Microsoft MFA・MySignIns障害——EU圏トラフィック急増で504エラー | 2026年6月2日

東京セキュリティブリーフィング 2026年06月02日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年06月02日、火曜日の放送です。昨日公開されたセキュリティニュースから、特に重要な話題をお届けします。

ヘッドライン

本日も複数の重大なセキュリティインシデントがニュースになっています。Microsoftのクラウドサービスで大規模な障害が発生し、Palo Alto Networksの認証バイパス脆弱性が実際の攻撃に使用されている状況、そしてWindowsのNetlogonサービスに最高度のリモートコード実行脆弱性が悪用されていることが確認されました。さらに、AIを活用した脅威アクターの活動や、複数のプラグイン脆弱性の報告があります。詳しく解説していきます。

詳細解説

Microsoft MFA・MySignIns障害——EU圏トラフィック急増で504エラー

まず取り上げるのは、Microsoftで発生した大規模なクラウドサービス障害です。5月31日から6月1日にかけて、MFA設定とMySignInsプラットフォームへのアクセスが504タイムアウトエラーで利用不可になりました。この障害は多くのユーザーに影響を与えたため、Microsoftが公式に対応完了を報告しています。

根本原因はキャッシュ設定の変更により、フェイルオーバーが必要になったことです。特にEU圏のトラフィックピーク時に、システムのCPU使用率とメモリ使用率が急騰し、問題が悪化しました。Microsoftは代替インフラへのフェイルオーバーを実施することで、サービスを復旧させています。

この事象は、クラウドサービスの可用性がトラフィック変動にどれほど敏感であるかを改めて示しています。組織としては、重要な認証機能が利用できなくなるリスクを念頭に置き、バックアップの認証方法やアクセス手段の確保を検討する必要があります。また、特に EU 圏のユーザーが多い組織は、地域別のトラフィック負荷の変動をより注視すべきでしょう。

Palo Alto Networks GlobalProtect の認証バイパス脆弱性が攻撃に悪用

次に、VPN製品に関する重大な脆弱性の報告です。Palo Alto Networks の PAN-OS に CVE-2026-0257 という認証バイパス脆弱性が存在します。CVSS スコアは 7.8 と評価されています。

この脆弱性の悪用が実際に確認されています。セキュリティ企業 Rapid7 が、5月17日と5月21日の2段階にわたって、攻撃者がこの脆弱性を利用している活動を観測しました。攻撃者は認証オーバーライドクッキーを悪用して不正な VPN セッションを確立し、企業内部ネットワークへのアクセスを獲得しています。

Rapid7 の報告によると、検査対象の 10 件の環境中 8 件でこのクッキーが受け入れられ、2 件では完全な VPN セッション確立に成功しています。現在のところ横展開の痕跡は報告されていませんが、VPN は企業の重要な境界防御であり、これが突破されることの危険性は非常に高いです。

CISA はこの脆弱性を KEV カタログに追加し、連邦民間機関に対して 2026年6月1日までのパッチ適用を命じています。緩和策としては、認証オーバーライド機能を無効化するか、もしくは専用の証明書を生成することが推奨されています。VPN 環境を管理する組織は、直ちにこの脆弱性への対応を優先すべきです。

Windows Netlogon の最高度リモートコード実行脆弱性が積極的に悪用

最も深刻な状況が、Windows Netlogon サービスの脆弱性です。CVE-2026-41089 という脆弱性で、CVSS スコアは驚異の 9.9 です。この脆弱性により、認証不要・ユーザー操作不要でシステムレベルのコード実行が可能になります。

ベルギー国立サイバーセキュリティセンター（CCB）が、実際の攻撃での悪用を 5月29日に確認しています。攻撃者がドメインコントローラーに特別に細工したリクエストを送信することで、リモートコード実行を達成します。これはドメイン環境全体の侵害につながる重大なリスクです。

Netlogon は Windows ドメイン認証の基盤であり、この脆弱性が悪用されると組織全体が危険にさらされます。Microsoft は 5月12日にパッチを提供していますが、Automox やその他のセキュリティベンダーからも、特にレガシーシステムへの対応ツールが公開されています。

防御側の組織は、ドメインコントローラーへのネットワーク分離を見直し、ネットワークセグメンテーションを強化する必要があります。また、異常な認証動作の検知体制を強化し、不正なリモートコード実行の兆候を監視することが重要です。特にドメイン環境を運用している組織は、最優先事項としてこの脆弱性への対応を進めてください。

Plesk の XPath インジェクション——低権限ユーザーから root 権限獲得

ホスティングプロバイダーや複数サイト管理者が使用する Plesk に、CVE-2026-44962 という重大な脆弱性が見つかりました。CVSS スコア 10.0、つまり最高度の評価です。

この脆弱性は APS カタログ検索機能に存在する XPath インジェクション脆弱性です。低権限の認証済みユーザーが、任意の OS コマンドを実行でき、さらにローカル権限昇格（root 権限取得）が可能になります。特に共有ホスティング環境では、一つのテナントからの侵害が他のサイトへと横展開するリスクがあります。

修正済みバージョンは 2月24～25日にリリースされており、バージョン 18.0.76.2 および 18.0.75.1 以降が対応しています。Plesk を運用している環境では、直ちにバージョン確認とアップデートを実施してください。

Magento キャッシュプラグインの PHP オブジェクトインジェクション——6000店舗が危険に

e-コマース向けプラットフォーム Magento の拡張機能に脆弱性があります。Mirasvit Full Page Cache Warmer プラグイン（CVE-2026-45247）に認証不要の PHP オブジェクトインジェクション脆弱性が存在し、CVSS スコアは 9.8 です。

約 6000 店舗が脆弱なバージョン 1.11.12 以前を使用しており、リモートコード実行のリスクにさらされています。Mirasvit は 5月25日に修正版をリリースしており、デシリアライズ処理を安全に変更しています。

Magento を運用する e-コマースサイト管理者は、このプラグインを使用している場合は直ちにアップデートを適用してください。デシリアライズ処理に関する脆弱性はコード実行に直結するため、優先度は最高です。

WP Maps Pro プラグイン——1日で 3600件以上の攻撃試行

WordPress プラグイン WP Maps Pro に、CVE-2026-8732 という管理者アカウント作成脆弱性が発見されました。CVSS スコアは 9.8 です。

check_temp パラメータを false に設定することで、ハードコードされた管理者ロールで新規ユーザーを作成できるという実装ミスです。バージョン 6.1.0 以前が影響を受け、修正版 6.1.1 は 5月20日にリリースされています。

セキュリティ企業 Wordfence の報告によると、パッチリリース後、わずか 1日で 3600件以上の悪用試行がブロックされました。WordPress プラグインは多数のサイトで使用されるため、攻撃者の自動スキャンとエクスプロイトの対象になりやすいです。このプラグインを使用している場合は、直ちにバージョン確認とアップデートを実施してください。

Flowise AI コンピューテーション——MCP 実装の RCE 脆弱性

AI 技術を活用したアプリケーション開発プラットフォーム Flowise に、CVE-2026-40933 という重大なリモートコード実行脆弱性が発見されました。CVSS スコアは 9.9 です。

Model Context Protocol（MCP）の stdio トランスポート実装に問題があり、セルフホスト環境の認証済みユーザーが悪意あるMCP設定を含むワークフローをインポートするだけで、サーバーコマンド実行が可能になります。GitHub で 52,000 スター以上を獲得した人気プロジェクトであるため、多くの組織で使用されている可能性があります。

ただし、マネージドサービスの「Flowise Cloud」は影響を受けません。セルフホスト環境を運用している組織は、このワークフロー機能の入力検証を強化し、信頼できるソースからのワークフロー取得のみに限定することを推奨します。

Meta AI アカウント回復ツール——本人確認なしでパスワードリセット可能

Meta の AI カスタマーサポート機能に脆弱性があります。AI アカウント回復ツールの制御不備により、本人確認なしにパスワードリセットコードを送信させることが可能になっています。

プレミアム短縮ハンドル名（@hey、@jowo など）が標的になっており、盗まれたアカウントが Telegram のプライベートチャネルで 100万ドルを超える価値で高額転売されていました。2FA が設定されたアカウントは影響を受けないようですが、設定していないユーザーは危険な状態です。

Meta は問題を修正し、システムへの侵害はないと述べています。ユーザー側としては、Meta プラットフォームで 2FA を必ず有効化し、プレミアムハンドル名の使用時は特に注意が必要です。

イラン関連脅威グループによる .NET セキュリティ無効化攻撃

Palo Alto Networks Unit 42 が、Screening Serpens（別名 UNC1549、Iranian Dream Job）による高度な攻撃キャンペーンを報告しました。2026年2月中旬から4月にかけて、米国・イスラエル・UAE・中東地域の組織が標的です。

特に注目すべき技術は AppDomainManager のハイジャックです。.NET アプリケーションの設定ファイルを改ざんして、AppDomainManager を攻撃者制御の DLL に変更することで、ETW（Event Tracing for Windows）や厳密名検証を設定で無効化します。これにより、セキュリティ監視を回避しながら、6 種類の RAT 亜種を展開できています。

攻撃チェーンは DLL サイドローディング、詐欺的な採用情報によるルアーが含まれており、段階的な RAT 導入で最終的な侵害を実現しています。.NET 環境を運用する組織は、AppDomainManager の設定を定期的に監査し、予期しない設定変更を検知する体制を構築する必要があります。

イラン系勢力による中東破壊的キャンペーン——VM・バックアップ完全消去

Gambit Security が「Ababil of Minab」と名乗る親イラン系勢力による破壊的キャンペーンを報告しました。米国・イスラエル・サウジアラビア・トルコの組織が標的です。

攻撃の特徴は、データ窃取後に企業の IT インフラを組織的に破壊する点です。仮想マシン・ストレージ・バックアップシステムを削除し、復旧を極めて困難にしています。ディスク管理ツール、SQL 削除コマンド、Veeam Backup コンソールの悪用が確認されており、バックアップシステムそのものが攻撃対象になっています。

組織としての復旧には、仮想環境の再構築、データベースの復元、アプリケーション検証など複数層での対応が必要になり、数週間から数ヶ月を要する可能性があります。この攻撃グループは年間 600万ドルの収益を確認されており、継続的な脅威です。バックアップシステムの物理的分離、アクセス権限の最小化、定期的な復旧テストが重要です。

ウクライナを標的とする Gamaredon APT——NTFS データストリーム隠蔽戦術

Sekoia.io がウクライナ政府・軍・重要インフラを標的にした Gamaredon APT の活動を報告しました。WinRAR 脆弱性（CVE-2025-8088）を悪用した最新の攻撃チェーンが特徴です。

兵器化 XHTML ファイルから HTML Smuggling で悪意あるRAR ファイルがダウンロードされ、WinRAR 脆弱性により隠しHTA ファイルが自動実行されます。さらに、NTFS 代替データストリーム機能を悪用して、GammaWorm マルウェアをファイルシステムに隠蔽します。スケジュールタスク、Telegram Dead Drop Resolver、Cloudflare Workers を組み合わせたファイルレス感染チェーンにより、検出を回避しています。

このグループの攻撃は継続的で洗練されており、Windows ネイティブ機能を最大限に悪用しています。被害者への最安全な対応は、影響を受けたシステムの完全初期化ですが、WinRAR 7.13 以降へのアップデートにより、今後の感染を防止できます。

オランダ当局、1700万台規模のレジデンシャルプロキシボットネット解体

オランダの国家サイバーセキュリティセンター（NCSC）と警察が、Asocks ボットネットの解体を報告しました。200台のサーバーを閉鎖し、1700万台規模のデバイスが感染していた状況を明らかにしました。

このボットネットは無料 Android アプリ経由で約 2年前からデバイスを感染させていました。正当なレジデンシャルプロキシプロバイダーを装いながら、実際には違法な犯罪目的でデバイスの所有者同意なしに利用されていました。このような大規模ボットネットは、スパム配信、詐欺活動、サイバー攻撃の踏み台などに使用されます。

ユーザー側としては、信頼できるソースからのアプリをインストールし、定期的なセキュリティアップデートを適用することが重要です。

パキスタン関連ハッカーグループ、アフガニスタン財務省を標的に

Seqrite が SideyCopy と帰属される活動グループのキャンペーンを報告しました。アフガニスタン財務省・地方政府職員が標的です。

攻撃は、パシュトー語で記述された偽の政府文書を添付したフィッシングメールから始まります。ダウンロードされたファイルには XenoRAT がインストールされ、アフガニスタンの侵害サーバー経由で配布されることで、正規の政府通信に見せかけています。XenoRAT はリモートアクセス機能を提供し、攻撃者による遠隔監視と追加の悪意ある活動が可能です。

このグループは 2019年から活動しており、パキスタン関連の APT36 とも類似しています。政府機関の職員を標的としたフィッシング攻撃であり、言語社会的なエンジニアリングが使用されています。

クロージング

本日は、クラウドサービスの大規模障害から、VPN・Windows・Web アプリケーション・AI プラットフォームにわたる複数の重大な脆弱性、そして各地域の脅威アクターによる高度な攻撃活動まで、広範なセキュリティトピックをお届けしました。

特に印象的なのは、複数のベンダーで同時に脆弱性が報告されていることです。Palo Alto VPN、Windows Netlogon、Plesk、Magento、WordPress プラグイン、Flowise などが同時期に攻撃対象になっています。これはセキュリティチームの対応力に多大な負荷をかけます。

組織としては、CVSS スコアの高さだけで優先順位を判断するのではなく、実際の悪用状況や組織内でのシステム利用の有無を総合的に判断して、限られたリソースを集中させることが重要です。同時に、バックアップ体制の強化、ネットワークセグメンテーション、多要素認証の徹底といった基本的な防御対策の重要性も改めて認識させられます。

本日お話しした脆弱性や攻撃活動について、気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。