npm 12がリリース、依存関係のインストールスクリプトをデフォルト無効化しサプライチェーン攻撃対策を強化

概要 GitHubは2026年7月、npmの新バージョンv12.0.0を正式リリースした。最大の変更点は「allowScripts defaults to off」という方針転換で、これまでnpm install実行時に自動で走っていた依存パッケージのpreinstall・install・postinstallといったライフサイクルスクリプトが、デフォルトで無効化される。相次ぐサプライチェーン攻撃を受けた大きな方針転換であり、世界中の膨大な数のnpmユーザーに影響する変更となる。 技術的な詳細 npm 12では、主に3つの制御がデフォルトで厳格化された。 ライフサイクルスクリプトの無効化:依存関係のスクリプトや、暗黙的に実行されていたnode-gypによるネイティブビルドが、明示的な許可なしには実行されなくなる。 Git依存関係の制限:--allow-gitのデフォルトが「none」となり、直接・間接を問わずGit経由の依存関係が明示的な許可なしには解決されなくなる。 リモートURL依存の制限:--allow-remoteのデフォルトも「none」となり、HTTPS経由のtarballなど、リモートURLからの依存関係取得が制限される。 正当なビルドスクリプトを必要とするパッケージを使い続けたい開発者は、npm approve-scripts --allow-scripts-pendingを実行して信頼するスクリプトを個別に承認し、その結果をpackage.json内のホワイトリストとしてコミットする運用が必要になる。 セキュリティ関連の追加変更 今回のリリースでは、npmのGranular Access Tokens(GAT)にも重要な変更が加わった。2要素認証(2FA)をバイパスするよう設定されたGATは、アカウントや組織に関わる機微な操作を実行できなくなる。対象にはトークンの作成・削除、リカバリーコードの生成、パスワードやメールアドレスの変更、2FA設定の変更、パッケージアクセス管理、公開組織・チームの管理などが含まれる。この制限は2026年8月初旬から段階的に発効する予定だ。 今後の展望 npmは2027年1月をもって、Granular Access Tokens(GAT)による直接公開機能を廃止する計画も示している。GATの公開範囲はプライベートパッケージの読み取りと公開のステージングに限定され、実際の公開には人間による2FA承認が必要になる。今後は自動公開についてOIDCベースのtrusted publishing、あるいは人間によるレビュー・承認ステップを経た公開フローへの移行が推奨される。同時期には、pnpm 11.10でも認証情報とその接続先ホストを単一の構造化された値として関連付ける_auth設定が導入されており、リポジトリに紛れ込んだマルウェアによる認証トークンの横取りリスクを軽減する動きが業界全体で広がりつつある。

July 13, 2026

Accentureがデータ漏えいを確認、ソースコードや認証鍵など35GB窃取か

概要 大手コンサルティング企業のAccentureは、「888」を名乗るハッカーがハッキングフォーラム「PwnForums」上でおよそ35GB分のデータを盗んだと主張し、闇市場での販売を試みたことを受けて、セキュリティ侵害の発生を認めた。同社は声明で「この限定的な事案を認識しており、原因はすでに修復済みだ。Accentureの業務やサービス提供への影響はない」とコメントしているが、被害の具体的な範囲や漏えいしたデータの種類、顧客情報が含まれるかどうかについては明言を避けている。 窃取されたとされるデータ 攻撃者の主張によれば、窃取されたデータにはソースコード、RSA鍵、SSH鍵、Azureの個人アクセストークン(PAT)、Azureストレージのアクセスキー、各種設定ファイルなどが含まれるという。攻撃者はAccentureのドメインからクローンしたとみられるAzure DevOpsリポジトリのスクリーンショットも提示しているが、その内容が本物かどうかは第三者による独立した検証はできていない。データがどのように持ち出されたのか、個人情報が含まれているのか、そして攻撃者が最初にどうやって社内システムへの侵入経路を確保したのかといった点は、依然として明らかになっていない。 専門家の見方と過去の経緯 セキュリティ企業Corsica TechnologiesのCISOであるRoss Filipek氏は、Accentureのような大手コンサルティング企業は「大企業の基幹システムに近い場所に位置している」ため攻撃者にとって魅力的な標的になると指摘する。同氏によれば、こうした侵害が成功すると「エンタープライズシステムがどのように構築されているか、各チームがどう認証を行っているか、信頼された接続がどこにあるか」といった手がかりを攻撃者に与えかねないという。Accentureにとっては、2021年のLockBitによるランサムウェア攻撃、2024年に発生した従業員データに関わる第三者経由の情報漏えいに続き、今回で3度目となる重大なセキュリティインシデントであり、近年ではセキュリティ企業Dragosの買収や、クラウド製品のセキュリティ問題を隠蔽したとして元従業員が起訴された事案もあった。 今後の影響 漏えいしたとされる認証情報の中にはAzureの各種キーやトークンが含まれるため、仮に事実であれば影響はAccenture社内にとどまらず、同社が管理・支援する顧客企業のクラウド環境にまで波及する可能性がある。現時点でAccentureは侵入経路や被害の全容を公表しておらず、今後の調査の進展や追加の情報開示が注目される。

July 12, 2026

Paysafe・Skrill・Netellerの決済SDKを偽装、npmとPyPIで17件のタイポスクワッティング攻撃を検知

概要 セキュリティ企業Socketは2026年7月7日、npmとPyPIの両パッケージレジストリにまたがる調整型のタイポスクワッティング攻撃キャンペーンを検知したと発表した。攻撃者は決済サービスのPaysafe、Skrill、Netellerの公式SDKを装い、npmに13パッケージ(paysafe-checkout、paysafe-vault、paysafe-js、neteller、skrillなど、各4バージョンずつ)、PyPIに4パッケージ(paysafe-kyc、paysafe-payments、paysafe-sdk、paysafe-api)の計17件を公開していた。狙いは決済SDKを導入しようとする開発者を騙し、CI/CD環境の認証情報やシークレットを窃取することにあった。公開からわずか6分で悪意あるコードとして検知されたが、パッケージレジストリを標的にしたサプライチェーン攻撃の脅威が改めて浮き彫りになった。 巧妙なフェイクSDKの仕組み 悪意あるパッケージは、本物のPaysafe APIクライアントを模したクラスを実装しており、表面上は正常に動作しているように見える。実際には決済サービスの本物のエンドポイントには一切接続せず、{ success: true, method, path }のような偽の成功レスポンスを返すだけの「ファサード」に過ぎない。APIキーは環境変数PAYSAFE_API_KEYから読み込む形を取り、正規のSDKと同様の使い勝手を装うことで開発者に気付かれにくくしていた。 シークレット窃取とサンドボックス回避の手口 すべてのAPIリクエストメソッドが実行されるたびに、内部の_request()関数がシークレット抽出ルーチンを起動する仕組みになっていた。この処理では、変数名に「KEY」「SECRET」「TOKEN」「PASS」「AUTH」「API」を含む環境変数を片っ端からフィルタリングし、値を100文字に制限した上で窃取する。実際の被害シナリオではPAYSAFE_API_KEYだけでなく、AWS_SECRET_ACCESS_KEYやGITHUB_TOKEN、NPM_TOKENといったCI/CDの重要な認証情報も捕捉対象となっていた。 さらに、解析環境での検知を逃れるための仕掛けも組み込まれていた。CPUコア数が2未満の環境や、ホスト名・ユーザー名に「sandbox」「analyzer」「cuckoo」「virus」といった文字列が含まれる環境を検出すると、悪意ある処理をスキップする仕様になっている。窃取したデータの送信先となるC2(コマンド&コントロール)ドメインも、XORデコード、文字コードの17減算、文字列の反転という3段階の難読化処理で隠蔽されており、最終的にcaliber-spinner-finishing.ngrok-free.devというngrokベースのドメインへ通信する仕組みだった。このC2ドメインが解決するIPアドレスは、既知のマルウェア「NjRAT」など他の情報窃取型マルウェアのC2サーバーとしても使われていた実績があるという。なお、PyPI側のパッケージにはnpm版のようなAPIキーによるゲーティングがなく、インポートするだけで自動的にペイロードが実行される点も特徴だった。 攻撃者の狙いと今後の対策 Socketの分析によれば、攻撃者は決済関連SDKという特定領域に戦略的に的を絞り、パッケージごとに異なる難読化キーを使用することでシグネチャベースの検知を回避しようとしていた。npmとPyPIという複数エコシステムにまたがる攻撃を仕掛けられる技術力も示しており、サプライチェーン攻撃の巧妙化を裏付ける事例といえる。Socketは、該当パッケージを実行した端末上のすべてのシークレットを速やかにローテーションすること、依存関係に13件のパッケージ名が含まれていないか確認しレジストリプロキシ側でのブロックを検討すること、CIやビルドホストから.ngrok-free.devへの不審な通信がないか監視すること、PAYSAFE_API_KEYと該当パッケージ名の組み合わせについてCIログを監査することを推奨している。また52件のSHA-256ファイルハッシュを含む侵害指標(IoC)も公開されており、組織は自社環境への影響有無を照合できる。

July 12, 2026

Gitea公式Dockerイメージに認証バイパスの重大脆弱性、開示から2週間足らずで実悪用が確認

概要 自己ホスト型GitサービスGiteaの公式Dockerイメージに、認証を完全に迂回して任意のユーザー(管理者を含む)になりすませる重大な脆弱性「CVE-2026-20896」(CVSS 9.8)が存在することが明らかになった。2026年6月下旬の脆弱性開示からわずか13日後には、セキュリティ企業Sysdigによって実際の悪用の痕跡が検出されており、パッチ未適用の環境を狙った攻撃が急速に進行していることがわかる。研究者Ali Mustafa氏がこの問題を発見・報告し、Gitea側は1.26.3および1.26.4で修正版を公開済みである。 技術的な詳細 問題の根本原因は、Giteaの公式Dockerイメージがデフォルトでリバースプロキシ認証の信頼済みプロキシ設定をREVERSE_PROXY_TRUSTED_PROXIES = *(ワイルドカード、つまり全IPアドレスを信頼)としていた点にある。本来この設定は127.0.0.0/8,::1/128のようにローカルホストなど限定された送信元のみを信頼するべきものだが、ワイルカード指定によりコンテナのHTTPポートに直接到達できる何者でも、リバースプロキシを経由したかのように振る舞えてしまう状態になっていた。 具体的には、攻撃者はX-WEBAUTH-USERというHTTPヘッダーに任意のユーザー名を設定して送信するだけで、パスワードやトークンなしにそのユーザーとして認証されてしまう。Mustafa氏は「ポートに到達できる者は誰でもX-WEBAUTH-USERヘッダーを送信し、パスワードもトークンも使わずに任意のユーザーとして認証される状態だった」と説明している。さらに自動登録(auto-registration)機能が有効な構成では、既知の管理者ユーザー名になりすますことで、攻撃者が管理者権限まで取得できる危険性があった。影響を受けるのはGitea公式Dockerイメージのバージョン1.26.2以前で、修正版の1.26.3・1.26.4ではこのワイルドカードのデフォルト値が撤廃され、リバースプロキシ認証はオプトイン方式に変更された。 悪用の状況とタイムライン 脆弱性は2026年6月下旬に公開された。Sysdigによれば、最初の実際の悪用行為はその13日後に検出されており、送信元はProtonVPNのIPアドレス(159.26.98[.]241)からのものだった。SysdigのシニアディレクターMichael Clark氏のコメントには報道間で幅があり、SecurityWeekやBleepingComputerでは「開示から2週間足らず後(13日後)に実悪用が始まっていた」とする一方、The Hacker Newsでは「現時点の活動は攻撃者による初期調査(偵察)段階にとどまり、本格的な侵害への進展は確認されていない」とも報じられている。いずれの報道でも、脅威アクターがこの脆弱性に強い関心を寄せ、積極的にプロービングを行っている点では一致している。 Sysdigの調査では、インターネットに公開されているGiteaインスタンスは全世界で約6,200件確認されているが、そのうち実際に脆弱な設定のまま稼働している数までは特定されていない。悪用に成功した場合、攻撃者はプライベートリポジトリのソースコード、誤ってコミットされたAPIキーや認証情報、CI/CD設定、デプロイトークンなど、機密性の高い資産に完全にアクセスできてしまう。シンガポールのサイバーセキュリティ庁(CSA)もこの脆弱性について注意喚起を発行している。 今後の対応 Gitea運用者に対しては、直ちに修正版である1.26.3以降(推奨は1.26.4)へアップグレードすることが強く求められている。何らかの理由で即時のアップグレードが困難な場合は、REVERSE_PROXY_TRUSTED_PROXIES設定を実際に信頼できる特定のIPアドレスやCIDR範囲に限定することで、暫定的にリスクを低減できる。加えて、過去のアクセスログを確認し、不審なX-WEBAUTH-USERヘッダーを伴うリクエストや、身に覚えのない管理者アカウントでのログイン履歴がないか点検することも推奨されている。今回のケースは、公式コンテナイメージのデフォルト設定が誤っていた場合、パッチ公開後もごく短期間で実運用環境への攻撃に直結し得ることを改めて示す事例となった。

July 11, 2026

KDDI系列ISPの情報漏えい、最終調査でメール1223万件・パスワード761万件の流出を確定

概要 KDDIは、傘下のSTNet、JCOM、中部テレコミュニケーション、NIFTY、BIGLOBEなど複数のISPが提供するメールサービスで発生した情報漏えいについて、最終調査の結果を発表した。それによると、流出したのは1223万3087件のメールアドレスと761万6173件のパスワードで、最大1422万件の顧客(現契約者・元契約者・休眠アカウントを含む)に影響が及ぶ可能性があるとしている。6月に発覚した当初は「最大1422万件の可能性」という速報段階の発表にとどまっていたが、フォレンジック調査が完了したことで、確定的な被害規模として更新された。 経緯と原因 攻撃者は5月16日、メールインフラを支えるサードパーティ製ソフトウェアに存在していたゼロデイ脆弱性を悪用し、システムへの侵入に成功した。KDDIがこの侵害を検知したのは6月17日で、同社は「確認時点で、この脆弱性はソフトウェアベンダー側でも認識されていなかった」と説明している。侵入から発覚までの約1カ月間、複数のISPが影響を受けていたとみられる。侵害の対象となったのはメールインフラ関連のシステムに限られ、KDDIの携帯電話サービスや固定回線インターネットサービス自体は影響を受けていないという。 対応と今後の影響 KDDIは侵害を検知した直後に攻撃者をシステムから排除し、その後の6月23日にはフォレンジック監査によって脆弱性への対処が完了したことを確認した。流出したパスワードの一部はハッシュ化または暗号化された状態で保存されていたとされるが、具体的な暗号化方式や平文のまま流出した件数については明らかにされていない。同社はエンドポイント検知・対応(EDR)ソフトウェアを導入するとともに、影響を受けた全アカウントを対象にパスワードの強制リセットを実施し、個人情報保護委員会および総務省への報告も行った。現時点で追加の不審な活動は確認されていないとしているが、対象となったソフトウェアについては引き続き詳細な調査が進められている。

July 11, 2026

CISA、Adobe ColdFusionやLangflowなど実悪用中の脆弱性4件をKEVに追加、連邦機関に7月10日までの緊急パッチ適用を義務化

概要 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月7日、実際に悪用が確認されている4件の脆弱性を「既知の悪用された脆弱性(KEV)」カタログに追加し、連邦政府機関に対して7月10日までのパッチ適用を義務付けた。対象はAdobe ColdFusion、Joomlaの拡張機能2件(SP Page BuilderおよびPage Builder CK)、そしてAI駆動のワークフローツールLangflowで、いずれもすでに攻撃者による悪用の痕跡が観測されている。 脆弱性の詳細 最も深刻なのはAdobe ColdFusionのパストラバーサル脆弱性(CVE-2026-48282、CVSS 10.0)で、リモート開発サービス(RDS)のファイル/IOハンドラーの欠陥を突き、認証なしの単一HTTPリクエストでウェブシェルを直接書き込める。6月30日のパッチリリースからわずか数時間後にインドのIPアドレス(103.207.14[.]220)からの悪用が記録されており、Suzu LabsのDenis Calderone氏は「RDSが有効化されている環境に限られる」と条件を付けつつも、攻撃開始までの速さを問題視している。 Joomlaでは2つの拡張機能が標的となった。Page Builder CK(CVE-2026-56290、CVSS 10.0)はアクセス制御不備により未認証での任意ファイルアップロードが可能で、6月27日以降ウェブシェル配信に悪用されており、バージョン3.6.0で修正済みだ。JoomShaperのSP Page Builder(CVE-2026-48908、CVSS 10.0)は危険なファイルタイプの無制限アップロードを許し、未認証ユーザーがPHPコードを実行できる。攻撃者は隠れた管理者アカウントを作成し、PHPファイルマネージャー型のバックドアを配備していることが報告されており、バージョン6.6.2以降へのアップデートが推奨されている。 LangflowのCVE-2026-55255は、NVDによればCVSS 3.1で8.4(HIGH)とされる認可バイパス(IDOR)の脆弱性で、/api/v1/responsesエンドポイントにおいて認証済み攻撃者が他ユーザーのフローIDを指定することで、そのユーザーのフローを実行できてしまう。バージョン1.9.1で修正済みだが、報道によってはCVSSスコアが6.1や9.9と記載されるなど情報源間でばらつきが見られる。 Langflowを標的とした悪用キャンペーン セキュリティ企業Sysdigは6月26日、Langflowを狙った持続的な攻撃キャンペーンについて警告を発した。単一のオペレータ(IPアドレス45.207.216[.]55)が6月22日から25日にかけて、ホスト偵察とフローID収集を経てCVE-2026-55255のIDORを悪用し、他テナントのLLMプロバイダーAPIキーやAWSキーを窃取。さらに別のリモートコード実行の脆弱性であるCVE-2026-33017と組み合わせることで、二段階のダウンローダーペイロードを展開していたことが確認された。専門家はボットネット構築や暗号通貨マイニングを目的とした金銭動機の攻撃である可能性を指摘する一方、AI基盤を標的とした攻撃の増加を懸念する声もあり、一部ではJADEPUFFERランサムウェア事件との関連にも言及されている。 今後の対応と専門家の見解 連邦機関は連邦民間行政機関(FCEB)向けの拘束的運用指令(BOD 26-04)に基づき、7月10日までに4件すべてへの対応が求められる。HadrianのMatan Shavit氏は「CVSSスコアだけで深刻度を判断するのではなく、システムが実際にどれだけ公開されているか、認証要件がどうなっているかという文脈を踏まえて優先順位を決めるべきだ」と指摘しており、企業や組織にも同様の観点からの迅速な対応が求められている。

July 10, 2026

Ubiquiti、UniFi全製品群に及ぶ重大脆弱性7件を修正 最大深刻度CVSS 10.0の未認証コマンドインジェクションも

概要 Ubiquitiは、UniFi Connect、UniFi Talk、UniFi Access、UniFi Protect、UniFi OSにまたがる合計7件の重大な脆弱性を修正するセキュリティアップデートを公開した。中でも最も深刻なのはUniFi Connect Applicationに存在するCVE-2026-50746で、CVSSスコアは最大値の10.0。ネットワークにアクセスできる攻撃者が認証なしにホストデバイス上で任意のコマンドを実行できるというもので、UniFi Connectは照明やEV充電器といったビル設備の管理にも利用されているため、影響は物理的なインフラにまで及びうる。セキュリティ調査企業Censysの追跡によれば、インターネットに露出しているUniFi OSインスタンスは10万件以上(うち米国内だけで約5万件)にのぼり、今回のアップデートは広範なデバイス群に関わる。現時点でこれら新規脆弱性が実際の攻撃で悪用されたという報告はないが、Ubiquitiはセキュリティアドバイザリ「Bulletin 066」を通じて全ユーザーに速やかなアップデートを呼びかけている。 脆弱性の詳細 修正された7件はいずれもCVSSスコア9.0以上の重大な脆弱性で、脆弱性の種類は多岐にわたる。最大深刻度のCVE-2026-50746(CVSS 10.0、UniFi Connect Application v3.4.16以前)は前述の通り未認証コマンドインジェクションだ。UniFi Talk(v5.1.2以前)にはSQLインジェクションによる権限昇格を許すCVE-2026-50747(CVSS 9.9)が存在する。UniFi Access(v4.2.28以前)には入力値検証の不備であるCVE-2026-50748(CVSS 9.9)と、アクセス制御不備のCVE-2026-54400(CVSS 9.1)の2件が確認された。残るUniFi OS/Protect関連では、SSRF(サーバーサイドリクエストフォージェリ)やCORS設定不備に類する脆弱性としてCVE-2026-54402(CVSS 9.9)とCVE-2026-55115(CVSS 9.9)、そしてアクセス制御不備のCVE-2026-55116(CVSS 9.0)が報告されている(これら2件の技術的な性質については報道により表現に差異がある)。Ubiquitiは各製品について、UniFi Connect 3.4.20、UniFi Talk 5.2.2、UniFi Access 4.2.29、UniFi Protect 7.1.83、UniFi OS 5.1.19以降への更新でこれらの脆弱性に対応している。 背景と今後の見通し Ubiquiti製品を巡っては過去にも深刻なセキュリティ事案が繰り返されてきた。2024年2月にはFBIがロシア関連のボットネット「Moobot」によるUbiquiti Edge OSルーターの悪用を摘発しており、ロシア国家支援の攻撃者がUbiquiti製ルーターをボットネットに組み込んでいたとの報告もある。さらに直近の2026年6月には、米CISAがUniFi OSに関する既知の3件の重大脆弱性を「実際の攻撃で悪用されている」として既知悪用脆弱性(KEV)カタログに追加したばかりだった。このように、UniFi OS関連製品は攻撃者にとって継続的に狙われやすいターゲットとなっている。今回の7件については現時点で実悪用の確認はないものの、コマンドインジェクションやSQLインジェクションといった深刻度の高い脆弱性が短期間に相次いで発見されている状況を踏まえ、UniFi製品を利用する組織や個人は速やかにパッチ適用済みバージョンへアップデートすることが強く推奨される。

July 10, 2026

Accenture、ハッカー集団「888」による侵害を確認 ソースコード・認証情報など35GB窃取の疑い

概要 グローバルコンサルティング大手のAccentureが、ハッカー集団「888」による侵害を受けたことを確認した。888はダークウェブのサイバー犯罪フォーラムで、Accentureから約35GBのデータを窃取したと主張し、その販売を開始していた。Accentureは当初この攻撃について明言を避けていたが、その後「隔離された事案」を認識しており、原因はすでに対処済みであるとし、自社の業務やサービス提供への影響はないとする声明を発表した。 窃取されたとされるデータ 888が主張するところによれば、流出したデータにはソースコード、RSA鍵、SSH鍵、Azureの個人用アクセストークン(PAT)、Azure Storageのアクセスキー、各種設定ファイルなどが含まれるという。攻撃者は証拠として、「121123_AtriasTalentAcademy」という名称のAzure DevOpsリポジトリのクローン画像を提示している。認証情報や鍵情報が含まれているとされる点は、単なる情報漏洩にとどまらず、二次的な不正アクセスへの悪用可能性がある点で懸念されている。 Accentureの対応 Accentureは侵害の事実自体は認めたものの、具体的な侵入経路、顧客データへの影響の有無、流出したデータの量や性質については明らかにしていない。「運用とサービス提供に影響はない」とする一方で、詳細な調査結果や被害範囲についての開示は限定的にとどまっており、報道機関からの追加取材にも応じていない状況が続いている。 背景 Accentureがサイバー攻撃の標的となるのは今回が初めてではない。2021年にはランサムウェアグループLockBitによる侵害を受けており、2024年にも同じ脅威アクター「888」がAccentureの従業員データを販売しようとした経緯がある。同社は世界中の大企業や政府機関を顧客に持つコンサルティング企業であり、繰り返し標的とされている背景には、取引先を含む幅広いネットワークへのアクセスを狙う攻撃者の思惑があるとみられる。詳細な調査結果が今後公表されるかどうかが注目される。

July 9, 2026

Oracle E-Business SuiteのPaymentsに深刻な脆弱性、パッチ公開後も攻撃継続し900台超が露出

概要 Oracle E-Business Suite(EBS)の支払処理モジュール「Oracle Payments」に存在する重大な脆弱性CVE-2026-46817が実際に悪用されていることが明らかになった。脅威インテリジェンス企業Defusedによると、6月27日、自社のOracle EBSハニーポットに対して同脆弱性を突く攻撃を観測したという。Shadowserver Foundationの調査では、インターネット上に公開されているEBSインスタンスは約950台に上り、その多くが米国に所在しているが、これらのインスタンスがすべて脆弱であるか、あるいはパッチ適用済みかは不明だとしている。Oracleは今回の脆弱性についてまだ「実際に悪用されている」と公式には認定していない。 脆弱性の技術的詳細 CVE-2026-46817はOracle E-Business Suite内のPaymentsコンポーネントに含まれる「File Transmission」機能に存在する欠陥で、CVSSスコアは最大値に近い9.8(Critical)と評価されている。権限を持たない攻撃者がHTTP経由のネットワークアクセスのみで、低い攻撃難易度のもとシステムを乗っ取れる点が特徴で、認証を必要としない点が被害拡大の一因となっている。The Registerの報道によれば、影響を受けるのはリリース12.2.3から12.2.15までのバージョンで、任意のファイルを読み取られる恐れがあるという。 攻撃のタイムラインと手口 Oracleは2026年5月のCritical Patch Update(定例パッチ)で本脆弱性を修正済みだったが、Defusedが最初に攻撃を確認したのはパッチ公開から約6週間後の6月27日で、しかもこれは脆弱性を突く公開エクスプロイトコードが出回るよりも前のタイミングだった。観測された攻撃は単一の攻撃元から6回の悪用試行が行われ、いずれも動作する実証コードを用いたものであり、無差別なスキャンというよりも機密ファイルを狙った標的型の手口だったとDefusedの研究者は分析している。研究者らは、攻撃者がOracleのセキュリティパッチをリバースエンジニアリングしたか、あるいは独自に非公開のエクスプロイトを保有していた可能性を指摘している。今回の事案は、重要なセキュリティアップデートがそれを解析する準備のある攻撃者にとってはロードマップにもなり得ることを改めて浮き彫りにした。 背景と今後の展望 Oracle製品を狙った攻撃はこれが初めてではない。過去にはShinyHuntersグループがPeopleSoftのゼロデイ脆弱性を悪用して100以上の組織を侵害した事例や、ランサムウェアグループClopがEBS顧客を標的に数ヶ月にわたるキャンペーンを展開した事例があり、今回の一件もこうした流れの延長線上にあると位置づけられている。なお、CISAの「既知の悪用された脆弱性」カタログには2021年11月以降、Oracle製品の脆弱性がすでに44件登録されており(うち13件はランサムウェアグループにも悪用された)、同社製品を狙った攻撃が高止まりしている実態を裏付けている。パッチ未適用のEBSインスタンスを持つ組織は早急な対応が求められる状況だ。

July 8, 2026

Adobe ColdFusionの最大深刻度パストラバーサル脆弱性、パッチ公開からわずか2時間で実悪用が判明

概要 Adobeは2026年7月1日、ColdFusionとCampaign Classicに存在する最大深刻度(CVSS 10.0)の脆弱性7件を含むセキュリティアップデートを公開した。中でも注目されているのがColdFusionのパストラバーサル脆弱性CVE-2026-48282で、認証なしでリモートからの任意ファイル書き込みが可能というものだ。KEVIntelの創業者Ryan Dewhurst氏によると、この脆弱性はパッチ公開からわずか2時間以内に、同氏が運用するグローバルハニーポットネットワーク上で実際の悪用が観測されたという。Shadowserverの調査では、インターネット上に露出しているColdFusionインスタンスが約800台確認されており、パッチ未適用の環境は深刻なリスクにさらされている。 修正された脆弱性の詳細 今回のアップデートでは、ColdFusionに6件、Campaign Classicに1件、合計7件のCVSS 10.0の脆弱性が修正された。ColdFusion側の内訳は、危険な種類のファイルの無制限アップロードを許してしまうCVE-2026-48276とCVE-2026-48283、不適切な入力検証に起因しリモートコード実行につながるCVE-2026-48277・CVE-2026-48281・CVE-2026-48316、そして任意ファイル書き込みを許すパストラバーサル脆弱性CVE-2026-48282である。これらはいずれも特権を持たない攻撃者が、ユーザー操作を必要とせず低い攻撃複雑度で悪用できる点が特徴だ。このほかCVSS 9.3の任意ファイル読み取り(CVE-2026-48313)と権限昇格(CVE-2026-48315)も修正されている。影響を受けるのはColdFusion 2025.9および2023.20以前のバージョンで、それぞれColdFusion 2025 Update 10、2023 Update 21で修正済みだ。Campaign Classic側では、不適切な認可に起因し任意コード実行を許すCVE-2026-48286(CVSS 10.0)が修正されたが、こちらはオンプレミス展開のみが影響を受け、Adobeがホストするインスタンスは既にパッチ適用済みとなっている。 実悪用の状況 Adobeは今回のアップデートを全てPriority 1(悪用リスクが高い脆弱性への対応を要する最優先区分)に分類し、管理者に対して「72時間以内」のアップデート適用を強く推奨していた。当初Adobe自身は「これらの脆弱性が実際に悪用されている事実は確認していない」としていたが、その直後にCVE-2026-48282を狙った攻撃が現実のものとなった。インド発とみられるIPアドレスからのファイルシステム読み取りを狙った悪用試行が確認されているほか、Ryan Dewhurst氏はパッチ公開後2時間というごく短時間でハニーポットへの攻撃が捕捉されたと警告している。Shadowserverによれば、約800台のColdFusionインスタンスがオンラインで露出した状態にあるが、この中にどれだけのハニーポットや、既に緩和策が講じられたシステムが含まれるかは不明だとしている。 今後の対応 カナダのサイバーセキュリティセンター(CCCS)は、ユーザーと管理者に対し、進行中の攻撃から自システムを守るため速やかなアップデート適用を呼びかけている。また、Adobeは今回のアップデートに合わせて、セキュリティ情報の公開頻度を見直す方針も発表した。2026年7月14日以降、これまで月1回だったセキュリティ情報の公開を、毎月第2・第4火曜日の月2回に増やすとしており、脆弱性対応の迅速化を図る狙いがあるとみられる。今回のように公開直後から実悪用が始まるケースが相次いでいることを踏まえると、ColdFusionやCampaign Classicの管理者は本アップデートの適用状況を早急に点検する必要がある。

July 7, 2026