🔥 この日の重要情報
2026-05-22 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

AnthropicのAI開発ツール「Claude Code」のネットワークサンドボックスに、空字節注入(null-byte injection)による脆弱性

事案🌐 英語ソース
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
AnthropicのAI開発ツール「Claude Code」のネットワークサンドボックスに、空字節注入(null-byte injection)による脆弱性が発見されました。この脆弱性を悪用し、プロンプト注入と組み合わせることで、攻撃者はサンドボックスの制限を回避して外部サーバーへ接続し、ソースコードやAPIキーなどの機密情報を窃取できる可能性があります。Anthropicはバージョン2.1.90で修正済みですが、公式なセキュリティ通知を公開していないことが研究者から批判されています。
🔍該当判定
  • 開発業務でAnthropic社のAIツール『Claude Code』をインストールして利用している
  • Claude Codeのバージョンが 2.0.24 から 2.1.89 の間である
  • Claude Codeを使い、GitHubのトークンやクラウドサービスのAPIキーなどの機密情報を扱う環境で実行している
上記いずれにも該当しない → 静観でOK
該当時の対応
Claude Codeを最新バージョン(2.1.90以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Claude Code ネットワークサンドボックスの脆弱性対応について

お疲れさまです。Claude Codeに関する脆弱性情報について共有いたします。

■ 概要
Claude Codeのネットワークサンドボックスにおいて、SOCKS5 Proxyの処理に起因する空字節注入(null-byte injection)の脆弱性が確認されました。プロンプト注入と組み合わせることで、ホワイトリストを回避して外部へ接続し、GitHubトークンやAPIキー等の機密情報を窃取されるリスクがあります。

■ 影響範囲
- 対象製品: Claude Code
- 対象バージョン: 2.0.24 ~ 2.1.89

■ 対応手順
1. 利用しているClaude Codeのバージョンを確認してください。
2. バージョン 2.1.90 以降へアップデートを適用してください。

■ 参考情報
- Aonan Guan氏による報告(HackerOne経由)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Vulnerability in Claude Code Network Sandbox

Dear IT/Security Team,

We are sharing information regarding a vulnerability found in Anthropic's Claude Code.

■ Overview
A null-byte injection vulnerability was identified in the SOCKS5 Proxy component of the Claude Code network sandbox. If combined with prompt injection, an attacker could bypass connection allowlists to exfiltrate sensitive data, such as GitHub tokens, cloud credentials, and source code, to an external server.

■ Scope
- Product: Claude Code
- Affected Versions: 2.0.24 through 2.1.89

■ Remediation
1. Verify the current version of Claude Code in use.
2. Update to version 2.1.90 or later immediately.

■ Reference
- Report by researcher Aonan Guan via HackerOne

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性

事案🌐 英語ソース
📅 2026-05-22📰 freebuf
📌 一言でいうと
Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性が発見されました。攻撃者はこのドライバーを悪用して、CrowdStrike FalconなどのEDRやアンチウイルスソフトを無効化し、検知を回避することが可能です。これは「BYOVD (Bring Your Own Vulnerable Driver)」と呼ばれる攻撃手法の一種であり、正規の署名があるため従来の検知をすり抜ける危険性があります。
🔍該当判定
  • 社内でLenovo(レノボ)製のPCを利用している
  • PCに「Lenovo PC Manager」という管理ツールがインストールされている
  • CrowdStrike FalconなどのEDR(エンドポイント検知・対応)製品を導入して運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Microsoftが推奨する脆弱なドライバーのブロックリストを適用する。2. 不審なドライバーのロードやカーネルレベルの挙動を監視する。3. 未承認のドライバーロードを制限する設定を導入する。4. 正規ドライバーの悪用を検知可能なEDR設定を検討する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Lenovo製ドライバー (BootRepair.sys) を悪用したEDR停止リスクについて

お疲れさまです。Lenovoの署名済みドライバーに起因するセキュリティリスクに関する情報共有です。

■ 概要
Lenovo PC Managerに付属する「BootRepair.sys」に、特権昇格およびプロセス強制終了が可能な脆弱性が存在します。攻撃者がこのドライバーをロードすることで、カーネル権限でEDRやアンチウイルス等のセキュリティプロセスを停止させることが可能です(BYOVD攻撃)。

■ 影響範囲
- 対象ドライバー: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Lenovo製PCを利用している環境

■ 対応手順
1. Windowsの「脆弱なドライバーのブロックリスト」機能を有効化し、既知の脆弱なドライバーのロードを制限してください。
2. EDR等のログを確認し、不審なドライバーのロードや、セキュリティサービスの予期せぬ停止が発生していないか監視してください。
3. 不要なLenovo製ユーティリティの削除または更新を検討してください。

■ 参考情報
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] EDR Termination Risk via Lenovo Driver (BootRepair.sys)

Dear IT/Security Team,

We are sharing information regarding a security risk associated with a signed Lenovo driver.

■ Overview
A vulnerability in the 'BootRepair.sys' driver (part of Lenovo PC Manager) allows attackers to terminate any process at the kernel level. This enables a BYOVD (Bring Your Own Vulnerable Driver) attack to disable security agents, such as EDRs (e.g., CrowdStrike Falcon), bypassing endpoint protections.

■ Scope
- Affected Driver: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Environments utilizing Lenovo PCs

■ Mitigation Steps
1. Enable Microsoft's 'Vulnerable Driver Blocklist' to prevent the loading of known vulnerable drivers.
2. Monitor EDR/SIEM logs for unauthorized driver loads or unexpected termination of security services.
3. Review and update or remove unnecessary Lenovo utility software.

■ Reference
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
B
今週中

Kaspersky ICS CERTの研究者が、QualcommチップのBootROMにおける深刻な脆弱性を発見しました

脆弱性🌐 英語ソース
📅 2026-05-22📰 kaspersky_ru
📌 一言でいうと
Kaspersky ICS CERTの研究者が、QualcommチップのBootROMにおける深刻な脆弱性を発見しました。この脆弱性は、デバイスの信頼の起点(Root of Trust)である不変のメモリ領域に存在するため、攻撃者が物理的にデバイスにアクセスできれば、ロックされたスマートフォンであっても悪意のあるコードを注入し、永続的な制御権を得る可能性があります。BootROMは製造後に変更できないため、ソフトウェアアップデートによる修正が困難な極めて深刻な問題です。
🔍該当判定
  • Qualcomm製のチップを搭載したスマートフォンを社用携帯として利用している
  • Qualcomm製のチップを搭載したIoTデバイス(産業用ゲートウェイやセンサー等)を社内で利用している
  • 社外の修理業者に、Qualcomm製チップ搭載デバイスの物理的な修理を依頼する運用がある
上記いずれにも該当しない → 静観でOK
該当時の対応
物理的なデバイス管理の徹底(信頼できない修理店への預け入れを避ける等)。メーカーからのハードウェアレベルの対策や、影響を受けるチップセットの特定を待つ必要があります。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Qualcommチップ BootROMの脆弱性に関する情報共有

お疲れさまです。Qualcomm製チップセットのBootROMにおける深刻な脆弱性に関する情報共有です。

■ 概要
Kaspersky ICS CERTにより、QualcommチップのBootROM(不変の起動メモリ)に脆弱性が発見されました。物理的なアクセス権を持つ攻撃者が、信頼の連鎖(Chain of Trust)をバイパスして悪意のあるコードを注入できる可能性があります。

■ 影響範囲
- 対象のQualcommチップセットを搭載したスマートフォンおよびIoTデバイス

■ 対応手順
1. 影響を受けるチップセットの特定(ベンダーからの詳細発表を待機)
2. 物理的なデバイス管理の再徹底(未承認の修理業者へのデバイス預け入れ禁止など)
3. 資産管理リストへの影響デバイスの記録

■ 参考情報
- Kaspersky Blog (Разбираем новую уязвимость чипов Qualcomm)

対応優先度: 高
対応期限: 継続的な監視
Subject: [Technical Alert] Vulnerability in Qualcomm Chip BootROM

Dear Team,

We are sharing information regarding a critical vulnerability discovered in the BootROM of Qualcomm chipsets.

■ Overview
Kaspersky ICS CERT has identified a flaw in the BootROM, the immutable root of trust. An attacker with physical access to the device can bypass the secure boot process and inject malicious code, potentially gaining full control over the device regardless of lock status.

■ Scope
- Smartphones and IoT devices utilizing the affected Qualcomm chipsets.

■ Recommended Actions
1. Monitor vendor advisories to identify specific affected chipsets.
2. Enforce strict physical device security policies (e.g., prohibiting the use of untrusted repair services).
3. Inventory devices within the organization that use Qualcomm hardware.

■ Reference
- Kaspersky Blog (Analysis of the new Qualcomm chip vulnerability)

Priority: High
Deadline: Ongoing monitoring
🔗 元の記事を読む
B
今週中

Googleのエンジニアが、Chromiumベースのブラウザにおける深刻な脆弱性の詳細を誤って公開しました

脆弱性🌐 英語ソース
📅 2026-05-22📰 xakep
📌 一言でいうと
Googleのエンジニアが、Chromiumベースのブラウザにおける深刻な脆弱性の詳細を誤って公開しました。この脆弱性はBackground Fetch APIに関連しており、悪意のあるサイトを通じてService Workerを永続的に動作させることが可能です。これにより、ブラウザを閉じたりデバイスを再起動したりした後でも、JavaScriptコードがバックグラウンドで実行され続け、DDoS攻撃やトラフィックプロキシなどのボットネットとして利用される恐れがあります。
🔍該当判定
  • Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arcのいずれかを業務で利用している
  • PCのブラウザで、大容量ファイルのバックグラウンドダウンロード機能(Background Fetch API)を利用するサイトにアクセスしたことがある
  • 社内PCにおいて、ブラウザを閉じた後や再起動後も特定のWebサイトの処理がバックグラウンドで動作し続ける設定を許可している
上記いずれにも該当しない → 静観でOK
該当時の対応
ブラウザを最新バージョンにアップデートし、不審なウェブサイトへのアクセスを避けてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザの更新をお願いします

お疲れさまです。情報システム担当です。
Google Chromeなどのブラウザにおいて、悪意のあるサイトを閲覧することで、パソコンのバックグラウンドで不正なプログラムが動作し続ける脆弱性が報告されました。

ご協力をお願いしたいこと:
1. ブラウザ(Chrome, Edge等)のメニューから「設定」→「ヘルプ」→「Google Chromeについて」等を確認し、最新バージョンに更新してください。
2. 心当たりのない不審なウェブサイトへのアクセスは控えてください。

対応期限: 本日中
Subject: [Action Required] Please Update Your Web Browser

Dear employees,

A vulnerability has been reported in Chromium-based browsers (such as Google Chrome and Microsoft Edge) that could allow malicious scripts to run in the background of your device.

Requested Actions:
1. Please update your browser to the latest version via the 'About' section in the browser settings.
2. Avoid visiting suspicious or unknown websites.

Deadline: End of today
件名: 【共有】Chromium Background Fetch API の脆弱性への対応について

お疲れさまです。Chromiumベースのブラウザにおける永続的なJavaScript実行の脆弱性に関する情報共有です。

■ 概要
Background Fetch APIの不備により、悪意のあるサイトからService Workerを起動させ、ブラウザ終了後や再起動後もJavaScriptをバックグラウンドで動作させ続けることが可能です。これにより、端末がJSボットネットの一部として利用されるリスクがあります。

■ 影響範囲
- Google Chrome
- Microsoft Edge
- Brave, Opera, Vivaldi, Arc 等のChromium系ブラウザ

■ 対応手順
1. 組織内の全端末でブラウザが最新バージョンに更新されているか確認してください。
2. 管理コンソール(Google Admin等)を用いて、強制的に最新版へアップデートを適用してください。

■ 参考情報
- xakep 記事 (ru)

対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vulnerability in Chromium Background Fetch API

Dear IT Security Team,

We are sharing information regarding a vulnerability in Chromium-based browsers that allows persistent JavaScript execution.

■ Overview
Due to a flaw in the Background Fetch API, an attacker can deploy a Service Worker that continues to run in the background even after the browser is closed or the system is rebooted. This allows the infected browser to be used as a persistent JS botnet for DDoS or proxying traffic.

■ Scope
- Google Chrome
- Microsoft Edge
- Other Chromium-based browsers (Brave, Opera, Vivaldi, Arc, etc.)

■ Mitigation Steps
1. Ensure all corporate endpoints are running the latest version of their respective browsers.
2. Use centralized management tools (e.g., Google Admin, Intune) to enforce browser updates.

■ Reference
- xakep report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

CISAは、トレンドマイクロのApex Oneにおけるパス・トラバーサル脆弱性(CVE-2026-34926)が実際に悪用されているとして、KEV(既知の悪用済…

脆弱性🔄 続報🌐 英語ソース📰 5記事🌐 4 countries ⭐
🇹🇼 Taiwan (2) · 🇭🇰 HK · 🇮🇹 Italy · 🇺🇸 US
🔢 CVECVE-2026-34926CVE-2025-34291
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
CISAは、トレンドマイクロのApex Oneにおけるパス・トラバーサル脆弱性(CVE-2026-34926)が実際に悪用されているとして、KEV(既知の悪用済み脆弱性カタログ)に追加しました。また、LLM開発ツールのLangflowにおける重大な脆弱性(CVE-2025-34291)も同時にKEVに登録されました。Langflowの脆弱性は、アカウント奪取やリモートコード実行(RCE)を可能にするもので、CVSS v4.0で9.4の高スコアが付けられています。
🔍該当判定
  • トレンドマイクロ社のエンドポイントセキュリティ製品「Apex One」を導入している
  • LLM(大規模言語モデル)の開発ツール「Langflow」を利用している
  • Langflowのバージョンが 1.6.9 より前の古いバージョンである
上記いずれにも該当しない → 静観でOK
該当時の対応
Apex OneおよびLangflowの最新バージョンへのアップデートを早急に実施してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Trend Micro Apex One および Langflow の脆弱性対応について

お疲れさまです。脆弱性情報に関する共有です。

■ 概要
CISAにより、Trend Micro Apex Oneのパス・トラバーサル脆弱性(CVE-2026-34926)およびLangflowのRCE脆弱性(CVE-2025-34291)が、実際に悪用されている脆弱性としてKEVに登録されました。特にLangflowの脆弱性はCVSS v4.0で9.4と極めて高く、迅速な対応が必要です。

■ 影響範囲
- Trend Micro Apex One (CVE-2026-34926)
- Langflow 1.6.9以前 (CVE-2025-34291)

■ 対応手順
1. 各製品の管理コンソールにて最新のパッチ適用状況を確認してください。
2. ベンダーが提供する最新バージョンへのアップデートを適用してください。

■ 参考情報
- CISA KEV Catalog
- Trend Micro 公式アドバイザリ

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Vulnerabilities in Trend Micro Apex One and Langflow

Dear IT/Security Team,

This is an alert regarding vulnerabilities recently added to the CISA Known Exploited Vulnerabilities (KEV) catalog.

■ Overview
CISA has flagged a path traversal vulnerability in Trend Micro Apex One (CVE-2026-34926) and a critical RCE vulnerability in Langflow (CVE-2025-34291) as being actively exploited in the wild. The Langflow vulnerability is particularly severe, with a CVSS v4.0 score of 9.4.

■ Affected Scope
- Trend Micro Apex One (CVE-2026-34926)
- Langflow versions prior to 1.6.9 (CVE-2025-34291)

■ Remediation Steps
1. Verify the current version and patch level of the affected software.
2. Apply the latest security updates provided by the respective vendors immediately.

■ Reference
- CISA KEV Catalog
- Trend Micro Official Advisory

Priority: High
Deadline: Immediate
📰 関連する 4 件の記事
bleepingTrend Microの企業向けエンドポイントセキュリティ製品「Apex One」のオンプレミス版において、ディレクトリトラバーサル脆弱性(…ithome_twトレンドマイクロのApex Oneおよび関連製品において、複数の脆弱性が修正されましたcsirt_itTrend MicroのApex OneおよびTrendAI Vision Oneにおいて、8つの脆弱性が修正されましたhkcertTrend Micro Apex Oneにおいて、権限昇格、リモートコード実行、データ操作を可能にする複数の脆弱性
🔗 元の記事を読む
C
月内に

Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを…

事案🌐 英語ソース
📅 2026-05-22📰 xakep
📌 一言でいうと
Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを運営していたドメイン「signspace[.]cloud」を没収しました。このサービスは、Azure Trusted Signingを悪用して偽のコード署名証明書を発行し、マルウェアを信頼されたソフトウェアに見せかけていました。この活動は、金銭的動機を持つ攻撃グループ「Fox Tempest」によって管理されていたことが判明しています。
🔍該当判定
  • 自社でWindows向けソフトウェアを開発し、外部の署名サービスを利用している
  • Azure Trusted Signing (旧 Artifact Signing) を利用してコード署名を行っている
  • signspace[.]cloud というドメインにアクセスした履歴がある、または利用したことがある
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なソフトウェアの実行を避け、EDRなどのセキュリティ製品で署名済みであっても不審な挙動を示すバイナリを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】悪意のあるコード署名サービス (MSaaS) の摘発について

お疲れさまです。Microsoftによる脅威アクターのインフラ排除に関する情報共有です。

■ 概要
Microsoftは、悪意のあるソフトウェアに正当な署名を付与して検知を回避させる「Malware-Signing-as-a-Service (MSaaS)」を提供していたドメイン「signspace[.]cloud」を没収しました。攻撃グループ「Fox Tempest」がAzure Trusted Signingを悪用し、短期間有効な偽の証明書を発行していたとのことです。

■ 影響範囲
- Windows環境全般(署名済みマルウェアによる検知回避の可能性)

■ 対応手順
1. EDR/AV等のログを確認し、不審な署名を持つバイナリの実行履歴がないか確認してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。

■ 参考情報
- Microsoft Threat Intelligence / OpFauxSign

対応優先度: 低
対応期限: なし
Subject: [Info] Takedown of Malware-Signing-as-a-Service (MSaaS) Infrastructure

Dear team,

We are sharing information regarding Microsoft's recent operation to dismantle a malicious code-signing service.

■ Overview
Microsoft has seized the domain signspace[.]cloud, which provided 'Malware-Signing-as-a-Service (MSaaS)'. The threat actor, Fox Tempest, abused Azure Trusted Signing to generate fraudulent certificates, enabling malware to bypass security controls by appearing as legitimate Windows software.

■ Scope
- Windows environments (potential for detection bypass via signed malware).

■ Recommended Actions
1. Review EDR/AV logs for any suspicious binaries that may have been signed by fraudulent certificates.
2. Reinforce policies restricting the installation of software from untrusted sources.

■ Reference
- Microsoft Threat Intelligence / OpFauxSign

Priority: Low
Deadline: N/A
🔗 元の記事を読む
C
月内に

中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています

脆弱性🌐 英語ソース
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています。このマルウェアはMicrosoft Graph APIを悪用し、OneDriveをC2(コマンド&コントロール)チャネルとして利用することで、正規のクラウドトラフィックに紛れて攻撃を隠蔽します。また、DiscordをC2として利用する「EchoCreep」という別のマルウェアも確認されており、信頼されたクラウドサービスの悪用傾向が強まっています。
🔍該当判定
  • Microsoft 365 (OneDrive) を社内で利用している
  • Microsoft Graph API を利用した自社アプリや外部連携ツールを導入している
  • 社内でチャットツール Discord を業務利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Microsoft Graph APIへの不審なアクセスや、OneDrive上の未知のフォルダ作成を監視する。 2. 信頼されたクラウドサービス経由であっても、異常なトラフィックパターンを検知できるEDR/NDRの導入・設定を検討する。 3. 不審な外部通信を行うプロセスの監視を強化する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Webwormによるクラウドサービス悪用マルウェア(GraphWorm/EchoCreep)について

お疲れさまです。Webwormによる新たな攻撃手法に関する情報共有です。

■ 概要
中国系APTグループWebwormが、Microsoft Graph APIを悪用してOneDriveをC2チャネルとするマルウェア「GraphWorm」および、DiscordをC2とする「EchoCreep」を運用していることが判明しました。正規のクラウドサービスを利用することで、従来の境界防御やトラフィック監視を回避する傾向があります。

■ 影響範囲
- Microsoft OneDrive および Discord を利用している環境
- 特に欧州政府機関が標的となっていますが、他組織への波及が懸念されます

■ 対応手順
1. OneDrive上の不審なディレクトリ作成およびGraph API経由の異常な通信ログを確認してください。
2. 通信内容はAES-256-CBCで暗号化されBase64エンコードされているため、ペイロード解析よりも通信先および頻度の分析を優先してください。
3. Discord等のチャットツールをC2として利用する挙動がないか、エンドポイントの監視を強化してください。

■ 参考情報
- ESET Security Report

対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Abuse of Cloud Services by Webworm (GraphWorm/EchoCreep)

Dear Team,

We are sharing intelligence regarding new malware campaigns by the China-linked actor Webworm.

■ Overview
Webworm is deploying "GraphWorm," which abuses the Microsoft Graph API to use OneDrive as a C2 channel, and "EchoCreep," which utilizes Discord for C2 communications. By leveraging trusted cloud services, the attackers can effectively blend in with legitimate traffic and bypass traditional security controls.

■ Scope
- Environments utilizing Microsoft OneDrive and Discord.
- While European government agencies are primary targets, other sectors should remain vigilant.

■ Recommended Actions
1. Monitor for suspicious directory creation in OneDrive and anomalous API calls via Microsoft Graph API.
2. Since C2 traffic is AES-256-CBC encrypted and Base64 encoded, focus on traffic patterns and destination analysis rather than payload inspection.
3. Enhance endpoint monitoring for unauthorized processes communicating with Discord API endpoints.

■ Reference
- ESET Security Report

Priority: Medium
Deadline: Ongoing monitoring
🔗 元の記事を読む
C
月内に

APTグループ「Cloud Atlas」が、2025年後半から2026年初頭にかけてロシアやベラルーシの政府機関および企業を標的に活動を再開しています

脆弱性🌐 英語ソース
📅 2026-05-22📰 securelist
📌 一言でいうと
APTグループ「Cloud Atlas」が、2025年後半から2026年初頭にかけてロシアやベラルーシの政府機関および企業を標的に活動を再開しています。攻撃者は悪意のあるショートカットを含むアーカイブや、CVE-2018-0802を悪用した文書を用いてPowerShellスクリプトを実行させます。また、SSHトンネリングやTorなどのサードパーティ製ツールを悪用して持続的なアクセスを確保し、認証情報の窃取やRDPの不正利用を行うことが確認されています。
🔍該当判定
  • ロシアまたはベラルーシの政府機関・企業と取引がある、または拠点がある
  • 社内でMicrosoft Officeの古いバージョン(CVE-2018-0802未対策)を利用している
  • 外部から社内PCへ接続するために、OpenSSHやTorなどのトンネリングツールを導入している
  • 不審なアーカイブファイル(ZIP等)に含まれるショートカットファイルを実行した形跡がある
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Microsoft Officeの最新アップデートを適用し、CVE-2018-0802等の既知の脆弱性を排除すること。2. 不審なアーカイブファイルやショートカットファイルを実行しないようユーザー教育を徹底すること。3. SSHやRDPなどのリモートアクセスログを監視し、不審なトンネリングツールの使用を検知すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイルおよびショートカットの実行禁止について

お疲れさまです。情報システム担当です。
最近、悪意のあるファイル(ショートカットや文書ファイル)を送りつけ、コンピュータを不正に操作しようとする攻撃が確認されています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にzipなどの圧縮ファイル)を開かないでください。
2. 添付ファイルの中に含まれる「.lnk」などのショートカットファイルを絶対に実行しないでください。
3. 不審な挙動に気づいた場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中
Subject: [Security Alert] Do Not Open Suspicious Email Attachments or Shortcuts

Dear employees,

We have observed an increase in attacks where malicious files (such as shortcuts or documents) are sent via email to gain unauthorized access to systems.

Please follow these guidelines:
1. Do not open attachments (especially compressed files like .zip) from unknown or untrusted senders.
2. Never execute shortcut files (.lnk) found within email attachments.
3. If you notice any suspicious activity on your computer, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】APTグループ Cloud Atlas による攻撃活動について

お疲れさまです。Cloud Atlasによる最新の攻撃キャンペーンに関する情報共有です。

■ 概要
ロシア・ベラルーシの組織を標的とした活動が確認されており、PowerShellベースのローダー(Fixed.ps1)や認証情報窃取ツール、SSH/Torトンネリングを用いた持続性の確保が行われています。また、古い脆弱性であるCVE-2018-0802を悪用した初期侵入も継続して行われています。

■ 影響範囲
- Microsoft Office (CVE-2018-0802 未適用環境)
- Windows OS (PowerShell実行環境)

■ 対応手順
1. Office製品のパッチ適用状況を確認し、最新の状態に更新すること。
2. ネットワーク境界において、不審なSSHトンネリングやTor通信の有無を監視すること。
3. termsrv.dll の改ざんや、不審なRDP接続のログを確認すること。

■ 参考情報
- Kaspersky Securelist Report

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Cloud Atlas APT Activity Update

Dear Security Team,

This is a technical update regarding the recent activity of the APT group Cloud Atlas.

■ Overview
Cloud Atlas is targeting government and commercial entities in Russia and Belarus. The attack chain involves malicious shortcuts or documents exploiting CVE-2018-0802 to deploy PowerShell loaders (Fixed.ps1). The group utilizes third-party tools like RevSocks, Tor, and patched OpenSSH for tunneling and persistence, and patches termsrv.dll to enable multi-user RDP.

■ Scope
- Microsoft Office (environments vulnerable to CVE-2018-0802)
- Windows environments allowing PowerShell execution

■ Mitigation Steps
1. Ensure all Microsoft Office installations are fully patched against CVE-2018-0802.
2. Monitor network traffic for unauthorized SSH/Tor tunneling activity.
3. Audit termsrv.dll integrity and monitor for anomalous RDP sessions.

■ Reference
- Kaspersky Securelist

Priority: High
Deadline: Immediate
🔗 元の記事を読む
C
月内に

AnthropicのAIモデル「Claude Mythos Preview」が脆弱性発見を加速させ、サイバー攻撃を助長する懸念が広がっています

脆弱性🌐 英語ソース
📅 2026-05-22📰 ithome_tw
📌 一言でいうと
AnthropicのAIモデル「Claude Mythos Preview」が脆弱性発見を加速させ、サイバー攻撃を助長する懸念が広がっています。一部の専門家はリスクが過大評価されていると主張し、AIによる脆弱性発見よりも、発見後の検証や修正といった運用面が依然として最大の課題であると指摘しています。一方で、GoogleはAIを用いて未知の脆弱性を発見し大規模攻撃を計画した犯罪組織を検知したと報告しており、AIの脅威は現実的な段階に移行しつつあります。
🔍該当判定
  • 自社で独自のソフトウェアやWebアプリケーションを開発・運用している
  • 社内で利用しているシステムに、未修正の脆弱性(セキュリティ上の弱点)が残っている可能性がある
  • AI(Claude Mythos等)を用いてコードの脆弱性診断やセキュリティチェックを行いたいと考えている
  • 政府機関や金融機関など、サイバー攻撃の標的になりやすい重要インフラ業界で事業を行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
AIによる脆弱性発見の高速化を想定し、脆弱性管理プロセスの自動化および修正パッチ適用の迅速化を検討すること。また、AIを用いた攻撃の兆候を検知できる監視体制を強化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AIモデル(Claude Mythos等)による脆弱性発見リスクの向上について

お疲れさまです。AIによるサイバー攻撃能力の向上に関する情報共有です。

■ 概要
AnthropicのClaude Mythos Preview等の高度なAIモデルにより、脆弱性の発見およびコードスキャン速度が大幅に向上しています。AIが攻撃者の参入障壁を下げ、未知の脆弱性を効率的に特定できるリスクが高まっています。

■ 影響範囲
- 自社運用ソフトウェアおよび利用中のサードパーティ製品全般

■ 対応手順
1. 脆弱性管理ライフサイクルの見直し(発見から修正までのリードタイム短縮)
2. 資産管理の徹底と、優先度の高いシステムへのパッチ適用プロセスの最適化
3. AIによる自動化されたスキャン攻撃を想定したIDS/IPS等の検知ルールの最適化

■ 参考情報
- GoogleによるAI利用犯罪組織の検知報告

対応優先度: 中
対応期限: 継続的な対応
Subject: [Info] Increased Risk of Vulnerability Discovery via AI Models (Claude Mythos, etc.)

Dear team,

This is a technical update regarding the evolving threat landscape involving AI-assisted attacks.

■ Overview
Advanced AI models, such as Anthropic's Claude Mythos Preview, are significantly enhancing the ability to scan large codebases and identify vulnerabilities more efficiently. This lowers the barrier for attackers to find zero-day vulnerabilities.

■ Scope
- All internally developed software and third-party products in use.

■ Recommended Actions
1. Review the vulnerability management lifecycle to reduce the time between discovery and remediation.
2. Ensure comprehensive asset inventory and optimize patching processes for critical systems.
3. Update detection rules (IDS/IPS) to account for AI-driven automated scanning patterns.

■ Reference
- Google's report on cybercrime organizations utilizing AI for vulnerability discovery.

Priority: Medium
Deadline: Ongoing
🔗 元の記事を読む