デイリー

GitHub AIエージェント、プロンプトインジェクション攻撃でデータ流出 | 2026年7月9日

2026年7月9日のセキュリティニュースをお届けします。

再生時間: 18:14 ファイルサイズ: 16.7 MB MP3をダウンロード

トークスクリプト

東京セキュリティブリーフィング 2026年07月09日(木曜日)

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年07月09日、木曜日です。昨日公開されたセキュリティニュースの中から、特に注目すべき動向をお伝えしていきます。

ヘッドライン

本日は、AIエージェント関連のセキュリティ脅威が複数報告されています。GitHubとGoogle Cloudflowにおけるプロンプトインジェクション脆弱性、そしてAdobe ColdFusionの重大な脆弱性が実際に悪用されているという状況です。また、大規模な企業データ侵害や、長年検知されていなかったLinuxカーネルの脆弱性についても重要な報告があります。

詳細解説

GitHub AIエージェント、プロンプトインジェクション攻撃でデータ流出

Noma Securityが発見した「GitLost」と名付けられた攻撃により、GitHub Agentic Workflowsに深刻なセキュリティ問題が明らかになりました。この脆弱性は、認証なしで公開リポジトリのIssueコメントに隠れたプロンプトインジェクションコマンドを埋め込むだけで、GitHub Agentic Workflowsが誤ってプライベートリポジトリのコンテンツを公開コメントとして投稿してしまうというものです。

問題の本質は、エージェント型AIが信頼できないコンテンツ、すなわち公開Issueと機密リソース、つまりプライベートリポジトリに同時にアクセスできる場合の構造的な脅威が存在することです。この脆弱性により、平易な英語で平文のプロンプトを隠すだけで、認証なし、追加操作なしにプライベートリポジトリのデータが漏洩する危険があります。特に金融機関や医療業界の開発チームが利用するプライベートリポジトリは格好の標的になる可能性があります。

GitHubの対応は説明文書の提案に留まっており、抜本的な修正はまだ実装されていません。開発チームは、プライベートリポジトリにアクセスするAIエージェント・ワークフローを現在利用している場合は、即座に見直しを検討すべき状況です。

Google Dialogflow CXの「Rogue Agent」脆弱性

Google Cloudflowの脆弱性が、Varonisの報告により詳細が明かされました。CVEは未発行ですが、Googleは2025年11月に報告を受け、4月に初期パッチ、6月に完全修正を実施しています。

この脆弱性の深刻性は、特定の権限、すなわちdialogflow.playbooks.update権限があれば、同一GCPプロジェクト内の共有Code Blocksで悪意あるコードを注入でき、その結果すべてのDialogflow CXエージェントを支配可能になることにあります。具体的には、code_execution_env.pyと呼ばれるファイルを上書きすることで、会話の傍受、フィッシング挿入、さらにはVPC-SC(VPC Service Controls)の回避が実現されてしまいます。攻撃者が検知されるリスクは非常に低いため、金融機関や医療機関のカスタマーサポートチャットボットが特に危険にさらされています。

Google側の修正は完了していますが、2025年11月から4月までの間、この脆弱性は悪用可能な状態にありました。企業のカスタムチャットボットを運用している担当者は、6月の完全修正以降のバージョンを使用していることを確認してください。

Adobe ColdFusionの実攻撃確認、連邦機関に緊急対応を指令

CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)が、CVE-2026-48282としてAdobe ColdFusionの脆弱性について、既に実際の攻撃で悪用されていることを確認しました。この脆弱性はパストラバーサル欠陥で、権限なしのリモート攻撃者が低複雑度の攻撃でリモートコード実行を達成できます。

影響を受けるバージョンはColdFusion 2025.9およびColdFusion 2023.20以前です。CISAはBOD 26-04(Business Operations Directive)に基づき、連邦民間行政機関に対して7月10日までのパッチ適用を義務付けており、わずか3日という極めて短い期限を設定しています。これは「既知悪用済み脆弱性」(KEV)カタログに追加されたことで、米国政府機関の優先対応対象になったからです。

日本国内でColdFusionを運用している企業も、即座にパッチの適用状況を確認してください。パストラバーサル脆弱性は、ランサムウェア攻撃の初期侵入経路として頻繁に悪用されます。

Langflow IDOR脆弱性、攻撃者による実悪用開始

CISAが警告した別の既知悪用済み脆弱性がCVE-2026-55255で、これはLangflowというAI開発フレームワークの脆弱性です。Langflow 1.9.2より前のバージョンに存在する/api/v1/responsesエンドポイントの不正なオブジェクト参照(IDOR)脆弱性により、認証済みの攻撃者が他ユーザーのフローを実行できてしまいます。

その結果、APIキー、認証情報、外部連携情報が窃取される危険があります。Sysdigが6月25日に初めての悪用を検知し、わずか12日でCISAが既知悪用済み脆弱性カタログに追加しており、業界全体での対応の急速さが伺えます。Langflowを開発基盤として採用している企業は、1.9.2以降へのアップグレードを優先事項としてください。

15年間潜在していたLinuxカーネル脆弱性「GhostLock」

CVE-2026-43499として報告されたLinuxカーネルの脆弱性は、rtmutex優先度継承コードの欠陥で、15年以上にわたってシステムに存在していました。影響範囲はLinux 2.6.39-rc1から7.1-rc1までと、極めて広い期間です。

権限なしのローカル攻撃者がこの脆弱性を悪用すると、root権限取得またはコンテナエスケープが可能になります。Google kernelCTFと呼ばれるセキュリティコンテストでは、この脆弱性が97%の安定性で悪用でき、発見者に92,337ドルの報奨金が支払われました。この高い安定性は、実運用環境での悪用リスクが非常に高いことを示唆しています。

クラウド環境やコンテナ基盤を運用している企業は、カーネルのパッチレベルを確認し、最新版への更新を計画してください。特にマルチテナント環境では、コンテナからホストへの脱出が重大な脅威になります。

SharePointの重大なリモートコード実行脆弱性

CVE-2026-33112はMicrosoft SharePointの重大な脆弱性で、低権限ユーザーがXmlValidator制御を回避してリモートコード実行が可能になります。公開されているPoCでは、外部XSDスキーマを悪用した検証バイパス手法が明かされており、PoC公開後は実攻撃の急速な拡大が予想されます。

Microsoft環境を運用している企業は、SharePointのパッチレベルを即座に確認し、アップデートを優先してください。

Ubiquiti UniFi OSの複数脆弱性

Ubiquitiが最大深刻度の新たなUniFi OS脆弱性を公表しました。CVE-2026-50746はUniFi Connect Application 3.4.16以前のコマンドインジェクション脆弱性です。ネットワークアクセス権を持つ攻撃者がアクセス制御不備を悪用して、任意のコマンド実行を達成できます。

さらに、複数の報告によると、Ubiquitiの商品には合計25件のセキュリティ脆弱性が存在し、その中にはSQLインジェクション(CVE-2026-50747/50748)も含まれています。Censysのスキャンではインターネットに公開されるUniFi OSインスタンスが10万台を超えていることが確認されており、これらすべてが潜在的な攻撃対象になっています。

UniFiをネットワークインフラの基幹として運用している企業は、ファームウェアのアップデートを急務として対応してください。

Giteaの認証バイパス脆弱性、公開後に実攻撃確認

CVE-2026-20896はGiteaというGitホスティングプラットフォームの脆弱性で、CVSS 9.8という最高レベルのスコアが付与されています。Gitea Dockerイメージのリバースプロキシ認証バイパスの問題で、HTTPヘッダーを一つ追加するだけで管理者になりすまし可能です。

最も懸念される点は、公開からわずか13日で実攻撃が確認されたということです。これはサイバー犯罪者が非常に素早く既知脆弱性を悪用する傾向を示しています。Giteaを使用している企業は、公開日以降のバージョンに即座にアップグレードしてください。

Tendaルーターの隠されたバックドア

CVE-2026-11405はTendaルーターの複数機種に隠された認証バックドアで、ドキュメント化されない代替パスワードを使用することで管理者権限を奪取できます。ここで重要な点は、このバックドアが隠蔽されていたということ、そしてTendaからは修正パッチが提供されていないということです。

ホームルーター、小規模ビジネス向けルーター、さらには組織のネットワーク周辺機器にTenda製品が導入されている場合は、セキュリティ監査対象にしてください。

アクセンチュア、35GBのデータ流出を確認

脅威アクター「888」がPwnForumsで35GB以上のデータ窃取を主張し、ソースコード、RSA鍵、SSH鍵、Azure Pat(Personal Access Token)、ストレージキー、設定ファイルが流出したとされています。アクセンチュア広報は「発生源への対応完了」と述べるのみで、詳細な窃取内容については未確認としていますが、Azureスクリーンショットなどの証拠が提示されています。

このような大規模データ侵害は、サプライチェーン全体に影響を及ぼします。アクセンチュアの顧客企業は、当該期間のシステムアクセス権の不正使用がないかを慎重に監視してください。

アクティブディレクトリ署名鍵の復元、Golden SAML攻撃へ

Mandiantのレッドチーム演習において、マシンDPAPI(Data Protection API)を通じてアクティブなADFS署名鍵を復元する手法が報告されました。具体的には、AutoCertificateRollover無効で手動ローテーション環境下では、WIDデータベースに「ゴースト証明書」が残留し、これがGolden SAML攻撃に悪用される危険があります。

Golden SAML攻撃は、フェデレーション環境全体を危険にさらす極めて高度な攻撃です。Active Directory、特にADFSを運用している企業は、証明書のライフサイクル管理とローテーション監視を強化してください。

インド所得税庁になりすましたマルウェアキャンペーン

インド所得税庁の名義で偽通告書を送付するキャンペーンが報告されています。ZIPアーカイブを配布し、正規デジタル署名付きの実行ファイルがDLLサーチオーダーハイジャッキングを悪用して悪意あるDLLを読み込みます。その後UAC権限昇格を経て、Gh0st RATとAsyncRATが同時に注入されます。

特に懸念される点は、異なるRAT亜種の複数注入により、攻撃者が複数の通信経路を確保し、いずれか一つが検知・ブロックされても継続的なアクセスを維持できるということです。税務関連の通知メールは特に警戒が必要です。

DeepSeekが実用的なランサムウェアを生成

Check Pointの分析で、生成AIモデルDeepSeekが理論上のブラウザ脆弱性を実用的なランサムウェアに結実させていたことが報告されました。同社が1,383ファイルを悪意あり分類し、「InfernoGrabber 9000」というマルウェアがAndroid DCIMフォルダを標的としています。

これは、生成AI技術が攻撃者の能力向上に直結する危険性を示すケースです。開発チームは、生成AIツール使用時に生成されたコードの安全性を厳格に審査する必要があります。

中国系APT、Roundcubeメールサーバー経由で大学ネットワーク侵害

Proofpointが特定したUNK_MassTractionという中国系脅威グループが、米国とカナダの大学をRoundcubeメールサーバーの脆弱性を通じて標的としています。CVE-2024-42009のXSS脆弱性、およびCVE-2025-49113のデシリアライゼーション脆弱性が悪用されています。

メールアクセスを確立した後、IceCubeステーラー、SquareShell、VShellといったバックドアが展開され、ネットワーク奥深くへのピボットが実行されます。特に米国の国家安全保障関連研究室が標的にされています。

大学のメールシステムを運用している機関は、Roundcubeのパッチレベルを確認し、最新版への更新を優先してください。

Claude Coworkのモバイル・ウェブ対応と機能拡張

Anthropicが2026年07月07日にClaude Coworkをウェブおよびモバイル版に展開開始しました。バックグラウンド実行とスケジュール設定により、ノートパソコン閉鎖後もAIエージェント処理が継続可能になります。

実際のユーザー利用データでは、90%以上が非コーディング業務、具体的には支出照合、契約管理、資料作成といったタスクにClaude Coworkを活用しており、これまでのコーディング補助機能だけではなく、ビジネスプロセス全般の自動化へと用途が拡大していることが示されています。

8月5日までは利用上限が2倍に引き上げられており、ユーザーが大規模タスク実行を実現できるようになっています。

長年検知されていなかったLinux KVM脆弱性Januscape

CVE-2026-53359はLinux KVMの使用後解放脆弱性で、16年間にわたって検知されていませんでした。シャドウページテーブルで異なるページ型を誤割り当てし、use-after-free状態を引き起こします。

ゲストOSのroot権限ユーザーがネスト仮想化有効時にこれを悪用すると、ホストのroot権限獲得が可能になり、仮想マシン間の分離境界が破壊されます。修正パッチは6月19日にマージされ、7月4日に複数の安定版カーネルで配布されました。

クラウド環境やハイパーバイザー環境を運用している企業は、カーネルパッチの適用を急務として対応してください。

LurkingLizard、ドロップキャッチドメインで偽プロキシウェア配布

Lurking Lizardというキャンペンがドロップキャッチドメインの再取得を悪用し、偽ブランド、例えば7zip.comなどでプロキシウェアを配布しています。230以上の関連ドメインを操作し、ドロップキャッチで前所有者の正当性を継承することで、被害者の信頼を獲得しています。

被害端末がプロキシノード化され、300万件以上のレジデンシャルIPが販売されています。Ubiquitiやルーター企業のセキュリティ脆弱性悪用により、ORB(Operational Relay Box)インフラを拡大継続しているとの報告もあります。

イリノイ州AI安全法による厳格な規制枠組み

イリノイ州知事が2026年07月06日にSB 315に署名し、AIシステム開発者に対する厳格な規制が開始されました。年間売上5億ドル以上かつ高計算能力の高度なAIシステム開発者は、透明性義務、インシデント報告(重大な脅威は24時間以内)、年次独立監査、内部告発者保護を義務付けられます。

初回違反で100万ドル、再違反で300万ドルの民事制裁が課されます。この法律は米国初のAIセキュリティ規制として、他州や連邦レベルの立法に影響を与える可能性があります。

米国政府によるGPT-5.6の承認と広範展開

トランプ政権がOpenAIのGPT-5.6モデルの広範展開を承認しました。従来の利用制限が解除される一方で、強化されたガードレール、ログ記録義務は継続されます。数週間以内の広範提供が予定されており、コード生成機能と脆弱性分析機能の拡大がもたらす脅威の増加が懸念されています。

クロージング

本日は、AIエージェント関連の脆弱性、大規模なインフラ脆弱性、企業データ侵害、そして規制環境の変化について、多角的に情報をお伝えしました。

特に注目すべき点は、AIエージェント機能の急速な普及に伴い、プロンプトインジェクション、権限昇格、情報漏洩といった新しい攻撃パターンが次々と報告されていることです。同時に、16年間検知されていなかったLinuxカーネルの脆弱性など、基盤技術における既知の問題が依然として存在することも明らかになっています。

組織内でこれらのニュースについて情報共有を図り、該当するシステムのパッチ適用状況の確認を優先事項としてください。また、AIツール導入時には、セキュリティ監査と適切なガードレール設定を必須として検討してください。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。