🔥 この日の重要情報
2026-05-17 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

WordPressのプラグイン「Funnel Builder」の脆弱性を悪用し、WooCommerceのチェックアウトページにe-スキマー(決済情報窃取コード)…

脆弱性🔄 続報🌐 英語ソース
📅 2026-05-17📰 secaffairs
📌 一言でいうと
WordPressのプラグイン「WooCommerce向けのチェックアウト・アップセル最適化プラグイン">Funnel Builder」の脆弱性を悪用し、WooCommerceのチェックアウトページにe-スキマー(決済情報窃取コード)を注入する攻撃が確認されました。攻撃者はプラグインの「External Scripts」設定に偽のGoogle Tag Managerスクリプトを配置し、顧客のクレジットカード番号やCVV、請求先住所を盗み出します。影響を受けるサイト運営者は、直ちにセキュリティアップデートを適用し、チェックアウトページの改ざんを確認することが推奨されています。
🔍該当判定
  • WordPressでネットショップ(WooCommerce)を運営している
  • プラグイン「Funnel Builder (by FunnelKit)」をインストールして利用している
  • Funnel Builderの「External Scripts」設定に、心当たりのないGoogle Tag Manager等のスクリプトが登録されている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Funnel Builderプラグインを最新バージョンにアップデートすること。 2. プラグインの「External Scripts」設定に身に覚えのないスクリプトが登録されていないか確認すること。 3. チェックアウトページに不正なJavaScriptが注入されていないか点検すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WordPress Funnel Builder プラグインの脆弱性への対応について

お疲れさまです。Funnel Builderプラグインに関する脆弱性情報について共有します。

■ 概要
WordPressのFunnel Builderプラグインにおいて、チェックアウトページに悪意のあるJavaScript(e-スキマー)を注入できる脆弱性が悪用されています。攻撃者は偽のGoogle Tag Managerスクリプトを介して、顧客のクレジットカード情報や請求先住所を窃取します。

■ 影響範囲
- 対象製品: Funnel Builder by FunnelKit (WooCommerce用プラグイン)

■ 対応手順
1. 当該プラグインを最新バージョンへアップデートしてください。
2. プラグイン設定内の「External Scripts」セクションを確認し、未承認のスクリプトが追加されていないか点検してください。
3. 決済ページに不審な外部スクリプトが読み込まれていないか確認してください。

■ 参考情報
- Sansec リサーチレポート

対応優先度: 高
対応期限: 直ちに
Subject: [Security Alert] Vulnerability in WordPress Funnel Builder Plugin

Dear Team,

We are sharing information regarding a critical vulnerability in the Funnel Builder plugin for WordPress/WooCommerce.

■ Overview
Attackers are actively exploiting a flaw in the Funnel Builder plugin to inject e-skimming code into checkout pages. By inserting malicious scripts into the "External Scripts" setting, they can steal sensitive payment data, including credit card numbers and CVVs.

■ Scope
- Affected Product: Funnel Builder by FunnelKit

■ Mitigation Steps
1. Update the Funnel Builder plugin to the latest secure version immediately.
2. Review the "External Scripts" settings within the plugin for any unauthorized or suspicious entries.
3. Audit checkout pages for the presence of unauthorized JavaScript injections.

■ Reference
- Sansec Research Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Pierluigi Paganini氏による週刊セキュリティニュースレター第577回です

脆弱性🔄 続報🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇹🇼 Taiwan
🔢 CVECVE-2026-42897
📅 2026-05-17📰 secaffairs
📌 一言でいうと
Pierluigi Paganini氏による週刊セキュリティニュースレター第577回です。Microsoft Exchange Serverのゼロデイ脆弱性(CVE-2026-42897)の悪用や、OpenAIを標的としたTanStackパッケージによるサプライチェーン攻撃、ロシアのAPTグループTurlaの活動などが報告されています。また、Pwn2Own Berlin 2026の結果や、ウクライナ政府を標的としたGhostwriterグループの攻撃再開についても触れています。
🔍該当判定
  • 自社で『Microsoft Exchange Server』を運用している
  • 自社で『Funnel Builder』を利用してネットショップ(ECサイト)を構築している
  • 開発環境で『TanStack』のパッケージ(ライブラリ)を利用している
  • Windows OSを搭載したPCを社内で利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
Microsoft Exchange Serverの最新パッチ適用、サードパーティ製ライブラリ(TanStack等)の整合性確認、および不審なメールや通信の監視を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft Exchange Server およびサプライチェーン攻撃への対応について

お疲れさまです。最新の脅威情報に関する共有です。

■ 概要
Microsoft Exchange Serverにおいて、ゼロデイ脆弱性(CVE-2026-42897)が積極的に悪用されていることがCISAおよびMicrosoftにより確認されました。また、TanStackパッケージを悪用したOpenAIへのサプライチェーン攻撃や、ロシア系APT Turlaによる新ツールの展開も報告されています。

■ 影響範囲
- Microsoft Exchange Server
- TanStackライブラリを利用している開発環境
- ウクライナ政府関連組織(Ghostwriterによる攻撃)

■ 対応手順
1. Microsoft Exchange Serverの最新セキュリティ更新プログラムを適用してください。
2. 開発プロジェクトで使用しているnpm/PyPI等のパッケージの依存関係を確認し、不審なバージョンが含まれていないか検証してください。
3. CISAのKnown Exploited Vulnerabilities (KEV) カタログを監視し、優先的に対処してください。

■ 参考情報
- CISA KEV Catalog
- Microsoft Security Response Center (MSRC)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Microsoft Exchange Server CVE-2026-42897 and Supply Chain Threats

Dear Team,

This is a technical update regarding several critical threats reported in the latest Security Affairs newsletter.

■ Overview
Active exploitation of a Microsoft Exchange Server zero-day (CVE-2026-42897) has been confirmed and added to CISA's KEV catalog. Additionally, a supply chain attack targeting OpenAI via malicious TanStack packages and new long-term access tools developed by APT Turla have been identified.

■ Scope
- Microsoft Exchange Server installations
- Development environments utilizing TanStack libraries
- Ukrainian government entities (targeted by Ghostwriter)

■ Action Plan
1. Immediately apply the latest security patches for Microsoft Exchange Server.
2. Audit software dependencies for any malicious versions of TanStack or other third-party packages.
3. Monitor CISA's KEV catalog for newly added vulnerabilities requiring urgent remediation.

■ Reference
- CISA KEV Catalog
- Microsoft Security Response Center (MSRC)

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
ithome_twMicrosoft Exchange Serverのオンプレミス版(2016, 2019, SE)に、CVSS 8.1の重大なXSS脆弱性(…
🔗 元の記事を読む
B
今週中

セキュリティ研究者がAzure Backup for AKSにおける特権昇格の脆弱性を報告しましたが、Microsoftはこれを拒否しCVEの発行をブロックしま…

脆弱性🌐 英語ソース
🖥️ 製品Azure
📅 2026-05-17📰 bleeping
📌 一言でいうと
セキュリティ研究者がAzure Backup for AKSにおける特権昇格の脆弱性を報告しましたが、Microsoftはこれを拒否しCVEの発行をブロックしました。この脆弱性は、低権限の「Backup Contributor」ロールからクラスター管理者権限(cluster-admin)を取得できるというものです。研究者はMicrosoftが密かに修正(サイレントパッチ)を適用したと主張していますが、Microsoft側は期待通りの動作であり変更は加えていないと反論しています。
🔍該当判定
  • Microsoft Azureを利用している
  • Azure Kubernetes Service (AKS) を利用している
  • AKSのバックアップ機能 (Azure Backup for AKS) を利用している
  • ユーザーに「バックアップ共同作成者 (Backup Contributor)」権限を割り当てている
上記いずれにも該当しない → 静観でOK
該当時の対応
Microsoftの公式発表を注視し、Azure環境における権限割り当て(特にBackup Contributorロール)の最小権限原則を再確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Azure Backup for AKS における特権昇格の脆弱性報告について

お疲れさまです。Azure Backup for AKSに関する脆弱性情報の共有です。

■ 概要
低権限の「Backup Contributor」ロールを持つユーザーが、クラスター管理者権限(cluster-admin)へ昇格できる脆弱性が報告されました。Microsoftは本件を拒否しCVEを発行していませんが、研究者は密かに修正が適用された(サイレントパッチ)と主張しています。

■ 影響範囲
- Azure Backup for AKS を利用している環境

■ 対応手順
1. Azure RBACの設定を確認し、不要に「Backup Contributor」権限が付与されていないかレビューしてください。
2. 最小権限の原則に基づき、権限設定を最適化してください。

■ 参考情報
- BleepingComputer 記事

対応優先度: 中
対応期限: 次回権限レビュー時まで
Subject: [Info] Privilege Escalation Vulnerability Report in Azure Backup for AKS

Hi all,

This is a technical update regarding a reported vulnerability in Azure Backup for AKS.

■ Overview
A security researcher has disclosed a flaw where a user with the low-privileged "Backup Contributor" role could escalate privileges to "cluster-admin". While Microsoft has rejected the report and blocked the CVE issuance, claiming the behavior is expected, the researcher suggests a silent patch has been implemented.

■ Scope
- Environments utilizing Azure Backup for AKS

■ Recommended Actions
1. Review Azure RBAC assignments to ensure the "Backup Contributor" role is not over-provisioned.
2. Enforce the principle of least privilege (PoLP) across your AKS clusters.

■ Reference
- BleepingComputer article

Priority: Medium
Deadline: Next scheduled permission review
🔗 元の記事を読む
B
今週中

Javaのchar(16ビット)とbyte(8ビット)の型変換におけるデータ損失(高位截断/Ghost Bits)を利用して、WAFをバイパスする手法が解説され…

脆弱性🌐 英語ソース
🔢 CVECVE-2025-41242
📅 2026-05-17📰 freebuf
📌 一言でいうと
Javaのchar(16ビット)とbyte(8ビット)の型変換におけるデータ損失(高位截断/Ghost Bits)を利用して、WAFをバイパスする手法が解説されています。攻撃者は特定の文字コードを送信し、WAFでの検知を回避しつつ、バックエンドのアプリケーションで危険な文字として解釈させることが可能です。具体的にCVE-2025-41242を用いた実証実験が行われており、JavaベースのWAFやアプリケーションの脆弱性が指摘されています。
🔍該当判定
  • 自社でJavaを用いてWebアプリケーションを開発・運用している
  • JavaベースのWAF(Web Application Firewall)を導入している
  • CVE-2025-41242 に関する脆弱性報告を受けている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Javaの型変換(特にbyteからcharへの変換)におけるデータ整合性の検証を行う。2. WAFの正規化処理がバックエンドのアプリケーションと一致しているか確認する。3. 関連するCVE-2025-41242の修正パッチを適用する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Java WAFにおける高位截断(Ghost Bits)によるバイパス脆弱性について

お疲れさまです。JavaベースのWAFを回避する新たな手法「Ghost Bits」に関する情報共有です。

■ 概要
Javaのchar(16bit)とbyte(8bit)の型変換時に発生する高位ビットの切り捨てを利用し、WAFの検知を回避して攻撃ペイロードを透過させる手法です。CVE-2025-41242等の脆弱性と組み合わせて悪用される可能性があります。

■ 影響範囲
- JavaベースのWAF製品
- Javaで実装された入力バリデーションロジックを持つWebアプリケーション

■ 対応手順
1. 利用中のWAFおよびアプリケーションフレームワークのバージョンを確認し、最新のセキュリティパッチを適用してください。
2. 入力値の正規化処理において、型変換による意図しない文字変換が発生していないかレビューしてください。

■ 参考情報
- CVE-2025-41242

対応優先度: 高
対応期限: 速やかに確認
Subject: [Technical Alert] WAF Bypass via High-bit Truncation (Ghost Bits) in Java

Dear Team,

We are sharing information regarding a WAF bypass technique known as "Ghost Bits" affecting Java-based environments.

■ Overview
This technique exploits the data loss that occurs during the conversion between Java's 16-bit char and 8-bit byte types. Attackers can craft payloads that appear benign to the WAF but are interpreted as malicious characters by the backend application. This is demonstrated in relation to CVE-2025-41242.

■ Scope
- Java-based WAF solutions
- Web applications utilizing Java for input validation and normalization

■ Mitigation Steps
1. Identify and update Java-based WAFs and application frameworks to the latest patched versions.
2. Review input normalization logic to ensure that type casting does not introduce vulnerabilities.

■ Reference
- CVE-2025-41242

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
B
今週中

Pwn2Own Berlin 2026において、セキュリティ研究チームのDEVCOREが「破解大师(Master Hacker)」の称号を獲得しました

脆弱性🔄 続報🌐 英語ソース
📅 2026-05-17📰 freebuf
📌 一言でいうと
Pwn2Own Berlin 2026において、セキュリティ研究チームのDEVCOREが「破解大师(Master Hacker)」の称号を獲得しました。大会期間中に合計47個のゼロデイ脆弱性が披露され、特にMicrosoft SharePointを攻略した攻撃チェーンが注目を集めました。他にもVMware ESXi、Windows 11、Red Hat Enterprise Linux、OpenAI Codexなどが標的となりました。
🔍該当判定
  • 社内で『Microsoft SharePoint』をサーバーとして運用している
  • 仮想化基盤として『VMware ESXi』を利用している
  • OSに『Windows 11』または『Red Hat Enterprise Linux』を使用している
  • 開発業務で『OpenAI Codex』を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
対象製品のベンダーから提供される最新のセキュリティパッチを適用し、ゼロデイ脆弱性への対策を講じてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Pwn2Own Berlin 2026におけるゼロデイ脆弱性披露について

お疲れさまです。Pwn2Own Berlin 2026に関する情報共有です。

■ 概要
セキュリティコンテスト Pwn2Own Berlin 2026にて、合計47個のゼロデイ脆弱性が披露されました。特にMicrosoft SharePointにおいて、2つの脆弱性を組み合わせた攻撃チェーンによる攻略が確認されています。また、VMware ESXi、Windows 11、RHEL、OpenAI Codex等も標的となりました。

■ 影響範囲
- Microsoft SharePoint
- VMware ESXi
- Windows 11
- Red Hat Enterprise Linux
- OpenAI Codex

■ 対応手順
1. 各製品ベンダーから公開される脆弱性詳細および修正パッチの情報を確認してください。
2. 修正プログラムが提供され次第、速やかに適用してください。

■ 参考情報
- ZDI (Zero Day Initiative) 公式発表

対応優先度: 中
対応期限: パッチ公開後速やかに
Subject: [Info] Zero-Day Vulnerabilities Disclosed at Pwn2Own Berlin 2026

Dear team,

This is a notification regarding the vulnerabilities disclosed during Pwn2Own Berlin 2026.

■ Overview
A total of 47 unique zero-day vulnerabilities were demonstrated. Notably, a successful attack chain was used to compromise Microsoft SharePoint. Other targeted platforms included VMware ESXi, Windows 11, Red Hat Enterprise Linux, and OpenAI Codex.

■ Scope
- Microsoft SharePoint
- VMware ESXi
- Windows 11
- Red Hat Enterprise Linux
- OpenAI Codex

■ Action Plan
1. Monitor official vendor advisories for detailed vulnerability information and patches.
2. Apply security updates as soon as they become available.

■ Reference
- ZDI (Zero Day Initiative) official announcements

Priority: Medium
Deadline: As soon as patches are released
🔗 元の記事を読む
C
月内に

MicrosoftとPalo Alto Networksが、AIおよび大規模言語モデル(LLM)を自社製品の脆弱性検知に導入したこと

脆弱性🔄 続報🌐 英語ソース
🖥️ 製品Palo Alto
📅 2026-05-17📰 thaicert
📌 一言でいうと
MicrosoftとPalo Alto Networksが、AIおよび大規模言語モデル(LLM)を自社製品の脆弱性検知に導入したことが報告されました。MicrosoftのMDASHはWindowsのネットワーキングや認証スタックにおける重大な脆弱性を含む16件を検出し、Palo Alto Networksは130以上の製品をスキャンして26件のCVE(75件の問題)を特定しました。両社とも、攻撃者に悪用される前にAIを用いて脆弱性を発見し、修正することを目的としています。
🔍該当判定
  • Windows OSを利用しており、最新の更新プログラム(Patch Tuesday分)を未適用である
  • Palo Alto Networks製の製品(次世代ファイアウォール等)を導入している
  • Palo Alto NetworksのSaaS製品を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
各ベンダーから提供される最新のセキュリティパッチを速やかに適用し、製品を最新の状態に保つことを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】MicrosoftおよびPalo Alto NetworksによるAIを用いた脆弱性検知について

お疲れさまです。ベンダーによるAI活用した脆弱性検知の取り組みに関する情報共有です。

■ 概要
Microsoft(MDASH)およびPalo Alto Networksが、AI/LLMを用いて自社製品のソースコードをスキャンし、潜在的な脆弱性を特定する取り組みを行っています。これにより、攻撃者に悪用される前に脆弱性を発見し、修正パッチを適用するサイクルを高速化しています。

■ 影響範囲
- Microsoft Windows (Networking/Authentication stack)
- Palo Alto Networks 製品(SaaSおよびカスタマー環境の130以上の製品)

■ 対応手順
1. Microsoft Patch Tuesday 等で提供される最新の累積更新プログラムを適用してください。
2. Palo Alto Networks の最新のアドバイザリを確認し、該当する製品のアップデートを実施してください。

■ 参考情報
- ThaiCERT 報告書

対応優先度: 中
対応期限: 次回定期メンテナンス時まで
Subject: [Info] AI-Driven Vulnerability Detection by Microsoft and Palo Alto Networks

Dear Team,

We are sharing information regarding the proactive use of AI by major vendors to secure their products.

■ Overview
Microsoft (via MDASH) and Palo Alto Networks have implemented AI and LLMs to scan their own source code and products. This approach allows them to identify and prioritize vulnerabilities—including critical remote code execution flaws—before they are exploited in the wild.

■ Scope
- Microsoft Windows (Networking and Authentication stacks)
- Palo Alto Networks products (130+ products across SaaS and customer-operated environments)

■ Action Plan
1. Ensure all Microsoft Windows systems are updated with the latest Patch Tuesday updates.
2. Review Palo Alto Networks security advisories and apply necessary patches to affected products.

■ Reference
- ThaiCERT Report

Priority: Medium
Deadline: Next scheduled maintenance window
🔗 元の記事を読む
C
月内に

AppleがiOS, iPadOS, macOS, watchOS, tvOS, visionOSおよびSafariにおける複数の脆弱性を修正するセキュリティア…

脆弱性🌐 英語ソース
🖥️ 製品macOSiOSiPadOS
📅 2026-05-17📰 thaicert
📌 一言でいうと
AppleがiOS, iPadOS, macOS, watchOS, tvOS, visionOSおよびSafariにおける複数の脆弱性を修正するセキュリティアップデートを公開しました。iOS/iPadOSでは60件以上、macOSでは80件以上の脆弱性が修正されており、中には権限昇格やサンドボックス回避、root権限の取得が可能な深刻なものも含まれています。ユーザーは速やかに最新バージョンへのアップデートを行うことが推奨されています。
🔍該当判定
  • 社内でiPhoneまたはiPadを利用しており、OSのバージョンが最新ではない
  • 社内でMac(macOS)を利用しており、OSのバージョンが最新ではない
  • 業務でSafariブラウザを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
対象デバイス(iPhone, iPad, Mac等)のOSおよびSafariを最新バージョンにアップデートしてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Apple製品(iPhone, iPad, Mac)のアップデートのお願い

お疲れさまです。情報システム担当です。
Apple社製のデバイス(iPhone, iPad, Macなど)において、セキュリティ上の弱点(脆弱性)が見つかり、それを修正するための更新プログラムが公開されました。

ご協力をお願いしたいこと:
1. お使いのデバイスの「設定」または「システム設定」から、ソフトウェアアップデートを確認してください。
2. 最新バージョンが提供されている場合は、速やかにインストール(更新)を行ってください。

対応期限: 今週中
Subject: [Action Required] Please update your Apple devices (iPhone, iPad, Mac)

Hi everyone,
Apple has released security updates to fix vulnerabilities found in iOS, iPadOS, and macOS.

What you need to do:
1. Check for software updates in the "Settings" or "System Settings" of your device.
2. Install the latest available update immediately.

Deadline: By the end of this week
件名: 【共有】Apple製品(iOS, iPadOS, macOS等)の脆弱性修正対応について

お疲れさまです。Apple製品のセキュリティアップデートに関する情報共有です。

■ 概要
AppleがiOS, iPadOS, macOS, Safari等を含む広範な製品の脆弱性を修正しました。macOSでは80件以上、iOS/iPadOSでは60件以上の修正が行われており、root権限への昇格、サンドボックス回避、Gatekeeperのバイパスなどが可能な脆弱性が含まれています。

■ 影響範囲
- iOS, iPadOS (バージョン 26.5 未満、および各旧バージョン)
- macOS Tahoe (26.5 未満), Sequoia (15.7.7 未満), Sonoma 等
- Safari

■ 対応手順
1. 管理下にあるデバイスのOSバージョンを確認し、最新版への適用を強制または推奨する。
2. 特にWebKit関連の脆弱性が多く含まれているため、Safariの更新を優先的に確認する。

■ 参考情報
- Apple Security Updates / ThaiCERT

対応優先度: 高
対応期限: 速やかに
Subject: [Technical Info] Apple Security Updates for iOS, iPadOS, and macOS

Dear IT Team,

Apple has released security patches addressing numerous vulnerabilities across its ecosystem.

■ Overview
Updates fix over 80 vulnerabilities in macOS and over 60 in iOS/iPadOS. Critical issues include potential root privilege escalation, sandbox escapes, and Gatekeeper bypasses. A significant number of fixes (20+) target WebKit.

■ Affected Scope
- iOS, iPadOS (versions prior to 26.5 and specific legacy versions)
- macOS Tahoe (prior to 26.5), Sequoia (prior to 15.7.7), Sonoma, etc.
- Safari

■ Mitigation Steps
1. Audit device versions across the organization and enforce updates to the latest stable releases.
2. Ensure Safari is updated to mitigate WebKit-related risks.

■ Reference
- Apple Security Updates / ThaiCERT

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

フィッシングキット「Tycoon2FA」が、Microsoft 365アカウントを乗っ取るためにデバイスコードフィッシング攻撃を導入しました

脆弱性🌐 英語ソース
🖥️ 製品Microsoft 365
📅 2026-05-17📰 bleeping
📌 一言でいうと
フィッシングキット「Tycoon2FA」が、Microsoft 365アカウントを乗っ取るためにデバイスコードフィッシング攻撃を導入しました。攻撃者はTrustifiのクリック追跡URLを悪用して検知を回避し、被害者に正規のログインページでデバイスコードを入力させることで不正にアクセス権を取得します。一度は法執行機関により遮断されましたが、現在は新しいインフラで活動を再開しています。
🔍該当判定
  • Microsoft 365(旧Office 365)を業務で利用している
  • 社員がメールで届いた「デバイスコード」を、Microsoftの公式サイトに入力する操作を行う可能性がある
  • Trustifiなどのメール配信・追跡サービスを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なメールに含まれるリンクや、心当たりのないデバイス登録要求(デバイスコードの入力)を無視し、社内ユーザーに注意喚起を行うこと。また、条件付きアクセスなどのセキュリティ設定を強化することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365への不審なログイン要求について

お疲れさまです。情報システム担当です。
Microsoft 365のアカウントを乗っ取るための巧妙なフィッシングメールが確認されています。

ご協力をお願いしたいこと:
1. 心当たりのない「デバイスコード」の入力を求めるメールや画面が表示された場合、絶対に入力せず、すぐに情報システム担当へ報告してください。
2. 不審なリンクが含まれるメールは開かず、削除してください。

対応期限: 本日中
Subject: [Security Alert] Suspicious Login Requests for Microsoft 365

Dear employees,
We have detected sophisticated phishing attacks targeting Microsoft 365 accounts.

What we need from you:
1. If you encounter any request to enter a "device code" that you did not initiate, do NOT enter it and report it to the IT department immediately.
2. Do not click on links in suspicious emails; please delete them.

Deadline: Immediate
件名: 【共有】Tycoon2FAによるデバイスコードフィッシングへの対応について

お疲れさまです。Tycoon2FAフィッシングキットに関する情報共有です。

■ 概要
Tycoon2FAがOAuth 2.0のデバイス認可フローを悪用した「デバイスコードフィッシング」を開始しました。TrustifiのURLを介して検知を回避し、ユーザーに正規のMicrosoftログインページでコードを入力させることで、攻撃者のデバイスを被害者のアカウントに紐付けます。

■ 影響範囲
- Microsoft 365 利用ユーザー

■ 対応手順
1. 条件付きアクセス(Conditional Access)ポリシーを見直し、未承認デバイスからの登録を制限する。
2. Trustifi等のクリック追跡サービスを経由する不審なトラフィックの監視を強化する。
3. ユーザーに対し、意図しないデバイス登録要求への注意喚起を行う。

■ 参考情報
- BleepingComputer 記事

対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] Tycoon2FA Device-Code Phishing Campaign

Dear IT/Security Team,

This is a technical update regarding the Tycoon2FA phishing kit.

■ Overview
Tycoon2FA is now leveraging OAuth 2.0 device authorization grant flows to compromise Microsoft 365 accounts. The attack uses Trustifi click-tracking URLs for obfuscation and tricks users into registering a rogue device by entering a device code on a legitimate Microsoft login page.

■ Scope
- All Microsoft 365 users

■ Mitigation Steps
1. Review and tighten Conditional Access policies to restrict unauthorized device registration.
2. Monitor for suspicious traffic originating from click-tracking services like Trustifi.
3. Conduct targeted security awareness training regarding device-code phishing.

■ Reference
- BleepingComputer report

Priority: High
Deadline: End of this week
🔗 元の記事を読む
C
月内に

Pwn2Own Berlin 2026が閉幕し、合計47個のゼロデイ脆弱性

脆弱性🔄 続報🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇰🇷 Korea
📅 2026-05-17📰 dailysecu
📌 一言でいうと
Pwn2Own Berlin 2026が閉幕し、合計47個のゼロデイ脆弱性が公開されました。攻撃対象はエンタープライズサーバー、OS、仮想化プラットフォームに加え、AIコーディングエージェントやローカル推論ツールまで拡大しています。韓国のセキュリティ研究チームであるOut Of Boundsが最終3位に入賞し、DEVCOREが優勝しました。
🔍該当判定
  • Windows 11を社内PCで利用している
  • VMware ESXiをサーバー仮想化基盤として利用している
  • Red Hat Enterprise Linux (RHEL) をサーバーで利用している
  • Microsoft SharePointを社内ポータルやファイル共有で利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
公開されたゼロデイ脆弱性に対するベンダーの修正パッチ適用を迅速に行い、特にAIツールや仮想化基盤のセキュリティ設定を見直すことを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Pwn2Own Berlin 2026におけるゼロデイ脆弱性公開について

お疲れさまです。Pwn2Own Berlin 2026の結果に関する情報共有です。

■ 概要
世界的なハッキング大会Pwn2Own Berlin 2026にて、合計47個のゼロデイ脆弱性が公開されました。特にAIコーディングエージェントやVMware ESXi、Windows 11、Red Hat Linuxなどの企業向け基幹技術が標的となりました。

■ 影響範囲
- VMware ESXi
- Windows 11 / Red Hat Linux
- AIコーディングツール (OpenAI Codex, Anthropic Claude Code)
- Microsoft SharePoint

■ 対応手順
1. 各ベンダーから公開される脆弱性修正パッチの適用状況を確認してください。
2. AIツール等の導入環境において、不必要な権限付与が行われていないか再点検してください。

■ 参考情報
- ZDI (Zero Day Initiative) ブログ

対応優先度: 中
対応期限: パッチ公開後速やかに
Subject: [Info] Disclosure of Zero-Day Vulnerabilities at Pwn2Own Berlin 2026

Dear Team,

This is a notification regarding the results of Pwn2Own Berlin 2026.

■ Overview
A total of 47 zero-day vulnerabilities were disclosed during the competition. Targets included critical enterprise technologies such as AI coding agents, VMware ESXi, Windows 11, and Red Hat Linux.

■ Scope of Impact
- VMware ESXi
- Windows 11 / Red Hat Linux
- AI Coding Tools (OpenAI Codex, Anthropic Claude Code)
- Microsoft SharePoint

■ Action Plan
1. Monitor and apply security patches released by the respective vendors for the disclosed vulnerabilities.
2. Review permission settings for AI tools and virtualization infrastructure to ensure the principle of least privilege.

■ Reference
- ZDI (Zero Day Initiative) Blog

Priority: Medium
Deadline: As soon as patches are available
📰 関連する 1 件の記事
secaffairsPwn2Own Berlin 2026が開催され、合計47件のゼロデイ脆弱性
🔗 元の記事を読む