Adobe ColdFusionの最大深刻度脆弱性、公開直後に悪用 | 2026年7月8日
2026年7月8日のセキュリティニュースをお届けします。
トークスクリプト
東京セキュリティブリーフィング 2026年07月08日(水曜日)
オープニング
こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年07月08日、水曜日です。昨日公開されたセキュリティニュースの中から、日本の組織に影響を与える可能性のある重要な脅威と対策についてお話しします。本日も、最新のセキュリティ情報をわかりやすく、皆さんにお届けしていきます。
ヘッドライン
本日のニュースでは、複数のメディアが報道している重大な脆弱性が相次いでいます。まず、最大深刻度と評価されたAdobe ColdFusionの脆弱性CVE-2026-48282が、公開からわずか数時間のうちに実際の攻撃で利用されているという緊急事態が発生しています。これは、セキュリティパッチが公開されてもすぐに対応する必要があるという厳しい現実を示しています。
次に、16年間も見つからなかったLinuxカーネルの脆弱性が、仮想マシンから完全にエスケープされ、ホストシステムを乗っ取られるという深刻なリスクが判明しました。これはIntelおよびAMD両方のプロセッサで動作し、パブリッククラウド環境に大きな脅威をもたらします。
さらに、AIエージェントを接続するために使われるMCPサーバーという仕組みが、数千台にもわたってセキュリティの欠陥を抱えていることが明らかになり、AIを活用した攻撃の新たな入り口となっていることが懸念されます。
詳細解説
Adobe ColdFusionの最大深刻度脆弱性、公開直後に悪用
Adobeは6月30日、ColdFusionに11件の脆弱性を含むセキュリティアップデートを公開しました。このうち6件がCVSSスコア10と評価される最大深刻度です。特に注目すべき脆弱性がCVE-2026-48282で、これはパストラバーサル脆弱性により任意のコード実行を引き起こす可能性があります。
驚くべきことに、このパッチが公開されてからわずか数時間のうちに、実際の攻撃で利用されていることが確認されました。脅威インテリジェンスサービスのハニーポットは、公開からほぼ2時間以内に悪用の試みを検知しています。
CVE-2026-48282は、ColdFusionのRemote Development Services、つまりRDS機能に存在します。この機能はIDEがColdFusionサーバーと通信できるようにするもので、ファイルシステムの閲覧やデータベースクエリの実行を可能にします。RDSが有効になっていて認証が無効化されたサーバーが特に危険です。
攻撃者は、悪意のあるHTTPリクエストを送信することで、Webからアクセス可能な場所に任意のファイルをアップロードし、コードを実行させることができます。ShadowServer Foundationの調査によると、インターネットに公開されているColdFusionサーバーは約750台確認されており、これらが攻撃の対象となる可能性があります。
対策としては、ColdFusion 2025 Update 10またはColdFusion 2023 Update 21へのアップグレードが推奨されています。また、インターネットに公開されているサーバーについては、過去1週間にわたる侵害の痕跡を調査することが重要です。
16年間潜んでいたLinuxカーネルの重大なVM脱出脆弱性
CVE-2026-53359として追跡される「Januscape」という脆弱性が、Linuxカーネルで16年間も見つかることなく存在していたことが判明しました。この脆弱性はuse-after-freeの一種で、KVM、つまりカーネルベースの仮想マシンの実装におけるシャドウMMUコードに影響を及ぼします。
このゲストからホストへのエスケープ脆弱性は、仮想マシンの中で動作する攻撃者が、物理マシンそのものへのroot権限を取得できるという深刻な性質を持っています。特に危険なのは、IntelおよびAMDの両方のx86アーキテクチャで動作する点です。
パブリッククラウド環境では、一人の攻撃者が低額で借りた仮想マシンインスタンスから、同一物理マシン上にある他のテナントのすべての仮想マシンをダウンさせたり、ホストシステムを完全に乗っ取ったりできる可能性があります。これは、サービス拒否攻撃から完全な侵害まで、極めて広い範囲の被害をもたらす可能性があります。
セキュリティ研究者のHyunwoo Kim氏がこの脆弱性を発見し、Google kvmCTFという報奨金プログラムに登録した際には、完全なVM脱出のエクスプロイトに対して最大25万ドルが支払われる対象となりました。ゲストマシン上でroot権限を持つ攻撃者が悪用可能で、Red Hat Enterprise Linuxなどの一部ディストリビューションでは、権限を持たないユーザーでもDirty Fragという別の権限昇格脆弱性と組み合わせることで、完全な侵害を実現できる可能性があります。
修正は6月19日にマージされており、カーネルを更新することで対応できます。パブリッククラウドを利用する組織は、ホストシステムのカーネルがパッチ適用済みであることを確認することが重要です。
数千台のMCPサーバーが深刻なセキュリティ欠陥を持つ
AIエージェントをファイルシステムやデータベース、APIに接続するために使われるModel Context Protocol、つまりMCPサーバーという仕組みが、大規模なセキュリティ上の問題を抱えていることが明らかになりました。
9,695台のユニークなMCPサーバーを対象とした調査では、実に5,832台に何らかのセキュリティ上の弱点が見つかりました。そのうち2,259台については、実際に悪用可能な確定的な脆弱性が確認されています。全体で4,982件のセキュリティ問題が確認され、その内訳は任意ファイルアクセスが880件で最多となり、続いてサービス拒否が490件、コマンドインジェクションが476件、サーバーサイドリクエストフォージェリが422件となっています。
驚くべき調査結果は、人気度とセキュリティの間に有意な相関が見られないということです。GitHubでスター数の多いサーバーが特に安全というわけではなく、むしろ広く使われているからこそ被害範囲が大きくなるだけです。同様に、メンテナンスの活発さもセキュリティを保証しません。最も注目すべき発見は、MCPディレクトリが付与している認証済みバッジが、セキュリティの信頼できる指標にならないという点です。認証済みサーバーの平均脆弱性件数は、未認証サーバーとほぼ同じ水準なのです。
MCPサーバーはAIエージェントをターミナル、データベース、ファイルシステムに接続する橋渡し役を担うため、単一の侵害されたサーバーがエージェント主導のワークフロー全体を攻撃に晒す可能性があります。組織は、MCPサーバーの導入時に「デフォルトで信頼する」という考え方を捨てることが重要です。
米政府がAIを活用した脆弱性スキャンを本格始動
米サイバーセキュリティ・インフラセキュリティ庁、つまりCISAが、Anthropic製のAIモデル「Mythos」を使用して、連邦政府のソフトウェアをスキャンし、脆弱性を監査していることが報道されました。
CISA内の攻撃対象領域評価、ASEと呼ばれる専門チームが、このMythosを活用して連邦政府機関全体のコードリポジトリをスキャンしています。目的は、外国の諜報機関やサイバー犯罪者に悪用されかねないセキュリティ上の欠陥を先制的に発見し、修正することです。
報道によると、複数の情報提供者がこのAI主導の取り組みによってすでに相当数のソフトウェア脆弱性が発見されていることを述べています。ただし、具体的な脆弱性の深刻度や影響を受けた機関の数は明かされていません。
Mythosは従来の静的解析ツールとは異なり、パターンマッチングのみに頼るのではなく、複雑な脆弱性チェーンや、これまで検出されていなかった多段階の攻撃経路を発見することに優れています。これは経験豊富なセキュリティ研究者による多大な手作業を要していた作業をAIが自動化できることを示唆しています。
国家安全保障局、NSAも同様にMythosを利用していると伝えられており、機密環境下でテストした結果、サイバーセキュリティ用途での高い性能が実証されているとのことです。
Microsoftがシステムレベルでエージェント型AIを統制するセキュリティ基盤を発表
Microsoftは、Windows上で自律型AIエージェントを保護するための新しいセキュリティアーキテクチャ、Microsoft Execution Containers、つまりMXCを発表しました。これはBuild 2026カンファレンスで披露されたもので、AIエージェントが単なるアシスタントから、コードの実行やファイルアクセス、ワークフロー統制を行う自律型システムへと進化する中での、重要なセキュリティ対策です。
MXC SDKは、複雑な分離メカニズムを抽象化するクロスプラットフォームの実行レイヤーです。開発者は低レベルのサンドボックス技術を手動で管理する必要がなく、制約を宣言的に定義するだけで、Windowsがそれを実行時に一貫して強制します。
提供される分離モデルには、プロセス分離とセッション分離があります。プロセス分離はエージェント生成コードを制限されたプロセス境界内で実行する軽量な封じ込めで、コーディングエージェントに最適です。セッション分離はエージェントの実行環境をユーザーのデスクトップから分離し、なりすまし攻撃やセッション間のデータ漏えいを緩和します。
さらに、各エージェントにMicrosoft Entraを通じてユニークなIDを付与することで、動作の正確な追跡と監査が可能になります。GitHub Copilot CLIはすでにこのプロセス分離モデルを採用しており、動的に生成されたコードを制約する実用例を示しています。
日本の大手通信キャリアでメールシステムの大規模データ流出
日本を代表する通信事業者の一社が、インターネットサービスプロバイダー向けに運営しているメールプラットフォームへのサイバー攻撃により、メールアドレス1,220万件以上とパスワード760万件が流出したことを発表しました。
今回の侵害は、日本国内の5社のインターネットサービスプロバイダーに提供されているメール管理、ウェブメールサービス、メールストレージを担うシステムに影響が及んだものです。攻撃者はメールプラットフォームで使用されているサードパーティ製ソフトウェアの脆弱性を悪用したと説明されています。
侵入を検知した直後にパッチが適用され、システムの改修が実施されました。調査担当者は、悪用された脆弱性以外にシステムが侵害された痕跡は見つかっていないとしていますが、大量の認証情報が流出したことで、今後のソーシャルエンジニアリング攻撃のリスクが高まる懸念があります。
同社のモバイルおよび固定インターネット顧客向けの自社メールサービスは別のインフラ上で稼働しており、今回の影響は受けていないとのことです。影響を受けたインターネットサービスプロバイダー各社は、数日中にパスワードの強制リセットを完了させる作業を進めています。
その他の重要なセキュリティニュース
ゲーミング向けのアンチチート機能を提供するGamersFirst Anti-Cheatドライバーに、3件の重大な脆弱性が発見されました。これらはヌルポインタークラッシュ、ポートアクセス制御の不備、カーネル書き込みプリミティブによる権限昇格を含みます。特にCVE-2026-12168は、ユーザーが悪意のあるリクエストを作成することで、任意のカーネルメモリに書き込みを行い、SYSTEMレベルまで権限を昇格させることが可能です。
中国と関係のある攻撃者集団が、Roundcubeの重大な脆弱性を連鎖的に悪用して、米国およびカナダの大学のネットワークに侵入し、機密データを窃取していたことが判明しました。対象は物理学部や工学部で、天体物理学や素粒子物理学の研究組織を標的にしていたと見られます。
Microsoft Teamsを悪用した新しいタイプの攻撃が報告されています。攻撃者がIT支援担当者になりすまして従業員に電話をかけ、リモートコントロール権限を獲得した後、EtherRATというリモートアクセス型トロイの木馬をインストールさせる手口です。
Radwareが、AIエージェントを統制・保護する「Agentic AI Protection」ソリューションの機能を強化し、ISO 42001や欧州連合のAI法、NISTのAIリスクマネジメントフレームワークへの準拠を支援する監査対応レポート機能を追加しました。
Anthropicの公開版AIモデル「Fable」がホワイトハウスの懸念により一時的に利用停止されていましたが、6月下旬に制限が解除されました。これは、ホワイトハウスがAIガバナンスと国家安全保障のバランスをどのように取ろうとしているかを示す事例となっています。
クロージング
本日お伝えした脆弱性や脅威は、ほんの一部に過ぎません。セキュリティの脅威は日々進化し、特にAIエージェントの登場により、その速度と複雑さが大きく加速しています。各組織では、定期的なシステム監査、迅速なセキュリティパッチの適用、そして従業員へのセキュリティ意識向上が不可欠です。
気になるセキュリティニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。