🔥 この日の重要情報
2026-05-12 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

攻撃グループTeamPCPによる「Mini Shai-Hulud」キャンペーンが展開され、TanStack、Mistral AI、Guardrails…

事案🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
📅 2026-05-12📰 hackernews
📌 一言でいうと
攻撃グループTeamPCPによる「Mini Shai-Hulud」キャンペーンが展開され、TanStack、Mistral AI、Guardrails AIなどのnpmおよびPyPIパッケージが侵害されました。悪意のあるJavaScriptファイル(router_init.js)が混入されており、クラウドプロバイダーや仮想通貨ウォレット、AIツールなどの認証情報を窃取します。窃取したデータは、検知を回避するためにSession Protocolのインフラ(filev2.getsession[.]org)を介して送信されます。
🔍該当判定
  • 開発プロジェクトで 'TanStack', 'Mistral AI', 'Guardrails AI', 'OpenSearch', 'UiPath' のライブラリ(npmまたはPyPI)を利用している
  • JavaScript(npm)やPython(PyPI)を用いて自社でアプリケーションを開発・運用している
  • GitHub ActionsなどのCI/CDツールを利用して自動ビルド・デプロイを行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるパッケージのバージョンを確認し、最新の安全なバージョンへ更新すること。また、不審なドメイン(filev2.getsession[.]org)への通信を遮断し、漏洩の可能性がある認証情報をリセットすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npm/PyPIパッケージにおけるサプライチェーン攻撃(Mini Shai-Hulud)への対応について

お疲れさまです。サプライチェーン攻撃に関する情報共有です。

■ 概要
攻撃グループTeamPCPにより、TanStack, Mistral AI, Guardrails AI等のnpm/PyPIパッケージに悪意のあるコードが混入されました。このコードは環境プロファイリングを行い、クラウド認証情報や仮想通貨ウォレット等の機密情報を窃取し、Session Protocolのインフラ(filev2.getsession[.]org)へ送信します。

■ 影響範囲
- 侵害されたTanStack, Mistral AI, Guardrails AI, UiPath, OpenSearch等のnpm/PyPIパッケージを利用している環境

■ 対応手順
1. 依存関係ライブラリのバージョンを確認し、侵害されたバージョンが含まれていないか検証してください。
2. 侵害が確認された場合は、直ちに安全なバージョンへアップデートしてください。
3. ネットワークログを確認し、filev2.getsession[.]org への通信が発生していないか調査してください。
4. 漏洩の疑いがあるAPIキーや認証情報を速やかに変更してください。

■ 参考情報
- Aikido Security, Endor Labs, Snyk 等のセキュリティレポート

対応優先度: 高
対応期限: 至急
Subject: [Alert] Supply Chain Attack on npm/PyPI Packages (Mini Shai-Hulud)

Dear Team,

We are sharing information regarding a supply chain attack targeting several popular package ecosystems.

■ Overview
Threat actor TeamPCP has compromised npm and PyPI packages from TanStack, Mistral AI, Guardrails AI, and others. The attack involves an obfuscated file ('router_init.js') that steals credentials for cloud providers, AI tools, and CI systems, exfiltrating data to 'filev2.getsession[.]org' to evade detection.

■ Scope
- Environments utilizing affected versions of npm/PyPI packages from TanStack, Mistral AI, Guardrails AI, UiPath, and OpenSearch.

■ Mitigation Steps
1. Audit project dependencies to identify any compromised package versions.
2. Update affected packages to the latest secure versions immediately.
3. Monitor network traffic for connections to 'filev2.getsession[.]org'.
4. Rotate any credentials or API keys that may have been exposed.

■ Reference
- Reports from Aikido Security, Endor Labs, Snyk, etc.

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
bleepingTeamPCPによる「Shai-Hulud」キャンペーンにより、npmおよびPyPIで悪意のあるパッケージが配布されています
🔗 元の記事を読む
B
今週中

GoogleのThreat Intelligence Group (GTIG) は、攻撃者がAIモデルを利用してゼロデイ脆弱性を発見し、エクスプロイトを作成した…

脆弱性🌐 英語ソース
📅 2026-05-12📰 xakep
📌 一言でいうと
GoogleのThreat Intelligence Group (GTIG) は、攻撃者がAIモデルを利用してゼロデイ脆弱性を発見し、エクスプロイトを作成した初の事例を確認したと報告しました。この攻撃は、ある人気のオープンソース・ウェブ管理ツールの二要素認証 (2FA) を回避することを目的としたPythonベースのエクスプロイトでした。Googleが開発者に事前に通知したため、大規模な被害は防がれましたが、AIが未知のバグ探索に利用され始めた重要な転換点であると指摘されています。
🔍該当判定
  • オープンソース(無料公開)のWeb管理ツールを自社サーバーで運用している
  • Web管理ツールに2要素認証(2FA)を導入して利用している
  • Pythonで動作するシステム管理ツールを導入している
上記いずれにも該当しない → 静観でOK
該当時の対応
利用しているオープンソースツールの最新アップデートを適用し、多要素認証の構成を見直すこと。また、AIによる脆弱性発見の高速化を想定し、検知・対応体制を強化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AIを用いたゼロデイ脆弱性探索の事例について

お疲れさまです。AIによる新たな攻撃手法に関する情報共有です。

■ 概要
Google Threat Intelligence Group (GTIG) より、攻撃者がLLM(大規模言語モデル)等のAIを用いてゼロデイ脆弱性を特定し、エクスプロイトを作成した事例が報告されました。今回はオープンソースのウェブ管理ツールにおける2FA(二要素認証)回避を目的としたPythonエクスプロイトが作成されていました。

■ 影響範囲
- 特定のオープンソース・ウェブ管理ツール(製品名は非公開)

■ 対応手順
1. 利用中のオープンソース管理ツールの最新パッチ適用状況を確認してください。
2. 2FAなどの認証機構をバイパスする攻撃の兆候がないか、認証ログを監視してください。
3. AIによる脆弱性発見の効率化が進んでいることを前提に、WAFやIDS/IPSのシグネチャを最新に維持してください。

■ 参考情報
- Google Threat Intelligence Group (GTIG) 報告

対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] First Case of AI-Generated Zero-Day Exploit

Dear Team,

We are sharing information regarding a new threat intelligence report from Google.

■ Overview
Google's Threat Intelligence Group (GTIG) has identified the first known case where attackers likely used an AI model to discover and exploit a zero-day vulnerability. The attack involved a Python-based exploit designed to bypass two-factor authentication (2FA) in a popular open-source web administration tool.

■ Scope
- A popular open-source web administration tool (Product name not disclosed).

■ Recommended Actions
1. Ensure all open-source administration tools are updated to the latest versions.
2. Monitor authentication logs for any signs of 2FA bypass attempts.
3. Enhance detection capabilities assuming that AI will accelerate the discovery of unknown vulnerabilities.

■ Reference
- Google Threat Intelligence Group (GTIG) Report

Priority: Medium
Deadline: Ongoing monitoring
🔗 元の記事を読む
B
今週中

Fortinetは、FortiSandboxおよびFortiAuthenticatorにおける2つの深刻なリモートコード実行(RCE)の脆弱性を修正しました

脆弱性🌐 英語ソース
🖥️ 製品Fortinet
🔢 CVECVE-2026-44277CVE-2026-26083
📅 2026-05-12📰 bleeping
📌 一言でいうと
Fortinetは、FortiSandboxおよびFortiAuthenticatorにおける2つの深刻なリモートコード実行(RCE)の脆弱性を修正しました。FortiAuthenticatorの脆弱性(CVE-2026-44277)は、認証されていない攻撃者が不正なコードを実行できる可能性があります。また、FortiSandboxの脆弱性(CVE-2026-26083)も同様にRCEを許す恐れがあり、早急なアップデートが推奨されています。
🔍該当判定
  • 自社で「FortiAuthenticator」をインストールして運用している
  • 自社で「FortiSandbox」を導入・運用している
  • FortiAuthenticatorのバージョンが 6.5.7 / 6.6.9 / 8.0.3 より古い
上記いずれにも該当しない(またはFortiAuthenticator Cloudを利用している) → 静観でOK
該当時の対応
影響を受ける製品のバージョンを確認し、Fortinetが提供する最新の修正済みバージョンへ速やかにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】FortiSandbox / FortiAuthenticator RCE脆弱性対応について

お疲れさまです。Fortinet製品の深刻な脆弱性に関する情報共有です。

■ 概要
FortiAuthenticatorおよびFortiSandboxにおいて、リモートコード実行(RCE)が可能な深刻な脆弱性が報告されました。認証なしで攻撃者が任意のコマンドを実行できる可能性があります。

■ 影響範囲
- FortiAuthenticator: 修正済みバージョン 6.5.7, 6.6.9, 8.0.3 未満
- FortiSandbox: 脆弱なバージョン(詳細はベンダーアドバイザリ参照)
※FortiAuthenticator Cloudは影響を受けません。

■ 対応手順
1. 利用中の製品バージョンを確認してください。
2. Fortinet公式サイトより最新のパッチを適用し、アップデートを実施してください。

■ 参考情報
- Fortinet公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Urgent] Critical RCE Vulnerabilities in FortiSandbox and FortiAuthenticator

Dear Team,

This is a notification regarding critical vulnerabilities discovered in Fortinet products.

■ Overview
Two critical remote code execution (RCE) vulnerabilities have been identified in FortiAuthenticator (CVE-2026-44277) and FortiSandbox (CVE-2026-26083). These flaws could allow unauthenticated attackers to execute arbitrary code or commands on the systems.

■ Scope
- FortiAuthenticator: Versions prior to 6.5.7, 6.6.9, and 8.0.3
- FortiSandbox: Vulnerable versions as specified by the vendor
*Note: FortiAuthenticator Cloud is not affected.

■ Action Required
1. Verify the current version of your deployed Fortinet appliances.
2. Apply the latest security updates provided by Fortinet immediately.

■ Reference
- Fortinet Official Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

メール転送エージェントのEximにおいて、GnuTLSを使用した構成でメモリ破損が発生し、任意のコードが実行される可能性がある脆弱性(CVE-2026-4518…

脆弱性🌐 英語ソース
🔢 CVECVE-2026-45185
📅 2026-05-12📰 hackernews
📌 一言でいうと
メール転送エージェントのEximにおいて、GnuTLSを使用した構成でメモリ破損が発生し、任意のコードが実行される可能性がある脆弱性(CVE-2026-45185)が発見されました。この脆弱性は、BDAT(バイナリデータ転送)メッセージの解析中に、TLS接続の切断通知とクリアテキストのデータ送信が特定の順序で行われた場合にトリガーされます。攻撃者はTLS接続を確立し、CHUNKING拡張を利用することでヒープ破損を引き起こすことが可能です。
🔍該当判定
  • 自社でLinuxサーバーを運用し、メール送信・受信ソフトに「Exim」を利用している
  • Eximの通信暗号化ライブラリとして「GnuTLS」を使用している
  • メールサーバーの設定で「CHUNKING (BDAT)」拡張機能が有効になっている
上記いずれにも該当しない → 静観でOK
該当時の対応
Eximの最新のセキュリティアップデートを適用し、脆弱性が修正されたバージョンへ更新してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Exim (CVE-2026-45185) 対応について

お疲れさまです。Eximの脆弱性に関する情報共有です。

■ 概要
EximのBDATメッセージ解析処理において、GnuTLS利用時にメモリ破損(Use-After-Free)が発生し、任意のコードが実行される可能性がある脆弱性が報告されました。攻撃者がTLS接続を確立し、特定のシーケンスでデータを送信することでヒープ破損を誘発します。

■ 影響範囲
- GnuTLSを組み合わせて利用しているExim構成
- CHUNKING (BDAT) SMTP拡張を有効にしている環境

■ 対応手順
1. 運用中のEximのバージョンおよびTLSライブラリ(GnuTLS)の利用状況を確認してください。
2. ベンダーが提供する最新のセキュリティアップデートを適用してください。

■ 参考情報
- Exim公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Exim CVE-2026-45185 Mitigation

Dear IT Administration Team,

We are sharing information regarding a critical vulnerability in Exim.

■ Overview
A use-after-free vulnerability (CVE-2026-45185) has been discovered in Exim's BDAT message body parsing when handled by GnuTLS. An attacker can trigger heap corruption and potentially execute arbitrary code by sending a TLS close_notify alert followed by cleartext data on the same TCP connection.

■ Scope
- Exim builds utilizing GnuTLS
- Environments with the CHUNKING (BDAT) SMTP extension enabled

■ Mitigation Steps
1. Verify the current Exim version and whether GnuTLS is being used for TLS connections.
2. Apply the latest security updates provided by the Exim project immediately.

■ Reference
- Official Exim Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

SAPは、Commerce CloudおよびS/4HANAにおける深刻な脆弱性を修正するセキュリティアップデート

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品SAP
🔢 CVECVE-2026-34263CVE-2026-34260
📅 2026-05-12📰 bleeping
📌 一言でいうと
SAPは、Commerce CloudおよびS/4HANAにおける深刻な脆弱性を修正するセキュリティアップデートを公開しました。Commerce Cloudの脆弱性(CVE-2026-34263)は、認証なしで任意のコード実行を可能にするものであり、S/4HANAの脆弱性(CVE-2026-34260)は、低権限ユーザーによるSQLインジェクションを可能にします。これらの欠陥は機密性、完全性、可用性に重大な影響を及ぼす可能性があります。
🔍該当判定
  • SAP Commerce Cloud を利用してオンラインショップを運営している
  • SAP S/4HANA(クラウド版またはオンプレミス版)を導入している
  • 社内の基幹システムとして SAP の ERP 製品を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
速やかにSAPが提供する2026年5月のセキュリティアップデートを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】SAP Commerce Cloud および S/4HANA 脆弱性対応について

お疲れさまです。SAP製品の深刻な脆弱性に関する情報共有です。

■ 概要
SAP Commerce CloudおよびS/4HANAにおいて、リモートコード実行(RCE)およびSQLインジェクションを可能にする深刻な脆弱性が報告されました。特にCommerce Cloudの脆弱性は認証不要で攻撃が可能であり、極めてリスクが高い状態です。

■ 影響範囲
- SAP Commerce Cloud
- SAP S/4HANA

■ 対応手順
1. SAP公式のセキュリティノートを確認し、最新のパッチ適用状況を確認してください。
2. 2026年5月リリースのセキュリティアップデートを速やかに適用してください。

■ 参考情報
- SAP Security Notes / Vendor Advisory

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Critical Vulnerabilities in SAP Commerce Cloud and S/4HANA

Dear IT Administration Team,

This is a notification regarding critical security vulnerabilities identified in SAP products.

■ Overview
Two critical vulnerabilities have been disclosed: CVE-2026-34263 in SAP Commerce Cloud, which allows unauthenticated remote code execution (RCE), and CVE-2026-34260 in SAP S/4HANA, which enables SQL injection by users with basic privileges.

■ Scope
- SAP Commerce Cloud
- SAP S/4HANA

■ Remediation Steps
1. Review the SAP Security Notes for the affected products.
2. Apply the May 2026 security updates immediately to mitigate these risks.

■ Reference
- SAP Official Security Advisory

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
securityweekSAPは、S/4HANAおよびSAP Commerceにおける深刻な脆弱性を修正するセキュリティパッチをリリースしました
🔗 元の記事を読む
C
月内に

Linuxカーネルのメンテナンス担当者が、0Day脆弱性の空窗期に対処するため、特定の機能を一時的に停止できる「緊急禁用开关(エマージェンシー…

脆弱性🔄 続報🌐 英語ソース
🔢 CVECVE-2026-31431CVE-2026-43284CVE-2026-43500
📅 2026-05-12📰 freebuf
📌 一言でいうと
Linuxカーネルのメンテナンス担当者が、0Day脆弱性の空窗期に対処するため、特定の機能を一時的に停止できる「緊急禁用开关(エマージェンシー・キルスイッチ)」の導入を提案しました。この仕組みはパッチ適用までの暫定的な防御策となりますが、セキュリティコミュニティからは、パッチ適用の代替として乱用されるリスクや、業務への影響評価が困難であるとの懸念の声が上がっています。具体例として、権限昇格が可能なCopy FailDirty Fragなどの高危脆弱性が挙げられています。
🔍該当判定
  • 自社でLinuxサーバー(Ubuntu, CentOS, Red Hat Enterprise Linuxなど)を運用している
  • クラウドサービス(AWS, Azure, GCPなど)でLinuxベースの仮想サーバーを利用している
  • 社内ネットワークでLinuxを搭載したNASやファイルサーバーを運用している
  • Linuxカーネルの脆弱性(CVE-2026-31431, CVE-2026-43284など)への対策を検討する必要がある
上記いずれにも該当しない(Windowsサーバーのみ利用など) → 静観でOK
該当時の対応
提案されている機能はまだ導入段階であるため、現時点では既知の脆弱性(CVE-2026-31431等)に対しては、ベンダーが提供する公式パッチの迅速な適用と、不要なカーネルモジュールの無効化などの既存のハードニング策を継続してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxカーネルにおける「緊急禁用开关」提案と脆弱性への対応について

お疲れさまです。Linuxカーネルの脆弱性対策に関する新提案の情報共有です。

■ 概要
Linuxカーネルメンテナンス担当者が、0Day脆弱性への暫定対応として、特定の機能を一時的に無効化できる「緊急禁用开关」の導入を提案しています。これはパッチ適用までの時間差を埋めるための仕組みですが、運用上のリスクについて議論が続いています。

■ 影響範囲
- Linuxカーネルを利用する全システム
- 特にCopy Fail (CVE-2026-31431) や Dirty Frag (CVE-2026-43284, CVE-2026-43500) 等の高危脆弱性の影響を受ける環境

■ 対応手順
1. 現在のカーネルバージョンを確認し、最新のセキュリティパッチが適用されているか検証してください。
2. 提案されている機能は未実装のため、現時点では公式パッチの適用を最優先としてください。
3. 可能な限り、不要なカーネルモジュールのロードを制限するなどのシステム加固を検討してください。

■ 参考情報
- Linux Kernel Mailing List (LKML) および関連セキュリティアドバイザリ

対応優先度: 中
対応期限: 随時
Subject: [Info] Proposal for Linux Kernel "Emergency Disable Switch" and Vulnerability Mitigation

Hi all,

We are sharing information regarding a new proposal for Linux kernel vulnerability mitigation.

■ Overview
A Linux kernel maintainer has proposed an "emergency disable switch" to allow privileged users to temporarily disable specific flawed functions during the 0Day vulnerability window before patches are fully deployed.

■ Scope
- All systems running the Linux kernel.
- Specifically relevant to environments exposed to vulnerabilities like Copy Fail (CVE-2026-31431) and Dirty Frag (CVE-2026-43284, CVE-2026-43500).

■ Recommended Actions
1. Verify current kernel versions and ensure all critical security patches are applied.
2. Since the proposed feature is not yet implemented, prioritize official patch management.
3. Review and implement existing hardening measures, such as disabling unnecessary kernel modules.

■ Reference
- Linux Kernel Mailing List (LKML) and related security advisories.

Priority: Medium
Deadline: Ongoing
🔗 元の記事を読む
C
月内に

WindowsのAPIである'CreateFileW'を悪用し、ファイルへの排他的アクセスを強制的に確保することで、他のユーザーやアプリケーションからのアクセス…

事案🌐 英語ソース
🖥️ 製品Windows
📅 2026-05-12📰 bleeping
📌 一言でいうと
WindowsのAPIである'CreateFileW'を悪用し、ファイルへの排他的アクセスを強制的に確保することで、他のユーザーやアプリケーションからのアクセスを遮断するPoCツール「GhostLock」が公開されました。この手法は、dwShareModeパラメータを0に設定することで実現され、ローカルファイルだけでなくSMBネットワーク共有上のファイルに対しても有効です。攻撃者がこの手法を用いると、正当なユーザーがファイルを開けなくなるなどの妨害行為が可能になります。
🔍該当判定
  • Windows OSを搭載したPCやサーバーを利用している
  • 社内サーバーの共有フォルダ(SMB共有)を業務で利用している
  • 不特定多数がアクセス可能な共有フォルダに重要なファイルを保存している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なプロセスの監視を強化し、ファイルアクセス権限の最小権限原則を徹底すること。また、EDR等のツールを用いて、異常なファイルハンドル保持や排他ロックの発生を検知する体制を構築することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows APIを悪用したファイルアクセス遮断手法(GhostLock)について

お疲れさまです。Windows APIを悪用した新しいファイルロック手法に関する情報共有です。

■ 概要
WindowsのCreateFileW APIにおいて、dwShareModeを0に設定することでファイルへの排他的アクセス権を確保し、他プロセスからのアクセスを完全に遮断するPoCツール「GhostLock」が公開されました。これにより、ローカルおよびSMB共有上のファイルがロックされ、正当なユーザーが利用不能になる可能性があります。

■ 影響範囲
- Windows OSを利用している環境全般
- SMBネットワーク共有を利用している環境

■ 対応手順
1. EDR等の監視ツールにて、不審なプロセスによる大量のファイルハンドル保持や、予期せぬファイルロックの発生を監視してください。
2. ネットワーク共有フォルダへのアクセス権限を再確認し、不要な書き込み・変更権限を制限してください。

■ 参考情報
- BleepingComputer 記事

対応優先度: 中
対応期限: 随時
Subject: [Info] File Access Blocking Technique via Windows API (GhostLock)

Dear Team,

We are sharing information regarding a new technique to block file access using the Windows API.

■ Overview
A PoC tool named "GhostLock" has been released. It abuses the 'CreateFileW' API by setting the 'dwShareMode' parameter to 0, granting exclusive access to a file and preventing any other users or applications from opening it. This affects both local files and SMB network shares.

■ Scope
- All environments running Windows OS
- Environments utilizing SMB network shares

■ Recommended Actions
1. Enhance monitoring via EDR/SIEM for suspicious processes maintaining exclusive file handles.
2. Review and enforce the principle of least privilege for network share permissions.

■ Reference
- BleepingComputer Article

Priority: Medium
Deadline: Ongoing
🔗 元の記事を読む
C
月内に

オンライン学習プラットフォーム「Canvas」を運営するInstructure社が、ハッカー集団ShinyHuntersによるデータ窃取事件において…

事案🌐 英語ソース
📅 2026-05-12📰 securityweek
📌 一言でいうと
オンライン学習プラットフォーム「Canvas」を運営するInstructure社が、ハッカー集団ShinyHuntersによるデータ窃取事件において、データの削除に関する合意に達したと発表しました。攻撃者は世界約9,000校、2億7,500万人のデータを漏洩させると脅していましたが、最終的にデータは返還され、削除証明(シュレッドログ)が提供されたとのことです。ただし、攻撃者が完全にデータを破棄したかを確実に確認する方法はないと認められています。
🔍該当判定
  • 学習管理システム(LMS)として「Canvas」を利用している
  • 社内研修や教育目的で「Instructure社」のサービスを導入している
  • Canvasを通じて学生や受講生の個人情報を管理している
上記いずれにも該当しない → 静観でOK
該当時の対応
Canvas等のクラウドサービスを利用している組織は、アカウントのパスワード変更を推奨し、多要素認証(MFA)を有効にすることを検討してください。また、サプライチェーンリスクとして、利用しているSaaSベンダーのセキュリティインシデント報告を継続的に監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Canvas(Instructure社)におけるデータ窃取インシデントについて

お疲れさまです。Canvasにおけるデータ漏洩事案に関する情報共有です。

■ 概要
ハッカー集団ShinyHuntersがCanvasのプラットフォームから大規模なデータを窃取し、身代金を要求しました。運営のInstructure社は攻撃者と合意に達し、データの返還と削除証明(shred logs)を受領したとしていますが、完全な削除の保証はない状況です。

■ 影響範囲
- Canvasを利用している教育機関およびユーザー(学生・教職員)

■ 対応手順
1. 自組織でCanvasを利用しているか確認し、利用している場合はユーザーへのパスワード変更周知を検討してください。
2. MFA(多要素認証)の設定状況を確認し、未設定のユーザーに適用を推奨してください。
3. ベンダーからの公式通知がないか、管理コンソールおよびメールを確認してください。

■ 参考情報
- SecurityWeek 記事

対応優先度: 中
対応期限: 速やかに確認
Subject: [Info] Data Breach Incident involving Canvas (Instructure)

Dear Team,

This is a technical update regarding the data breach of the Canvas learning platform.

■ Overview
The threat actor group 'ShinyHunters' exfiltrated a massive amount of data from Canvas and demanded a ransom. Instructure has reported reaching an agreement for the return and deletion of the data, receiving 'shred logs' as confirmation. However, the company admitted that absolute verification of data destruction is not possible.

■ Scope
- Educational institutions and users (students/faculty) utilizing the Canvas platform.

■ Recommended Actions
1. Verify if your organization utilizes Canvas and consider advising users to update their passwords.
2. Review MFA (Multi-Factor Authentication) adoption among users to mitigate credential-based risks.
3. Monitor official vendor communications for further updates or specific impact notifications.

■ Reference
- SecurityWeek Article

Priority: Medium
Deadline: Immediate review
🔗 元の記事を読む
C
月内に

Hugging Face上でOpenAIのプロジェクトを装った悪意のあるリポジトリ「Open-OSS/privacy-filter」

脆弱性🌐 英語ソース
📅 2026-05-12📰 xakep
📌 一言でいうと
Hugging Face上でOpenAIのプロジェクトを装った悪意のあるリポジトリ「Open-OSS/privacy-filter」が発見されました。このリポジトリはトレンド1位になるほど拡散し、約24.4万回ダウンロードされました。実行されるloader.pyを通じて、Rust製のインフォスティーラー「sefirah」がインストールされ、ブラウザのクッキーや保存済みパスワード、セッション・トークンなどが窃取されます。
🔍該当判定
  • AIモデル共有サイト「Hugging Face」からプログラムをダウンロードして利用している
  • OpenAIの「Privacy Filter」というツールを、公式サイト以外から導入した
  • Windows PC上で、Hugging Faceから入手した「loader.py」というファイルを実行した
  • 社内でAI開発を行っており、外部の公開リポジトリからライブラリを直接インストールしている
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないサードパーティ製リポジトリからのコード実行を避け、公式のOpenAIリポジトリであることを確認すること。また、不審なスクリプトを実行した場合は、パスワードの変更とセッションの強制終了を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Hugging Face上の偽OpenAIリポジトリによるマルウェア配布について

お疲れさまです。Hugging Faceにおけるサプライチェーン攻撃に関する情報共有です。

■ 概要
OpenAIの「Privacy Filter」を装った偽リポジトリ(Open-OSS/privacy-filter)が公開され、Rust製のインフォスティーラー「sefirah」を配布していたことが判明しました。loader.pyを通じてSSL検証の無効化、PowerShell経由のペイロード取得、Microsoft Defenderの除外設定追加を行い、ブラウザから機密情報を窃取します。

■ 影響範囲
- Hugging Faceから当該リポジトリをダウンロードし、コードを実行した環境

■ 対応手順
1. 開発環境において、不審なリポジトリ(Open-OSS/privacy-filter)の利用履歴がないか確認してください。
2. 感染が疑われる端末がある場合、ネットワークから隔離し、パスワードリセットおよびセッションの破棄を実施してください。
3. 外部リポジトリからのコード実行に関する社内ガイドラインの再徹底をお願いします。

■ 参考情報
- HiddenLayer Research

対応優先度: 高
対応期限: 本日中
Subject: [Alert] Malware Distribution via Fake OpenAI Repository on Hugging Face

Dear IT/Security Team,

We are sharing information regarding a supply chain attack on the Hugging Face platform.

■ Overview
A malicious repository (Open-OSS/privacy-filter) impersonating OpenAI's 'Privacy Filter' was discovered. It distributes a Rust-based infostealer named 'sefirah'. The attack chain involves a loader.py script that disables SSL verification, fetches a payload via PowerShell, adds itself to Microsoft Defender exclusions, and steals browser cookies, passwords, and session tokens.

■ Scope
- Environments where the aforementioned repository was downloaded and executed.

■ Action Plan
1. Audit development environments for any usage of the 'Open-OSS/privacy-filter' repository.
2. If infection is suspected, isolate the affected machine and perform a mandatory password reset and session termination for all accounts.
3. Reinforce internal guidelines regarding the execution of code from untrusted third-party repositories.

■ Reference
- HiddenLayer Research

Priority: High
Deadline: Immediate
🔗 元の記事を読む