Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(5/7)★

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

 

■国内情報

Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

JPCERT コーディネーションセンター Weekly Report

【セキュリティ ニュース】「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ(1ページ目 / 全2ページ):Security NEXT

「PayPay」送金に誘導する詐欺メールが急増 注意を | NHKニュース

CISA、KEVカタログにScreenConnectとWindowsの脆弱性2件を追加 悪用を確認済:セキュリティニュースアラート - ITmedia エンタープライズ

ASCII.jp:グーグルChromeに“重大”な脆弱性

JVNVU#91813693: IDrive Cloud Backup Client for Windowsにおける権限昇格の脆弱性

JVNVU#98147762: CISA ICS Advisory / ICS Medical Advisory(2026年04月28日)

JVN#65118274: リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)におけるオープンリダイレクトの脆弱性

JVNVU#96268711: CISA ICS Advisory / ICS Medical Advisory(2026年04月30日)

 

■海外情報

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の悪用された脆弱性を1件カタログに追加)

CVE-2026-41940  WebPros cPanel & WHMおよびWP2(WordPress Squared)における重要機能の認証欠落の脆弱性

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の悪用された脆弱性を1件カタログに追加)

CVE-2026-31431 Linuxカーネルにおけるスフィア間の不適切なリソース転送の脆弱性

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の悪用された脆弱性を1件カタログに追加)

CVE-2026-0300  Palo Alto Networks PAN-OS 境界外書き込みの脆弱性

A critical Palo Alto PAN-OS zero-day is being exploited in the wild | CyberScoop (Palo Alto NetworksのPAN-OSにおける重大なゼロデイ脆弱性が実際に悪用されている)

Palo Alto Networks to Patch Zero-Day Exploited to Hack Firewalls - SecurityWeek (パロアルトネットワークス、ファイアウォールをハッキングするために悪用されたゼロデイ脆弱性を修正するパッチを公開)

Oracle Debuts Monthly Critical Security Patch Updates - SecurityWeek (オラクルが月例の重要セキュリティパッチアップデートを発表)

Critical Remote Code Execution Vulnerability Patched in Android - SecurityWeek (Androidにおける重大なリモートコード実行の脆弱性が修正されました)

Critical Apache HTTP/2 Flaw (CVE-2026-23918) Enables DoS and Potential RCE (Apache HTTP/2の重大な脆弱性(CVE-2026-23918)により、DoS攻撃およびリモートコード実行の可能性が生じる)

Ongoing supply chain attacks worm into SAP npm packages (終わりのないサプライチェーン攻撃はSAP npmパッケージやその他の開発ツールに侵入する)

Supply chain attack via DAEMON Tools | Kaspersky official blog (DAEMON Tools を介したサプライチェーン攻撃)

Root-level RCE vulnerability in Palo Alto firewalls exploited (CVE-2026-0300) - Help Net Security (Palo Altoファイアウォールにおけるルートレベルのリモートコード実行(RCE)脆弱性が悪用される(CVE-2026-0300))

Palo Alto warns of critical software bug used in firewall attacks | The Record from Recorded Future News (パロアルトはファイアウォール攻撃に悪用される重大なソフトウェアバグについて警告を発する)

Hackers abuse Google ads for GoDaddy ManageWP login phishing (ハッカーがGoogle広告を悪用し、GoDaddy ManageWPのログインをフィッシングする)

DAEMON Tools devs confirm breach, release malware-free version (DAEMON Toolsの開発者が情報漏洩を認め、マルウェアのないバージョンをリリース)

New stealthy Quasar Linux malware targets software developers (新たな巧妙なQuasar Linuxマルウェアがソフトウェア開発者を標的に)

Trojanized Tools: DAEMON Tools Supply Chain Attack Compromises Global Systems (トロイの木馬化されたツール:DAEMONツールによるサプライチェーン攻撃がグローバルシステムを侵害)

Microsoft Defender Flaw Erased DigiCert Root Certificates and Paralyzed Windows Systems (Microsoft Defenderの脆弱性によりDigiCertのルート証明書が消去され、Windowsシステムが麻痺した)

GitOps Security Breach: Critical 9.6 CVSS Argo CD Flaw Exposes Plaintext Kubernetes Secrets (GitOpsのセキュリティ侵害:CVSSスコア9.6のArgo CDの脆弱性により、Kubernetesの機密情報が平文で漏洩)

Exploited in the Wild: Critical PAN-OS Buffer Overflow Grants Root Access to Palo Alto Firewalls (実環境で悪用される:PAN-OSの重大なバッファオーバーフローにより、Palo Altoファイアウォールへのルートアクセス権限が付与される)

5.7 Million Users at Risk: Multiple 9.8 CVSS Breakthroughs Enable Remote Code Execution in vm2 Sandbox (570万人のユーザーが危険にさらされる:複数のCVSS 9.8の脆弱性により、vm2サンドボックスでリモートコード実行が可能に)

Five Eyes warn agentic AI is too dangerous for rapid rollout (ファイブ・アイズ加盟国の諜報機関は、エージェント型AIの急速な展開は危険すぎると警告している)

Critical cPanel exploited: 'Millions' of sites could be hit (cPanelの重大な脆弱性の被害に関する最初の報告が入り、数百万のサイトが影響を受ける可能性がある)

AI digs up decades of code debt. Patch up. (パッチ津波に備えよ:AIが数十年にわたる埋もれたコード負債を掘り起こす)

'CopyFail' attackers start cashing in on Linux flaw (攻撃者たちは、Linuxの新たな脆弱性「CopyFail」を利用して利益を得ている)

India orders infosec red alert in case Mythos sparks crime (インド、Mythosが犯罪の連鎖を引き起こす可能性に備え、情報セキュリティに関する厳戒態勢を敷く)

Microsoft Warns of Sophisticated Phishing Campaign Targeting US Organizations - SecurityWeek (マイクロソフト、米国企業を標的とした巧妙なフィッシング攻撃について警告)

 

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します(タイトルの★が更新目印となります))

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2026年5月7