アボット・ラボラトリーズ、がん診断事業とLabCentralポータルへの2件のサイバー攻撃を調査

概要 医療機器大手のアボット・ラボラトリーズは7月17日、社内システムへの不正アクセスを伴う2件の別々のサイバー攻撃について調査していることを明らかにした。1件はがん診断事業(Cancer Diagnostics)の内部システムを狙ったもので、恐喝グループShinyHuntersが関与を主張している。もう1件はLabCentralという顧客向けポータルを狙ったもので、攻撃者ShadowByt3$が犯行を名乗り出ている。アボットはいずれの事案についても「事業運営、製品、製品供給には影響がない」としており、他の事業部門やサイト、システムへの波及もないと説明している。 がん診断事業への攻撃 ShinyHuntersは、6月中旬にアボット従業員を狙ったビッシング(音声フィッシング)攻撃によってMicrosoft Entraのシングルサインオン(SSO)アカウントを侵害し、がん診断事業内のExact Sciences由来のレガシーシステムに侵入したと主張している。アボットは今回の買収からわずか数ヶ月というタイミングで、210億ドル規模で買収したExact Sciencesの旧システムが標的となった形だ。ShinyHuntersは、3000万件を超える顧客の個人識別情報、100万件以上の社会保障番号、医師と患者の会話を含む2200万件超のクライアントノート、2000万件を超える医療オーダー、さらに内部文書や契約書を窃取したと主張しているが、アボットはどのような情報にアクセスされたかについて具体的な開示をしておらず、これらの主張の裏付けは取れていない。両者ともこれまでのところ盗み出したとするデータを公開していない。 LabCentralポータルへの侵害 もう1件の事案は、アボットの臨床検査診断事業が使用する外部の顧客向けポータル「LabCentral」に関するものだ。攻撃者ShadowByt3$は、7月4日に顧客の認証情報を悪用してポータルの「脆弱な部分」を突いて侵入したと主張し、製造証明書、操作マニュアル、技術仕様書、規制関連文書を窃取したとしている。これに対しアボットは、同環境に保存されているデータはすべて公開情報であり機微なものではないと反論しており、LabCentralは操作マニュアルやトラブルシューティングのチェックリストなど、一般に公開されている技術製品参考資料のみを保管していると説明している。 対応状況と業界動向 アボットは両事案の発覚後、外部のサイバーセキュリティ専門家と法執行機関に連絡し、インシデント対応手続きを開始した。同社は現時点で、機微な顧客情報や事業情報の流出は確認されておらず、財務結果への重大な影響も見込んでいないとしている。製造や検査業務についても継続中であることを強調した。今回の一件は、2026年上半期にStryker、Intuitive Surgical、Medtronic、iRhythm、AdaptHealth、Novo Nordiskなど複数の医療機器・ヘルスケア関連企業がサイバー攻撃の被害を公表している流れの中に位置づけられ、医療セクターを狙った攻撃が引き続き増加傾向にあることを示している。

July 19, 2026

コカ・コーラ子会社Fairlifeがランサムウェア被害、米国内の乳製品生産が全面停止

概要 コカ・コーラの完全子会社で、シカゴを拠点とする乳製品ブランドFairlifeが7月16日、ランサムウェア攻撃を受けたことを米証券取引委員会(SEC)への開示文書で明らかにした。生産関連システムを含む一部システムへの不正アクセスが確認されたことを受け、米国内のFairlife生産拠点は操業を一時停止している。一方、カナダでの生産活動は現時点で影響を受けていないという。同社は「製品の品質と安全性には影響がない」としているが、システムの復旧時期については明確な見通しを示していない。 被害の詳細と事業への影響 Fairlifeは、通常より高いタンパク質含有量が特徴の超ろ過(ウルトラフィルタリング)牛乳を主力製品とし、チョコレート、無脂肪、低脂肪、イチゴ、全脂肪乳の5種類の味で展開している。年間売上高は約40億ドル規模とされ、コカ・コーラの乳製品事業の中核を担うブランドだ。今回の攻撃では生産システムへの不正アクセスが確認されているものの、データが実際に窃取されたかどうか、また攻撃者から身代金要求があったかどうかは本稿執筆時点で明らかになっていない。既知のランサムウェアグループが犯行声明を出した形跡もなく、攻撃者の身元は特定されていない。 コカ・コーラの対応 コカ・コーラおよびFairlifeは、インシデント対応と事業継続のプロトコルを発動し、外部の顧問やサイバーセキュリティ専門家の支援を受けながら調査を進めている。あわせて法執行機関にも通報済みとしている。ただし、両社は報道機関に対しSEC開示文書に記載された内容以上の詳細な情報提供を控えており、被害の全容や復旧の見込み時期については依然として不透明な状態が続いている。 食品製造業を狙うランサムウェアの脅威 今回の事例は、食品・飲料製造業を標的とするランサムウェア被害の深刻さを改めて浮き彫りにした。過去にも2019年のアリゾナ・ビバレッジや、2025年に食品流通大手UNFIが受けた攻撃では、生産ラインの混乱や小売店での品切れが数週間にわたって続いた前例がある。生産システムがIT環境と密接に連携する製造業では、サイバー攻撃が単なる情報漏えいにとどまらず、物理的な供給網の停止に直結しやすい。今回のFairlifeの事例も、消費財サプライチェーン全体に及ぶ影響が今後注視される展開となりそうだ。

July 18, 2026

Zoom Windows版に深刻な脆弱性CVE-2026-53412、CVSS9.8のアカウント乗っ取りリスクで緊急パッチ

概要 Zoomは、Windows版のデスクトップクライアントを中心に、認証なしでネットワーク経由の攻撃によりアカウントを乗っ取られる恐れのある重大な脆弱性「CVE-2026-53412」を修正したと発表した。CVSSスコアは最高水準に近い9.8と評価されており、脆弱性の原因は「不適切な入力値検証」とされている。攻撃者はログイン認証を経ることなく、ネットワークにアクセスできるだけでアカウントを乗っ取れる可能性があり、Zoomを業務コミュニケーションの基盤として利用する組織にとって深刻なリスクとなる。現時点では実際の攻撃(in-the-wild exploitation)は確認されていないが、Zoomはユーザーに対し速やかな更新を呼びかけている。 影響を受ける製品とバージョン CVE-2026-53412の影響を受けるのは、Zoom Desktop Client for Windows、Zoom VDI Client for Windows、Zoom Meeting SDK for Windowsなど、Windows環境向けの主要クライアント群である。具体的には、Zoom Workplace for Windowsのバージョン7.0.0未満、Windows VDI Clientのバージョン7.0.10・6.6.15・6.5.18未満、Meeting SDK for Windowsのバージョン7.0.0未満が対象とされている。macOSやLinux版、モバイル版など他プラットフォームへの言及は各記事に見られず、今回の深刻な脆弱性はWindows環境に固有の問題である可能性が高い。 同時に修正された関連脆弱性 Zoomは今回のセキュリティアップデートで、CVE-2026-53412とあわせて3件の高危険度脆弱性も修正している。VDI Plugin 6.6.14以前に存在する認証ユーザーによる権限昇格の脆弱性(CVE-2026-53411)、インストールおよびアンインストール処理におけるTOCTOU(Time-of-Check to Time-of-Use)競合状態に起因する脆弱性(CVE-2026-53410、Workplace 7.0.5・VDI Client 6.5.17および6.6.14・Rooms 7.0.5以前が対象)、そしてZoom Rooms for Windows 7.1.0以前における権限管理の不備(CVE-2026-53409)である。報道によりCVSSスコアの表記に7点台とする記事と8.8とする記事があり、細部の評価には若干のばらつきが見られるが、いずれも高危険度に分類される点は共通している。 今後の対応 Zoomは脆弱性の技術的な詳細については公開しておらず、発見はZoomのセキュリティチーム自身によるものとされている。現時点で悪用の報告はないものの、CVSS9.8という数値が示す通り攻撃条件が緩く影響が大きいため、Windows版のZoomクライアントを利用している企業・個人は速やかに最新バージョンへアップデートすることが強く推奨される。特にVDI環境やMeeting SDKを組み込んだ独自アプリケーションを運用している組織は、依存コンポーネントのバージョンも含めて確認する必要がある。

July 17, 2026

Microsoft、過去最多622件の脆弱性を修正する7月月例パッチを公開、SharePointとAD FSのゼロデイが実悪用中

概要 Microsoftは2026年7月14日、月例セキュリティ更新プログラム「Patch Tuesday」を公開し、史上最多となる622件の脆弱性を修正した(一部報道では570件とも伝えられており、Chromiumベースのコンポーネントの数え方など集計方法の違いによるとみられる)。これは前月6月の約200件の3倍以上にあたる規模で、Windows、Office、SharePoint Server、SQL Server、Azure関連製品、開発者ツールなど広範な製品群が対象となった。とりわけ深刻なのは、SharePoint Server(CVE-2026-56164)とActive Directory Federation Services(AD FS、CVE-2026-56155)における権限昇格の脆弱性2件がすでに実際の攻撃で悪用されている点で、加えてBitLockerのバイパス手法(CVE-2026-50661)も一般に公開済みとなっている。 実悪用中のゼロデイの詳細 CVE-2026-56164はSharePoint Serverにおける認証欠如に起因する権限昇格の脆弱性で、CVSSスコアは5.3とされるが、ネットワーク経由で認証情報なしに悪用可能という点が危険視されている。MandiantのインシデントレスポンスチームとGoogle FLAREチームが発見に関与したとされ、影響を受けるSharePoint Server 2016および2019はまさに本更新日にサポート終了(EOS)を迎えており、拡張セキュリティ更新プログラム(ESU)も提供されないため、緩和策としてAMSI(アンチマルウェアスキャンインターフェース)のフルモード有効化が推奨されている。もう一方のCVE-2026-56155はAD FSにおけるアクセス制御の粒度不足に起因する権限昇格の脆弱性で、CVSSスコアは7.8。既に何らかの認証を得た攻撃者がローカルで権限を昇格させる手口とされ、Microsoft社内のインシデント対応部隊DARTが発見に関わったという。このうちAD FSの脆弱性(CVE-2026-56155)は米CISAの既知悪用脆弱性(KEV)カタログに追加されている一方、SharePointの脆弱性(CVE-2026-56164)については記事執筆時点でKEVカタログに未追加と報じられている。これらに加え、物理アクセスを持つ攻撃者がBitLockerによる暗号化を回避できるCVE-2026-50661(CVSS 6.1)も一般公開済みだが、こちらは現時点で実悪用は確認されていない。 修正された脆弱性の内訳 今回の更新全体の内訳を見ると、権限昇格が254件と最多を占め、リモートコード実行(RCE)が145件、情報漏えいが102件、サービス拒否(DoS)が35件、セキュリティ機能バイパスが17件、なりすましが16件と続く。深刻度「Critical」に分類された脆弱性は59件にのぼる。製品別ではWindowsが416件と突出して多く、その中にはCVSSスコア9.9と評価されたVMSwitchのRCE(CVE-2026-57092)やDHCP関連のRCE5件が含まれる。ほかにもOfficeが82件、Microsoft Edgeが46件(うちMicrosoft独自の修正は21件、残りはChromium由来の再掲)、SharePoint Serverが17件(Rapid7が報告したJWT認証バイパスのCVE-2026-55040を含む)、開発者ツールが27件(Visual StudioやVS Codeのセキュリティ機能バイパスなど)となっている。なお、SharePointのCVE-2026-55040は別のRCE脆弱性と連鎖させることで未認証のRCEに発展しうるとされるが、そのRCE部分の修正は8月まで持ち越しとなる見込みだ。あわせて、Kerberos認証で脆弱とされるRC4暗号方式について、今回の更新で無効化のロールバックを可能にしていたスイッチ「RC4 DefaultDisablementPhase」が削除された。RC4を使用するレガシーなサービスアカウントが残っている組織は、更新適用前に洗い出しを行い、AESキーを生成させるためのパスワードローテーションを実施しないと認証障害を招く恐れがある。 背景と今後の展望 Microsoftは今回の脆弱性件数急増の背景として、複数のAIモデルを組み合わせた社内スキャニングシステム「MDASH」の活用を挙げている。同システムはWindowsのバイナリを検査し、疑わしい脆弱性を自動的にテストする一方、最終的な承認は引き続き人間の専門家が担っているという。600件を超える脆弱性が一度に公開される状況下では、CVSSスコアのみに基づく優先順位付けはもはや不十分との指摘が専門家から相次いでおり、記事内ではCISAのKEVカタログや悪用可能性スコアであるEPSS、Microsoft自身が付与する「悪用済み」フラグを基準に対応の優先順位を決め、迅速にパッチを適用すべきだとの助言がなされている。また別の専門家は、インターネットへの露出度や資産の用途、業務への影響度といった要素も数値スコアと合わせて考慮すべきだと述べている。

July 16, 2026

SonicWall SMA 1000にCVSS10.0の未認証SSRFなどゼロデイ2件、実際の悪用を確認しCISAも既知の悪用脆弱性に追加

概要 SonicWallは、リモートアクセス機器「Secure Mobile Access(SMA)1000」シリーズに存在する2件のゼロデイ脆弱性が実際の攻撃で悪用されていることを確認し、パッチを公開した。1件は認証なしで悪用可能なサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、CVSSスコアは最大値の10.0(Critical)と評価されている。もう1件は認証済みの管理者が管理コンソール(Appliance Management Console、AMC)経由で任意のOSコマンドを実行できてしまう脆弱性で、CVSSスコアは7.2(High)。SonicWallは「両脆弱性が実際に悪用されている複数の事例を確認した」と明らかにしており、CISA(米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁)は両脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、連邦文民行政機関に対して2026年7月17日までの修正適用を義務付けた。 技術的な詳細 未認証SSRFの脆弱性(CVE-2026-15409、CVSS10.0)は、リモートの攻撃者が認証を経ずにアプライアンスへ任意のリクエストを発行させ、意図しない宛先へ通信させることを可能にするもの。もう一方の脆弱性(CVE-2026-15410、CVSS7.2)は、AMCにおけるポスト認証のコード注入の欠陥で、認証済みの攻撃者が特定の条件下で管理者権限のOSコマンドを実行できてしまう。単体でも深刻だが、これら2つを連鎖させることで、未認証の攻撃者が最終的に管理者権限でのリモートコード実行を達成できる可能性がある点が特に懸念されている。両脆弱性はSonicWall社内のプロダクトセキュリティインシデント対応チーム(PSIRT)のAdam Babis氏が特定し、セキュリティ企業Volexityの調査員Sean Koessel氏とSteven Adair氏も調査に協力した。SonicWallは修正版としてバージョン12.4.3-03453(プラットフォームホットフィックス)以降、および12.5.0-02835(プラットフォームホットフィックス)以降を公開しており、対象組織には速やかな適用が求められる。 推奨される対応 SonicWallおよびセキュリティ研究者は、既に侵害を受けている可能性を踏まえ、パッチ適用だけでなくフォレンジック調査の実施を推奨している。具体的には、システムログにおける不審なAPIログインリクエスト、WebSocketプロキシの異常なアクティビティ、および許可されていない設定変更の痕跡がないかを確認することが重要だとされている。SonicWallのアプライアンスは過去にも複数回、実際の攻撃キャンペーンで悪用される脆弱性が発見されており、企業のリモートアクセス基盤を狙う攻撃者にとって引き続き主要な標的となっている。今回のようにCISAが即座にKEVカタログへ追加し是正期限を設けたことは、脆弱性の深刻度と悪用の実態の高さを裏付けており、SMA 1000シリーズを利用する組織は速やかなパッチ適用と侵害有無の確認を優先すべきである。

July 16, 2026

米保険会社AssuranceAmericaで690万人分の運転免許証データが流出、フィッシング攻撃が発端

概要 米国14州で自動車保険や賃貸保険を提供するAssuranceAmerica(1998年設立、9,500以上の独立代理店を通じて事業展開)は、従業員を標的としたフィッシング攻撃を起点とする不正アクセスにより、約699万人(6,998,886人)分の個人情報が流出したことを明らかにした。攻撃者は2026年3月16日から17日にかけて従業員の認証情報を侵害してIT環境の一部に侵入し、氏名、連絡先情報、運転免許証番号、保険契約・口座情報、車両情報、保険金請求関連の記録を含むファイルをコピーして持ち出した。2026年内に発覚した運転免許証データ漏えい事案としては最大級の規模とされている。 経緯と対応 侵害の発覚は2026年3月17日で、流出したファイルの精査には侵害の規模と対象文書の性質から6月15日までかかった。AssuranceAmericaは侵害された認証情報の無効化と攻撃者の排除、システムの隔離、法執行機関への通報、監視体制の強化、パスワードリセット、従業員向けセキュリティ研修の実施といった対応を取ったと説明している。通知書簡は7月10日前後に対象顧客へ発送され、メイン州司法長官室をはじめ各州の司法長官事務所にも侵害の届け出が行われた。一方で同社は攻撃者からの身代金要求の有無や交渉の経緯についての問い合わせには応じておらず、公式な声明も限定的なままとなっている。現時点で法執行機関やセキュリティベンダーからこの攻撃を特定の脅威アクターやランサムウェアグループ、国家主体と関連付ける報告は出ていない。 技術的な詳細とリスク 侵入の起点は単一の従業員に対する標的型フィッシング攻撃だったとされ、これにより窃取された認証情報を使ってIT環境の一部へのアクセスが可能になった。流出データの中でも運転免許証番号は、なりすましやローン詐欺、口座乗っ取りといった二次被害につながりやすい情報として特に懸念されている。セキュリティ専門家は影響を受けた利用者に対し、強固でユニークなパスワードへの変更、可能であればFIDO2準拠の二要素認証の有効化、なりすまし詐欺への警戒、信用情報や本人確認の監視サービスの利用検討、オンラインサービスへのクレジットカード情報保存を避けることなどを推奨している。 業界全体への影響 今回の事案は、保険業界を狙ったサイバー攻撃が相次いでいる中で発生した。直近では大手保険会社Aflacの子会社が侵害され約438万人の顧客情報が流出したことが公表されたばかりであり、保険会社が保有する運転免許証番号や保険契約情報といった機微なデータが攻撃者にとって引き続き高い価値を持つ標的であることを示している。さらに、テキサス州政府機関での約300万件の免許証データ漏えいや、ホテルのチェックインシステム、送金アプリ、ビザ申請ポータルなど、身分証明書のアップロードを求めるサービスを狙った同種の侵害が近年相次いでおり、年齢確認規制の広がりとともに本人確認書類のデジタル保管が新たな攻撃対象になりつつある実態が浮き彫りになっている。

July 15, 2026

難読化ツールJscrambler、npmパッケージ改ざんでRust製マルウェアがAI開発ツールの認証情報を標的に

概要 JavaScript難読化ソリューションを提供するJscrambler社のnpmパッケージが7月11日、サプライチェーン攻撃の被害に遭った。攻撃者は盗んだnpm発行認証情報を使い、正当なメンテナーアカウントから通常のリリースフローを迂回する形でパッケージを直接改ざん・公開した。影響を受けたのは主要パッケージの8.14.0、8.16.0、8.17.0、8.18.0、8.20.0の各バージョンで、加えてJscrambler-webpack-plugin、gulp-Jscrambler、grunt-Jscrambler、Jscrambler-metro-pluginといった関連パッケージにも波及した。悪意あるバージョンにはインストール時に実行されるpreinstallフックが仕込まれており、Windows・macOS・Linuxそれぞれに対応したプラットフォーム別バイナリがドロップされる仕組みになっていた。 セキュリティ企業のSocketが公開からわずか6分後にこのリリースに警告フラグを立て、侵害を検出した。悪質なパッケージは公開から廃止までの約2時間で1,479回ダウンロードされたことが確認されている。Jscrambler社は7月13日に事態を公表し、npm発行認証情報を取り消した上でセキュリティ管理体制を強化した。 技術的な詳細 混入したマルウェアは「IronWorm」と呼ばれるRust製のインフォスティーラーで、ChaCha20-Poly1305暗号化アルゴリズムによる強力な難読化が施されており、解析による特定が困難な作りになっていた。狙われた認証情報の範囲は広く、AWS・Azure・Google Cloudなどのクラウド認証情報、MetaMaskやPhantom、Exodusといった暗号資産ウォレット、Bitwardenのパスワード管理データ、Git/SSH鍵や環境変数などの開発者秘密情報、さらにブラウザに保存されたパスワードやDiscord・Slack・Telegramのセッション情報にまで及んだ。 特に注目されるのは、Claude Desktop、Cursor、VS CodeといったAIコーディングアシスタント関連の設定・認証情報も収集対象に含まれていた点で、AI開発ツールがサプライチェーン攻撃の新たな標的として明確に狙われたことを示している。マルウェアはC2サーバー(IPアドレス 37.27.122.124、57.128.246.79)と通信する構成になっていた。 対応策 Jscrambler社および各セキュリティ研究者は、影響を受けた可能性のある開発者に対して以下の対応を推奨している。まず、パッケージを安全なバージョンである8.15.0または8.22.0にアップグレードし、ロックファイルから該当する侵害バージョンの記述を削除する必要がある。さらに、悪意あるバージョンをインストールした形跡があるマシンについては環境がコンプロマイズされたものとみなし、AWSやクラウドサービス、暗号資産ウォレット、AI開発ツールを含むあらゆる認証情報を速やかにリセットすることが求められている。また、前述のC2 IPアドレスへの通信をファイアウォールやネットワーク監視でブロックすることも有効な対策として挙げられている。 今回の事件は、正規のメンテナーアカウントが侵害された場合、通常のコードレビューやリリースプロセスをすり抜けてマルウェアが配布され得ることを改めて示した。加えて、AIコーディングツールの認証情報が明確な攻撃対象になっている点は、開発者のワークフローに深く組み込まれつつあるAIツールのセキュリティ管理が今後より重要になることを示唆している。

July 15, 2026

15年来のLinuxカーネル脆弱性「GhostLock」発覚、約5秒でroot権限奪取可能に

概要 「GhostLock」と名付けられたLinuxカーネルの脆弱性(CVE-2026-43499、CVSSスコア7.8)が明らかになった。2011年以降にリリースされたほぼすべての主要Linuxディストリビューションに存在しており、ログイン済みの一般ユーザー権限さえあれば、特別な設定やネットワークアクセスなしに、約5秒・成功率97%という高い信頼性でroot権限を奪取できる。サーバーやデスクトップだけでなく、クラウドインスタンスやコンテナホスト、Androidを含むLinuxベースシステムも影響対象に含まれ、コンテナエスケープも可能であることから、実運用環境への影響は大きい。 技術的な詳細 脆弱性の実体はカーネルのrt_mutexコード内に存在するUse-After-Free(CWE-416)で、futexサブシステムのロック優先度継承処理を通じて発動する。具体的には、ロック操作がデッドロック状態に達して処理を撤退する稀なケースにおいて、メモリのクリーンアップが誤ったタイミングで実行され、既に解放・再利用されたメモリ領域を指すスタレなポインタが残ってしまう。攻撃者はこれを突くことで、任意のローカルプログラムから通常のスレッド呼び出しのみで権限昇格を達成できる。CVSSベクトルはAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hで、ローカルアクセスを要する点を除けば機密性・完全性・可用性のすべてに深刻な影響を与える。 この脆弱性は、Nebula SecurityがAI駆動型のバグハンティングツール「VEGA」を用いて発見し、Googleの kernelCTF バグ報奨金プログラムを通じて9万2,337ドルの報奨金を獲得した。研究者らは概念実証(PoC)コードも公開している。さらにNebulaは、Firefoxブラウザのサンドボックス脱出脆弱性CVE-2026-10702とGhostLockを組み合わせた「IonStackチェーン」と呼ばれる多段階攻撃も実証しており、Android端末上のFirefoxから完全なシステム制御を奪取するデモンストレーションに成功したという。詳細なレポートは後日公開予定とされている。なお、同時期にはfutexの優先度継承メカニズム周辺で類似の脆弱性「Bad Epoll」(CVE-2026-46242)も発見されており、自動化ツールによる古いコード領域の再検証の重要性を示す事例となっている。 対応状況と今後の展望 修正パッチは2026年4月に公開され、コミット3bfdc63936ddとして各ディストリビューションへの展開が進められている。ただし、当初のパッチだけでは不十分なケースがあり、別の不具合CVE-2026-53166が原因で、完全な修正は7月時点でもLinuxカーネル上流で調整が続いている状況だ。Ubuntu 24.04、22.04、20.04 LTSなど主要ディストリビューションでも、7月時点で脆弱性が残るか修正が進行中と報告されている。 有効な回避策(ワークアラウンド)は存在せず、カーネルアップデートの適用が必須とされる。RANDOMIZE_KSTACK_OFFSETやSTATIC_USERMODE_HELPERといったカーネルオプションは緩和効果を持つに過ぎない。専門家は、クラウド環境やコンテナ、CIランナーなど攻撃対象になりやすいシステムを優先的にパッチ適用するよう推奨している。PoCがすでに公開されていることから、迅速な対応が求められる。

July 14, 2026

Progress ShareFile、正体不明の脅威でStorage Zone Controllerの緊急停止を顧客に要請

概要 Progress Softwareは2026年7月10日、ファイル共有サービス「ShareFile」のオンプレミスコンポーネントであるStorage Zone Controllerを標的とした「信頼性の高い外部からの脅威(credible external security threat)」を確認したとして、顧客に対しWindowsサーバーの手動での緊急停止を要請した。同社は予防的措置として一部のShareFileアカウントを一時的に無効化しており、Storage Zone Controllerを利用する顧客はShareFileへのアクセスができない状態が続いている。Progressは「Progress ShareFileのアカウントやデータへの不正アクセスを示す痕跡は確認していない」としているが、脅威の具体的な内容や攻撃者の正体については明らかにしていない。 技術的な詳細 Storage Zone Controllerは、ShareFileのクラウドプラットフォームと顧客が管理するオンプレミスストレージとの間でファイル転送を仲介する、顧客管理下のWindowsサーバーだ。ユーザーがファイルをアップロード・ダウンロードする際、ShareFileはリクエストをこのControllerへ振り分けてファイルの保存・取得を行う構造上、インターネットからアクセス可能な状態で運用されるケースが多い。Progressはパッチ適用ではなく手動でのサーバー停止を求めており、これは既知の脆弱性に対する修正プログラムがまだ存在しないか、あるいは盗まれた認証情報や侵害されたインフラといったパッチでは対処できない性質の脅威である可能性を示唆している。Help Net Securityの報道によれば、セキュリティコミュニティの一部では、CVE-2026-2699とCVE-2026-2701という2件の脆弱性を組み合わせることで、未パッチ環境において認証前のリモートコード実行(pre-auth RCE)が可能になるとの未確認の推測が広がっているという。ただしProgressはこの原因について公式には確認していない。 背景 今回の対応は、2023年にCitrix(当時のShareFileの運営元)がStorage Zones Controllerの未認証脆弱性CVE-2023-24489を悪用された事例を彷彿とさせる。Progressは2024年にShareFileを買収したが、その前にはClop恐喝グループが自社製品「MOVEit Transfer」のゼロデイ脆弱性を悪用し、数千の組織に影響を及ぼした大規模インシデントも経験している。エンタープライズ向けファイル共有製品が繰り返し標的とされてきた経緯があり、今回もその延長線上にあるとみられる。 影響と今後の見通し Storage Zone Controllerを利用するShareFile顧客は現時点で業務に支障が出ており、Redditなどでは顧客からProgressの情報提供の少なさや復旧時期の不透明さに対する不満の声も上がっている。Progressは社内外のセキュリティ専門家と協力して脅威の評価を進めており、当初は24時間以内の続報を約束していた。アクセスは段階的に復旧されつつあるが、脅威の正体やサーバー再稼働の許可時期について、顧客への正式な説明が待たれる状況だ。

July 14, 2026

Linux KVMに16年潜んでいたuse-after-free「Januscape」、ゲストVMからホスト脱出のリスクが発覚

概要 Linuxカーネルの仮想化基盤であるKVM(Kernel-based Virtual Machine)のshadow MMU(メモリ管理ユニット)に、約16年間にわたって潜んでいたuse-after-free脆弱性「Januscape」(CVE-2026-53359)が公表された。悪意あるゲストVMがホストのカーネルメモリを破壊し、ゲストからホストへのエスケープを引き起こせる深刻な問題で、IntelとAMDの両x86プラットフォームに影響する。多くのクラウド事業者がKVMを仮想化基盤として利用しているため、マルチテナント環境における潜在的な脅威として注目されている。 この脆弱性は研究者Hyunwoo Kim(@v4bel)によって発見され、Googleが運営するKVM向けバグバウンティプログラム「kvmCTF」にゼロデイとして提出された。Kimはこの2ヶ月の間に3件のLinuxカーネル脆弱性を公表しており、5月には「Dirty Frag」、6月にはARM64向けの「ITScape」を報告している。同時期には別のshadow MMU use-after-freeであるCVE-2026-46113も修正されており、KVMのメモリ管理まわりに複数の類似した問題が集中して見つかっている状況だ。 技術的な詳細 KVMは仮想マシンのメモリレイアウトを追跡するため、独自のシャドウページテーブルを管理している。Januscapeの根本原因は、同じメモリアドレスを共有する異なる種類のページを、KVMが正しく区別せずに再利用していたことにある。研究者の説明によれば「2つの異なるタイプが同じアドレスを共有できるが、まったく異なる機能を実行する」状況が発生し、これがuse-after-freeを引き起こしていた。 この脆弱性は2010年8月リリースのカーネル2.6.36から存在しており、2026年6月19日にメインラインへマージされたcommit 81ccda30b4e8で修正されるまで、実に16年近く見逃されていた。修正内容はkvm_mmu_get_child_sp()関数にrole.wordとgfnの両方をチェックする処理をわずか1行追加するというもので、根本原因の単純さに対して発見までの期間の長さが際立っている。 攻撃を成立させるには、ゲストVM内でのroot権限とネストされた仮想化(nested virtualization)の有効化が前提条件となる。公開されているPoCは読み込み可能なカーネルモジュールを用い、数秒から数分のレース条件によって確実にホストをパニックさせるところまでを実証する内容にとどまる。一方、非公開とされる完全なエクスプロイトでは、ホスト上でのroot権限によるコード実行が可能になり、同一物理マシン上で稼働する他のゲストVMへのアクセスにもつながるとされている。 対策とパッチ状況 修正パッチは2026年7月4日リリースの各安定版カーネルに反映されており、Linux 7.1.3、6.18.38、6.12.95、6.6.144、6.1.177、5.15.211、5.10.260が対応バージョンとなる。該当するカーネルを利用しているクラウド事業者やオンプレミス環境の管理者は、速やかなアップデートが推奨される。 即座に取れる緩和策としては、ネストされた仮想化を無効化すること(kvm_intel.nested=0またはkvm_amd.nested=0)が挙げられる。ネスト仮想化を利用しない環境であれば、この設定変更だけで攻撃経路を遮断できるため、パッチ適用までの一時的な対策として有効だ。

July 13, 2026