Android脆弱性CVE-2025-48595 CISA警告、本日が連邦機関修正期限 | 2026年6月5日

東京セキュリティブリーフィング 2026年06月05日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年06月05日、金曜日の配信です。昨日公開されたセキュリティニュースをお届けします。引き続き、重要な脆弱性情報と最新の脅威動向をお伝えしていきますので、最後までお付き合いください。

ヘッドライン

本日のニュースは、複数の緊急セキュリティ警告と急速に進化する脅威環境を反映しています。Android整数オーバーフロー脆弱性への連邦機関対応期限がいよいよ今日です。また、複数のWebサーバーに影響する新種DoS攻撃や、産業用システムへの大規模な攻撃キャンペーンなど、重要な内容が揃っています。

詳細解説

Android脆弱性CVE-2025-48595 CISA警告、本日が連邦機関修正期限

まず最初にお伝えするのは、CISAからの緊急警告です。CVE-2025-48595という、Androidフレームワークの整数オーバーフロー脆弱性があります。この脆弱性は、ユーザーが何も操作することなく、つまりユーザー操作なしで悪用される可能性があります。攻撃者がこの脆弱性を悪用すると、端末上での権限昇格が可能になります。

Googleは2026年6月のセキュリティパッチで修正を行いました。CISAは既知悪用脆弱性カタログ、いわゆるKEVに追加し、連邦機関に対して本日2026年06月05日までの対応を義務付けています。もし皆さんの組織が政府機関と連携している場合、Androidセキュリティパッチの確認と適用を急ぐ必要があります。個人ユーザーの皆様も、お持ちのAndroid端末に本月のセキュリティパッチが提供されている場合は、すぐに適用することをお勧めします。

産業用液体監視システムへの攻撃 CISAとFBIが警告

次に注目していただきたいのは、自動タンクゲージシステム、通称ATGシステムを標的にした攻撃についてです。CISAとFBIが連名で警告を発しています。

ATGシステムとは、工業用ストレージタンクの液体レベルを自動的に監視するシステムです。これらのシステムへの攻撃が増加しており、複数の脆弱性が悪用されています。具体的には、認証バイパス、ハードコードされた認証情報、そしてコマンドインジェクションの脆弱性が使用されています。

この攻撃キャンペーンには、イランとの関連が疑われています。ATGシステムは燃料管理、化学品管理など、重要なインフラに組み込まれていることが多いため、攻撃成功時の影響は極めて深刻です。石油・ガス、化学、食品・飲料産業に関わる組織は、特に警戒が必要です。

HTTP/2 Bombという新型DoS攻撃、複数のWebサーバーが脆弱

続いて、Webサーバーの運用者の皆様に重要な情報をお伝えします。HTTP/2 Bombと呼ばれる新種のサービス拒否攻撃が発見されました。

この攻撃は、HTTP/2プロトコルの2つの機能を組み合わせています。1つは、HPACK圧縮という、ネットワーク効率化のための圧縮技術です。もう1つは、フロー制御の停止機構です。この2つを巧妙に組み合わせることで、非常に効率的なDoS攻撃が成立します。

攻撃の威力は驚くほど高く、100Mbps程度の家庭用インターネット接続からでも、わずか数秒以内に脆弱なWebサーバーをダウンさせることが可能です。対象となるWebサーバーソフトウェアは多岐にわたり、nginx、Apache httpd、Microsoft IIS、Envoyなどの主要なWebサーバーが影響を受けます。

Webサーバーを運用されている組織は、これらのソフトウェアのセキュリティアップデート情報を確認し、HTTP/2関連の脆弱性修正が含まれているか、注視してください。

Cisco Unified Communications Managerの深刻なSSRF脆弱性

Ciscoから重要な脆弱性情報が公表されています。Cisco Unified Communications Manager、通称CiscoのUCMという機器に、SSRF脆弱性が存在します。この脆弱性はCVE-2026-20230と命名され、CVSSスコアは8.6という高い評価です。

この脆弱性は、WebDialerというサービスが有効になっている場合にのみ影響を受けます。しかし、攻撃者がこの脆弱性を悪用できると、システム上で最高権限であるroot権限への昇格が可能になります。

最も懸念される点は、すでに概念実証コード、つまりPoCが公開されているということです。つまり、脆弱性を悪用する具体的な手順が公開されており、より多くの攻撃者による悪用が考えられます。Cisco Unified Communications Managerを導入されている組織は、至急以下のいずれかの対応をお取りください。セキュリティアップデート、バージョン14SU6またはバージョン15SU5へのアップグレード、もしくはWebDialerサービスの無効化です。

Microsoft 365 Androidアプリの認証情報漏洩

複数のMicrosoft 365 Androidアプリにおいて、デバッグ設定が誤ったまま有効な状態で配布されていたことが判明しました。このデバッグ設定により、認証に使用されるトークンが平文で露出していました。

この問題の深刻な点は、これらのトークンを取得できれば、別のアプリケーションが当該Microsoftアカウントの認証情報を悪用できるという点です。つまり、最初に該当するAndroidアプリを利用していなくても、トークンが漏洩している限り、アカウント乗っ取りのリスクが続きます。Microsoft 365 Androidアプリをご利用の方は、アプリの最新バージョンにアップグレードされることを強くお勧めします。また、異常なアクティビティ、特に未承認の場所からのサインイン試行が無いか、Microsoft 365ダッシュボードで確認することをお勧めします。

GitHub/VS Code脆弱性、OAuthトークン窃取のリスク

開発者の皆様に重要な脆弱性情報をお伝えします。GitHubのブラウザ版CodeEditorであるgithub.devに脆弱性が発見されました。

この脆弱性により、OAuthトークンが攻撃者に送信される可能性があります。具体的には、Jupyterノートブックなどの媒体を通じて悪意のある拡張機能がインストールされ、その結果ユーザーのGitHubトークンが漏洩するシナリオが考えられます。

OAuthトークンが漏洩すると、攻撃者はユーザーが保有するすべてのGitHubリポジトリにアクセス可能になります。これはセキュリティインシデントとしては極めて危険です。github.devをご利用の開発者の方は、Microsoftが公表したセキュリティパッチを速やかに適用してください。また、疑わしい拡張機能がインストールされていないか、確認することをお勧めします。

中国系脅威アクターTA4922、新型マルウェアで世界展開

セキュリティベンダーのProofpointが、TA4922という金銭目的の脅威アクターの活動拡大を報告しています。このグループは、複数の新型マルウェアを展開しており、活動範囲が急速に拡大しています。

確認されているマルウェアは、Atlas RAT、RomulusLoader、SilentRunLoaderです。このグループは、特にアジア太平洋地域から始まり、現在はドイツやイタリア、英国を含む欧州にも活動を拡大させています。

攻撃手法は非常に高度で、地域に適応したフィッシングメールとローカライズされたルアー、つまり標的の関心に合わせたおとり情報を組み合わせています。例えば、人事・給与・税務に関連するテーマでのメール送信が確認されています。日本の組織も活動範囲内にある可能性があります。ご所属の組織で、アジア太平洋地域での事業を展開している場合、従業員への教育と技術的なメール検査の強化をお勧めします。

AI生成型ゼロデイエクスプロイト、実攻撃で初確認

セキュリティ業界にとって象徴的な出来事が報告されました。Claudeなどの高度なAIモデルを使用して開発された、未知の脆弱性エクスプロイトが、実際の攻撃で初めて確認されました。

このエクスプロイトは、Instructure Canvasというオンライン学習管理システムの侵害で使用されました。この侵害の影響は極めて大きく、約2億7,500万人のユーザーが影響を受けたと報告されています。これまでは、ゼロデイエクスプロイトはセキュリティ研究者か政府機関によってのみ開発されると考えられていましたが、AIの進化により、より多くのアクターがゼロデイを開発する能力を持つようになった可能性があります。

組織のセキュリティ戦略は、既知脆弱性への対応だけでなく、未知の脅威に対する検知・対応能力の強化にもシフトしていく必要があります。

npm/GitHubサプライチェーン攻撃、IronWormが複数パッケージを侵害

ソフトウェア開発者の皆様に、極めて重要な警告をお伝えします。IronWormという新型のサプライチェーン攻撃キャンペーンが報告されました。

このキャンペーンでは、複数のnpmパッケージが侵害され、トロイの木馬化されました。攻撃の仕組みは非常に高度で、攻撃者が侵害したGitHubアカウントを使用して、悪意のあるnpmパッケージを公開し、その後のGitHubリポジトリへの悪意あるコミット注入を行います。

更に悪いことに、このマルウェアはeBPFルートキットを使用して、自身の存在を隠蔽しています。eBPFはLinuxカーネルの深い層で動作する技術で、検知が非常に困難です。

このマルウェアの目的は、AWS、Google Cloud Platform、Azure、GitHubなど、主要なクラウドサービスとバージョン管理システムの認証情報を窃取することです。npm パッケージを使用されている開発組織は、package-lock.jsonやpackage.jsonの変更を注視し、本当に必要なパッケージのみを使用することを徹底してください。

偽ChatGPT・セキュリティツールを装うマルウェア配布キャンペーン

終わりに近づいてきましたが、もう一つ重要なテーマをお伝えします。セキュリティ研究者向けのオープンソースツール、例えばGhidra、dnSpy、SpiderFootなどを装った偽サイトが大量に現れています。

これらの偽サイトからダウンロードされるマルウェアには、SessionGate、RemusStealer、AnimateClipperなどが含まれています。攻撃者は高度なSEO対策を行い、検索結果の上位に偽サイトを表示させています。

さらに、Google検索広告まで悪用され、ChatGPTを装った偽ダウンロードサイトも広がっています。これらのサイトからダウンロードされるマルウェアは、検出回避機能や永続化機構を備えており、一度感染すると除去が困難です。

セキュリティツールをダウンロードされる場合は、必ず公式Webサイトから直接ダウンロードするようにしてください。検索結果のリンクをクリックする際も、URL が正しいことを確認してください。

クロージング

本日お伝えした内容は、すべて記事に基づいた実際の脅威情報です。Android脆弱性への修正期限は本日、産業用システムへの攻撃は継続中、そしてAIを用いた新型のサイバー攻撃も確認されています。

皆さんの組織で使用しているシステムやアプリケーションに、本日お伝えした脆弱性や攻撃の対象になっていないか、改めて確認されることを強くお勧めします。特に、クラウドサービスの認証情報管理、メール検査、セキュリティパッチの適用体制は、優先的に強化すべき分野です。

気になるニュースやさらに詳しく知りたいトピックがあれば、ぜひ記事の詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。