Roundcubeメールソフトに深刻なゼロクリックXSS脆弱性 | 2026年7月11日
2026年7月11日のセキュリティニュースをお届けします。
トークスクリプト
東京セキュリティブリーフィング 2026年07月11日(土曜日)
オープニング
こんにちは。東京セキュリティブリーフィングへようこそ。このポッドキャストは、毎日のセキュリティニュースの中から、あなたの組織や日常の業務に影響するニュースを厳選して解説します。
本日は2026年07月11日、土曜日のお届けです。昨日公開されたニュースから、重要なセキュリティインシデント、新しく発見された脆弱性、そして業界全体のトレンドまで、幅広い話題を取り上げています。それでは、本日のニュースをご紹介します。
ヘッドライン
本日は、複数のメディアで取り上げられている注目度の高いセキュリティニュースが複数あります。まず、ウェブメールソフトウェア「Roundcube」の深刻な脆弱性について。次に、アメリカの自動車保険会社アクセンチュアによるデータ侵害について。さらに、ランサムウェア関連の重大な事件判決、そして新種のマルウェア「GigaWiper」に関する警告も出ています。
また、Wiresharkといった広く使われているネットワーク解析ツールのセキュリティアップデート、そしてMicrosoftがAI技術を活用して発見した脆弱性の数が大幅に増加しているというニュースもあります。これらの話題が、本日の詳細解説のメインテーマとなります。
詳細解説
Roundcubeメールソフトに深刻なゼロクリックXSS脆弱性
まずは、複数のメディアで報道されているRoundcubeウェブメールの脆弱性からお話しします。Roundcubeはオープンソースのメールクライアントで、多くの企業や大学のメールシステムに採用されています。
バージョン1.7.2で修正された脆弱性として、重大なセキュリティ問題が複数報告されました。最も危険なのはCVE-2026-54433という脆弱性で、ゼロクリック格納型のXSS、つまりクロスサイトスクリプティング攻撃です。これはメールを見るだけで、ユーザーが何も操作しなくても自動的に悪意あるコードが実行される可能性があるという非常に危険な状態を意味します。
さらに、CVE-2026-54432という脆弱性もあり、こちらはMIMEタイプの処理に関する別のXSS脆弱性です。加えてSSRFと呼ばれるサーバーサイドリクエストフォージェリのバイパス脆弱性も複数件存在し、DoS攻撃も可能だったとのことです。
これらの脆弱性はユーザーが悪意あるメールを受け取るだけで被害を受ける可能性があるため、Roundcubeを使用している組織は早急にバージョン1.7.2へのアップグレードが必須です。特に教育機関や金融機関など、セキュリティが重要な環境での利用が多いため、注意が必要です。
AssuranceAmericaの大規模データ侵害:690万人以上が被害
次に、アメリカの自動車保険プロバイダーであるAssuranceAmericaが経験した大規模データ侵害についてお話しします。このニュースは複数のセキュリティメディアで報道されており、その重大性が伺えます。
被害の規模は690万人超と非常に大きく、流出した情報には顧客の氏名、保険証券番号、運転免許証番号、そして社会保障番号など、個人識別情報が含まれていました。
攻撃の起点は従業員を標的とした標的型フィッシング攻撃でした。攻撃者は従業員になりすまし、IT部門に不正なアクセスを獲得することに成功しました。その後、複数のデータファイルをコピーし、3月17日に攻撃が検知されるまでの間、継続的にデータを窃取していたとのことです。
このインシデントの特筆すべき点として、現在のところランサムウェアグループとの関連付けは確認されていないということが挙げられます。つまり、純粋にデータ窃取を目的とした攻撃であった可能性があります。
こうした事件は、運転免許証番号という非常にセンシティブな個人情報が流出することで、被害者は身分詐欺や他の犯罪に巻き込まれるリスクが高まります。
ランサムウェア交渉人による共謀事件:禁錮70カ月の判決
次は、非常に重大な犯罪に関する判決ニュースです。このニュースも複数のメディアで報道されており、サイバー犯罪の深刻さを浮き彫りにしています。
フロリダ州のセキュリティ企業で働いていたAngelo Martinoという人物が、ランサムウェア交渉人の立場を悪用してBlackCatランサムウェアグループと共謀し、禁錮70カ月の判決を受けました。
Martinoの罪状は以下の通りです。彼は被害企業との交渉において、その企業の交渉戦略や保険上限額といった極めて機密性の高い情報をBlackCat実行者に漏洩していました。これにより、ランサムウェア運用者は被害企業がどの程度まで身代金を払う可能性があるかを事前に把握することができ、より効果的な恐喝が可能になったわけです。
その結果、5件の企業から合計7,530万ドル、日本円にして数十億円規模の身代金が恐喝されました。さらに追跡の結果、Martinoの資産からは1,000万ドル超が押収されています。
この事件は、信頼できると思われるセキュリティ専門家であっても、内部から脅威となる可能性があることを示しており、組織のアクセス制御やモニタリングの重要性を再認識させます。
破壊的バックドアマルウェア「GigaWiper」の脅威
続いて、複数のセキュリティ企業から警告が出ているマルウェア「GigaWiper」についてお話しします。
GigaWiperはGolangで開発されたバックドアで、非常に破壊的な機能を多数搭載しています。Microsoftから警告が出ており、その分析によると、このマルウェアはCrucioランサムウェアやFlockWiperといった複数の既存マルウェアのコードを統合し、機能を組み合わせたハイブリッド型の脅威となっています。
GigaWiperの特徴として、約20種類のコマンドが実装されており、以下のような機能が確認されています:物理ディスク全体をワイプして完全に消去する機能、ファイルの暗号化機能、ファイルの完全消去機能、さらにはVNC機能によるリモート操作も可能です。
永続化のメカニズムも非常に巧妙で、「OneDrive Update」というスケジュールタスクに偽装することで、システム再起動後も継続的にマルウェアが動作し続ける設計になっています。
加えて、RabbitMQとRedisといったメッセージングシステムを経由することで、攻撃者からのC2(コマンド・アンド・コントロール)通信を行い、遠隔から継続的に指令を受ける能力を持っています。
このマルウェアは組織データの完全な破壊を目的とした、非常に危険な脅威です。
Wireshark 4.6.7:12件の脆弱性を修正
続いて、ネットワーク解析の標準ツールとして広く使用されているWiresharkのセキュリティアップデートについてお話しします。このニュースも複数メディアで報道されており、多くの組織に影響する可能性があります。
Wireshark バージョン4.6.7がリリースされ、12件のセキュリティ脆弱性が修正されました。これらの脆弱性は複数のプロトコルディセクター、ファイルパーサー、そしてextcapインターフェースに関連しています。
具体的には、SSH、TLS ECH(Encrypted Client Hello)、IEEE 802.11無線通信、そしてpcapng形式といった、ネットワークセキュリティの診断や監視で頻繁に使用される機能に関連する脆弱性です。
これらの脆弱性により、アプリケーションクラッシュ、無限ループによるサービス停止、そして情報漏えいなどが発生する可能性がありました。特に外部ソースから提供されたパケットキャプチャファイルを解析する場合、信頼できない環境からのpcapファイルを処理する際には、このアップデートが重要です。
Wiresharkはセキュリティチームが日常的に使用するツールであるため、早急なアップデートが推奨されます。
Microsoftの新たなセキュリティ脅威:RoguePlanet(CVE-2026-50656)
次は、Microsoftが緊急対応で公開した脅威についてお話しします。「RoguePlanet」と呼ばれるゼロデイ脅威に対して、Microsoftは緊急のアウトオブバンドパッチを公開しました。
CVE-2026-50656というこの脆弱性は、Windows Defenderの権限昇格脆弱性で、CVSS 7.8という深刻度です。この脆弱性により、一般的なユーザー権限で動作するプロセスがSYSTEMレベルのアクセス、つまり最高権限を獲得することが可能になります。
注目すべき点として、この脆弱性が公開されたのは、匿名の研究者である「Nightmare-Eclipse」とMicrosoftとの対立の中での公開だったとのことです。セキュリティの脅威が発見される過程にも、様々な複雑な背景があることがわかります。
AIを活用した脆弱性発見の拡大
Microsoftが最近発表した重要なニュースは、AIを活用した脆弱性発見能力の大幅な拡大です。このテーマも複数のメディアで報道されています。
MicrosoftはMDASH(複数モデル型エージェント型スキャニングハーネス)と呼ばれるシステムを導入し、複数のAIモデルを組み合わせてWindowsコード全体を継続的にスキャンしています。この取り組みにより、脆弱性発見のスピードが大幅に向上しています。
同社は、このAI駆動脆弱性発見の拡大に伴い、今後Windowsのセキュリティ更新件数が増加することを警告しました。これは決して悪いニュースではなく、むしろ脆弱性を以前よりも多く、より迅速に発見・修正できるようになったことを意味します。
パッチチューズデーごとのリリース件数が増える見込みとのことですが、これはゼロデイ攻撃の悪用期間を短縮し、組織への被害を最小化する効果があります。
FortiBleed脆弱性による大規模認証情報流出
次に、複数のメディアで報道されているFortinet製ファイアウォールの脆弱性についてお話しします。
80,000台を超えるFortinet製ファイアウォールが脆弱性を悪用された攻撃の対象となりました。ロシア系ハッカーグループが、この脆弱性を悪用して、英国政府職員を含む多数の組織からユーザー名とパスワードを窃取しました。
流出した認証情報の深刻性は極めて高く、アンダーグラウンドフォーラムでは最大60,000ドルの価格で販売されています。特に懸念されるのは、医療機関、発電施設、医薬品サプライチェーンなど、重要インフラに関連する組織が影響を受けているという点です。
ファイアウォールの認証情報は、組織の最重要なセキュリティ境界へのアクセスキーとなるため、この流出は極めて重大なインシデントです。
Accentuaのソースコード流出事件
大手コンサルティング企業であるAccenture(日本ではアクセンチュアとして知られている)がサイバー攻撃によるデータ流出を認めました。
脅威アクター「888」による攻撃により、35GBのソースコードが盗難されました。流出した内容には、RSAキーやSSHキーといった暗号化キー、Azure PAT(Personal Access Token)、ストレージアクセスキーなど、極めて機密性が高い認証情報が含まれていました。
攻撃者は、盗んだデータをサイバー犯罪フォーラムで販売を開始しています。同社は事象の修復が済んだことを確認したとコメントしていますが、詳細についてのコメントは避けているとのことです。
このインシデントは、大企業であっても極めてセンシティブな認証情報が流出する可能性があることを示しています。
ランサムウェアエコシステムの拡大:四大グループの台頭
2026年第2四半期のランサムウェア攻撃状況についてお話しします。データによると、ランサムウェア攻撃は増加傾向にあり、特にQilin、The Gentlemen、Akira、DragonForceという4つのランサムウェアグループが、全体の40%以上を占めています。
攻撃被害者の地理的分布を見ると、アメリカが40%と最も多いですが、ドイツも32%と非常に高い割合を占めています。この統計は、これら4つのグループが積極的に国外での活動を強化していることを示唆しています。
ワールドカップに便乗した仮想通貨詐欺
セキュリティとはやや異なる領域ですが、ワールドカップに便乗した詐欺キャンペーンについても取り上げます。
ワールドカップに便乗した詐欺サイトで、複数のスキームが確認されています。具体的には、ポンプ・アンド・ダンプスキーム(特定の仮想通貨の価値を意図的に高騰させた後、詐欺師が一方的に売却して利益を得るスキーム)や、金銭を受け取った後に姿を消すパターンがあります。
また、「無料プレイ」という名目での詐欺、似た名前の詐欺サイトによる便乗、さらには取引の演出など、複数の手口が用いられています。
仮想通貨の特性として、一度送金すると取り消しができないため、送金後に資金を回復する手段はほぼありません。このため、ユーザーは極めて高いリスクを負うことになります。
EU「チャットコントロール」規則の可決
ヨーロッパのプライバシー政策に関する重要なニュースがあります。欧州議会がチャットコントロール規則について採決を行いました。
この規則は、児童性的虐待材料(CSAM)を検知するために、メッセージングアプリケーションを大規模にスキャンすることを認めるものです。廃止を試みる採決では314対276という賛成多数が得られましたが、必要とされる360議席に届きませんでした。
その結果、規則は存続し、エンドツーエンド暗号化(E2EE)の対象外を除き、2021年版とほぼ同等の内容が保持されることになります。
データ強奪集団「Helix」の出現
新たなデータ強奪集団「Helix」が出現しました。このグループはSharePointからのデータ窃取を主要な攻撃対象としています。
攻撃手法として、ボイスフィッシング、デバイスコードフィッシング、MFA悪用を使用しています。Helixは、ShinyHuntersとBlackFileの後継と考えられており、自動化された列挙と収集手法が特徴です。
インターポール「Operation First Light」による大規模逮捕
国際警察機構インターポールが「Operation First Light」と呼ばれる大規模なサイバー犯罪一斉摘発を実施しました。
97カ国で5,800人以上のサイバー犯罪容疑者が逮捕され、2億9,300万ドルが押収されました。3カ月以上の作戦期間において、142,000人超の被害者が特定されています。
対象となったのは主にソーシャルエンジニアリング詐欺とマネーロンダリングであり、国際的なサイバー犯罪に対する警執行機関の連携体制の効果を示しています。
Linuxカーネルの権限昇格脆弱性
Linuxカーネルに重大な権限昇格脆弱性が発見されました。CVE-2026-46215として追跡されるこの脆弱性は、DRM GEMサブシステムに存在するレースコンディションによるuse-after-freeです。
この脆弱性により、ログイン済みのデスクトップユーザーがroot権限に昇格することが可能になります。Linux v6.18-rc1で追加されたDRM_IOCTL_GEM_CHANGE_HANDLEに関連するコードが原因です。
特筆すべきは、約99%の成功率でパスワードなしのroot権限取得が可能であるということです。PoC(Proof of Concept)と技術詳細も公開されています。
AI支援ツールを活用した AWS 環境への72時間での侵害
Sygniaの報告によると、AI支援ツールを使用した攻撃者がAWS環境を72時間で侵害することに成功しました。
攻撃の特筆すべき点は、マルウェアや既知の脆弱性が使用されず、純粋に認証情報の窃取と自動化されたスピードが攻撃を成功させたということです。攻撃者はアプリケーション、インフラ、ソースコード、CI/CDパイプラインに横展開しました。
このインシデントは、従来のセキュリティ対策が検知できないような、認証情報ベースの攻撃の脅威を示しています。
Tendaルーター脆弱性
複数のTendaルーターシリーズに、非常に深刻なセキュリティバックドアが発見されました。CERT/CCが公表した脆弱性CVE-2026-11405は、深刻度9.8とほぼ最高レベルです。
この脆弱性の危険性は、ハードコードされたバックドア認証情報により、攻撃者が設定されたパスワードを知らなくても管理者権限でアクセス可能という点です。
npm Injective SDK へのマルウェア混入
JavaScriptエコシステムの主要なパッケージレジストリnpmで公開されているInjective SDKに、暗号資産ウォレット窃取マルウェアが混入していました。
Injective SDKプロジェクトのGitHubが侵害され、@injectivelabs/sdk-tsというnpmパッケージのバージョン1.20.21にマルウェアが埋め込まれていました。このパッケージは週間50,000件ダウンロードされている人気パッケージです。
マルウェアは暗号資産ウォレットの秘密鍵とニーモニックシードフレーズを窃取する機能を持っていました。
組み込みデバイスのセキュリティライフサイクル
組み込みデバイスのセキュリティについて、新しい視点での議論が起こっています。
数十年の稼働を前提に設計された組み込みデバイスは、老朽化したソフトウェアと現代の脅威が衝突する課題に直面しています。AIによる脆弱性発見の高速化、デバイスのネットワーク接続性の向上、そして攻撃者の関心の増加により、継続的な可視性確保とリスク優先順位付けが必要とされています。
AIエージェントのガバナンス問題
AIエージェントは新種のID(Identity)であり、従来のサービスアカウントやAPIトークンと異なります。AIエージェントは自律的に意思決定し、目標達成方法を自ら考え出します。
人間が監視していない環境で24時間稼働し続けるため、従来のガバナンスモデルでは対応できません。企業平均で22件のAIエージェントプロジェクトが統治不足の状態にあるとの調査結果が報告されています。
OpenMandriva Linux の内部妨害事件
OpenMandriva Linuxプロジェクトが、コントリビューター間の対立から内部妨害が発生したことを公表しました。
GitHubリポジトリが消去され、空のパッケージがプッシュされるという被害を受けています。10年近くの開発成果が削除される深刻なインシデントとなりました。
郡がランサムウェア恐喝に100万ドルを支払い
アメリカのある郡がランサムウェア恐喝集団「Kairos」に100万ドルを支払いました。
当初要求額が300万ドルであったのに対し、交渉により100万ドルに減額されています。しかし問題なのは、盗まれたファイルの削除の証拠を受け取ることなく支払いを実行したという点です。データの再販売リスクが残存しており、実質的には恐喝者の言い値で支払いをさせられた形になっています。
AIコーディングツールの脆弱性「GhostApproval」
Wizが発見した「GhostApproval」という脆弱性により、複数のAIコーディング支援ツールが影響を受けています。具体的にはAmazon Q Developer、Claude Code、Cursorなど6つのツールに影響することが確認されました。
この脆弱性はシンボリックリンク(symlink)を悪用し、ユーザーの確認画面では無害に見えながら、ワークスペース外のファイルにアクセスすることが可能です。
後継サイバー犯罪プラットフォームの台頭
2026年初頭にTudou Guaranteeが閉鎖されましたが、Tiancheng、Ouyi、Timiという3つのグループが直ちに後継プラットフォームを立ち上げました。
これらのプラットフォームは元々120億ドル規模だった取引を引き継ぎました。特にTianchengは57万人規模のTelegramチャンネルを掌握しており、サイバー犯罪マーケットプレイスの影響力が継続していることが懸念されます。
AWS環境での暗号資産マイニング攻撃
LiteLLM-ProxyというEC2インスタンスが侵害され、XMRig暗号資産マイナーが展開されました。Darktraceがこの攻撃を検出しています。
攻撃者はSSHブルートフォース攻撃でインスタンスに侵入し、Amazon Bedrockへのアクセス権限を悪用して仮想通貨採掘を実行していました。
U-Boot の複数脆弱性
U-Bootと呼ばれるブートローダーに6件のFIT署名検証脆弱性が発見されました。2件が任意コード実行、4件がDoSを可能にします。
これらの脆弱性はv2013.07から存在しており、50以上のバージョンとベンダーフォークに影響を及ぼしています。
データブローカーの削除リクエスト対応状況
カリフォルニア州のデータブローカーへの削除リクエスト約70%が結果報告を行わず、オプトアウト要求でも約22%が違法な本人確認を要求していることが判明しました。
個人情報の削除をリクエストしても、データブローカーが適切に対応していない実態が明らかになりました。
Braintree.Net 偽装パッケージ
Socketが「Braintree.Net」という偽装NuGetパッケージを検出しました。
PayPal公式パッケージを模倣し、3つの経路でPAN(クレジットカード番号)、CVV、加盟店認証情報、シークレット情報を盗み出します。
Roundcube ウェブメール利用組織への大規模スピアフィッシング攻撃
UNK_MassTractionと呼ばれる中国関連の脅威グループが、米国とカナダの複数の大学のRoundcubeメールサーバーを標的にしています。
攻撃は2026年5月から活動しており、複数の脆弱性を連鎖させた巧妙な攻撃チェーンを使用しています。まずCVE-2024-42009(CVSS 9.4のXSS脆弱性)を悪用した初期侵入メールから始まり、IceCubeモジュールによる認証情報盗聴、その後CVE-2025-49113(CVSS 9.9のデシリアライゼーション脆弱性)を悪用してSquareShellウェブシェルを設置しています。
最終的には、メモリ上で動作するVShellバックドアによる永続的なアクセスを確立しています。特に国家安全保障関連の研究を行う機関が標的とされています。
EU チャットコントロール規則の延長可決
欧州議会が「チャットコントロール1.0」法を2028年まで延長することを可決しました。
これにより、Discord、Skype、Instagram、Snapchat、Xbox、Gmail、iCloud経由のダイレクトメッセージおよびメールを令状なしにスキャンすることが可能になります。
過去2度否決されていましたが、夏季休会での議員欠席により、反対票が賛成票を上回りながらも、可決に必要な絶対多数に達しませんでした。児童性的虐待との戦いが理由とされていますが、プライバシー懸念に対する議論は継続中です。
クロージング
本日は、合計65件以上のセキュリティニュースから、特に注目度の高いニュースを厳選してお届けしました。Roundcubeの脆弱性からAssuranceAmericaの大規模データ侵害、ランサムウェア関連の重大事件、新種マルウェアGigaWiper、そしてAIを活用したセキュリティ脅威の拡大まで、多岐にわたるトピックを取り上げました。
これらのニュースから浮かび上がるのは、セキュリティの脅威が多様化し、かつ高度化しているという現実です。AIを活用した攻撃と防御の両面での進化、認証情報ベースの攻撃の拡大、そして内部脅威の問題まで、組織が対処すべき課題は増え続けています。
気になるニュースがあれば、ぜひ詳細をご確認いただき、ご自身の組織に対する影響度を評価されることをお勧めします。特にRoundcubeを使用している組織、Fortinet製ファイアウォールをご利用の組織、あるいはクラウド環境でAIエージェントを導入している組織の皆様は、本日お伝えした内容が直接的な対応を迫るものになる可能性があります。
東京セキュリティブリーフィングでした。また次回お会いしましょう。