週次まとめ

週次まとめ: AIコーディングアシスタント6製品、シンボリックリンク悪用の「GhostApproval」攻撃に脆弱 | 2026年7月13日

先週の重要ニュースTOP10とカテゴリ別まとめをお届けします。2026年7月13日配信。

再生時間: 16:07 ファイルサイズ: 14.8 MB MP3をダウンロード

トークスクリプト

東京セキュリティブリーフィング 週次まとめ 2026年07月13日(月曜日)

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日月曜日、2026年7月13日の配信となります。今回は先週1週間、2026年7月6日から12日にかけて報告されたセキュリティニュースを振り返る週次まとめの回です。先週は特にAIエージェントを狙った攻撃が活発化し、複数の重大な脆弱性が公開・悪用されるなど、セキュリティ脅威の最前線が大きく動いた1週間となりました。先週の最重要ニュースから、業界全体に影響を与える深刻な事案まで、順を追って解説していきたいと思います。

重要ニュースTOP

AIコーディングアシスタント6製品、シンボリックリンク悪用の「GhostApproval」攻撃に脆弱

先週最も注目される脆弱性は、AIコーディングアシスタント複数製品に影響する「GhostApproval」攻撃です。Amazon Q Developer、Claude Code、Cursor、Google Antigravity、Augment、Windsurfという6つのAIコーディングアシスタントが、同一の脆弱性パターンで侵害される可能性があることが判明しました。攻撃の仕組みは、シンボリックリンク悪用により、ユーザーが見ている承認ダイアログでは安全なファイルパスを表示させながら、実際には~/.ssh/authorized_keysなどの機密ファイルに書き込みを行うというものです。攻撃者がワークスペース外のファイルアクセスにAIエージェントを騙し、本人無しにファイル編集を行わせるこの手法により、リモートコード実行に至る可能性があります。セキュリティ研究者Wiz社の報告によると、Amazon、Google、Cursorは既に修正を完了していますが、AugmentとWindsurfについては未修正のままとなっています。この脆弱性は、AIエージェントの「人間による確認」という信頼境界が、実装レベルでは十分に機能していないことを示す重大な事例となっています。

Adobe ColdFusion パストラバーサル脆弱性が公開後わずか2時間で悪用開始

Adobeが6月30日に公開したColdFusion関連の11件のCVEのうち、CVE-2026-48282というパストラバーサル脆弱性がCVSSスコア10.0の最高深刻度として評価されています。このCVE-2026-48282は、Remote Development Services機能に存在するファイルパス操作の脆弱性で、攻撃者が任意コード実行を実現できるもので、公開からわずか数時間のうちに実際の攻撃での悪用が確認されました。インターネット上には775件以上のColdFusionインスタンスが露出しており、即座の対応が求められました。米国CISAは当初6月10日までのパッチ適用をBOD 26-04に基づいて連邦機関に義務付けましたが、その後7月10日に延期修正があります。Adobeは今後のセキュリティ公開ペースを月2回に変更すると発表した背景には、このような公開から悪用までの時間窓がかつてない速度で短縮されている現状があります。

Citrixbleed 2脆弱性、MFA保護セッションを乗っ取りランサムウェア展開へ

CVE-2025-5777として追跡される「Citrixbleed 2」脆弱性が、複数の実際の侵害事例で悪用されていることが判明しました。この脆弱性はCitrix NetScalerのGatewayおよびAAA仮想サーバーのメモリオーバーリード問題で、多要素認証で保護されているセッショントークンを攻撃者が窃取し、リプレイアタックでセッションを乗っ取ることを可能にします。セキュリティ企業Huntressの報告によると、初期アクセスブローカーが本脆弱性を悪用した後、権限昇格、管理者アカウント作成、ScreenConnectによる永続化を行い、6件の事案のうち1件ではDragonForceランサムウェアの展開に至りました。MFA認証を突破する重大な脆弱性であり、Citrix NetScalerユーザーの企業における継続監視が重要です。

中国系脅威グループUNK_MassTraction、大学のメールサーバーを複数脆弱性で侵害

Proofpointの報告によると、中国関連の脅威グループ「UNK_MassTraction」が米国とカナダの大学を標的に、Roundcubeウェブメールの複数脆弱性を悪用しています。CVE-2024-42009というXSS脆弱性と、CVE-2025-49113というPHPデシリアライゼーション脆弱性を連鎖させることで、メールサーバーへの侵入を実現しています。攻撃対象は物理学部、工学部といった国家安全保障関連研究機関が中心で、IceCubeペイロードの配布、SquareShellウェブシェルの設置、VShellバックドアの展開が確認されています。複数の脆弱性の連鎖悪用により、学術機関が標的化される傾向が浮き彫りになりました。

ランサムウェア交渉人がBlackCat実行犯と共謀、被害企業情報を横流し

フロリダ州のサイバーセキュリティ専門家Angelo Martino容疑者が、ランサムウェア交渉人の立場を悪用してBlackCat/ALPHVランサムウェア実行犯と共謀し、被害企業の交渉方針を流してきた罪で懲役70カ月の判決を受けました。同容疑者は交渉人として被害企業から機密情報を得ながら、攻撃者側にそれを提供することで身代金を最大化させ、5件のランサムウェア案件で約7,530万ドルの恐喝に関与しました。1,000万ドル超の資産が押収されています。この事案は、セキュリティ業界内部からの脅威というインサイダーリスクの深刻性を示す重要なケースです。

Google Dialogflow CXの脆弱性、AIエージェント間での機密情報漏洩を許す

Varonis Threat Labsが報告した「Rogue Agent」脆弱性により、Google Cloud Dialogflow CXのCode Blocks機能を悪用して、AIチャットボットから会話データやその他の機密情報を窃取できることが判明しました。dialogflow.playbooks.update権限さえあれば、攻撃者がチャットボットパイプラインに悪意あるコードを注入でき、会話データを外部流出させることが可能です。VPC-SC保護を迂回してデータ漏洩が発生するリスクがあり、本脆弱性は2025年11月に報告され、4月に初期パッチ、6月に完全修正が適用されました。

MCPサーバー2,259台に悪用可能な脆弱性、ファイルアクセス・コマンドインジェクション・DoS攻撃が可能

TrendAIが9,695台のModel Context Protocol(MCP)サーバーを分析した結果、5,832台にセキュリティ上の弱点があり、確定的に悪用可能な問題が2,259台で4,982件確認されました。任意ファイルアクセス脆弱性880件、DoS脆弱性490件、コマンドインジェクション脆弱性476件が含まれています。MCPサーバーはAIエージェントがファイルシステム、データベース、APIに接続するための仲介役を担うため、1台の侵害が組織全体のセキュリティに影響する危険性があります。人気度、アクティビティ、認証バッジとセキュリティレベルに相関がないことが明らかになり、デフォルトで信頼するアプローチの危険性が指摘されています。

Android 17「IonStack」エクスプロイトチェーン、URLワンクリックでroot化を実現

Nebula Securityが「IonStack」という新型エクスプロイトチェーンを公開しました。Androidの最新バージョン17を搭載したデバイスに対して、URLの1回のクリックだけで完全なroot権限を取得することが可能です。本エクスプロイトチェーンはMozilla Firefoxバージョン151.0.2より前の2つの未知のゼロデイ脆弱性と、Linuxカーネルの長年存在する欠陥を組み合わせており、ユーザーの操作がほぼ必要とされないリモート侵害シナリオが実現されます。

KDDIメールプラットフォーム侵害、1,200万件以上のメールアドレスとパスワードが流出

KDDIがISP向けメールプラットフォーム侵害を発表し、最大1,422万人分のメールアドレスとパスワードが流出しました。確認されたデータは1,220万1,087人分のメールアドレスと761万6,173人分のパスワードです。サードパーティ製ソフトウェアの脆弱性を悪用した侵入が5月16日に発生し、6月17日に検知されました。被害を受けたISPはSTNet、KDDI Web、JCOM、中部テレコム、ニフティ、BIGLOBEです。自社メールサービスは影響を受けていません。

GitHub Agentic Workflowsプロンプトインジェクション脆弱性「GitLost」でプライベートリポジトリデータが流出

Noma Labsが「GitLost」という脆弱性を報告しました。GitHub Issueへのコメントに仕込まれたプロンプトインジェクションにより、GitHub Agentic Workflowsのエージェントを操作して、プライベートリポジトリのデータを公開コメントとして漏洩させることが可能です。認証なしで実行でき、「Additionally」という単語を使用することで保護機能も回避できます。

カテゴリ別まとめ

脆弱性情報

脆弱性関連では、Adobe ColdFusionのCVE-2026-48282(CVSS 10.0)、Citrixbleed 2のCVE-2025-5777、Roundcubeの複数CVE、LinuxカーネルのCVE-2026-53359「Januscape」(16年潜在のuse-after-free脆弱性)、CVE-2026-43499「GhostLock」(15年潜在のrwmutex権限昇格脆弱性)など、非常に重大度の高い脆弱性が複数公開されました。特に古くから潜在していたカーネル脆弱性の発見とパッチ公開が相次ぎ、Linux環境全体のセキュリティ対応が求められています。Palo Alto PAN-OSのCVE-2026-0288(バッファオーバーフロー、CVSS 9.2)も未認証の攻撃者によるリモートコード実行を許すもので、緊急対応が必要です。

攻撃・インシデント

実際の攻撃事例ではCitrixbleed 2悪用によるランサムウェア展開、UNK_MassTractionによる大学侵害、Accentureからの35GBデータ流出(ソースコード、RSAキー、Azureトークン含む)、マウント・ロイヤル大学への10TB超データ窃取、KDDIのメールシステム侵害など、規模の大きいインシデントが報告されました。複数の組織が複数の脆弱性の連鎖を悪用される被害が目立ちます。

AIセキュリティ

AIエージェント・AIコーディングアシスタント関連のセキュリティリスクが今週の大きなテーマです。GhostApproval攻撃による6製品への影響、GitLostによるGitHub Agentic Workflowsの乗っ取り、Google Dialogflow CXの脆弱性、MCPサーバーの広範な脆弱性、AIプロンプトインジェクション攻撃の拡大(200種類超に分類)、Myceliumという盗まれたAPIキーを使用するAIボットネット、Claude Desktopのプロンプトインジェクション脆弱性など、AIシステムを直接標的とした攻撃が急増しています。エージェント型AIの進展に伴い、新たな攻撃対象領域が形成されていることが明らかです。

規制・コンプライアンス

セキュリティ運用面では、Adobeがセキュリティパッチ公開ペースを月2回に変更、Microsoft AIによる脆弱性発見の加速によりパッチ火曜日の更新数が増加することが予告されています。これらはAI駆動の脆弱性検出がセキュリティ対応の新たな課題となっていることを示唆しています。

業界動向

中国系脅威グループによる米国・カナダ大学への継続的な標的化、イランのCyberAv3ngersによるGigaWiperの展開、ランサムウェア交渉人の逮捕による内部脅威の顕在化など、国家レベルおよび組織犯罪グループの活動が多次元化しています。セキュリティ研究者コミュニティとポリシー決定者の連携も強化されつつあります。

今週の注目ポイント

先週の報道から、複数の重大な脅威トレンドが浮き彫りになりました。

第1に、AIエージェント・AIコーディングアシスタントへの攻撃が急速に多様化・高度化していることです。GhostApproval、GitLost、Dialogflow脆弱性など、単なるプロンプトインジェクションの枠を超えた、複数のAIツール製品に共通する脆弱性パターンが次々と発見されています。AIの自律性が増すほど、設計レベルでの信頼境界が試されることになります。

第2に、公開から悪用までの時間窓が劇的に短縮されていることです。Adobe ColdFusionのパッチ公開からわずか数時間での悪用確認は、脆弱性のライフサイクル全体の変化を示唆しています。組織のセキュリティ対応速度が、攻撃者の動作速度に追いつかなくなりつつあります。

第3に、カーネルレベル・システムレベルの古い脆弱性が、15年や16年といった長期にわたって潜在し続けていることです。GhostLockやJanuscape、CVE-2026-46215などは、既知の脆弱性クラスでありながら、発見と修正が大幅に遅延していた事案です。AIによる脆弱性発見の加速により、こうした潜在脆弱性が次々と掘り出される傾向が続くと予想されます。

第4に、MCPサーバーのような新しいインフラが、セキュリティ考慮なしに大規模に展開されている現状です。2,259台のMCPサーバーが悪用可能な脆弱性を抱えており、デフォルト信頼アプローチが通用しないシステムが増加しています。

これらの傾向は、組織のセキュリティ態勢全体の見直しを促すものです。従来型のパッチマネジメント、インシデント対応、アクセス制御では対応しきれない新しい脅威が、同時多発的に出現しています。AIエージェントの導入に際しては、従来のアプリケーションセキュリティを超えた、システムアーキテクチャレベルでの信頼構築が不可欠です。

クロージング

先週も世界中で数多くの重大なセキュリティニュースが報告されました。Adobe ColdFusionの迅速な悪用、AIコーディングアシスタントへの一括攻撃、大学機関への継続的な標的化、そして15年以上潜在していたカーネル脆弱性の発見と修正など、セキュリティの最前線は刻一刻と変化しています。

組織のセキュリティチームの皆様は、これまで以上に迅速なパッチ適用、AIシステムの信頼性検証、カーネル・システムレベルの脆弱性への継続監視が求められています。今週も安全なIT運用を心がけていただきたいと思います。

東京セキュリティブリーフィングでした。また次回お会いしましょう。