TikTok・InstagramでのVidar Stealer拡散キャンペーン | 2026年6月12日

東京セキュリティブリーフィング 2026年06月12日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。このPodcastは、セキュリティ担当の皆さんが知っておくべき、最新のサイバーセキュリティ脅威とニュースをお伝えする番組です。本日は2026年06月12日、金曜日の配信でございます。昨日公開されたセキュリティニュースの中から、重要なニュースをピックアップして、詳しく解説していきます。本日も引き続き、セキュリティの最前線をお届けします。

ヘッドライン

では、本日のヘッドラインをお伝えします。

まず、6月のMicrosoftパッチチューズデーで、200件を超える脆弱性に対処され、32件が「緊急」評価とされたことが報じられました。

次に、TikTokとInstagram Reelsで、セキュリティに関心のあるユーザーを狙った悪意あるマルウェア配布キャンペーンが確認されています。

また、Windows Defenderの重大な脆弱性「RoguePlanet」のエクスプロイトが公開されました。

さらに、Ivanti Sentryで最大深刻度の脆弱性が発見され、既に実際の攻撃で悪用されていることが確認されています。

加えて、CISAが連邦機関に対し、一定の基準を満たす脆弱性について、3日以内のパッチ適用を義務付ける新しい指令を発表しました。

では、これらのニュースについて、詳しく解説していきます。

詳細解説

TikTok・InstagramでのVidar Stealer拡散キャンペーン

まず、最も注目度の高いニュースからお伝えします。TikTokとInstagram Reelsで、有料ソフトウェアを無料で利用できる方法を説明するチュートリアル動画に見せかけたコンテンツで、Vidarという情報窃取マルウェアが拡散されています。

具体的には、Spotify Premiumやその他の有料ソフトウェアを無料利用できるハック方法として紹介されている動画が、大規模なリーチを実現しています。あるチュートリアルは100,000回以上の再生数を記録しており、大量のユーザーが被害に遭う可能性があります。

攻撃の手口としては、動画内で視聴者にPowerShellコマンドを実行させることで、Vidarインフォスティーラーマルウェアに感染させるというものです。このマルウェアは、被害者のパスワードやその他の認証情報を盗み出します。

特に懸念される点は、SNSのアルゴリズムが短編動画を自動的に推奨するため、攻撃者がこの機構を巧みに利用して、大規模なリーチを実現しているということです。ユーザーは正規の技術情報だと信じ込んで、悪意あるコマンドを実行してしまう可能性が高いため、このキャンペーンの危険性は極めて高いと言えます。

対策としては、インターネット上で見つけた無料ソフトウェアのハック方法や裏技については、極めて慎重に対応することが重要です。特にソーシャルメディア上での情報については、信憑性を十分に確認してから実行するべきです。

Windows Defender脆弱性「RoguePlanet」によるSYSTEM権限昇格

次に、Windows Defenderのゼロデイ脆弱性「RoguePlanet」についてお伝えします。

この脆弱性は、Windows Defenderのレースコンディション（競合状態）を悪用するもので、ローカルユーザーがSYSTEM権限を取得できます。つまり、コンピュータの最高権限でコマンドを実行できるようになるということです。

特に重要な点は、完全にパッチが適用されたWindows 10およびWindows 11で、この脆弱性が動作することが確認されているということです。つまり、最新の状態にアップデートしたシステムであっても、この脆弱性の影響を受ける可能性があります。

このエクスプロイトは、6月のパッチチューズデーの直後に公開されました。Microsoftがセキュリティアップデートを提供しているにもかかわらず、この脆弱性の詳細な技術情報が既に公開されているため、今後、この脆弱性を利用した攻撃が増加することが懸念されます。

このような脆弱性が存在することは、システムの最新パッチだけに頼るだけでなく、その他の多層防御が重要であることを示しています。

Ivanti Sentry最大深刻度脆弱性と実攻撃での悪用

次に、Ivanti Sentryで発見された重大な脆弱性についてお伝えします。

2つの重大な脆弱性が発見されました。1つ目は、CVE-2026-10520というOSコマンドインジェクション脆弱性で、最大深刻度のCVSS 10スコアが付与されています。この脆弱性により、未認証の攻撃者がシステムに対してroot権限でコマンドを実行できます。

2つ目は、CVE-2026-10523という認証バイパス脆弱性で、CVSS 9.9スコアが付与されています。この脆弱性により、未認証の攻撃者が管理者アカウントを作成することができます。

これら2つの脆弱性は、組み合わせて悪用されると、デバイスの完全な乗っ取りにつながります。つまり、攻撃者がシステムを完全にコントロール下に置くことができるということです。

さらに懸念されるのは、このパッチの公開直後から、既に実際の攻撃が確認されているということです。Shadowserver Foundationの報告によると、19件の脆弱なIvanti Sentryインスタンスが確認され、そのうち少なくとも2件ではバックドアが設置されていたことが確認されています。

つまり、パッチが公開されてからわずかな期間で、既に攻撃者がこの脆弱性を利用して、実際に組織のシステムに侵入している可能性があります。Ivanti Sentryを利用している組織では、一刻も早いパッチ適用が極めて重要です。

6月のパッチチューズデー：200件超のCVEと「新常態」への転換

次に、6月のMicrosoftパッチチューズデーについてお伝えします。

6月のパッチチューズデーでは、Microsoftが200件を超える脆弱性に対処しています。これは、過去と比較しても非常に多い件数です。その中でも、32件の脆弱性が「緊急」という最高レベルの評価を受けています。

さらに、この月のアップデートには、3件のゼロデイ脆弱性の修正が含まれています。これは、既に野生で悪用されている脆弱性が、複数修正されているということです。

このような大規模パッチが月単位で標準化する傾向が見られることが重要です。これは何を意味しているのかというと、AIツールによる脆弱性の自動発見が加速していることが主な要因だと考えられています。つまり、従来は人的な分析に時間がかかっていた脆弱性の発見が、AIにより迅速に行われるようになり、修正対象の脆弱性が急増しているということです。

この傾向は、セキュリティ運用の形を大きく変えます。今後も、このような大規模パッチが毎月続くことが予想されており、組織はパッチ管理の戦略を根本的に見直す必要があります。

CISA新パッチ指令BOD 26-04：優先度付けの新基準

次に、CISAが連邦機関に対して発表した新しい指令についてお伝えします。

CISAは、BOD 26-04という拘束力のある指令を発表し、連邦機関に対し、一定の基準を満たす脆弱性については3日以内のパッチ適用を義務付けています。

その基準は、以下の4つです。1つ目は、公開されている資産への影響の程度。2つ目は、完全に自動化された悪用が可能かどうか。3つ目は、システムの制御権の奪取につながるか。4つ目は、既に実際の悪用が確認されているかどうかです。

これらのいずれかに該当する脆弱性については、3日以内のパッチ適用が義務付けられています。その他の脆弱性については、より長い期間が許可されます。

重要な点は、この指令がCVSSスコアではなく、実際の悪用リスクと影響を基準としているということです。つまり、CVSSスコアが低くても、実際に攻撃が確認されていれば、3日以内のパッチ適用が必須になるということです。この指令には、180日の移行期間が設けられています。

Cisco Catalyst SD-WAN脆弱性の連鎖悪用

次に、Cisco Catalyst SD-WANで発見された脆弱性についてお伝えします。

CVE-2026-20245というコマンド実行脆弱性がCisco Catalyst SD-WANで限定的に確認されており、このCVSSスコアは7.8です。この脆弱性により、攻撃者がroot権限でコマンドを実行することができます。

さらに懸念される点は、CVE-2026-20182という認証バイパス脆弱性と組み合わせて悪用されることが確認されているということです。CVE-2026-20182のCVSSスコアは10で、最大深刻度です。

この2つの脆弱性を組み合わせることで、認証なしにrootコマンド実行が可能になります。つまり、外部からインターネット経由で、ほぼ全権限でシステムにアクセスできるようになるということです。

このような連鎖悪用のパターンは、セキュリティの領域では「ガジェットチェーン」と呼ばれることもあり、複数の脆弱性を組み合わせることで、より深刻な影響をもたらします。

Langflowパストラバーサル脆弱性：7,000公開インスタンスが危険

次に、AIアプリケーション開発プラットフォーム「Langflow」の脆弱性についてお伝えします。

CVE-2026-5027というパストラバーサル脆弱性がLangflowで発見されており、このスコアはCVSS 8.8です。

この脆弱性は、認証なしで悪用可能であり、攻撃者がファイルシステムに任意ファイルを書き込むことができます。これにより、リモートコード実行につながる可能性があります。

特に懸念される点は、Langflowのデフォルト設定では、認証なしでログインが可能であるということです。このため、インターネット上で公開されているLangflowのインスタンスは、約7,000件が危険な状態にさらされているという報告があります。

6月8日には、この脆弱性が実際の攻撃で悪用されていることが確認されました。つまり、既に組織がこの脆弱性を利用して侵害されている可能性があります。Langflowを使用している場合、緊急のセキュリティ確認とパッチ適用が必要です。

ShinyHuntersによるOracle PeopleSoft大規模データ窃取

次に、ShinyHuntersというデータ窃取グループによる大規模な攻撃についてお伝えします。

ShinyHuntersが、100以上の組織にまたがる300のOracle PeopleSoftインスタンスからデータを窃取したと主張しています。特に教育機関が被害を受けているとのことです。

攻撃の手口としては、既知と未知の脆弱性を組み合わせた「ガジェットチェーン」が使用されています。ガジェットチェーンとは、複数の脆弱性や正規機能を組み合わせることで、より高度な攻撃を実現する手法です。

具体的な被害事例として、ノッティンガム大学からのデータ窃取が報告されています。この大学からは、454,600人の在学生および卒業生の個人情報が流出したと報じられています。流出した情報には、氏名、住所、パスポート番号、学籍登録情報が含まれています。

これは、単なる学籍情報だけでなく、パスポート番号という重要な個人識別情報も含まれているため、被害者が今後、身元詐欺の対象となるリスクが非常に高いです。

Veeam Backup&Replication脆弱性

次に、バックアップソリューション「Veeam Backup & Replication」の脆弱性についてお伝えします。

CVE-2026-44963という脆弱性がVeeam Backup & Replicationのバージョン12で発見されており、CVSSスコアは9.4です。

この脆弱性により、認証済みドメインユーザーがリモートコード実行を行うことができます。

特に懸念される点は、バックアップサーバーの戦略的重要性です。バックアップサーバーは、組織の最も重要なデータを保管する場所です。もしこのサーバーが侵害されると、攻撃者は組織のすべてのバックアップデータにアクセスでき、さらにはそれを改ざんすることも可能になります。

つまり、ランサムウェア攻撃が発生した場合、データを復旧する手段が奪われるということです。このため、このような脆弱性は、極めて深刻な影響をもたらす可能性があります。

JDYボットネットの拡大と米国への標的化

次に、中国系のJDYボットネットの活動についてお伝えします。

JDYボットネットは、約650台から1,500台以上の感染デバイスに拡大していることが報告されています。このボットネットは、米国内のネットワークを重点的に標的としています。

その活動パターンとしては、新しい脆弱性が公開された直後に、その脆弱性を持つシステムを迅速にスキャンして特定するという手法を採用しています。つまり、脆弱性公開後、わずかな時間で影響を受けるシステムをマッピングするための分散型スキャンネットワークとして機能しているということです。

このボットネットの特徴は、IPアドレスベースの防御を容易に回避できるという点です。つまり、従来のIP評判ベースの防御では、このボットネットからの攻撃を検知することが難しいということです。

GitHub npm v12での自動インストールスクリプト廃止

次に、JavaScriptパッケージマネージャー「npm」の重要なセキュリティ変更についてお伝えします。

GitHubは、npm v12でインストールスクリプトの自動実行をデフォルト無効化することを発表しました。これにより、preinstall、install、postinstallという3種類のスクリプトが、開発者の明示的な承認なしには自動実行されなくなります。

これは、サプライチェーン攻撃の主要な初期アクセス手段を封じる重要な変更です。従来は、悪意のあるnpmパッケージが、自動的にインストール時にスクリプトを実行して、シスシステムに悪意あるコードを注入することができていました。

このnpm v12のリリースは2026年7月に予定されており、この破壊的変更がデフォルト動作となります。

クロージング

本日のセキュリティニュースをまとめますと、以下の5つのポイントが重要です。

第1に、TikTokなどのソーシャルメディアでのマルウェア配布キャンペーンが急増しており、ユーザーの防御意識の向上が急務であること。

第2に、Windows Defenderを含む複数の製品で、最大深刻度のコマンド実行脆弱性が発見されており、パッチ適用が緊急要件であること。

第3に、CISAが脆弱性のパッチ適用期限を3日に短縮する新指令を発表し、セキュリティ運用が加速度的に複雑化していること。

第4に、AIツールの脆弱性発見能力向上により、月200件超のCVEが標準化しつつあり、従来のパッチ管理戦略の見直しが必要であること。

第5に、複数の製品で実攻撃が確認されており、単なる脆弱性発表にとどまらず、既に組織への被害が発生している現実です。

セキュリティ担当の皆さんは、これらのニュースを参考に、今一度、自組織のセキュリティ体制を点検いただくことをお勧めします。特に、脆弱性管理とパッチ適用プロセスの加速化が、今後の重要な課題となるでしょう。

本日のセキュリティニュースの詳細については、各セキュリティベンダーの公式アナウンスメントをご確認ください。気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。