理者権限やカーネルエクスプロイトを必要とせず、macOS上のセキュリティツールやブラウザ統合ツールを無効化できる手法が報告されました。これにより、攻撃者がEDR等の検知を回避して活動するリスクがあります。

■ 影響範囲
- 対象製品: macOS

■ 対応手順
1. macOSを最新バージョンにアップデートし、Appleからの修正を待機してください。
2. EDR/セキュリティ製品のログを確認し、ツールが予期せず停止または無効化された形跡がないか監視を強化してください。
3. 権限のないユーザーによる不審な設定変更の有無を確認してください。

■ 参考情報
- DarkRead: Apple's MacOS Gap Lets Users Disable Security Tools

対応優先度: 中
対応期限: 継続的な監視を推奨

Subject: [Security Advisory] Vulnerability allowing disabling of security tools in macOS

Dear Team,

We are sharing information regarding a vulnerability in macOS that allows the disabling of security and integrated browser tools.

■ Overview
It has been discovered that security tools can be disabled without requiring administrator privileges or kernel exploits. This could allow an attacker to bypass endpoint protection and evade detection.

■ Scope
- Affected Product: macOS

■ Recommended Actions
1. Ensure all macOS devices are updated to the latest available version.
2. Increase monitoring for unexpected shutdowns or disabling of security agents via EDR/SIEM logs.
3. Audit for unauthorized configuration changes on macOS endpoints.

■ Reference
- DarkRead: Apple's MacOS Gap Lets Users Disable Security Tools

Priority: Medium
Deadline: Ongoing monitoring

🔗 元の記事を読む

優先度の見方

今日中
悪用が確認されている深刻な問題

今週中
急ぎではないが早めに対応

月内に
計画的に対応すれば良い

把握のみ
知っておくと良い情報

🗓過去の記事

日

月

火

水

木

金

土

少

多

📡 RSS で受け取る

最新のセキュリティ情報を、お使いのRSSリーダーで購読できます。
RSSフィードを開く →

2026年6月24日のセキュリティ情報

📋 本日の目次 (7件)

Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「Cordyceps」を発見しました

2022年にスポーツベッティングサイトDraftKingsを標的とした資格情報詰め合わせ（クレデンシャルスタッフィング）攻撃に関与した3人目の容疑者…

CSIRT Italiaによる2026年5月の運用サマリーです

日本の通信事業者KDDIが管理するメールサービスにおいて、第三者ソフトウェアの脆弱性を悪用した不正アクセスが発生しました

Tenableは、Tenable Identity Exposureのバージョン3.93.4より前のバージョンに深刻な脆弱性が存在すること

米国司法省（DoJ）は、カンボジアの複合企業HuiOne Groupの傘下企業が利用していたクラウドアカウントを差し押さえました

欧州警察機構(Europol)やMicrosoftなどの国際的な連携による「Operation Endgame」により、AmadeyおよびStealCマルウェア…

サービスデスクを標的としたソーシャルエンジニアリング攻撃が依然として有効な手法として利用されています

台湾の刑事警察局が、LINEの画面共有機能（派對機能）を悪用してTWQR決済コードを盗み出す新しいソーシャルエンジニアリング手法

macOSにおいて、管理者権限やカーネルエクスプロイトを必要とせずに、セキュリティツールや統合ブラウザツールを無効化できる脆弱性

2026年6月24日の
セキュリティ情報