🔥 この日の重要情報
2026-07-03 更新
A
今日中

WatchGuard FireboxのVPN機能(Mobile User VPN with IKEv2)において、深刻なリモートコード実行(RCE)の脆弱性「C…

脆弱性
🖥️ 製品WatchGuard
🔢 CVECVE-2026-13368
📅 2026-07-03📰 secnext
📌 一言でいうと
WatchGuard FireboxのVPN機能(Mobile User VPN with IKEv2)において、深刻なリモートコード実行(RCE)の脆弱性「CVE-2026-13368」が発見されました。外部LDAPサーバを利用して認証を行う構成で、競合状態によるUse-After-Freeが発生し、認証なしでコードが実行される恐れがあります。CVSSv4.0のベーススコアは9.2(クリティカル)とされており、ベンダーから修正版OSがリリースされています。
🔍該当判定
  • 社内で「WatchGuard Firebox」という製品のファイアウォールを利用している
  • VPN機能のうち「Mobile User VPN with IKEv2」を有効にして利用している
  • VPNのユーザー認証に「外部LDAPサーバ」を連携させて利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるFireware OSのバージョンを確認し、速やかに修正済みバージョン(Fireware OS 2026.2.1 または 12.12.1)へアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WatchGuard Firebox CVE-2026-13368 対応について

お疲れさまです。WatchGuard FireboxのVPN機能に関する深刻な脆弱性の情報共有です。

■ 概要
Mobile User VPN with IKEv2のLDAP認証処理において、競合状態によるUse-After-Freeが発生し、認証なしでリモートからコードが実行される脆弱性が公開されました。CVSSv4.0スコアは9.2(Critical)と非常に高く、迅速な対応が必要です。

■ 影響範囲
- 対象製品: WatchGuard Firebox
- 条件: Mobile User VPN with IKEv2 を利用し、かつ認証に外部LDAPサーバを利用している構成

■ 対応手順
1. 現在のFireware OSのバージョンを確認してください。
2. 修正済みバージョンである「Fireware OS 2026.2.1」または「12.12.1」へアップデートを適用してください。
※T15/T35向けの12.5.xは未修正、11.xはサポート終了となっているため注意してください。

■ 参考情報
- WatchGuard公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] WatchGuard Firebox CVE-2026-13368 Mitigation

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in WatchGuard Firebox.

■ Overview
A critical Use-After-Free vulnerability (CVE-2026-13368) has been discovered in the LDAP authentication process of the Mobile User VPN with IKEv2. This flaw allows an unauthenticated remote attacker to execute arbitrary code via a race condition. The CVSSv4.0 base score is 9.2 (Critical).

■ Scope
- Product: WatchGuard Firebox
- Condition: Environments using Mobile User VPN with IKEv2 configured with external LDAP server authentication.

■ Mitigation Steps
1. Verify the current version of Fireware OS.
2. Update to the patched versions: Fireware OS 2026.2.1 or 12.12.1.
*Note: Version 12.5.x for T15/T35 remains unpatched, and version 11.x is end-of-life.

■ Reference
- WatchGuard Official Security Advisory

Priority: High
Deadline: Immediate
A
今日中

脅威アクター「JadePuffer」が、Langflowの認証欠如の脆弱性(CVE-2025-3248)を悪用してランサムウェア攻撃を行ったこと

脆弱性🔄 続報🌐 英語ソース🏢 他社事案
🔢 CVECVE-2025-3248
📅 2026-07-03📰 securityweek
📌 一言でいうと
脅威アクター「Langflowの脆弱性を悪用した攻撃を行う脅威アクター">JadePuffer」が、Langflowの認証欠如の脆弱性(CVE-2025-3248)を悪用してランサムウェア攻撃を行ったことが報告されました。攻撃者はこの脆弱性を介して任意のPythonコードを実行し、LLMを用いてシステム内のAPIキーやクラウド資格情報などの機密情報を探索・窃取しました。その後、Postgresデータベースのダンプや内部ネットワークのスキャンを行い、永続的なアクセスを確保するためのcronジョブを配置しました。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 社内で「Langflow」というAIアプリ開発ツールを導入・利用している
  • Langflowをサーバーにインストールし、外部(インターネット)からアクセスできる状態で公開している
  • Langflowのバージョンが2024年4月以前の古いバージョンのままである
上記いずれにも該当しない → 静観でOK
該当時の対応
Langflowを最新バージョンにアップデートし、CVE-2025-3248への対策を適用すること。また、インターネットに直接公開せず、VPNや認証プロキシ経由でのアクセスに制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Langflow CVE-2025-3248 対応について

お疲れさまです。Langflowにおける深刻な脆弱性を悪用した攻撃に関する情報共有です。

■ 概要
Langflowの認証欠如の脆弱性(CVE-2025-3248, CVSS 9.8)を悪用し、攻撃者が任意のPythonコードを実行して機密情報を窃取し、ランサムウェア攻撃へ繋げる事例が確認されました。CISAも本脆弱性が悪用されていることを警告しています。

■ 影響範囲
- 対象製品: Langflow (CVE-2025-3248 が未修正のバージョン)

■ 対応手順
1. Langflowの最新バージョンへのアップデートを適用してください。
2. インターネットに直接公開している場合は、アクセス制限(VPN導入やIP制限等)を検討してください。
3. 認証情報の漏洩が疑われる場合は、APIキーやデータベースパスワードの変更を実施してください。

■ 参考情報
- CISA Known Exploited Vulnerabilities (KEV) Catalog

対応優先度: 高
対応期限: 至急
Subject: [Security Advisory] Langflow CVE-2025-3248 Mitigation

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in Langflow being exploited in the wild.

■ Overview
Threat actor JadePuffer has been observed exploiting CVE-2025-3248 (CVSS 9.8), a missing authentication vulnerability in Langflow. This allows attackers to execute arbitrary Python code, conduct reconnaissance via LLM, and harvest sensitive credentials for ransomware attacks.

■ Scope
- Affected Product: Langflow (versions vulnerable to CVE-2025-3248)

■ Mitigation Steps
1. Immediately update Langflow to the latest patched version.
2. Ensure that Langflow instances are not directly exposed to the public internet; implement VPNs or authentication proxies.
3. Rotate API keys and database credentials if a compromise is suspected.

■ Reference
- CISA Known Exploited Vulnerabilities (KEV) Catalog

Priority: High
Deadline: Immediate
A
今日中

AIコードエディタ「Cursor」に、OSレベルのリモートコード実行(RCE)を可能にする2つの深刻な脆弱性(DuneSlide)

脆弱性🔄 続報🌐 英語ソース
🔢 CVECVE-2026-50548CVE-2026-50549
📅 2026-07-03📰 securityweek
📌 一言でいうと
AIコードエディタ「Cursor」に、OSレベルのリモートコード実行(RCE)を可能にする2つの深刻な脆弱性(DuneSlide)が発見されました。攻撃者が制御するペイロードをIDEに読み込ませることで、サンドボックスの制限を回避して任意のコマンドを実行される恐れがあります。CVSSスコアは9.8と非常に高く、早急な対策が推奨されます。
🔍該当判定
  • AI搭載のコードエディタ「Cursor」を社内で利用している
  • CursorでAIによるターミナルコマンドの自動実行機能を有効にしている
  • Cursorで外部から提供されたコードやMCPサーバー(外部連携機能)を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
Cursorの最新バージョンへのアップデートを確認し、適用すること。また、信頼できないソースからのコードやペイロードをIDEに読み込ませないよう注意してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cursor AI Code Editor 脆弱性 (CVE-2026-50548, CVE-2026-50549) 対応について

お疲れさまです。Cursor AI Code Editorにおける深刻な脆弱性に関する情報共有です。

■ 概要
AIコードエディタ「Cursor」において、サンドボックスを回避してOSレベルでリモートコード実行(RCE)が可能な脆弱性(通称: DuneSlide)が報告されました。CVSSスコアは9.8と極めて高く、攻撃者が制御するペイロードを読み込ませることで、権限のないコマンド実行が行われる可能性があります。

■ 影響範囲
- 対象製品: Cursor AI Code Editor
- 脆弱性番号: CVE-2026-50548, CVE-2026-50549

■ 対応手順
1. 社内でCursorを利用している開発者の利用状況を把握してください。
2. Cursorを最新バージョンにアップデートするよう指示してください。
3. 信頼できない外部リポジトリやペイロードをIDEにインポートしないよう周知してください。

■ 参考情報
- Cato Networks レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Cursor AI Code Editor Vulnerabilities (CVE-2026-50548, CVE-2026-50549)

Dear IT/Security Team,

We are sharing information regarding critical vulnerabilities discovered in the Cursor AI code editor.

■ Overview
Two critical flaws, collectively known as 'DuneSlide' (CVE-2026-50548 and CVE-2026-50549), allow for Remote Code Execution (RCE) on the host operating system. By bypassing the IDE's sandbox, an attacker can execute arbitrary commands if a user prompts the IDE to ingest a malicious payload. The CVSS score is 9.8.

■ Scope
- Product: Cursor AI Code Editor
- CVEs: CVE-2026-50548, CVE-2026-50549

■ Action Plan
1. Identify developers within the organization using the Cursor editor.
2. Ensure all instances are updated to the latest patched version immediately.
3. Advise users against importing untrusted payloads or code into the IDE.

■ Reference
- Cato Networks Report

Priority: High
Deadline: Immediate
B
今週中

新しく特定された脅威アクター「Armored Likho」が、ロシア、ブラジル、カザフスタンの政府機関や電力セクターを標的に攻撃を行っています

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇷🇺 Russia · 🇺🇸 US
📅 2026-07-03📰 hackernews
📌 一言でいうと
新しく特定された脅威アクター「Armored Likho」が、ロシア、ブラジル、カザフスタンの政府機関や電力セクターを標的に攻撃を行っています。このグループは、金銭目的のキャンペーンと組織へのサイバースパイ活動を使い分けており、動的解析を回避する難読化されたモジュール型RATやインフォスティーラー「BusySnake」を使用します。また、リモートアクセスやネットワークトンネリングのためにGo2Tunnelなどのツールを併用し、持続的なアクセスを維持します。
🔍該当判定
  • ロシア、ブラジル、カザフスタンのいずれかの国で事業を展開している
  • 政府機関または電力業界(発電・送電・配電)に従事している
  • 社内ネットワークでGo2Tunnelなどのトンネリングツールを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なメールの添付ファイルやリンクを避け、エンドポイント検出および応答 (EDR) ツールを用いて、Go2Tunnelなどの不審なトンネリングツールの実行や異常なネットワークトラフィックを監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】新脅威アクター Armored Likho による攻撃キャンペーンについて

お疲れさまです。新しく特定された脅威アクター Armored Likho に関する情報共有です。

■ 概要
政府機関や電力セクターを標的としたサイバースパイ活動が確認されています。攻撃者は「BusySnake」というインフォスティーラーや、動的解析を回避する難読化されたモジュール型RATを使用します。また、ネットワークトンネリングツール「Go2Tunnel」を用いて持続的なアクセスを確保する傾向があります。

■ 影響範囲
- 政府機関、電力インフラ組織(特にロシア、ブラジル、カザフスタンで観測)

■ 対応手順
1. ネットワーク内で Go2Tunnel 等の不審なトンネリングツールの利用がないかログを確認してください。
2. EDR等の監視ツールにて、難読化された不審なバイナリの実行や、不自然な外部通信を検知するルールを適用してください。
3. 権限管理を徹底し、特権アカウントの認証強化(MFA)を再確認してください。

■ 参考情報
- Kaspersky Technical Analysis

対応優先度: 中
対応期限: 随時
Subject: [Intel] Threat Actor Armored Likho Targeting Government and Power Sectors

Dear Team,

We are sharing intelligence regarding a newly identified threat actor, Armored Likho.

■ Overview
Armored Likho is conducting cyber espionage and financially motivated attacks against government agencies and the electric power sector. The group utilizes the "BusySnake" infostealer and obfuscated modular RATs designed to evade dynamic analysis. They are also known to use Go2Tunnel for remote access and network tunneling to maintain persistence.

■ Scope
- Government agencies and electric power sector organizations (observed in Russia, Brazil, and Kazakhstan).

■ Recommended Actions
1. Monitor network logs for the use of unauthorized tunneling tools such as Go2Tunnel.
2. Update EDR/SIEM detection rules to identify obfuscated binaries and anomalous outbound traffic patterns.
3. Review and enforce Multi-Factor Authentication (MFA) for all privileged accounts.

■ Reference
- Kaspersky Technical Analysis

Priority: Medium
Deadline: Ongoing
B
今週中

FBIは、ハッカー組織TeamPCPがソフトウェア開発ツールやCI/CDパイプラインを標的とした大規模なサプライチェーン攻撃を行っていると警告しました

事案🌐 英語ソース
📅 2026-07-03📰 ithome_tw
📌 一言でいうと
FBIは、ハッカー組織TeamPCPがソフトウェア開発ツールやCI/CDパイプラインを標的とした大規模なサプライチェーン攻撃を行っていると警告しました。攻撃者はTrivyKICSLiteLLM、Telnyx Python SDKなどのツールに悪意のあるコードを混入させ、クラウドアクセストークンやSSH鍵などの機密情報を窃取します。また、窃取したデータの公開を脅迫する勒索活動にも関与していることが判明しています。
🔍該当判定
  • 自社でソフトウェア開発を行っており、Trivy、KICS、LiteLLM、Telnyx Python SDKのいずれかを利用している
  • GitHub ActionsなどのCI/CDツールを用いて、自動的にプログラムのビルドやデプロイを行っている
  • Kubernetesを利用しており、Secrets(機密情報)を管理している
  • クラウド環境へのアクセスに使用するトークンやSSH鍵を、開発ツールやCI/CD環境に保存している
上記いずれにも該当しない → 静観でOK
該当時の対応
GitHub Actions等のワークフローで検証済みのCommit SHAハッシュ値を固定して使用すること。CI/CDの認証情報を定期的に更新し、多要素認証(MFA)を有効化すること。また、CI/CDプロセスの監視を強化し、不審な挙動を検知できる体制を整えることが推奨されます。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】TeamPCPによる開発ツール・CI/CDサプライチェーン攻撃への対応について

お疲れさまです。TeamPCPによるサプライチェーン攻撃に関する情報共有です。

■ 概要
FBIの警告により、TeamPCPがTrivy, KICS, LiteLLM, Telnyx Python SDKなどの開発・セキュリティツールに悪意のあるコードを混入させ、クラウドトークンやSSH鍵、Kubernetes Secrets等を窃取していることが判明しました。また、窃取データの公開を盾にした勒索活動も行われています。

■ 影響範囲
- 対象ツール: Trivy, KICS, LiteLLM, Telnyx Python SDK
- CI/CDパイプラインおよびクラウドインフラ管理環境

■ 対応手順
1. GitHub Actions等のワークフローにおいて、タグではなく検証済みのCommit SHAハッシュ値を使用してアクションを固定する。
2. CI/CD環境で使用している認証情報(Secrets/Tokens)のローテーションを実施する。
3. 全ての特権アカウントで多要素認証(MFA)を強制適用する。
4. CI/CDパイプラインのログおよびクラウド環境への不審なアクセスがないか監視を強化する。

■ 参考情報
- FBI FLASH Alert (2026-07-02)

対応優先度: 高
対応期限: 速やかに実施
Subject: [Security Alert] Supply Chain Attacks by TeamPCP targeting Dev Tools and CI/CD

Dear IT/Security Team,

We are sharing critical intelligence regarding a campaign by the threat actor TeamPCP.

■ Overview
According to an FBI FLASH alert, TeamPCP is conducting large-scale supply chain attacks by compromising widely used development and security tools. They inject malicious code to steal cloud access tokens, SSH keys, and Kubernetes Secrets, and engage in data leak extortion.

■ Scope
- Affected Tools: Trivy, KICS, LiteLLM, Telnyx Python SDK
- CI/CD pipelines and cloud infrastructure environments

■ Mitigation Steps
1. Pin GitHub Actions workflows to verified Commit SHA hashes instead of tags.
2. Rotate all CI/CD credentials and secrets immediately.
3. Enforce Multi-Factor Authentication (MFA) across all administrative and developer accounts.
4. Enhance monitoring of CI/CD pipelines and cloud environment access logs for anomalies.

■ Reference
- FBI FLASH Alert (2026-07-02)

Priority: High
Deadline: Immediate
B
今週中

LinuxベースのOS向けオープンソースデスクトップ環境であるKDE Plasmaにおいて、任意のコード実行が可能な脆弱性のProof of Concept…

脆弱性🌐 英語ソース
📅 2026-07-03📰 csirt_it
📌 一言でいうと
LinuxベースのOS向けオープンソースデスクトップ環境であるKDE Plasmaにおいて、任意のコード実行が可能な脆弱性のProof of Concept (PoC) が公開されました。この脆弱性は、ユーザー入力(app_id)および /proc/[PID]/cmdline の不適切な検証に起因します。攻撃者がこれを悪用した場合、セキュリティメカニズムを回避してシステム上で任意のコードを実行される恐れがあります。
🔍該当判定
  • 社内でLinux OSを利用している
  • デスクトップ環境(GUI)に「KDE Plasma」を採用している
  • 開発環境や社内サーバーでKDE Plasmaをインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
KDE Plasma の最新バージョンへのアップデートを確認し、適用してください。また、信頼できないアプリケーションやスクリプトの実行を避けてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】KDE Plasma 任意のコード実行の脆弱性 (PoC公開) 対応について

お疲れさまです。KDE Plasma に関する脆弱性情報共有です。

■ 概要
KDE Plasma において、不適切な入力検証に起因する任意のコード実行の脆弱性が報告され、PoCが公開されました。CVSS v3.1 スコアは 8.2 と推定されており、セキュリティ機能のバイパスおよびコード実行が可能です。

■ 影響範囲
- 対象製品: KDE Plasma (Linux デスクトップ環境)
- 脆弱な箇所: app_id および /proc/[PID]/cmdline の処理

■ 対応手順
1. 組織内で KDE Plasma を利用している端末の有無を確認してください。
2. 利用している場合は、最新のセキュリティパッチが適用されているか確認し、アップデートを実施してください。

■ 参考情報
- CSIRT-ITA Alert AL04/260703/CSIRT-ITA

対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Advisory] Arbitrary Code Execution Vulnerability in KDE Plasma (PoC Released)

Dear IT/Security Team,

We are sharing information regarding a vulnerability in the KDE Plasma desktop environment.

■ Overview
A vulnerability allowing arbitrary code execution has been identified in KDE Plasma, and a Proof of Concept (PoC) is now public. The estimated CVSS v3.1 score is 8.2. The flaw is caused by improper validation of the 'app_id' parameter and the '/proc/[PID]/cmdline' file.

■ Scope
- Affected Product: KDE Plasma (Linux Desktop Environment)

■ Mitigation Steps
1. Identify systems within the organization running the KDE Plasma desktop environment.
2. Ensure that the latest security updates and patches are applied to these systems.

■ Reference
- CSIRT-ITA Alert AL04/260703/CSIRT-ITA

Priority: Medium
Deadline: Immediate review
B
今週中

PHP開発チームが、複数の脆弱性を修正したセキュリティアップデート

脆弱性
🔢 CVECVE-2026-14355CVE-2026-12184
📅 2026-07-03📰 secnext
📌 一言でいうと
PHP開発チームが、複数の脆弱性を修正したセキュリティアップデートを公開しました。OpenSSL関連のメモリ破壊(CVE-2026-14355)や、HTTPS URL取得時の異常終了(CVE-2026-12184)に加え、GDやBCMath、Pharなどのコンポーネントにおける脆弱性が修正されています。対象となるPHP 8.5.8, 8.4.23, 8.3.32, 8.2.32への速やかな更新が推奨されています。
🔍該当判定
  • 自社でPHP(バージョン8.2 / 8.3 / 8.4 / 8.5)を搭載したWebサーバーを運用している
  • WordPressなどのPHP製CMSを自社サーバー(オンプレミスやVPS)で構築・管理している
  • PHPプログラム内で「openssl_encrypt」や「file_get_contents」などの関数を利用して通信や暗号化処理を行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
利用しているPHPのバージョンを確認し、最新のセキュリティリリース(8.5.8, 8.4.23, 8.3.32, 8.2.32)へアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PHP セキュリティアップデート (CVE-2026-14355, CVE-2026-12184) 対応について

お疲れさまです。PHPの脆弱性修正に関する情報共有です。

■ 概要
PHPにおいて、メモリ破壊や異常終了、バッファオーバーフローなどの複数の脆弱性が修正されました。特にOpenSSL関連のメモリ破壊(CVE-2026-14355)や、プロキシ経由のHTTPS取得時の脆弱性(CVE-2026-12184)が含まれています。

■ 影響範囲
- PHP 8.5, 8.4, 8.3, 8.2 の各ブランチ

■ 対応手順
1. サーバーで稼働しているPHPのバージョンを確認してください。
2. 以下の最新バージョンへアップデートを適用してください:
- PHP 8.5.8
- PHP 8.4.23
- PHP 8.3.32
- PHP 8.2.32

■ 参考情報
- PHP 公式リリースノート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] PHP Security Updates (CVE-2026-14355, CVE-2026-12184)

Dear Team,

This is a notification regarding critical security updates for PHP.

■ Overview
Multiple vulnerabilities have been patched in PHP, including memory corruption in OpenSSL (CVE-2026-14355) and a crash issue when fetching HTTPS URLs via proxies (CVE-2026-12184). Additionally, issues in GD, BCMath, and Phar have been resolved.

■ Affected Versions
- PHP 8.5, 8.4, 8.3, and 8.2 branches

■ Remediation Steps
1. Verify the current PHP version installed on your servers.
2. Update to the following secure versions:
- PHP 8.5.8
- PHP 8.4.23
- PHP 8.3.32
- PHP 8.2.32

■ Reference
- PHP Official Release Notes

Priority: High
Deadline: Immediate
B
今週中

Sysdig社は、LLM(大規模言語モデル)によってエンドツーエンドで制御された初のAI駆動型ランサムウェア作戦「JADEPUFFER」を報告しました

脆弱性🔄 続報🌐 英語ソース🏢 他社事案
📅 2026-07-03📰 secaffairs
📌 一言でいうと
Sysdig社は、LLM(大規模言語モデル)によってエンドツーエンドで制御された初のAI駆動型ランサムウェア作戦「JADEPUFFER」を報告しました。このAIエージェントは、人間を介さずに脆弱性の悪用、認証情報の窃取、横展開、データの暗号化および破壊を完結させました。攻撃の起点となったのはインターネットに公開されていたLangflowインスタンスの脆弱性であり、AIが自律的に攻撃を遂行した点が極めて特異です。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 社内で「Langflow」というAIツールをインストールして利用している
  • インターネットから直接アクセス可能な状態で「Langflow」を運用している
  • サーバー上でAIエージェントやLLM(大規模言語モデル)を動かす仕組みを構築している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. インターネットに公開されているAIツール(Langflow等)の脆弱性パッチを最新に適用すること。 2. AIエージェントに過剰な権限を与えず、最小権限の原則を適用すること。 3. AIツールへのアクセスに多要素認証(MFA)を導入し、不審な自律的挙動を検知できる監視体制を構築すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AI駆動型ランサムウェア「JADEPUFFER」の観測について

お疲れさまです。AIエージェントによる自律的なランサムウェア攻撃に関する情報共有です。

■ 概要
Sysdig社の報告により、LLMが攻撃の全工程(初期侵入からデータ暗号化まで)を自律的に実行した事例「JADEPUFFER」が確認されました。攻撃者はLangflowの脆弱性を悪用して侵入し、人間を介さず横展開と暗号化を完結させています。

■ 影響範囲
- インターネットに公開されているLangflowインスタンスおよび同様のAIエージェントプラットフォーム

■ 対応手順
1. 外部公開しているAIツール(Langflow等)のバージョンを確認し、最新のセキュリティパッチを適用してください。
2. AIエージェントが利用するAPIキーやサービスアカウントの権限を最小限に制限してください。
3. 異常な特権昇格や不自然な横展開のログを監視してください。

■ 参考情報
- Sysdig Threat Research Team Report

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Observation of AI-Driven Ransomware "JADEPUFFER"

Dear Team,

We are sharing information regarding a newly documented autonomous ransomware attack driven by an AI agent.

■ Overview
Sysdig has reported "JADEPUFFER," the first known case of agentic ransomware where an LLM autonomously executed the entire attack chain—from initial access via a Langflow vulnerability to lateral movement and data encryption—without human intervention.

■ Scope
- Internet-facing Langflow instances and similar AI agent orchestration platforms.

■ Action Items
1. Audit all internet-facing AI tools (e.g., Langflow) and ensure they are updated to the latest patched versions.
2. Implement the principle of least privilege for API keys and service accounts used by AI agents.
3. Enhance monitoring for anomalous lateral movement or privilege escalation originating from AI service accounts.

■ Reference
- Sysdig Threat Research Team Report

Priority: High
Deadline: Immediate
C
月内に

WatchGuardは、Fireware OSおよびMobile VPN with SSL Windowsクライアントにおける複数の脆弱性を修正するセキュリティ…

脆弱性🌐 英語ソース
🖥️ 製品WatchGuard
📅 2026-07-03📰 cccs
📌 一言でいうと
WatchGuardは、Fireware OSおよびMobile VPN with SSL Windowsクライアントにおける複数の脆弱性を修正するセキュリティアドバイザリを公開しました。影響を受ける脆弱性には、Fireboxのレースコンディション、Mobile VPN with IKEv2 LDAP認証におけるUse-After-Free、およびWindowsクライアントのローカル権限昇格が含まれます。ユーザーおよび管理者は、速やかに最新バージョンへのアップデートを適用することが推奨されています。
🔍該当判定
  • WatchGuard社のFirebox(ファイアウォール)を導入して利用している
  • Fireware OSのバージョンが 2026.2 以前、または 11.x / 12.0 / 12.5 の旧バージョンである
  • Windows版の『Mobile VPN with SSL client』を社外からのリモートアクセスに利用している
  • VPN接続の認証にLDAP(Active Directory等)を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受ける製品のバージョンを確認し、ベンダーが提供する最新の修正済みバージョンへアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WatchGuard Fireware OS / Mobile VPN 脆弱性対応について

お疲れさまです。WatchGuard製品の脆弱性に関する情報共有です。

■ 概要
WatchGuard FireboxおよびMobile VPNにおいて、レースコンディション、Use-After-Free、およびローカル権限昇格などの脆弱性が報告されました。悪用された場合、システムへの不正アクセスや権限昇格を許す可能性があります。

■ 影響範囲
- Fireware OS 2025.1 (v2026.2以前)
- Fireware OS 11.x (v11.12.4_Update1以前)
- Fireware OS 12.0 (v12.12以前)
- Fireware OS 12.5 (v12.5.18以前)
- Mobile VPN with SSL client for Windows (v2026.2以前)

■ 対応手順
1. 利用中のFireware OSおよびVPNクライアントのバージョンを確認してください。
2. ベンダーが提供する最新の修正済みバージョンへアップデートを適用してください。

■ 参考情報
- WatchGuard Security Advisories

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] WatchGuard Fireware OS / Mobile VPN Vulnerabilities

Dear IT Team,

We are sharing information regarding security vulnerabilities identified in WatchGuard products.

■ Overview
Multiple vulnerabilities, including race conditions, Use-After-Free, and local privilege escalation, have been reported in WatchGuard Firebox and Mobile VPN. These could potentially lead to unauthorized access or privilege escalation.

■ Affected Scope
- Fireware OS 2025.1 (v2026.2 and prior)
- Fireware OS 11.x (v11.12.4_Update1 and prior)
- Fireware OS 12.0 (v12.12 and prior)
- Fireware OS 12.5 (v12.5.18 and prior)
- Mobile VPN with SSL client for Windows (v2026.2 and prior)

■ Remediation Steps
1. Verify the current version of Fireware OS and VPN clients in your environment.
2. Apply the latest security updates provided by the vendor.

■ Reference
- WatchGuard Security Advisories

Priority: High
Deadline: Immediate
C
月内に

Microsoftは、Exchange Onlineにおける権限昇格の脆弱性(CVE-2026-54998)

事案🌐 英語ソース
🔢 CVECVE-2026-54998
📅 2026-07-03📰 ithome_tw
📌 一言でいうと
Microsoftは、Exchange Onlineにおける権限昇格の脆弱性(CVE-2026-54998)を公開しました。この脆弱性は認証済みの攻撃者がネットワーク経由で権限を昇格させ、未認可のデータアクセスを行う可能性があるもので、CVSSスコアは8.8と高く評価されています。Microsoftは既にクラウドプラットフォーム側で修正を完了しており、現時点で悪用の兆候は確認されていません。
🔍該当判定
  • Microsoft 365 のクラウドメール(Exchange Online)を利用している
  • 社内のメールサーバーをクラウド(Microsoft 365)に移行済みである
  • Outlook を利用してクラウド上のメールボックスにアクセスしている
上記いずれにも該当しない(自社で物理サーバーを運用している等) → 静観でOK
該当時の対応
本脆弱性はMicrosoft側で修正済みであるため、ユーザー側でのパッチ適用作業は不要です。ただし、不審なアクセスログがないか監視を継続することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Exchange Online 権限昇格の脆弱性 (CVE-2026-54998) 対応について

お疲れさまです。Exchange Onlineの脆弱性に関する情報共有です。

■ 概要
Exchange Onlineの認可メカニズムに起因する権限昇格の脆弱性が公開されました。CVSSスコアは8.8であり、認証済みの攻撃者がネットワーク経由で権限を昇格させ、機密データへアクセスできる可能性があります。

■ 影響範囲
- Exchange Online

■ 対応手順
1. 本脆弱性はMicrosoftによりクラウド側で既に修正済みであるため、管理者の手動パッチ適用は不要です。
2. 念のため、特権アカウントの不審な操作や、未認可のデータアクセスが発生していないか監査ログを確認することを推奨します。

■ 参考情報
- Microsoft 公式セキュリティ更新プログラムガイド

対応優先度: 中
対応期限: 確認済みであれば対応不要
Subject: [Info] Exchange Online Privilege Escalation Vulnerability (CVE-2026-54998)

Dear Team,

We are sharing information regarding a vulnerability in Exchange Online.

■ Overview
A privilege escalation vulnerability (CVE-2026-54998) has been disclosed in the Exchange Online authorization mechanism. With a CVSS score of 8.8, it allows authenticated attackers to elevate privileges via the network and potentially access unauthorized data.

■ Scope
- Exchange Online

■ Action Plan
1. No manual patching is required as Microsoft has already applied the fix to the cloud service platform.
2. It is recommended to review audit logs for any suspicious activity involving privileged accounts or unauthorized data access.

■ Reference
- Microsoft Security Update Guide

Priority: Medium
Deadline: N/A (Already patched by vendor)
C
月内に

北朝鮮に関連すると見られる攻撃者が、Rollupのポリフィルツールを装った悪意のあるnpmパッケージを配布しています

事案🌐 英語ソース
📅 2026-07-03📰 hackernews
📌 一言でいうと
北朝鮮に関連すると見られる攻撃者が、Rollupのポリフィルツールを装った悪意のあるnpmパッケージを配布しています。これらのパッケージは、正当なプロジェクトに似せた名称やメタデータを使用しており、開発者の機密情報の窃取やリモートアクセスを目的としています。JFrogの分析により、複数のパッケージが相互に依存して動作し、最終的にマルウェアをロードする仕組みが明らかになりました。
🔍該当判定
  • JavaScriptの開発で 'npm' というパッケージ管理ツールを利用している
  • プロジェクトの依存関係(package.json)に 'rollup-packages-polyfill-core' または 'rollup-runtime-polyfill-core' が含まれている
  • 最近 'react-icon-svgs' や 'swift-parse-stream' というライブラリをインストールした
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 依存関係のレビューを行い、不審なパッケージ(特に今回報告された名称のもの)が含まれていないか確認すること。2. パッケージのインストール時に、公式リポジトリのメタデータや作者を慎重に確認すること。3. 開発環境におけるシークレット管理を徹底し、環境変数の漏洩対策を講じること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】北朝鮮系アクターによる悪意のあるnpmパッケージへの対応について

お疲れさまです。北朝鮮に関連する脅威アクターによるサプライチェーン攻撃に関する情報共有です。

■ 概要
正当なRollupポリフィルツールを装った悪意のあるnpmパッケージが配布されています。これらは開発者の機密情報を窃取し、リモートアクセスを確立することを目的としています。

■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- 特に以下のパッケージを導入したプロジェクト:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream

■ 対応手順
1. プロジェクトの package.json および lock ファイルを確認し、上記パッケージが含まれていないかスキャンしてください。
2. 検出された場合は、直ちにパッケージを削除し、漏洩した可能性があるAPIキーや認証情報をローテートしてください。
3. 開発チームに対し、不審なタイポスクワッティングパッケージへの注意喚起を行ってください。

■ 参考情報
- JFrog Technical Write-up

対応優先度: 高
対応期限: 本日中
Subject: [Alert] Malicious npm Packages Linked to North Korean Actors

Dear IT/Security Team,

We are sharing information regarding a supply chain attack involving malicious npm packages linked to North Korean threat actors.

■ Overview
Malicious packages masquerading as Rollup polyfill tooling have been identified. These packages are designed to steal developer secrets and establish remote access to compromised environments.

■ Scope
- Development environments utilizing npm packages.
- Specifically, projects that have installed:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream

■ Action Plan
1. Audit package.json and lock files across all projects to identify the presence of the listed malicious packages.
2. If found, immediately remove the packages and rotate any potentially compromised API keys or credentials.
3. Educate development teams on the risks of typosquatting and the importance of verifying package metadata.

■ Reference
- JFrog Technical Write-up

Priority: High
Deadline: Immediate
C
月内に

Comparitechによる調査で、政府およびヘルスケアセクターのメールセキュリティが極めて脆弱であること

事案🌐 英語ソース
📅 2026-07-03📰 secaffairs
📌 一言でいうと
Comparitechによる調査で、政府およびヘルスケアセクターのメールセキュリティが極めて脆弱であることが判明しました。多くのドメインでSPFDKIMを補完し、認証失敗時の処理を定義する仕組み">DMARC、DKIM、MTA-STSなどの認証プロトコルが導入されておらず、フィッシング攻撃に対して無防備な状態にあります。特に政府セクターの平均スコアは低く、約27%のドメインで保護策が全く講じられていないことが明らかになりました。
🔍該当判定
  • 自社で独自ドメインのメールサーバーを運用している
  • メール送信設定(DNS設定)で SPF / DKIM / DMARC のいずれかを設定していない
  • 政府機関や医療機関などの公的・医療系サービスとメールでやり取りしている
  • なりすましメール対策(メール認証)の導入状況を把握していない
上記いずれにも該当しない → 静観でOK
該当時の対応
SPF, DKIM, DMARCの導入および設定の最適化を行い、MTA-STSの導入を検討してメールのなりすましや改ざんを防止すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】なりすましメール(フィッシング)への警戒について

お疲れさまです。情報システム担当です。
最近、政府機関や医療機関などを装った、巧妙ななりすましメールによる攻撃が増加しています。

ご協力をお願いしたいこと:
1. 送信元アドレスが正しくても、不自然な依頼やリンクがある場合は安易にクリックしない
2. 疑わしいメールを受信した場合は、速やかに情報システム担当まで報告する

対応期限: 本日より継続的に注意してください
Subject: [Security Alert] Beware of Phishing and Spoofing Emails

Hi everyone,
We are seeing an increase in sophisticated phishing attacks that impersonate government and healthcare organizations.

What we need from you:
1. Do not click on suspicious links or attachments, even if the sender's address looks legitimate.
2. Report any suspicious emails to the IT security team immediately.

Deadline: Please remain vigilant starting today.