今週の気になるセキュリティニュース - Issue #271

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

FBI とインドネシアの法執行機関の協力により、フィッシングサービス W3LL を摘発

(4/10) FBI Atlanta, Indonesian Authorities Take Down Global Phishing Network Behind Millions in Fraud Attempts — FBI


日本を含む 21ヶ国の法執行機関の協力により、DDoS 攻撃代行サービスの 53ドメインを摘発

(4/16) Europol-supported global operation targets over 75 000 users engaged in DDoS attacks - Operation PowerOFF is a global effort aimed at dismantling criminal DDoS-for-hire infrastructure | Europol

On 13 April 2026, 21 countries joined forces in a coordinated action week that focused on enforcement and prevention measures against over 75 000 criminal users engaging in distributed denial-of-service (DDoS)-for-hire services. With over 75 000 warning emails and letters being sent to identified criminal users and 4 arrests, the action week also led to the takedown of 53 domains and the issuing of 25 search warrants.


攻撃、脅威

Socket が不正に情報を窃取する多数の Chrome 拡張機能について報告

(4/13) 108 Chrome Extensions Linked to Data Exfiltration and Sessio...

Socket's Threat Research Team identified 108 malicious Chrome extensions operating as a coordinated campaign under a shared C2 infrastructure at cloudapi[.]stream. The extensions are published under five distinct publisher identities (Yana Project, GameGen, SideGames, Rodeo Games, and InterAlt) and collectively account for approximately 20k Chrome Web Store installs. All 108 route stolen credentials, user identities, and browsing data to servers controlled by the same operator. The extensions remain live at the time of writing. We have submitted takedown requests to the Chrome Web Store security team and Google Safe Browsing.


Microsoft が北朝鮮の攻撃者グループ Sapphire Sleet の攻撃活動について報告

(4/16) Dissecting Sapphire Sleet’s macOS intrusion from lure to compromise | Microsoft Security Blog

Microsoft Threat Intelligence uncovered a macOS‑focused cyber campaign by the North Korean threat actor Sapphire Sleet that relies on social engineering rather than software vulnerabilities. By impersonating a legitimate software update, threat actors tricked users into manually running malicious files, allowing them to steal passwords, cryptocurrency assets, and personal data while avoiding built‑in macOS security checks. This activity highlights how convincing user prompts and trusted system tools can be abused, and why awareness and layered security defenses remain critical.


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 7+2+1 個の脆弱性を追加

(4/13) CISA Adds Seven Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2012-1854 Microsoft Visual Basic for Applications Insecure Library Loading Vulnerability
  • CVE-2020-9715 Adobe Acrobat Use-After-Free Vulnerability
  • CVE-2023-21529 Microsoft Exchange Server Deserialization of Untrusted Data Vulnerability
  • CVE-2023-36424 Microsoft Windows Out-of-Bounds Read Vulnerability
  • CVE-2025-60710 Microsoft Windows Link Following Vulnerability
  • CVE-2026-21643 Fortinet SQL Injection Vulnerability -CVE-2026-34621 Adobe Acrobat and Reader Prototype Pollution Vulnerability

(4/14) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2009-0238 Microsoft Office Remote Code Execution Vulnerability
  • CVE-2026-32201 Microsoft SharePoint Server Improper Input Validation Vulnerability

(4/16) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2026-34197 Apache ActiveMQ Improper Input Validation Vulnerability


Microsoft が 2026年 4月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(4/14) 2026 年 4 月のセキュリティ更新プログラム (月例)

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

  • CVE-2026-33825 Microsoft Defender の特権の昇格の脆弱性
  • CVE-2026-32201 Microsoft SharePoint Server のなりすましの脆弱性

(4/14) Zero Day Initiative — The April 2026 Security Update Review

(4/15) Chaotic Eclipse: Public disclosure, a response for CVE-2026-33825 patch


NIST が NVD に登録される CVE の取り扱い方法について方針を変更

(4/15) NIST Updates NVD Operations to Address Record CVE Growth | NIST


Windows に複数のゼロデイ脆弱性

(4/16) New Microsoft Defender “RedSun” zero-day PoC grants SYSTEM privileges

(4/17) Recently leaked Windows zero-days now exploited in attacks


その他

OpenAI が GPT-5.4-Cyber を発表

(4/14) Trusted access for the next era of cyber defense | OpenAI

We are scaling up our Trusted Access for Cyber (TAC) program to thousands of verified individual defenders and hundreds of teams responsible for defending critical software. For years, we’ve been building a cyber defense program on the principles of democratized access, iterative deployment, and ecosystem resilience. In preparation for increasingly more capable models from OpenAI over the next few months, we are fine-tuning our models specifically to enable defensive cybersecurity use cases, starting today with a variant of GPT‑5.4 trained to be cyber-permissive: GPT‑5.4‑Cyber. In this post, we share how we expect our approach of scaling cyber defense in lockstep with increasing model capabilities to guide the testing and deployment of future releases.


Yahoo! JAPAN ID のログイン方法を「パスキー」に一本化へ

(4/14) Yahoo! JAPAN ID、安全性・利便性向上を目的としてログイン方法を「パスキー」に一本化へ|LINEヤフー株式会社

LINEヤフー株式会社(以下、LINEヤフー)は、Yahoo! JAPAN IDにおいて、より安全で便利なログインを実現するため、ログイン方法を「パスキー」に一本化します。第一段階として、2027年春頃までに「パスワードのみでのログイン」の終了を予定しており(※1)、本日より、パスワードのみでログインしているユーザーに対し、ログイン画面で「パスキー」やSMS認証などの設定案内の表示を開始しました。「パスキー」への移行措置として、SMS認証を使用したパスワードレスログイン、およびパスワードとワンタイムパスワードを組み合わせたログインは当面の間利用できますが、今後の移行状況を踏まえながら段階的に「パスキー」に一本化していきます。


欧州委員会が年齢確認アプリを発表

(4/15) Statement by EVP Virkkunen with President von der Leyen on the digital age verification app


(宣伝) 今年も情報セキュリティ事故対応アワードやります!

第11回 情報セキュリティ事故対応アワード | マイナビニュース