今週の気になるセキュリティニュース - Issue #278

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

転職サイト「女の転職 type」においてリスト型攻撃による不正ログインが発生

(5/30) 転職サイト『女の転職 type』における不正アクセス発生によるお客様の個人情報流出の可能性のお知らせとお詫びについて

社内にて調査した結果、2026 年 5 月 26 日から 28 日にかけて、第三者が外部から取得した情報を利用した「リスト型アカウントハッキング(リスト型攻撃)」によるものと推測される、不正なログイン操作が行われたことを確認いたしました。不正ログイン試行回数は 1,141,828 件、そのうち不正ログインされたものが 38,442 件(ユニークユーザー数 18,253 名)あり、ログイン後に一部の会員情報ページが閲覧されたおそれがございます。

(6/1) 【重要】不正ログイン発生に伴うパスワード再設定のお願い(2026/05/30)


GMOペイメントゲートウェイの決済サービスで 5/27〜6/4 に断続的に複数回の障害が発生

(6/1) 決済サービス障害に関するお知らせ|GMOペイメントゲートウェイ

(6/4) 決済サービス復旧に関するお知らせ|GMOペイメントゲートウェイ


Instagram で Meta AI support assistant を悪用したアカウント乗っ取り被害が発生

(6/1) Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts – Krebs on Security

(6/1) Instagram Meta AI Vulnerability: How Hackers Bypassed 2FA with Prompt Injection | The CyberSec Guru

(6/2) Instagram users locked out after Meta AI abused to steal accounts

(6/3) Instagram著名アカウントが相次ぎ乗っ取られる 原因はMetaのAIサポートか - CNET Japan


パスワードマネージャの Dashlane でブルートフォース攻撃により少数のアカウントに侵害が発生

(6/1) Security advisory: Brute force attack on Dashlane user accounts – Dashlane

(6/4) Can't make sense of Dashlane's vault theft notification? You're not alone. - Ars Technica


牧之原市立相良中学校においてサポート詐欺による不正送金被害が発生

(6/1) 相良中学校におけるインターネット詐欺被害について - 牧之原市ホームページ


米財務省がイランの暗号資産取引所に対して制裁

(6/2) Economic Fury Targets Iran’s Largest Digital Asset Exchange for Terror Finance and Sanctions Evasion | U.S. Department of the Treasury

Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) designated Nobitex, Iran’s largest digital asset exchange, along with three other Iranian digital asset exchanges, as part of Economic Fury and the Trump Administration’s efforts to eliminate the threat posed by the Iranian regime.

(6/3) OFAC sanctions Nobitex and three other Iranian cryptoasset exchanges


国内の多数の Webサイトで不審な認証画面の表示に関する注意喚起

(6/2) ・不審な認証画面の表示について(6月3日更新) | お知らせ| 無印良品

当サイトの一部ページにおいて、外部サービス(polyfill.io)を経由し、不審な認証画面が表示される事象が発生していた可能性があることを確認いたしました。

(6/2) 【重要なお知らせ】不審なサインイン画面について | 東芝

(6/3) お知らせ -お客様情報登録フォームにおける意図しない認証画面表示に関するお詫びとお知らせ|SPI3 リクルートMSの適性検査

(6/4) 東芝や無印良品など、複数の企業で「不審なログイン画面」 各社が注意呼びかけ 「polyfill io」経由か - ITmedia NEWS


転職情報サービス「ミドルの転職」においてリスト型攻撃による不正ログインが発生

(6/5) 「ミドルの転職」への不正アクセス発生に関するお詫びとご報告 | エン株式会社(en Inc.)

2026年6月2日、「ミドルの転職」のWebサーバーにおいて不正なログインを検知。社内調査の結果、2026年5月26日~6月2日の期間、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使った不正ログイン(リスト型アカウントハッキング※)が発生し、一部のユーザー様の会員情報ページにアクセスされた可能性があることが判明しました。そのため、同日、不正ログインを試行していた送信元IPアドレス群からの通信を速やかにブロックするとともに、セキュリティ対策の強化を行いました。また、所轄警察署への通報・相談、および個人情報保護委員会への報告をしております。


攻撃、脅威

フィッシング対策協議会がフィッシングレポート 2026 を公開

(6/1) フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 資料公開: フィッシングレポート 2026 公開のお知らせ


フィッシング対策協議会がフィッシング対策ガイドラインを改定

(6/1) フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 資料公開: フィッシング対策ガイドライン改定のお知らせ


Red Hat の複数の npm パッケージでサプライチェーン攻撃が発生

(6/2) RHSB-2026-006 Supply chain compromise of @redhat-cloud-services npm packages | Red Hat Customer Portal

(6/1) Red Hat npm Packages Compromised to Spread a Credential-Stealing Worm

(6/1) Mini Shai-Hulud Campaign Hits Red Hat Cloud Services npm Packages

(6/2) Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign | Microsoft Security Blog


npm の複数のパッケージでサプライチェーン攻撃が発生

(6/3) Miasma npm Supply Chain Attack: Self-Spreading Worm via Phantom Gyp - StepSecurity

(6/4) How 56 npm packages used binding.gyp to steal CI/CD secrets | RL Blog


Proofpoint が攻撃者グループ TA4922 の攻撃活動について報告

(6/3) TA4922: The Suspected Chinese Crime Group is Going Global | Proofpoint US


FBI ほか Five Eyes が共同で、中国の情報機関による情報収集活動に関する注意喚起

(6/3) SAFEGUARDING OUR SECRETS_DIGITAL

(6/5) 中国のスパイが採用担当者装い機密情報収集、西側諸国の機関が警告 写真1枚 国際ニュース:AFPBB News


Google などが攻撃者グループ UNC3753 (Silent Ransom Group) の攻撃活動について報告

(6/5) Resecurity | Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure

(6/6) Ongoing Targeted Campaign Against US Law Firms | Google Cloud Blog


ラックが PoisonXドライバを用いた日本組織への攻撃キャンペーンを報告

(6/4) PoisonXドライバを用いた日本組織への攻撃キャンペーン | LAC WATCH


Volexity が攻撃者グループ VerdantBamboo の攻撃活動について報告

(6/4) VerdantBamboo: Just Another BRICKSTORM in the Firewall | Volexity


PyPI の複数のパッケージでサプライチェーン攻撃が発生

(6/7) Shai-Hulud Descends to Hades: Miasma Worm Campaign Spreads w...


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+1+1 個の脆弱性を追加

(6/1) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-21182 Oracle WebLogic Server Unspecified Vulnerability

(6/2) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2022-0492 Linux Kernel Improper Authentication Vulnerability
  • CVE-2025-48595 Android Framework Integer Overflow Vulnerability

(6/3) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2026-45247 Mirasvit Full Page Cache Warmer Deserialization of Untrusted Data Vulnerability

(6/5) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2026-28318 SolarWinds Serv-U Uncontrolled Resource Consumption Vulnerability


Android が複数の脆弱性を修正。すでに悪用が確認されている脆弱性を含む。

(6/1) Android Security Bulletin—June 2026 | Android Open Source Project

There are indications that CVE-2025-48595 may be under limited, targeted exploitation.


Cisco がセキュリティ情報の開示を 7月から月 2 回に変更

(6/2) Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery - Cisco Blogs

Starting in July, and for the foreseeable future, we are moving to a scheduled, twice-monthly security disclosure model, paired with seven days of advance notification of which technologies will be covered in each release. This is a deliberate, engineered response to a structural change in the threat landscape, not a reaction to any single incident. This is a hardening program run at scale, with the discipline customers expect from infrastructure they depend on.


HTTP/2 の複数の実装にサービス妨害可能な脆弱性

(6/3) Codex Discovered a Hidden HTTP/2 Bomb - Calif

(6/4) One HTTP/2 Bomb to break them all

(6/5) 【重要】HTTP/2の脆弱性対策に伴う、サーバー設定一時変更のお知らせ(2026年6月5日18:45追記) | さくらインターネット

本脆弱性への暫定対策として、弊社では対象サービスにおけるHTTP/2を一時的に無効化し、HTTP/1.1への切り替えを実施いたしました。


Cisco Catalyst SD-WAN に権限昇格の脆弱性。すでに悪用が確認されている

(6/4) Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability

In June 2026, the Cisco Product Security Incident Response Team (PSIRT) became aware of exploitation of this vulnerability.

To exploit this vulnerability, an attacker must have netadmin privileges on an affected system. This would require valid credentials or exploitation of CVE-2026-20182 or CVE-2026-20127. Cisco is not aware of successful exploitation by other methods.


その他

Anthropic が Project Glasswing のパートナーを初期の 50組織から 15ヶ国以上の 150組織に拡大

(6/2) Expanding Project Glasswing \ Anthropic

(6/2) 「ミュトス」利用、日本の金融機関も 150社・組織が新たに対象―米アンソロピック:時事ドットコム


トランプ大統領が AI に関連する大統領令に署名。フロンティア AI モデルのリリース前に政府のアクセスを求める

(6/2) Promoting Advanced Artificial Intelligence Innovation and Security – The White House

(6/6) 見送りから一転、トランプがAI大統領令に署名した理由 | WIRED.jp