週次まとめ: Palo Alto PAN-OS 認証バイパス、実際の攻撃で悪用中 | 2026年6月1日

東京セキュリティブリーフィング 週次まとめ 2026年06月01日（月曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。今週のパーソナリティ、セキュリティ担当者です。本日は2026年6月1日月曜日、先週の重要なセキュリティニュースをお届けする週次まとめ回です。

先週1週間のセキュリティ業界は、脆弱性の悪用、サプライチェーン攻撃の多発、そして詐欺キャンペーンの激化という、複数の深刻な脅威に見舞われました。企業システム、開発ツール、ユーザー認証まで、あらゆるレイヤーでセキュリティが問われる1週間となっています。

それでは、先週の最重要ニュースを詳しく解説していきます。

重要ニュースTOP

Palo Alto PAN-OS 認証バイパス、実際の攻撃で悪用中

先週、Palo Alto Networks PAN-OSのGlobalProtect VPN機能に存在するCVE-2026-0257という認証バイパス脆弱性が、実際の企業ネットワーク侵害に悪用されていることが確認されました。

この脆弱性は、VPN接続時の認証検証に欠陥があり、攻撃者が正規のエンドポイントになりすますことで、認証を迂回して内部ネットワークへのアクセスを獲得できるものです。セキュリティベンダーRapid7の調査によると、5月17日から複数の企業環境で実際の侵害試行が確認されており、攻撃者が偽造されたMACアドレスやマシン名を使用してVPN接続を試みています。

当初この脆弱性の深刻度は「中程度」と評価されていましたが、実際の悪用が確認されたため「高」へ引き上げられました。特に特定の設定を持つ環境では、認証なしでVPN経由の内部ネットワークアクセスが可能になります。影響を受ける組織は、修正版への直ちなるアップグレードが急務です。

GoogleがDevice Bound Session Credentialsを正式リリース、アカウント乗っ取り対策を大幅強化

GoogleがChromeブラウザに「Device Bound Session Credentials（DBSC）」機能を正式リリースしました。これは、セッションCookieをTPMなどのハードウェアセキュリティチップに暗号化して紐づける技術です。

従来、セッションCookieが盗まれると、攻撃者はそのCookieを使用して別のデバイスから被害者になりすましてアカウントにアクセスできていました。これは「Pass-the-Cookie」攻撃と呼ばれる重大な脅威でした。しかし、DBSCではセッションCookieがハードウェアに紐づいているため、盗まれたCookieをたとえ別のデバイスで使用しようとしても無効化されます。多要素認証をも迂回するこの攻撃手法が根本から防止されることになります。

Googleは5月25日から展開を開始し、60日以内にChrome全体への展開を完了する予定です。これはセッションベースの認証に対する新たなセキュリティパラダイムの転換を意味します。

2026年FIFAワールドカップを狙う4,300件以上の詐欺ドメイン

FBIの警告によると、2026年FIFAワールドカップに向けて、Group-IBという脅威グループが4,300件以上の不正ドメインを登録して詐欺活動を展開しています。

これらのドメインは、FIFA公式ウェブサイトを精巧に複製し、タイポスクワッティングや末尾の変更により、ユーザーが誤ってアクセスするように仕掛けられています。特に「Ghost Stadium」と呼ばれる中国語話者のグループが、チケット詐欺、求人詐欺、グッズ詐欺などを同時に実施しており、Facebookの広告経由でユーザーを誘導しています。

既にダークウェブでは、盗まれたFIFAアカウント認証情報が1件5～50ドルで流通開始。推定被害額は7,100万ドルから4億7,400万ドルに達する可能性があります。2026年ワールドカップはまだ8ヶ月先ですが、既に詐欺インフラの構築が完了している状況です。リスナーの皆様は、ワールドカップ関連サイトへアクセスする際は、URLを直接入力するか公式チャネルからのみアクセスすることをお勧めします。

ChatGPTとClaudeの共有機能を悪用したフィッシング攻撃が多発

OpenAIのChatGPT CanvasおよびAnthropicのClaude会話共有機能を悪用した新たなフィッシング攻撃が確認されました。

攻撃者は、ChatGPTの共有リンク機能を使用して、一見するとOpenAI公式ドメインに見えるフィッシングページを作成します。その上で、Google検索広告でchatgpt.comドメインを表示して信頼性を偽装し、ユーザーを誘導します。同様に、ClaudeのCanvas機能を悪用して、CPU-Zなどのツールになりすましたコンテンツページを作成し、悪意あるペイロードのダウンロードをユーザーに促す手口も確認されています。

これらのプラットフォームは分散型リンク機能を提供していますが、すべてのリンクを個別に審査することは現実的ではなく、セキュリティベンダーSilent Pushの報告によると、このような悪用は今後さらに増加する可能性があります。一般ユーザーは、共有リンクから開いたページで認証情報の入力を求められた場合は特に注意が必要です。

複数のLinux脆弱性とWindows脆弱性が実環境で悪用開始

先週は、複数の重大な脆弱性が新たに悪用されていることが報告されました。

CVE-2026-48095は7-Zipのアーカイブ処理におけるメモリ破損脆弱性で、バージョン26.00以前が影響を受けます。NTFSフォーマットのアーカイブを処理する際に、特定条件でヒープバッファオーバーフロー発生可能。CVSSスコアは8.8で、任意コード実行が可能です。バージョン26.01で修正されており、ユーザーは直ちにアップグレードする必要があります。

また、Roundcube Webmailのvirtuser_queryプラグインに存在するSQLインジェクション脆弱性CVE-2026-47783も確認されました。これは認証なしで実行可能で、攻撃者が任意のSQLコマンドを実行できます。

さらに、Notepad++バージョン8.9.6以前にも3つのセキュリティ脆弱性が存在します。最も危険なのはCVE-2026-48778で、config.xmlファイル内の「<cmd>」タグが検証なしで実行可能パスとして使用される可能性があり、cmd.exeを任意のプログラムに置き換えることでリモートコード実行が可能になります。

WordPressプラグイン WP Maps Proの管理者アカウント不正作成脆弱性

WordPress人気プラグイン「WP Maps Pro」バージョン6.1.0以前に、クリティカルな脆弱性CVE-2026-8732が発見されました。「一時アクセス」機能の実装に欠陥があり、認証なしで管理者アカウントを不正作成できる深刻な脆弱性です。

セキュリティベンダーDefiantの報告によると、パッチリリース後24時間以内に3,600件以上の悪用試行がブロックされています。これはプラグインリリース直後の悪用が多数あることを示しており、更新を遅延させるサイトが今後も標的になる可能性があります。バージョン6.1.1以降へのアップグレードが急務です。

カテゴリ別まとめ

脆弱性情報

先週は、複数の重大脆弱性が実環境で悪用されていることが確認されました。Palo Alto PAN-OS、7-Zip、Roundcube、Notepad++など、広く利用されているソフトウェアの脆弱性が標的になっています。特にPAN-OSのGlobalProtect脆弱性は、VPN経由での内部ネットワークアクセスを可能にするため、企業セキュリティに対する直接的な脅威です。

攻撃・インシデント

ApptackアクターのSideCopyがアフガニスタン財務省を標的にしてXenoRATマルウェアを展開。パシュトー語の釣り文書を使用した標的化スピアフィッシングで、高い信頼性を装って侵入していることが確認されました。

また、Silent Ransom Group（SRG）による米国法律事務所への継続的な攻撃も報告されており、電話やメールでITサポートになりすまし、失敗時は直接訪問してUSBデバイスでデータを窃取するという物理的な侵害手法を採用しています。

ChatGPTやClaudeの共有機能を悪用したフィッシング攻撃も多発しており、AI企業の信頼が悪用される新たな脅威パターンが出現しています。

規制・コンプライアンス

2026年FIFAワールドカップを狙った大規模詐欺スキームが展開中。4,300件以上のドメイン登録により、チケット詐欺、求人詐欺、グッズ詐欺が同時進行しています。これは大型イベント前の詐欺活動が急増する傾向を示すものです。

また、米国ではICEが2,500万ドルで生体認証スキャナー1,570台を調達し、指紋・虹彩・顔認識によるデータベース照合を2027年5月までに全米で展開予定。プライバシー問題として懸念されています。

業界動向

GoogleのDevice Bound Session Credentials正式リリースは、セッションセキュリティの新たなパラダイムシフトを意味します。ハードウェアセキュリティとの統合により、従来のPass-the-Cookie攻撃が根本的に防止されます。これはブラウザセキュリティの重要な進化です。

一方で、生成AIプラットフォームの共有機能が悪用されている状況は、セキュリティと利便性のバランスに新たな課題を提示しています。

今週の注目ポイント

先週のセキュリティニュースから、今週の継続監視が必要な事項は以下の通りです。

まず、Palo Alto PAN-OS脆弱性の悪用が実環境で確認されていることから、この脆弱性を保有する組織の修正状況が重要です。修正待機中の環境は依然として攻撃リスクが高い状態にあります。

次に、2026年FIFAワールドカップ詐欺の動向です。大型イベント前には詐欺活動が加速する傾向があり、警戒が必要な期間です。企業のセキュリティチームは、従業員への啓発強化が急務です。

第三に、AI企業のセキュリティ責任です。ChatGPTやClaudeのような共有機能がフィッシング悪用されている状況に対して、プラットフォーム側の対策の実効性が問われています。

最後に、複数の重大脆弱性が同時期に悪用されていることから、パッチ管理の優先順位付けと実装速度が、組織のリスク管理の鍵になっています。

クロージング

先週1週間は、脆弱性から詐欺まで、多層的なセキュリティ脅威が顕在化した週となりました。

GoogleのDevice Bound Session Credentialsリリースは、セキュリティ技術の進化を示す明るいニュースですが、同時に、それを上回るスピードで攻撃手法が進化している現実も突きつけています。

セキュリティ環境の複雑化に対抗するためには、パッチ管理の迅速化、ユーザー啓発の継続強化、そして最新のセキュリティ技術の導入が欠かせません。

リスナーの皆様の組織においても、先週報告された各脆弱性について、自社環境への影響有無を確認し、必要に応じて迅速な対応をお勧めします。小さな対応の遅延が、組織全体の重大な侵害につながる可能性があります。

それでは、今週もセキュリティに関して、細心の注意を払いながら安全なIT運用を心がけていただきたいと思います。

東京セキュリティブリーフィングでした。また次回お会いしましょう。