🔥 この記事の詳細
2026-05-08 更新
B
今週中

GoogleのGemini CLIにおけるCVSS 10のRCE脆弱性や、Chrome 148での127件の脆弱性修正

脆弱性🌐 英語ソース
🖥️ 製品GitHub
📅 2026-05-08📰 freebuf
📌 一言でいうと
GoogleのGemini CLIにおけるCVSS 10のRCE脆弱性や、Chrome 148での127件の脆弱性修正が報告されました。また、イランのAPT組織MuddyWaterがMicrosoft Teamsを悪用して認証情報を窃取する攻撃や、DeepSeekを装った悪意あるAIプラグインによるRAT感染が確認されています。さらに、Salesforce Marketing Cloudの脆弱性によるデータ漏洩リスクも指摘されています。
🔍該当判定
  • Google Chromeのバージョンが 148.0.7778.96/97 未満である
  • 開発者が Gemini CLI を利用してコード管理を行っている
  • Microsoft Teams で社外の人から不審なファイル送信やログイン要求が来ている
  • DeepSeekなどのAIツールで、GitHub上のサードパーティ製プラグイン(OpenClaw等)を導入した
上記いずれにも該当しない → 静観でOK
該当時の対応
Chromeを最新版(148.0.7778.96/97)に更新し、Gemini CLIのパッチを適用すること。不審なTeamsメッセージや未検証のAIプラグインの導入を禁止し、特権アカウントの監視を強化してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザの更新および不審なメッセージへの注意について

お疲れさまです。情報システム担当です。
Google Chromeの脆弱性を修正するアップデートが公開されたほか、チャットツール(Teams等)を悪用した攻撃が確認されています。

ご協力をお願いしたいこと:
1. Google Chromeを最新バージョンに更新してください。
2. 知らない相手からのTeamsメッセージや、不審なファイル・リンクは絶対に開かないでください。
3. 公式に認められていないAIプラグインやツールのインストールを控えてください。

対応期限: 本日中
Subject: [Security Alert] Browser Update and Caution Against Suspicious Messages

Dear employees,

Security updates for Google Chrome have been released, and there are reports of attacks leveraging chat tools like Microsoft Teams.

Please take the following actions:
1. Update your Google Chrome browser to the latest version immediately.
2. Do not open files or links from unknown senders via Microsoft Teams or other chat platforms.
3. Avoid installing unauthorized AI plugins or third-party tools.

Deadline: End of today
件名: 【共有】Google製品およびAIツールを標的とした脆弱性と攻撃への対応について

お疲れさまです。複数の高危急な脆弱性と脅威に関する情報共有です。

■ 概要
- Google Gemini CLI: CVSS 10のRCE脆弱性が修正済み。GitHub Issue経由でコードベースの完全な制御が可能。
- Chrome 148: 127件の脆弱性(うち高危急3件)を修正。
- MuddyWater (IR-APT): Teamsを悪用したソーシャルエンジニアリングによる認証情報窃取およびRAT展開。
- DeepSeek-Claw: AI Agentワークフローを悪用したクロスプラットフォームRATの拡散。

■ 影響範囲
- Google Gemini CLI / Chrome 148未満
- Microsoft Teams 利用環境
- AIプラグインを利用する開発環境

■ 対応手順
1. Chromeをバージョン 148.0.7778.96/97 以降へ強制アップデートする。
2. Gemini CLIを利用している場合は、最新パッチを適用し、AIの権限を最小化する。
3. Teamsにおける不審なC2通信や認証情報の異常な挙動を監視する。
4. サードパーティ製AIプラグインの導入制限および監査を実施する。

■ 参考情報
- Google Chrome Release Notes
- Threat Intel reports on MuddyWater

対応優先度: 高
対応期限: 2026-05-10
Subject: [Technical Alert] Vulnerabilities in Google Products and AI-based Threats

Dear Security Team,

This is a technical briefing regarding several critical vulnerabilities and active threats.

■ Overview
- Google Gemini CLI: A CVSS 10 RCE vulnerability has been patched. Attackers could gain full control of repositories via GitHub Issues.
- Chrome 148: 127 vulnerabilities fixed, including 3 critical and 20+ high-severity issues.
- MuddyWater (IR-APT): Utilizing Microsoft Teams for social engineering to steal credentials and deploy RATs.
- DeepSeek-Claw: Malicious AI plugins distributing cross-platform RATs via GitHub.

■ Scope
- Google Gemini CLI / Chrome versions prior to 148
- Microsoft Teams environments
- Development environments using AI plugins

■ Mitigation Steps
1. Enforce update of Chrome to version 148.0.7778.96/97 or later.
2. Patch Gemini CLI and restrict AI permissions/token storage.
3. Monitor for suspicious C2 connections and credential anomalies in Microsoft Teams.
4. Audit and restrict the installation of third-party AI plugins.

■ Reference
- Google Chrome Official Advisory
- MuddyWater APT Analysis

Priority: High
Deadline: 2026-05-10
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-08 のまとめ🔍 記事を検索