🔥 この日の重要情報
2026-07-10 更新
B
今週中

Injective LabsのGitHubリポジトリが侵害され、暗号資産ウォレットの秘密鍵やシードフレーズを盗み出す悪意のあるnpmパッケージ

脆弱性🌐 英語ソース
🖥️ 製品GitHub
📅 2026-07-10📰 hackernews
📌 一言でいうと
Injective LabsのGitHubリポジトリが侵害され、暗号資産ウォレットの秘密鍵やシードフレーズを盗み出す悪意のあるnpmパッケージが公開されました。攻撃者は既存のコントリビューターのアカウントを使用して悪意のあるコードを混入させ、@injectivelabs/sdk-tsのバージョン1.20.21およびそれに依存する17のパッケージに影響を及ぼしました。当該バージョンはnpmレジストリで非推奨となりましたが、GitHub上のリリース成果物には依然として悪意のあるコードが残っている可能性があります。
🔍該当判定
  • 仮想通貨(暗号資産)の開発や運用に『Injective Labs』のSDKを利用している
  • npm経由で『@injectivelabs/sdk-ts』のバージョン 1.20.21 をインストールした
  • GitHubから『@injectivelabs』が提供するパッケージの最新版を直接ダウンロードして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. @injectivelabs/sdk-ts バージョン 1.20.21 を使用していないか確認し、直ちにアップデートまたはクリーンなバージョンへの差し戻しを行う。 2. 侵害されたバージョンを使用した可能性がある場合は、ウォレットの秘密鍵やシードフレーズが漏洩したとみなし、資産の移動を検討する。 3. 依存関係の固定(Pinning)設定を見直し、信頼できるソースからのパッケージのみを導入する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Injective Labs SDK におけるサプライチェーン攻撃への対応について

お疲れさまです。Injective LabsのSDKリポジトリが侵害された件に関する情報共有です。

■ 概要
GitHubリポジトリの侵害により、暗号資産ウォレットの秘密鍵等を窃取する悪意のあるnpmパッケージが公開されました。攻撃者は正規開発者のアカウントを用いてコードを混入させており、巧妙なサプライチェーン攻撃となっています。

■ 影響範囲
- 対象パッケージ: @injectivelabs/sdk-ts バージョン 1.20.21
- および、上記バージョンに依存・固定している @injectivelabs スコープのパッケージ 17種

■ 対応手順
1. プロジェクトの package-lock.json または yarn.lock を確認し、@injectivelabs/[email protected] が含まれていないか確認してください。
2. 該当バージョンが検出された場合は、直ちに安全なバージョンへ更新してください。
3. 開発環境で当該バージョンを実行していた場合、環境変数や設定ファイルに保存されていたウォレット情報の漏洩を想定し、対応を検討してください。

■ 参考情報
- Socket Security Analysis

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on Injective Labs SDK

Dear Team,

We are sharing information regarding a supply chain compromise affecting the Injective Labs SDK.

■ Overview
Threat actors compromised the Injective Labs GitHub repository to publish malicious npm packages designed to exfiltrate cryptocurrency wallet private keys and mnemonic seed phrases. The attack was carried out via a compromised developer account.

■ Affected Scope
- Package: @injectivelabs/sdk-ts version 1.20.21
- 17 additional @injectivelabs scoped packages that depend on the malicious version.

■ Action Plan
1. Audit package-lock.json or yarn.lock files to identify if @injectivelabs/[email protected] is being used.
2. Immediately update to a secure version if the affected version is found.
3. If the malicious version was executed in any environment, assume that wallet keys or seed phrases stored in that environment have been compromised.

■ Reference
- Socket Security Analysis

Priority: High
Deadline: Immediate
B
今週中

テルアビブ大学の研究者が、LLMの「幻覚」を利用して悪意のあるリソースをインストールさせる新手法「HalluSquatting」

脆弱性🌐 英語ソース
📅 2026-07-10📰 ithome_tw
📌 一言でいうと
テルアビブ大学の研究者が、LLMの「幻覚」を利用して悪意のあるリソースをインストールさせる新手法「HalluSquatting」を公開しました。攻撃者はAIが誤って生成しやすいリソース名を先回りして登録し、そこに悪意のあるプロンプトを仕込むことで、AI開発アシスタントに任意のコマンドを実行させることが可能です。CursorやGitHub Copilotなどの主要なAIツールが影響を受け、リモートコード実行(RCE)に至るリスクが確認されています。
🔍該当判定
  • Cursor, Windsurf, GitHub Copilot, Cline などのAIコードエディタ・開発アシスタントを利用している
  • AIアシスタントに「外部リポジトリのコピー(clone)」や「AIスキルのインストール」を指示して実行させている
  • AIアシスタントが提案したコマンドを、内容を確認せずにそのままターミナルで実行(自動実行)させている
上記いずれにも該当しない → 静観でOK
該当時の対応
AIエージェントが外部リソースを複製・インストールする前に、必ず人間がリソース名と提供元の正当性を確認すること。また、AIによるコマンドの自動実行を制限し、実行計画を事前にレビューする運用を徹底してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AI開発アシスタントにおける新攻撃手法「HalluSquatting」への対応について

お疲れさまです。AI開発ツールの利用に関するセキュリティリスクの情報共有です。

■ 概要
LLMがリソース名を誤認する「幻覚」を悪用し、攻撃者が用意した偽のリソース(リポジトリやスキル)をAIに読み込ませることで、任意のコードを実行させる「HalluSquatting」という手法が報告されました。

■ 影響範囲
- Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI 等のAI開発アシスタント

■ 対応手順
1. AIエージェントによる外部リソース(GitHubリポジトリ等)の自動インストール・クローンを禁止し、人間による承認フローを導入してください。
2. AIが生成した実行計画(プラン)を、実際にコマンドを実行する前に必ずレビューするよう開発者に周知してください。
3. 信頼できないサードパーティ製AIスキルの導入を制限してください。

■ 参考情報
- テルアビブ大学 研究報告

対応優先度: 中
対応期限: 速やかに周知
Subject: [Security Alert] Mitigation for 'HalluSquatting' Attack on AI Coding Assistants

Dear IT/Security Team,

We are sharing information regarding a new attack vector called 'HalluSquatting' targeting AI-powered development tools.

■ Overview
This attack exploits LLM hallucinations by pre-registering resource names that AI assistants are likely to hallucinate. Once the AI pulls these malicious resources, adversarial prompts can trigger Remote Code Execution (RCE) via the tool's integrated terminal.

■ Affected Products
- AI assistants including Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, and Gemini CLI.

■ Recommended Actions
1. Disable fully autonomous installation/cloning of external resources by AI agents; implement a mandatory human-in-the-loop approval process.
2. Instruct developers to rigorously review execution plans generated by AI before allowing command execution.
3. Restrict the installation of unverified third-party AI 'skills' or plugins.

■ Reference
- Tel Aviv University Research

Priority: Medium
Deadline: Immediate awareness
B
今週中

Adversa AIは、オープンソースのAI開発エージェントを標的とした「GuardFall」という攻撃手法

脆弱性🌐 英語ソース
📅 2026-07-10📰 ithome_tw
📌 一言でいうと
Adversa AIは、オープンソースのAI開発エージェントを標的とした「GuardFall」という攻撃手法を公開しました。この攻撃は、AIエージェントがShellコマンドを実行する際の不十分な安全チェックを悪用し、変数の展開や引用符の削除などを通じて検閲を回避し、悪意のあるコマンドを実行させます。調査対象の11製品中10製品に脆弱性が確認され、成功した場合はSSH鍵やクラウド認証情報などの機密情報が窃取される恐れがあります。
🔍該当判定
  • Cline, Goose, opencode などのオープンソースAI開発エージェントを導入している
  • AIエージェントの設定で、コマンドの自動実行(--auto-exec, --auto-run 等)を有効にしている
  • AIエージェントに、外部からのプルリクエスト(PR)などの未信頼なコードを処理させている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. AIエージェントの自動実行フラグ(--auto-exec, --auto-run, --auto-test等)を無効化する。 2. 未信頼のソース(Pull Request等)からのコンテンツを自動実行モードで処理させない。 3. 開発環境において、AIエージェントに過剰な権限を与えないよう制限する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AI開発エージェントにおけるコマンドインジェクション攻撃(GuardFall)への対応について

お疲れさまです。AI開発エージェントを標的とした新しい攻撃手法「GuardFall」に関する情報共有です。

■ 概要
AIエージェントがShellコマンドを実行する前の静的チェックを、Bash等の直訳器の特性(変数展開等)を利用してバイパスし、任意の悪意あるコマンドを実行させる攻撃です。成功した場合、開発者主機やCI環境からSSH鍵やクラウド認証情報が窃取されるリスクがあります。

■ 影響範囲
- 対象製品: opencode, Goose, Cline 等のオープンソースAI開発エージェント(Continueを除く10製品で脆弱性が確認)

■ 対応手順
1. 利用中のAIエージェント設定を確認し、--auto-exec, --auto-run, --auto-test 等の自動実行機能を無効化してください。
2. 特にPull Requestなどの外部入力を含むタスクをAIに処理させる際は、必ず人間による確認(Human-in-the-loop)を挟む運用を徹底してください。
3. 可能な限り、AIエージェントを制限されたサンドボックス環境で動作させてください。

■ 参考情報
- Adversa AI 研究レポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Advisory] GuardFall: Command Injection in AI Coding Agents

Dear IT/Security Team,

We are sharing information regarding 'GuardFall', a new attack vector targeting AI coding and computer-use agents.

■ Overview
GuardFall bypasses the security filters of AI agents by leveraging Shell interpreter behaviors (e.g., variable expansion, quote removal) to execute arbitrary malicious commands. If successful, attackers can steal sensitive data such as SSH keys, cloud credentials, and CI/CD secrets from the developer's host or environment.

■ Scope
- Affected Products: Open-source AI agents including opencode, Goose, and Cline (10 out of 11 tested tools were found vulnerable; Continue was the exception).

■ Mitigation Steps
1. Disable auto-execution flags such as --auto-exec, --auto-run, and --auto-test in AI agent configurations.
2. Enforce a 'Human-in-the-loop' policy, ensuring no commands are executed automatically, especially when processing untrusted content from Pull Requests.
3. Isolate AI agents within restricted sandbox environments to limit the impact of a potential breach.

■ Reference
- Adversa AI Research Report

Priority: High
Deadline: Immediate review
B
今週中

Microsoft Defenderの「Microsoft Malware Protection Engine」に権限昇格の脆弱性(CVE-2026-50656…

脆弱性🔄 続報📰 3記事🌐 3 countries
🇮🇹 Italy · 🇯🇵 Japan · 🇹🇼 Taiwan
🔢 CVECVE-2026-50656
📅 2026-07-10📰 secnext
📌 一言でいうと
Microsoft Defenderの「Microsoft Malware Protection Engine」に権限昇格の脆弱性(CVE-2026-50656)が発見されました。この脆弱性はファイルアクセス前のリンク解決処理に起因し、ローカルの低権限ユーザーがユーザー操作なしに悪用可能です。マイクロソフトは対策を講じたエンジンバージョン 1.1.26060.3008 を公開しており、適用を確認することを推奨しています。
🔍該当判定
  • Windows OSを搭載したPCやサーバーを利用している
  • ウイルス対策ソフトとして「Microsoft Defender」を利用している
  • Microsoft Malware Protection Engineのバージョンが「1.1.26060.3008」未満である
上記いずれにも該当しない → 静観でOK
該当時の対応
Microsoft Malware Protection Engineのバージョンが 1.1.26060.3008 以降に更新されているか確認してください。通常は自動的に配信されます。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft Defender (CVE-2026-50656) 対応について

お疲れさまです。Microsoft Defenderの権限昇格の脆弱性に関する情報共有です。

■ 概要
Microsoft Malware Protection Engineにおける権限昇格の脆弱性(CVE-2026-50656)が判明しました。CVSSv3.1ベーススコアは7.8(重要)であり、ローカルの低権限ユーザーがユーザー操作なしに権限を昇格させることが可能です。

■ 影響範囲
- 対象製品: Microsoft Defender (Microsoft Malware Protection Engine)
- 修正バージョン: 1.1.26060.3008

■ 対応手順
1. 各端末のMicrosoft Malware Protection Engineのバージョンを確認し、1.1.26060.3008 以降が適用されているか検証してください。
2. 未適用の場合は、定義更新およびエンジンの自動更新を強制的に実行してください。

■ 参考情報
- Microsoft セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Advisory] Microsoft Defender Elevation of Privilege (CVE-2026-50656)

Dear IT/Security Team,

We are sharing information regarding a privilege escalation vulnerability in Microsoft Defender.

■ Overview
A vulnerability (CVE-2026-50656) has been identified in the Microsoft Malware Protection Engine. With a CVSSv3.1 base score of 7.8 (Important), it allows a local low-privileged user to escalate privileges without user interaction.

■ Scope
- Affected Product: Microsoft Defender (Microsoft Malware Protection Engine)
- Fixed Version: 1.1.26060.3008

■ Action Plan
1. Verify that the Microsoft Malware Protection Engine version on all endpoints is 1.1.26060.3008 or later.
2. If not updated, trigger a manual update of the malware protection engine and definitions.

■ Reference
- Microsoft Security Advisory

Priority: High
Deadline: Immediate verification
B
今週中

AlibabaのQUICおよびHTTP/3ライブラリであるXQUICに、リモートからサーバーをクラッシュさせることができる脆弱性「XRING」

脆弱性🌐 英語ソース
📅 2026-07-10📰 hackernews
📌 一言でいうと
AlibabaのQUICおよびHTTP/3ライブラリであるXQUICに、リモートからサーバーをクラッシュさせることができる脆弱性「XRING」が発見されました。攻撃者は特別な認証や不正なパケットを必要とせず、少量の通常のQPACKトラフィックを送信するだけでサーバープロセスを停止させることが可能です。XQUICを組み込んでいるTengineなどのサーバーが影響を受け、現時点で修正パッチは提供されていません。
🔍該当判定
  • AlibabaのWebサーバー「Tengine」を利用している
  • AlibabaのクラウドサービスやCDNを利用してWebサイトを公開している
  • 自社開発のサーバープログラムに「XQUIC」ライブラリを組み込んでいる
上記いずれにも該当しない → 静観でOK
該当時の対応
修正パッチがリリースされるまで、SETTINGS_QPACK_MAX_TABLE_CAPACITYを0に設定してQPACKの動的テーブルを無効化するか、HTTP/3サポートを完全に停止することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】XQUIC (HTTP/3) の脆弱性「XRING」への対応について

お疲れさまです。XQUICにおける深刻な脆弱性に関する情報共有です。

■ 概要
AlibabaのQUIC/HTTP/3ライブラリ「XQUIC」に、リモートからサーバーをクラッシュさせることが可能な脆弱性(XRING)が発見されました。認証不要で、少量の正当なQPACKトラフィックを送信するだけでDoS状態に陥る可能性があります。

■ 影響範囲
- XQUIC v1.9.4 までの全リリース
- XQUICを組み込んだサーバー(Tengine等)

■ 対応手順
現時点で修正パッチは提供されていません。以下の回避策を検討してください。
1. SETTINGS_QPACK_MAX_TABLE_CAPACITY を 0 に設定し、QPACKの動的テーブルを無効化する
2. HTTP/3 サポートを一時的に停止する

■ 参考情報
- FoxIO 研究員 Sébastien Féry 氏による報告

対応優先度: 高
対応期限: 速やかに設定確認を推奨
Subject: [Security Advisory] Vulnerability 'XRING' in XQUIC (HTTP/3)

Dear team,

We are sharing information regarding a critical vulnerability discovered in XQUIC, Alibaba's QUIC and HTTP/3 library.

■ Overview
A flaw nicknamed 'XRING' allows a remote client to crash the server process using a small burst of legitimate QPACK traffic. No authentication or malformed packets are required to trigger this Denial of Service (DoS).

■ Affected Scope
- All XQUIC releases up to v1.9.4
- Servers embedding XQUIC, including Tengine

■ Mitigation Steps
As no patch is currently available, the following workarounds are recommended:
1. Set SETTINGS_QPACK_MAX_TABLE_CAPACITY to 0 to disable the QPACK dynamic table.
2. Completely disable HTTP/3 support until a fix is released.

■ Reference
- Disclosed by Sébastien Féry (FoxIO)

Priority: High
Deadline: Immediate review of configuration recommended
C
月内に

Broadcomは、VMware Tanzu GreenplumおよびRabbitMQを含む複数の製品における脆弱性を修正するセキュリティアドバイザリ

脆弱性🌐 英語ソース
🖥️ 製品VMware
📅 2026-07-10📰 cccs
📌 一言でいうと
Broadcomは、VMware Tanzu GreenplumおよびRabbitMQを含む複数の製品における脆弱性を修正するセキュリティアドバイザリを公開しました。影響を受ける製品には、Greenplum Command Center、Data Copy Utility、MCP Server、Streaming Server、Text、およびKubernetes上のRabbitMQなどが含まれます。ユーザーおよび管理者は、提供されたリンクを確認し、速やかに最新のアップデートを適用することが推奨されています。
🔍該当判定
  • RabbitMQ(オープンソース版またはVMware Tanzu版)を社内で利用している
  • VMware Tanzu Greenplum(Command Center, Data Copy Utility等)を利用している
  • VMware Tanzu RabbitMQ on Kubernetes または Tanzu Platform を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受ける製品のバージョンを確認し、ベンダーが提供する最新のセキュリティアップデートを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】VMware Tanzu Greenplum / RabbitMQ 脆弱性対応について

お疲れさまです。Broadcomより公開されたVMware製品の脆弱性に関する情報共有です。

■ 概要
VMware Tanzu GreenplumおよびRabbitMQの複数のコンポーネントにおいて脆弱性が確認されており、修正パッチが公開されました。

■ 影響範囲
- VMware Tanzu Greenplum Command Center (複数バージョン)
- VMware Tanzu Greenplum Data Copy Utility (2.9.5未満)
- VMware Tanzu Greenplum on Kubernetes (1.1.2未満)
- VMware Tanzu Greenplum MCP Server (1.0.2未満)
- VMware Tanzu Greenplum Streaming Server (複数バージョン)
- VMware Tanzu Greenplum Text (4.0.2未満)
- Open Source RabbitMQ / VMware Tanzu RabbitMQ (複数バージョン)
- VMware Tanzu RabbitMQ on Kubernetes / Tanzu Platform (複数バージョン)

■ 対応手順
1. 自社環境で利用している上記製品のバージョンを確認してください。
2. Broadcomの公式セキュリティアドバイザリを確認し、該当する最新バージョンへのアップデートを適用してください。

■ 参考情報
- Broadcom VMware Security Advisories

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] VMware Tanzu Greenplum / RabbitMQ Vulnerability Remediation

Dear IT Administration Team,

Broadcom has released security advisories addressing vulnerabilities in several VMware products.

■ Overview
Vulnerabilities have been identified in multiple components of VMware Tanzu Greenplum and RabbitMQ. Security updates are now available to mitigate these risks.

■ Affected Scope
- VMware Tanzu Greenplum Command Center (multiple versions)
- VMware Tanzu Greenplum Data Copy Utility (prior to 2.9.5)
- VMware Tanzu Greenplum on Kubernetes (prior to 1.1.2)
- VMware Tanzu Greenplum MCP Server (prior to 1.0.2)
- VMware Tanzu Greenplum Streaming Server (multiple versions)
- VMware Tanzu Greenplum Text (prior to 4.0.2)
- Open Source RabbitMQ / VMware Tanzu RabbitMQ (multiple versions)
- VMware Tanzu RabbitMQ on Kubernetes / Tanzu Platform (multiple versions)

■ Remediation Steps
1. Identify the versions of the aforementioned products currently in use within the environment.
2. Review the official Broadcom security advisories and apply the necessary updates to the latest secure versions.

■ Reference
- Broadcom VMware Security Advisories

Priority: High
Deadline: Immediate
C
月内に

GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーン

事案🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
🖥️ 製品GitHub
📅 2026-07-10📰 securityweek
📌 一言でいうと
GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーンが確認されました。攻撃者は正当なオープンソースプロジェクト「dnsub」を装ったGoモジュールを配布し、PowerShellを介してスパイウェアやインフォスティーラーなどを感染させます。GitHub Actionsを悪用して大量のバージョンを自動生成し、検知を回避しようとする巧妙な手法が用いられています。
🔍該当判定
  • 開発者が GitHub 上で『dnsub』に関連する DNS/サブドメインスキャンツールを検索し、導入した
  • Go言語(Golang)を用いて開発を行っており、外部のライブラリ(モジュール)をインストールして利用している
  • Windows PC 上で、GitHub からダウンロードした Go 製のツールやスクリプトを実行した
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないサードパーティ製Goモジュールの導入を避け、パッケージのソースコードおよび依存関係を十分に検証すること。また、不審なPowerShellスクリプトの実行を制限するセキュリティポリシーを適用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub上の悪意あるGoモジュール(Operation Muck and Load)への対応について

お疲れさまです。GitHub上のリポジトリを悪用したサプライチェーン攻撃に関する情報共有です。

■ 概要
「Operation Muck and Load」と呼ばれるキャンペーンにより、正当なツール(dnsub)を装った悪意あるGoモジュールが配布されています。このモジュールを導入すると、難読化されたPowerShellコードが実行され、最終的にスパイウェアやインフォスティーラー等のマルウェアに感染します。

■ 影響範囲
- GitHub上の不審なGoモジュールを利用して開発を行っている環境
- Windows OS(PowerShell経由で感染)

■ 対応手順
1. 開発チームに対し、信頼性の低いサードパーティ製Goモジュールの利用を禁止し、依存関係の監査を実施させる。
2. エンドポイントにおいて、不審なPowerShellプロセスの起動や、外部ドメインからのスクリプト取得を監視・ブロックする。
3. GitHub Actionsによる自動更新パッケージの導入に注意を払う。

■ 参考情報
- Socket Security Report

対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Alert] Malicious Go Modules on GitHub (Operation Muck and Load)

Dear IT/Security Team,

We are sharing information regarding a supply chain attack campaign targeting Go developers on GitHub.

■ Overview
Operation Muck and Load involves over 200 GitHub repositories distributing malicious Go modules posing as a DNS scanning tool (based on the legitimate 'dnsub' project). These modules execute obfuscated PowerShell code to download and install malware, including spyware and infostealers.

■ Scope
- Environments utilizing unverified third-party Go modules from GitHub.
- Windows systems (via PowerShell execution).

■ Recommended Actions
1. Audit Go project dependencies and prohibit the use of unverified third-party modules.
2. Monitor and block suspicious PowerShell activity, specifically scripts fetching payloads from public dead-drop resolvers.
3. Implement strict package versioning and verification policies.

■ Reference
- Socket Security Report

Priority: Medium
Deadline: Immediate review
C
月内に

GodDamnランサムウェアが、有効な署名を持つ「PoisonX」というカーネルドライバーを利用してEDR(エンドポイント検知・応答)をバイパスする手法

脆弱性🔄 続報🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
📅 2026-07-10📰 latestnews
📌 一言でいうと
GodDamnランサムウェアが、有効な署名を持つ「PoisonX」というカーネルドライバーを利用してEDR(エンドポイント検知・応答)をバイパスする手法が判明しました。攻撃者はAnyDeskやPsExecを用いて横展開し、Mimikatzなどで認証情報を窃取した後、ランサムウェアを配布します。この攻撃を防ぐには、Windowsのドライバー署名強制などの設定を適切に有効化することが重要です。
🔍該当判定
  • Windows OSを搭載したPCやサーバーを社内で利用している
  • AnyDeskをリモート操作ツールとして導入・利用している
  • PsExecなどの管理ツールを社内ネットワークでの操作に利用している
  • MimikatzやNirSoftなどのパスワード抽出ツールが社内で動作する設定になっている
上記いずれにも該当しない → 静観でOK
該当時の対応
Windowsのドライバー署名強制(Driver Signature Enforcement)および、脆弱なドライバーのブロックリスト設定を有効化し、最新の状態に維持することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GodDamnランサムウェアによるEDRバイパス手法への対応について

お疲れさまです。GodDamnランサムウェアに関する情報共有です。

■ 概要
攻撃者が有効な署名を持つカーネルドライバー「PoisonX」を悪用し、EDRの保護機能を無効化してランサムウェアを動作させる手法が確認されました。攻撃者はAnyDeskやPsExec、Mimikatzを併用して侵害を拡大させます。

■ 影響範囲
- Windows OSを搭載したエンドポイント

■ 対応手順
1. Windowsの「ドライバー署名強制」設定が有効であることを確認してください。
2. Microsoftの「脆弱なドライバーのブロックリスト」機能を有効化し、最新の更新を適用してください。
3. AnyDeskやPsExecなどの管理ツールが不適切に利用されていないか、ログ監視を強化してください。

■ 参考情報
- Symantec Threat Hunter Team レポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] EDR Bypass via PoisonX Driver in GodDamn Ransomware

Dear IT/Security Team,

We are sharing technical details regarding a bypass technique used by the GodDamn ransomware family.

■ Overview
Attackers are leveraging a signed kernel driver named "PoisonX" to disable EDR security agents. The threat actor (Hyadina) typically uses AnyDesk for initial access, PsExec for lateral movement, and Mimikatz for credential harvesting before deploying the ransomware.

■ Scope
- Windows-based endpoints

■ Mitigation Steps
1. Verify that Driver Signature Enforcement is enabled across all endpoints.
2. Enable and update the Microsoft Vulnerable Driver Blocklist to prevent the loading of known malicious/vulnerable drivers.
3. Monitor for unauthorized use of remote access tools (AnyDesk) and lateral movement tools (PsExec).

■ Reference
- Symantec Threat Hunter Team Report

Priority: High
Deadline: Immediate review
C
月内に

2026年6月のダークウェブ脅威動向レポートです

事案🌐 英語ソース📰 2記事🌐 1 country
🇰🇷 Korea (2)
📅 2026-07-10📰 asec_ko
📌 一言でいうと
2026年6月のダークウェブ脅威動向レポートです。マレーシアの公共サイトへの侵害や、日本での通信サービス企業のメールシステムへの不正アクセス、製造業等でのクレデンシャルスタッフィング攻撃が確認されました。また、北朝鮮系アクターによるAIフレームワークのサプライチェーン攻撃や、RaaSグループによるEDR回避ツールの公開など、高度な攻撃手法の傾向が示されています。
🔍該当判定
  • 自社で就職・採用プラットフォームや製造業向けのオンラインサービスを運営している
  • Pythonベースの自社開発ツールや、AIフレームワークのオープンソースパッケージを利用している
  • EDR(エンドポイント検知・対応)製品を導入しており、その設定や更新を管理している
  • 自社サイトでユーザーログイン機能を設けており、他社から流出したID/PWを使い回されるリスクがある
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 外部に公開しているウェブサイトやシステムの脆弱性診断とパッチ適用を徹底すること。 2. 多要素認証 (MFA) を導入し、クレデンシャルスタッフィング攻撃への耐性を高めること。 3. AIフレームワーク等のオープンソースパッケージを利用する際は、信頼性を検証し、依存関係の整合性を確認すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】アカウント情報の管理と不審なメールへの注意について

お疲れさまです。情報システム担当です。
最近、他社から流出したIDとパスワードを使い回して不正にログインを試みる「クレデンシャルスタッフィング」という攻撃が増加しています。

ご協力をお願いしたいこと:
1. 社内システムおよび業務利用サービスにおいて、使い回しのパスワードを避け、複雑なパスワードを設定してください。
2. 設定可能な場合は、必ず多要素認証 (MFA) を有効にしてください。
3. 不審なメールの添付ファイルやリンクは絶対に開かないでください。

対応期限: 今週中
Subject: [Security Alert] Password Management and Phishing Awareness

Dear employees,
We have observed an increase in "credential stuffing" attacks, where attackers use leaked usernames and passwords from other services to gain unauthorized access to accounts.

Requested Actions:
1. Avoid reusing passwords across different services; please use strong, unique passwords for all business accounts.
2. Enable Multi-Factor Authentication (MFA) wherever available.
3. Do not click on suspicious links or open attachments from unknown senders.

Deadline: By the end of this week