Fortinet FortiSandbox脆弱性の実装悪用 | 2026年6月18日

東京セキュリティブリーフィング 2026年06月18日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年06月18日、木曜日です。

昨日、2026年06月17日に公開されたセキュリティニュースをお届けします。本日も重要なインシデント報告や脆弱性情報が複数発表されています。それでは早速、本日のニュースを見ていきましょう。

ヘッドライン

本日のトップニュースは、複数のセキュリティプロダクトで新たな脆弱性が実装で悪用されている点です。

まず、Fortinet FortiSandboxの3つのクリティカル脆弱性が実際に悪用されていることが確認されました。CVE-2026-39813、CVE-2026-39808、CVE-2026-25089で、いずれもCVSSスコア9.1です。

次に、Google Workspace経由で中国系脅威グループが医療・軍事・民間研究機関を標的にしている実例が報告されました。

そして、医療分野のデータ侵害も複数報告されており、iRythmなどの医療系企業が被害を受けています。

また、Androidバンキングトロイ「Rokarolla」が217種類の金融・暗号資産アプリを標的にしていることが明らかになりました。

さらに、WordPress生態系の大規模な供給チェーン攻撃により、100万超のサイトが影響を受けています。

それでは、これらのニュースを詳しく解説していきます。

詳細解説

Fortinet FortiSandbox脆弱性の実装悪用

セキュリティ業界で重要な報告があります。Fortinet FortiSandboxの脆弱性が、実際の攻撃で悪用されていることが確認されました。

CVE-2026-39813、CVE-2026-39808、CVE-2026-25089の3つの脆弱性です。いずれもCVSSスコア9.1で、認証バイパスやOSコマンドインジェクションを可能にします。

特に重要な点は、これらの脆弱性がDefusedのハニーポットで悪用を確認されたことです。攻撃者が既にこれらの脆弱性を実装で活用しているということです。

Fortinetのセキュリティ製品は組織の重要なインフラストラクチャの一部です。FortiSandboxはマルウェアの検出と分析を行うシステムですので、ここが侵害されると組織全体の防御がバイパスされる危険性があります。

この脆弱性を使用することで、攻撃者は認証なしでシステムにアクセスしたり、任意のOSコマンドを実行したりできる可能性があります。

対象組織の皆様は、速やかにFortinetから提供されるセキュリティアップデートを確認し、適用することを強くお勧めします。

Google Workspace経由の中国系脅威グループによる大規模標的化

Google Securityが発表した重要な脅威情報があります。中国国家支援の脅威グループUNC6508が、Google Workspaceのセキュリティを突破し、医療・軍事・民間研究機関など多様な組織を標的にしていることが明らかになりました。

このグループはREDCapサーバーにカスタムマルウェア「INFINITERED」を展開して、1年以上潜伏していました。非常に長期間の潜伏期間です。

窃取されたデータの範囲は広く、医療機関、学術研究センター、軍事医療機関のデータが対象となっています。特に注目すべき点は、攻撃者がコンプライアンスルール改ざんで流出を自動化していたという点です。これは自動的かつ大規模なデータ流出の仕組みが構築されていたことを示しています。

Google Workspaceは多くの組織が使用しているクラウドサービスです。この報告は、たとえクラウド企業のセキュリティ対策が講じられていても、高度な脅威グループが進入し、長期間の活動を続けられる可能性があることを示しています。

特に医療機関や軍事関連機関は機密情報を大量に保有していますので、こうした標的化は重大な懸念事項です。

Android「Rokarolla」バンキングトロイの急速な拡大

新たなAndroidバンキングトロイ「Rokarolla」が発見されました。このマルウェアは217種類の銀行・暗号資産アプリを標的としています。

Zimperiumの研究によると、Rokarollaは非常に高度なコマンド体系を備えており、137種類のコマンドで感染デバイスを完全に支配することが可能です。

このマルウェアの配布方法は、TikTokやGoogle Chromeなどの正規アプリになりすましたウェブサイトから配布されています。つまり、ユーザーが正規アプリと思い込んでダウンロードする仕組みが構築されています。

Rokarollaの攻撃手法はきわめて巧妙です。偽のログインオーバーレイで被害者の認証情報を窃取し、さらにSMS傍受、クリップボード改ざん、スクリーンショット撮影といった機能を備えています。特にクリップボード改ざん機能は、被害者が暗号資産ウォレットアドレスをコピーペーストしようとした際に、攻撃者のアドレスに置き換える手法に使用されます。

さらに悪質なことに、着信電話を自動的にブロックし、Google Play Protect無効化によって発見を回避しているため、被害者が外部からの警告を受け取ることさえ難しくなります。

WordPress CDN供給チェーン攻撃による120万超サイト被害

Awesome Motiveのマーケティングサーバー侵害により、100万を超えるWordPressサイトが被害を受けています。この数は正確には120万サイトにも達しています。

攻撃の詳細は以下の通りです。攻撃者がUpdraftPlusの脆弱性を悪用してサーバーにアクセスし、CDNを通じて不正コードを配布しました。

影響を受けたプラグインは3つです。OptinMonster、TrustPulse、PushEngageの3つのプラグイン利用サイトで不正管理者アカウント作成とバックドアプラグイン設置が確認されています。

CDNを経由して配布されたということは、配布を検知するのが極めて困難だということを意味します。多くのサイト管理者が気づかないうちに、管理者権限を付与された不正アカウントがサーバーに存在していた可能性があります。

WordPress生態系は世界中で広範に使用されていますので、この供給チェーン攻撃の影響は極めて大きいものです。

Microsoft 365 Copilotを利用したデータ窃取ツールの出現

非常に危険な脆弱性が報告されました。VaronisがSearchLeakと命名した手法により、Microsoft 365 Copilotが悪意あるデータ窃取ツールに変換される可能性があります。

この攻撃には3つの脆弱性が連鎖して使用されます。プロンプトインジェクション、HTMLレースコンディション、Bing SSRFです。

データの流出対象は非常に広範です。受信トレイ、OneDrive、SharePointのデータがすべて危険にさらされます。

Microsoftはこの脆弱性を極めて深刻度の高いものとして評価し、CVE-2026-42824として報告し、パッチを適用しています。

Microsoft 365は企業の重要なコラボレーションツールとして広範に使用されていますので、この脆弱性の発見と迅速なパッチ適用は極めて重要です。

英国における16歳未満のソーシャルメディア禁止措置

政策面での重要な動きがあります。英国政府が16歳未満のソーシャルメディア利用禁止を発表しました。

禁止対象はFacebook、Instagram、Snapchat、TikTok、X、YouTubeなどのユーザー間プラットフォームです。

年齢確認方法としてIDアップロードまたは顔認識スキャンが義務化されます。

セキュリティ専門家からは複数の懸念が表明されています。まず、年齢確認手続きの容易な回避可能性が指摘されています。次に、全ユーザーの生体情報・ID漏洩リスクです。生体情報と身分証明書情報がセットで流出するリスクは極めて高くなります。

このような規制がセキュリティとプライバシーに与える影響は多面的です。

CVE-2026-20253: Splunk Enterpriseの認証前リモートコード実行

Splunk Enterpriseに認証なしでリモートコード実行を可能にするクリティカルな脆弱性が存在することが報告されました。CVE-2026-20253です。

この脆弱性はPostgreSQL Sidecarサービスに存在します。複数のセキュリティ上の弱点に起因しており、任意コード実行や機密データへの不正アクセスを招く可能性があります。

Splunk Enterpriseはセキュリティ監視と分析の中核を担うシステムです。ここが認証なしで侵害されるということは、組織の可視性が失われるだけでなく、攻撃者が自らの活動を隠蔽することが可能になることを意味します。

ランサムウェア攻撃によるMicrosoft Teams悪用

SymantecがDragonForceランサムウェア集団による新たな攻撃手法を報告しています。Microsoft TeamsをカモフラージュしたカスタムバックドアBB「Backdoor.Turn」を展開しています。

このバックドアはGoで開発されており、Microsoft Teamsトラフィックに見せかけてC2通信を約2か月間維持していました。

Microsoft TeamsのTURNリレー機能を悪用することで、攻撃活動を隠蔽しています。正規のTeamsトラフィックに紛れ込ませることで、検出回避を実現しています。

これは単なるランサムウェア配布だけでなく、高度な潜伏機構を構築するための技術です。

Infinite Campus学校職員情報大量流出

学生情報システムプロバイダーInfinite CampusがSalesforce環境への不正アクセスで、13万7,000人超の学校職員の個人情報が流出しました。

犯行声明はShinyHuntersから発表されています。

学生記録は保護されたとのことですが、学校職員の個人情報流出は、フィッシング・ソーシャルエンジニアリング悪用のリスクを生み出します。

Wallpaper EngineアプリのSteam Workshop経由マルウェア配布

Steam Workshopの壁紙パッケージを通じてマルウェアが拡散しています。Wallpaper Engineアプリケーション壁紙の実行可能機能が悪用されています。

配布されているマルウェアは複数です。DarkKometバックドア、Lumma/Vidarスティーラー、暗号通貨マイナー、ランサムウェアが確認されています。

数千～数万ダウンロード事例が確認されています。

AI導入とインシデント発生頻度の相関

macOS環境でAIツール使用企業の2割以上が金銭損失またはサイバー攻撃被害を経験しています。

AIガバナンスが優先度として低迷する一方、AIを深く統合した組織でインシデント発生率が27%に達しています。

この相関関係は、AIツール導入時のセキュリティガバナンスの重要性を示しています。

インドのTelegram一時ブロック

インドがNEET-UG再試験を前にTelegramを一時ブロックしました。理由はカンニング詐欺グループがメッセージ編集機能を悪用して試験問題を詐欺的に販売していたからです。

正規ユーザーの学習リソースアクセスに支障が出ています。

LiteLLMの認証バイパス脆弱性

CVE-2026-49468としてLiteLLMのHostヘッダーインジェクション脆弱性が発見されました。CVSS 4.0です。

未認証攻撃者が認証を回避して管理ルートへアクセス可能です。バージョン1.84.0で修正されています。

Chrome 33件脆弱性修正

GoogleがChromeの33件の脆弱性修正をリリースしました。7件がCritical評価で任意コード実行を可能にします。

特にWebAuthentication、Passwords、Digital Credentialsで機密情報処理に影響が出ています。

Fortra FortiAccess Managerコマンドインジェクション

FortraのCore Privileged Access Manager（BoKS）にCVE-2026-9862としてOSコマンドインジェクションがあります。CVSS 9.8で認証不要のリモート攻撃が可能です。

DenoベースのマルウェアがCloudFront悪用

Denoランタイムを活用したモジュール型RATがCloudFrontを経由してC2通信を確立しています。

文字列配列シフトで難読化し、ループバック接続で分散型アーキテクチャを構築しています。

NVIDIA NeMo脆弱性

NVIDIA NeMo Frameworkに3つのCVSS 7.8の脆弱性があります。CVE-2026-24252のOSコマンドインジェクション、CVE-2026-24155のコードインジェクション、CVE-2026-24228の不安全デシリアライズです。

バージョン2.7.3で修正されています。

ShinyHuntersによる大規模データ侵害

ShinyHuntersが複数の大規模データ侵害を犯行声明しています。

Kodakでは220万件超のレコード流出が確認されました。顧客PII・社内機密データが対象です。脅迫されており、6月18日までのデータ公開脅迫が行われています。

EdTechプラットフォームでも400万人超の生徒個人情報が窃取されています。

CISAがOracle PeopleSoft脆弱性に緊急警告

CVE-2026-35273の認証欠如脆弱性がランサムウェアで積極的に悪用されています。

認証なしでPeopleSoft環境完全制御が可能です。連邦機関は6月15日までの修復が義務付けられています（BOD 26-04）。

クロージング

本日お届けしたセキュリティニュースをまとめますと、複数の領域で重大な脅威が確認されています。

企業インフラストラクチャを支える重要なセキュリティ製品の脆弱性が実装で悪用されている状況、医療や教育といった重要セクターへの標的化、そして供給チェーンを通じた大規模な被害事例が報告されています。

特に重要な点は、これらの脅威の多くが既に悪用されているという点です。パッチが利用可能である場合は、迅速な適用が極めて重要です。

また、新たな技術的手法、例えばクラウドサービスのTURN機能やCDN経由での配布など、攻撃者の技術も進化し続けています。

リスナーの皆様の組織におかれましては、本日のニュースが御社に関連していないか、ぜひご確認ください。特にFortinetやSplunk、Oracle PeopleSoftといった製品をご使用の場合は、セキュリティアップデートの適用状況をご確認いただくことを強くお勧めします。

気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。