デイリー

米国「Gold Eagle」脆弱性管理クリアリングハウス始動 | 2026年7月17日

2026年7月17日のセキュリティニュースをお届けします。

再生時間: 12:11 ファイルサイズ: 11.1 MB MP3をダウンロード

トークスクリプト

東京セキュリティブリーフィング 2026年07月17日(金曜日)

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年7月17日、金曜日のエピソードです。昨日公開されたセキュリティ関連のニュースから、特に重要な話題をピックアップしてお届けします。

ヘッドライン

それでは本日のヘッドラインです。

まず、米国トランプ政権が「Gold Eagle」と呼ぶ脆弱性管理クリアリングハウスを始動。AI活用による脆弱性の急増に対応する官民調整の仕組みが構築されました。

次に、マイクロソフトのSharePointに複数の脆弱性が見つかり、実際に悪用されていることがCISAから警告されています。

そしてZoomの重大な脆弱性も注目を集めており、未認証の攻撃者がアカウント乗っ取りを行える可能性があります。

その他、Nginxの脆弱性やセキュアブートを回避する古いブートローダーの問題も報告されています。

詳細解説

米国「Gold Eagle」脆弱性管理クリアリングハウス始動

まず注目したいのは、トランプ政権が発表した「Gold Eagle」という脆弱性管理クリアリングハウスです。これは何かというと、AI活用によって急増する脆弱性を、民間と政府で調整して対応する仕組みです。カーネギーメロン大学のVINCEプラットフォームが中核となっており、オープンソースソフトウェアに重点的に取り組む予定とのことです。Anthropicの「Mythos」等のクローズドソースモデルも活用される見込みで、脆弱性情報・調整環境、VINTSがハブとなって機能します。背景にあるのは、AI支援による脆弱性発見が急速に増加していることで、従来型のペース管理では対応しきれなくなったということですね。

CISAが警告、SharePointの脆弱性が実際に悪用中

次に重要なのが、CISAからの警告です。マイクロソフトのSharePointサーバーに存在する複数の脆弱性、具体的にはCVE-2026-32201、CVE-2026-45659、CVE-2026-56164が実際に悪用されているというものです。これらの脆弱性を組み合わせることで、攻撃者はIISのマシンキーを窃取し、マルウェア展開に利用しています。注意すべき点は、パッチが8月まで提供されない見込みということです。オンプレミス版のSharePointサーバーについて、インターネット上には約10,000台が露出しており、うち800台以上がパッチ未適用の状態にあると報告されています。CISAは管理者に対し、AMSI(Antimalware Scan Interface)の有効化、IISキーのローテーション、ネットワーク分離の実施を強く推奨しています。

Zoomアカウント乗っ取り脆弱性 CVE-2026-53412

Zoomから重大な脆弱性が報告されました。CVE-2026-53412として追跡されるもので、深刻度は9.8という非常に高い評価です。不適切な入力検証が原因で、未認証の攻撃者がネットワークアクセス経由でZoomアカウントの乗っ取りを可能にしてしまいます。影響を受けるのはバージョン7.0.0以前のZoom Workplace for Windowsなど複数のプロダクトです。ユーザーは一刻も早くバージョン7.0.7以降への更新を推奨されています。

Nginxの脆弱性3件をF5が修正

F5がNginx Plus及びNginx Open Sourceの脆弱性3件を公表しました。最も深刻なのはCVE-2026-42533で、CVSS 9.2と評価されており、ヒープバッファオーバーフロー脆弱性です。特定のモジュール構成の組み合わせに依存し、ASLR(アドレス空間配置のランダム化)が無効な環境ではリモートコード実行につながる可能性があります。このほか、CVE-2026-56434はuse-after-freeで、CVE-2026-60005は未初期化メモリアクセスです。いずれも深刻な問題で、管理者は速やかなパッチ適用を進めるべきです。

古いUEFIブートローダーがセキュアブートを無力化

ESETの研究者から興味深い報告がありました。11個の脆弱なUEFIシムブートローダーが発見されたというものです。これらはMicrosoftから署名された状態で信頼されているにもかかわらず、セキュアブートの重要な保護機能を回避するために悪用される可能性があります。最古のシムは2013年まで遡り、10年以上の間、検知されずセキュアブート保護を無力化できたということです。基本的なUEFI知識さえあれば攻撃者は悪意あるコードを実行できるリスクがありました。

Claude Desktopの脆弱性 PromptFiction

Anthropicが提供するClaude Desktopに重大な脆弱性が見つかりました。Oasis Securityが「PromptFiction」と名付けたもので、「claude://」スキームを悪用して、ユーザーの操作なしに悪意あるプロンプトを自動送信できるというものです。これ単体でも問題ですが、先の「Claudy Day」脆弱性と組み合わせると、会話窃取やリモートコード実行が可能になってしまいます。Anthropic公式の複数のClaude Desktop拡張機能にもコマンドインジェクション脆弱性が存在し、CVSS 8.9の深刻度「高」と分類されています。

LastPassとBitwardenを狙うフィッシングキャンペーン

LastPassとBitwardenになりすましたフィッシングキャンペーンが報告されています。「hello@lastpassnewsletter.com」や「hello@bitwardennewsletter.com」などのドメインが使用されており、被害者をlastpasscompliance.comやbitwardencompliance.comへリダイレクトしています。両社のサービス自体は侵害されていないとのことですが、ユーザーは公式サイト以外のリンクからログインしないよう注意が必要です。

AsyncAPI npmパッケージへのマルウェア混入

npm生態系に深刻な問題が発生しました。AsyncAPIの2つのGitHubリポジトリが侵害され、設定不備のGitHub Actionsワークフローを悪用して、5つの悪意あるパッケージがnpmに公開されました。合計225万件のダウンロード数があり、RAT機能を持つマルウェアが配布されていたということです。このような供給チェーン攻撃は、開発環境に深刻な影響をもたらす可能性があります。

Scattered Spiderによるロンドン交通局攻撃で禁錮判決

セキュリティニュースというより法執行面からも注目すべき事案ですが、Scattered Spiderというハッカーグループがロンドン交通局(TfL)に対して行った攻撃により、2人が禁錮5年6ヶ月の実刑判決を受けました。Thalha Jubair(20歳)とOwen Flowers(18歳)です。この攻撃により148システムが稼働不能となり、全従業員27,000人がパスワード再設定を強要されました。経済的な影響も甚大で、停止時の推定損失は560億ポンドに達しています。

SonicWall SMA1000のゼロデイ脆弱性が悪用中

SonicWallの製品にも深刻な問題が報告されました。CVE-2026-15409(CVSS 10.0のSSRF脆弱性)とCVE-2026-15410(コード注入)が実際に悪用されているというものです。未認証の攻撃者がWebSocketトンネルでlocal限定のサービスにアクセス可能になり、パストラバーサルを利用してroot権限を奪取できてしまいます。Rapid7が悪用を検知しており、セキュリティベンダー間での情報共有の重要性が改めて浮き彫りになっています。

RabbitMQの認証不要ブローカー乗っ取り脆弱性

メッセージブローカーとして広く利用されるRabbitMQに重大な脆弱性が見つかりました。CVE-2026-57219(CVSS 8.7)では、未認証の攻撃者がOAuthクライアントシークレットを取得して管理者権限を掌握できます。CVE-2026-57221(CVSS 5.3)は認可チェックバイパスによりメタデータが露出するというものです。基盤となるメッセージングインフラストラクチャの管理者は早急なパッチ対応が求められます。

VS Code拡張機能を狙うGlassWormワーム

新しいマルウェアGlassWormの活動が報告されています。VS Code拡張機能を狙ったワームで、Open VSXマーケットプレイスに登録された拡張機能を経由して配布されています。既に50,000件のダウンロード達成を確認されており、ハードウェアウォレット詐欺を目的とした新型ペイロードが採用されているとのことです。

macOS向けClickLock Stealer

macOS向けの新しい情報窃取マルウェア「ClickLock Stealer」が33カ国の少なくとも100人を標的にしていることが報告されました。ClickFix手口でターミナルコマンド実行を誘導し、強制終了ループでパスワード入力を強要します。盗まれるのはKeychain、暗号資産ウォレット、ブラウザのデータなど多岐にわたります。Telegramを経由してデータが盗聴される仕組みになっています。

23andMeが1,800万ドルの和解に合意

遺伝子情報企業23andMeが、43州の司法長官との訴訟で1,800万ドルの和解に合意しました。2023年10月に公表された大規模データ漏洩により、690万人分の遺伝的祖先データを含む情報が流出していたことが原因です。クレデンシャルスタッフィング攻撃により、2023年4月から9月の間に窃取されたもので、同社は基本的なセキュリティ防御、すなわちパスワードブロックリスト、多要素認証、レート制限が欠落していたとの指摘を受けています。

Google Gemini CLIのジェイルブレイク悪用

ロシア語圏の脅威アクター「bandcampro」がGoogle Gemini CLIをハッキングエージェントとして悪用していることが報告されました。2026年3月19日から4月21日にかけて200回以上のセッションで、8台のコンピュータを制御するC2インフラストラクチャを構築しています。歯科医院のOpenDentalデータベースへのアクセスを試みるなど、実際の被害が報告されています。

クロージング

本日は、脆弱性管理の新たな動きから、実際の攻撃事例、マルウェア配布の工作まで、幅広いセキュリティの課題についてお届けしました。

特に注目したいのは、AI支援による脆弱性発見の急増に対応するため、政府と民間が協力する「Gold Eagle」というプログラムが立ち上がったということ。また、既知の脆弱性が実際に悪用されているSharePointやZoomのような広く利用されているプロダクトの問題が深刻化しているという点です。

また、LastPassやBitwardenのようなセキュリティ企業そのものが、フィッシング活動の標的になっているという状況も見逃せません。

これらのニュースを受けて、皆さんが取るべきアクションとしては、まずは利用しているソフトウェアのセキュリティアップデートを優先順位高く実施すること。次に、パスワード管理、多要素認証といった基本的なセキュリティ対策を改めて確認すること。そして、不審なメールやリンクについては、一呼吸置いて公式のサイトから確認するという習慣をつけることが大切です。

気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。