BeyondTrust、認証前の重大な脆弱性によりリモートコード実行が可能になる問題を修正
Original Title: BeyondTrust fixes critical pre-auth bug allowing remote code execution
Published (UTC): 2026-02-09T10:52:26+00:00
要旨(日本語)
・BeyondTrust の Remote Support(RS)および旧版 Privileged Remote Access(PRA)に、認証不要でRCEが可能な脆弱性 CVE-2026-1731(CVSS 9.9)が判明。
・細工したリクエストを送るだけで、ログインなし・ユーザー操作なしにサイトユーザー権限でOSコマンド実行が可能。
・影響範囲:RS 25.3.1 以前、PRA 24.3.4 以前。
・修正版:RS はパッチ BT26-02-RS または 25.3.2 以降、PRA はパッチ BT26-02-PRA または 25.1.1 以降。
・公開日:2026年2月6日。SaaS 環境には 2026年2月2日に修正が展開済みで自動的に保護。
・セルフホスト環境は自動更新無効なら手動適用が必要。古い版は対応バージョンへアップグレード後にパッチ適用が必要。
・悪用時の影響:システム乗っ取り、データ流出、サービス障害など重大な被害に直結。
・報告者:Harsh Jaiswal および Hacktron AI team。
・Hacktron 推計:公開 RS インスタンスは約11,000、そのうち約8,500がオンプレで、未パッチなら高リスク。
・主な影響組織:医療、金融、政府、ホスピタリティなど大規模組織で広く利用。
・技術詳細は当面非公開とされ、悪用が容易なため迅速なパッチ適用が強く推奨される。
Fortinet FortiClientEMSに致命的な脆弱性、リモートコード実行が可能
Original Title: Critical Fortinet FortiClientEMS flaw allows remote code execution
Published (UTC): 2026-02-09T11:54:59+00:00
要旨(日本語)
・FortinetがFortiClientEMSに関する重大な脆弱性について緊急アドバイザリを公開
・脆弱性IDはCVE-2026-21643、CVSS 9.1の高深刻度
・本質はSQLインジェクション(CWE-89)で、特定のHTTPリクエストにより悪用可能
・認証不要で不正なコードやコマンドを実行できるリモートコード実行(RCE)に繋がる
・攻撃成功時には初期侵入を許し、横展開やマルウェア展開の足掛かりとなる
・Fortinet Product SecurityのGwendal Guégniaudにより社内で発見・報告
・影響バージョン:FortiClientEMS 7.4.4
・対策:FortiClientEMS 7.4.5以降へのアップグレード
・非影響バージョン:FortiClientEMS 8.0、7.2
・野放し攻撃(悪用状況)の有無については公表されていない
中国関与とされるAPT「UNC3886」がシンガポールの通信事業者を標的に
Source: https://securityaffairs.com/187792/apt/china-linked-apt-unc3886-targets-singapore-telcos.html
Original Title: China-linked APT UNC3886 targets Singapore telcos
Published (UTC): 2026-02-09T23:40:15+00:00
要旨(日本語)
・シンガポールCSAとIMDAが通信分野防衛のため「Operation CYBER GUARDIAN」を実施、対象はM1、SIMBA Telecom、Singtel、StarHubの4社。
・中国関与が指摘されるAPT UNC3886が同国の通信インフラを計画的・継続的に標的化したと発表。
・UNC3886はネットワーク機器や仮想化基盤へのゼロデイ悪用に長け、防衛・技術・通信(米国・アジア)を主に狙うサイバースパイ集団。
・2023年にはFortinetのゼロデイCVE-2022-41328を悪用し独自バックドアを展開、受動型バックドアやログ改ざんで秘匿性と永続化を確保。
・今回もゼロデイでファイアウォールを回避して侵入し、永続化用ルートキットで活動隠蔽・検知回避を図った。
・狙いは主にネットワーク関連情報とみられるが、当局は現時点でデータ窃取やサービス停止は確認していないと説明。
・侵害は通信各社が検知してIMDA/CSAへ通報、これを受け過去最大規模の合同サイバー対応を開始。
・作戦は11カ月超継続し、100名超の専門家が参加して横展開の抑止、脆弱箇所の是正、侵入経路遮断、監視強化を実施。
・攻撃者の侵入は一部区画に限定され、重要システムへの限定的アクセスはあったがサービス妨害には至らず。
・2025年7月18日、K・シャンムガム国家安全保障調整担当相がクリティカルインフラへの攻撃検知を公表。
・政府と通信各社はUNC3886の監視強化、共同スレットハンティング、ペネトレーションテスト、能力強化、人材育成で防御・検知力の底上げを継続。
・通信事業者は国家安全保障と経済に直結する高価値標的であり、今後も攻撃再発の可能性があるため警戒継続が呼びかけられた。
Ivanti EPMMの脆弱性悪用でオランダ当局が被害、従業員の連絡先データが露出
Original Title: Dutch agencies hit by Ivanti EPMM exploit exposing employee contact data
Published (UTC): 2026-02-10T01:11:48+00:00
要旨(日本語)
– オランダの個人情報保護当局(AP)と司法評議会(Rvdr)が、Ivanti Endpoint Manager Mobile(EPMM)の新たに公表された脆弱性を悪用した攻撃を受けた。
– 事件は議会に報告され、1月29日にベンダーからの通知を受けた国家サイバーセキュリティセンター(NCSC)が把握した。
– EPMMはモバイル端末・アプリ・コンテンツの管理/セキュリティ基盤で、攻撃によりAP職員の業務用連絡先(氏名、業務メール、電話番号)が不正アクセスされた。
– 当局は直ちに対策を講じ、被害職員に通知し、所管当局への報告も実施した。
– NCSCは政府全体への波及の有無を継続監視・評価中。
– ルッテ(JenV)およびファン・マルム(BZK)の両政務次官が下院に状況を説明した。
– 欧州委員会でも1月30日にモバイル端末管理基盤への侵害痕跡を検知し、一部職員の氏名や携帯番号へのアクセス可能性を確認。
– 欧州委は9時間以内に封じ込めとシステムのクリーンアップを完了し、モバイル端末自体の侵害は確認されていない。
– 侵入手口は未公表で、CERT-EUが調査を継続している。
– 流出情報は、なりすましによるフィッシング/ビッシングや標的型偵察・物理的リスクを助長し、GDPR違反や評判低下の懸念を招く。
セネガル、ランサムウェア攻撃で国民ID機関を一時閉鎖
Original Title: Senegal shuts National ID office after ransomware attack
Published (UTC): 2026-02-10T02:48:29+00:00
要旨(日本語)
– 政府は国民IDカード・旅券・生体情報を所管するDAF(Directorate of File Automation)へのサイバー攻撃を確認し、封じ込めのため同機関を一時閉鎖
– ID・旅券・生体認証関連サービスを停止し、約1,950万人の住民に影響を周知。安全な復旧作業を進行中
– 当局は現時点で住民データの完全性は損なわれていないと説明
– 新たなランサムウェア集団「Green Blood Group」が侵入を主張し、市民記録・生体情報・入国管理文書など計139GBを窃取したと発表
– 攻撃者は「証拠」として文書一覧やバックアップファイルのリストを公開
– ハッカーはマレーシアIRIS Corporationの幹部Quik Saw Choo氏のメールも流出させ、1月19日にDAFの2台のサーバーが侵害され、1台からカード個別設定データが盗まれたとする内容
– IRISは1台のサーバーをネットワーク遮断、もう1台のパスワード変更、在外公館からの接続遮断を実施。マレーシアのサイバー専門家が支援し、1月22日にダカールで調査・復旧予定と通知
– SNS上では「139TB流出」とする未確認情報も拡散されているが、公的な裏付けはない
– Gambia Journalは、今回の攻撃がセネガル政府とIRISの間の未払金を巡る対立の最中に起き、侵害検知後にIRISがDAFへ全システム停止を要請したと報道
– 商業紛争とサイバー攻撃の関連性を疑問視する声はあるものの、当局は犯行主体の特定や漏えい規模の詳細を公表していない
Microsoft:Exchange Online が正当なメールをフィッシングとして誤検知
Original Title: Microsoft: Exchange Online flags legitimate emails as phishing
Published (UTC): 2026-02-09T01:47:25+00:00
要旨(日本語)
– Microsoft が Exchange Online の不具合を調査中で、正当なメールがフィッシングと誤判定され隔離されている。
– 事象は2月5日に発生し継続中。一部利用者でメールの送受信に支障が出ている。
– 更新されたURLルールが一部URLを悪性と誤判定し、メール全体をフィッシングとして隔離することが原因。
– スパム/フィッシング手法の高度化に対応するための判定基準の見直しが、誤検知を招いたと説明。
– 本件は「インシデント」に分類され、顕著なユーザー影響を伴う事象とされるが、影響規模や地域は未公表。
– 暫定対応として隔離メールの解放を進めており、受信トレイに戻るケースが出始めている。
– 正当なURLのブロック解除を確認中で、完全復旧の見込み時刻(ETA)は未提示。準備でき次第共有予定。
– 過去にも類似事象が発生:3月に反スパム機能で一部メールを誤隔離。
– 5月には機械学習モデルがGmail発メールをスパムと誤判定。
– 9月には反スパムサービスの不具合で Exchange Online/Teams のURLが開けず、メールが隔離される問題が発生。
– 記事末尾には、Tines による運用自動化ガイド(手作業削減・信頼性向上・既存ツール上でのワークフロー拡張)に関する宣伝が含まれる。
数千件の盗用身元情報を利用したFanDuel詐欺計画で男2人を起訴
Original Title: Men charged in FanDuel scheme fueled by thousands of stolen identities
Published (UTC): 2026-02-09T02:41:17+00:00
要旨(日本語)
– コネチカット州グラストンベリーの29歳Amitoj KapoorとSiddharth Lillaneyが、約3,000人分の個人情報を用いてFanDuelなどから約300万ドルを詐取した疑いで連邦大陪審により45件で起訴・逮捕され、各30万ドルの保釈金で釈放。
– 手口は、ダークネットやTelegramで個人特定情報(PII)を購入し、共犯者とともにFanDuel、DraftKings、BetMGM等で数千の不正アカウントを作成したとされる。
– 犯行期間は2021年4月〜2026年にわたり、長期かつ組織的に実行された疑い。
– TruthFinderやBeenVerifiedなどの背景調査サービスを購読して本人確認質問に備えるなど、KYC突破に必要な追加情報を取得したとされる。
– 被害者の氏名・生年月日・住所・メール・電話・社会保障番号を一覧化した「Tracker.xlsx」でPIIを体系管理していたとされる。
– 逆引き電話検索等のツールを活用して情報照合を効率化し、アカウント開設を量産した疑い。
– 新規ユーザー向けプロモーションを狙い、プロモクレジットでの勝ち金を仮想ストアドバリューカードに移し、さらに銀行・投資口座へ送金して収益化したとされる。
– 起訴内容は、電信・ID詐欺共謀(1件、最長5年)、電信詐欺(23件、各最長20年)、ID詐欺(8件、各最長15年)、加重ID窃盗(2件、必須連続2年)、マネロン共謀(1件、最長20年)、マネーロンダリング(10件、各最長20年)。
– 当局は、盗用IDの大規模悪用により新規特典を搾取し、被害者に深刻な影響を与えたと非難。
– 被告らは現時点では容疑段階で有罪は未確定(推定無罪)。
– 記事末尾には、TinesによるITインフラ自動化・ワークフローに関するガイドへの案内(広告的内容)が含まれる。
BeyondTrust、リモートサポートソフトの重大なRCE脆弱性を警告
Original Title: BeyondTrust warns of critical RCE flaw in remote support software
Published (UTC): 2026-02-09T04:07:03+00:00
要旨(日本語)
・BeyondTrustがRemote Support(RS)およびPrivileged Remote Access(PRA)に関する重大な事前認証RCE(CVE-2026-1731)へのパッチ適用を勧告。
・原因はOSコマンドインジェクション。発見者はHarsh JaiswalとHacktron AIチーム。
・影響バージョン:RS 25.3.1以前、PRA 24.3.4以前。
・攻撃は未認証・低複雑度で細工したクライアント要求により成立し、ユーザー操作は不要。成功時はサイトユーザー権限でOSコマンド実行が可能となり、侵害・不正アクセス・データ流出・サービス停止の恐れ。
・BeyondTrustは2026年2月2日までにクラウド版RS/PRAを保護済み。オンプレ利用者は(自動更新未設定なら)RS 25.3.2以降、PRA 25.1.1以降へ手動アップグレードが必要。
・Hacktron推計では、インターネット公開インスタンスは約11,000件で、うち約8,500件のオンプレが未適用なら潜在的に危険。
・現時点でCVE-2026-1731の悪用は確認されていないとBeyondTrustは説明。
・前史として、2025年6月にRS/PRAのSSTIに起因する高深刻度脆弱性(未認証RCEに至り得る)を修正。
・さらに2年前、盗難APIキーとゼロデイ(CVE-2024-12356/CVE-2024-12686)を悪用され、RSのSaaS 17インスタンスが侵害。
・その一件は米財務省の侵害に波及し、Silk Typhoon(中国支援)と関連。制裁関連の機微な非機密情報の窃取が疑われ、CFIUSやOFACも標的に。
・CISAは2024年12月19日にCVE-2024-12356をKEVに追加し、米政府機関へ1週間以内の対策を指示。
・BeyondTrustは100超の国で2万社超、Fortune 100の75%に提供。RSは企業向けリモート支援、PRAは特定システム/リソースへの認可制御を担うゲートウェイ。
AIなしのパスワード推測:攻撃者はどうやって標的型ワードリストを作るのか
Original Title: Password guessing without AI: How attackers build targeted wordlists
Published (UTC): 2026-02-09T06:01:11+00:00
要旨(日本語)
・ユーザーは使い慣れた組織内の言葉からパスワードを作りがちで、攻撃者はAIに頼らず文脈言語を集めた標的型ワードリストでこれを突く。
・CeWLは公開Webをクロールして用語を抽出するOSSで、Kali LinuxやParrot OSに標準搭載、攻守双方の参入障壁を下げている。
・汎用辞書では拾えない会社固有のサービス説明・内部表現・業界用語を収集し、利用者の日常語彙に近いリストを作る点が有効性の源泉。
・NIST SP 800-63Bはサービス名やユーザー名など文脈依存語のパスワード利用を禁忌とするが、実運用での施行には攻撃者のワードリスト生成手順の理解が必須。
・CeWLはクロール深度や最小語長を調整でき、抽出語は数字のサフィックス、大小文字切替、記号付与などの規則変形で現実的候補へ拡張される。
・医療機関の例では病院名・所在地・診療内容・略語などが「種語」になり、Hashcat等で大量変形してハッシュ照合し、ライブ認証にはスロットリングやロー&スローで検知/ロックアウトを回避する。
・一般的な複雑性要件は無力になり得る。組織語彙を基にした長く記号を含むパスワードでも推測容易で、Specopsの60億超の漏えいデータ分析がこの傾向を裏付ける。
・防御策1: 組織名・製品名・プロジェクト名・業界語彙や典型的な置換を含む文脈由来パスワードと、既知漏えい済みパスワードをブロック。Specops Password Policyは「40億超のブロック辞書」や「54億超との照合でADを継続監査」と主張。
・防御策2: 最低15文字の予測困難なパスフレーズを必須化し、総当たりや規則変形に強い長さと乱雑さを優先。
・防御策3: MFAを導入(例: Specops Secure Access)し、Windowsログオン/VPN/RDPを保護。パスワード単独の価値を低下させる。
・方針: パスワードを静的なコンプライアンス項目ではなく能動的なコントロールとして扱い、文脈依存・漏えい・推測容易な候補を排除しつつMFAで二重化すると、CeWL型ワードリストの効果を低減できる。Verizon DBIRでは侵害の44.7%に資格情報窃取が関与。
ハッカーが自社ソフトの脆弱性を悪用してSmarterToolsのネットワークに侵入
Original Title: Hackers breach SmarterTools network using flaw in its own software
Published (UTC): 2026-02-09T10:08:58+00:00
要旨(日本語)
・SmarterToolsはWarlockランサムウェアによる侵害を確認。侵入は1月29日、従業員が設置した未更新のSmarterMail仮想マシン(VM)経由で発生。
・同社ネットワークには約30台のSmarterMailサーバ/VMが存在したが、把握漏れの1台が更新されず、それが初期侵入点となった。
・攻撃者はActive Directoryを用いて横展開し、Windows系ツールと永続化手法を使用。Linuxサーバ(インフラの大半)は侵害を免れた。
・影響はオフィスネットワークのWindowsサーバ12台と、ラボ/品質管理/ホスティング用途のセカンダリデータセンターに及ぶ。顧客データや業務アプリは直接の影響なし。
・悪用された脆弱性はCVE-2026-23760(SmarterMail Build 9518未満の認証回避)で、管理者パスワードのリセットと特権取得が可能。
・Warlockは初期侵入から約1週間後に暗号化を試みたが、SentinelOne製品が最終ペイロードの実行を阻止。影響端末は隔離し、最新バックアップから復旧。
・使用ツールにはVelociraptor、SimpleHelp、脆弱なWinRARが含まれ、スタートアップ項目やタスクスケジューラによる永続化も確認。Cisco TalosはVelociraptor悪用を過去に報告。
・Halcyon(2025年10月)はWarlockを中国の国家系アクターStorm-2603に関連付け。ReliaQuestも「中〜高い確度」で同グループ関与を確認。
・ReliaQuestによれば、CVE-2026-23760の認証回避にSmarterMailのビルトインVolume Mount機能を連鎖させ、完全制御を獲得。侵入後にVelociraptorを導入して持続化とランサム準備を実施。
・CVE-2026-24423(CISAが最近アクティブ悪用を注意喚起)への探索も観測。ただし主な侵入経路はCVE-2026-23760。24423はAPI経由のRCEが直接的、23760は管理操作に紛れやすい特性。
・対応策としてSmarterMailはBuild 9511以降への早期アップグレードを推奨。
・同様の活動が一部顧客環境にも波及。未管理資産とパッチ遅延が組織横断の侵害リスクを増大させたことが示唆される。