MENU
お問い合わせ
  1. ホーム
  2. セキュリティレポート
  3. セキュリティレポート 2026/6/4

セキュリティレポート 2026/6/4

セキュリティレポート

生成AIが仕事の効率を上げてくれる時代ですが、残念なことにそれはサイバー犯罪の現場にとっても同じなようです。

今週はAIを悪用した巧妙な攻撃に加え、Androidのゼロデイ脆弱性や国内での大規模な情報漏洩など、見過ごせないセキュリティリスクが重なっています。

自社の安全を守るために「今、何をチェックすべきか」、最新の動向をさっそく確認していきましょう。

■ 今週のエグゼクティブサマリー

2026年6月第1週は、Android OSやネットワーク機器(PAN-OS)における「既に悪用が確認されている脆弱性」が複数報告されており、特に注意が必要です。

これらは、外部から不正にシステムへ侵入されたり、端末の制御を完全に奪われたりする点で非常に危険性が高いです。

また、AIを悪用して攻撃を効率化させる攻撃グループ「GreyVibe」の活動も報告されており、国内では数百万件規模の個人情報漏洩や、自治体でのPC盗難による情報紛失などの深刻なインシデントが多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSS(脆弱性の深刻度)スコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Android OSの権限昇格の脆弱性

  • CVE-2025-48595 (CVSSスコア: 高): OSの基盤部分に起因し、攻撃者が端末の制限を回避して不正な操作を行う恐れがあります。既に限定的かつ標的型の攻撃で悪用されていることが確認されています。
  • 影響: Android 端末(スマートフォン、タブレット等)
  • 対策: Googleより公開された2026年6月の月例セキュリティアップデート(計122件の修正を含む)を速やかに適用してください。

■ Palo Alto Networks製 PAN-OSの認証回避の脆弱性

  • CVE-番号未特定 (CVSSv3.1: 9.1以上): VPN機能の認証をバイパス(回避)される恐れがあり、攻撃者が企業ネットワークへ不正侵入する足掛かりとなる危険があります。既に野外で悪用が確認されており、米当局(CISA)の「悪用が確認済みの脆弱性カタログ」にも追加されました。
  • 影響: PAN-OSを搭載したファイアウォール製品等
  • 対策: メーカーが提供する最新の修正パッチを適用するか、公開されている回避策を直ちに実施してください。

■ Cisco Unified Communications Manager (Unified CM) の脆弱性

  • CVE-番号未特定 (重要度: クリティカル): システムの制御権を奪われる可能性がある深刻な脆弱性です。既に実証コード(攻撃が可能であることを示すプログラム)が公開されており、攻撃を受けるリスクが非常に高まっています。
  • 影響: Cisco Unified CM を利用しているIP電話システム等の環境
  • 対策: 修正済みソフトウェアへのアップグレードを強く推奨します。

【その他の脅威の動向】

国内での大規模な個人情報漏洩と紛失インシデント

国内では今週、過去最大級のインシデントが複数判明しました。ユニバーサルミュージックのECサイトが不正アクセスを受け、約310万件の個人情報が流出した可能性があると発表されました。また、沖縄県浦添市では、市民約11万人分の個人情報を保存したノートPC 83台が盗難に遭う事件が発生しています。これらは、システムの脆弱性だけでなく、物理的な管理体制や委託先の管理も極めて重要であることを示しています。

AIを武器にするサイバー攻撃の顕在化

ロシアに関連すると見られる攻撃グループ**「GreyVibe」**が、OpenAIのChatGPTなどのAIツールを悪用して、攻撃メールの作成や不正なプログラム(ペイロード)の開発を行っている実態が詳細に報告されました。また、Meta社のAIサポートチャットボットが操作され、著名人のInstagramアカウントが乗っ取られる事案も発生しています。AIは防御側だけでなく、攻撃者にとっても強力な武器となっているのが現状です。

世界規模のボットネット摘発(1,700万台規模)

オランダ警察などの国際共同捜査により、世界中で約1,700万台のデバイス(PC、スマホ等)を感染させていた巨大なボットネットが解体されました。このボットネットは、サイバー犯罪者が身元を隠すための「プロキシサービス」として悪用されていました。自身のデバイスが知らないうちに犯罪に加担させられないよう、基本的なウイルス対策の継続が必要です。

最後に

今週は特に、「既に悪用されている既知の弱点」を突く攻撃と、国内組織における物理・管理面での不備が目立ちました。

貴社のシステムが最新のパッチを適用しているか、また重要情報を扱う端末の持ち出しルールなどが形骸化していないか、今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。

最新記事一覧

MPSのメディア

note

弊社エンジニアの活動報告やインタビューなどを掲載しているブログです。

noteを見る

各種SNSも運用しています。以下のボタンよりご覧ください。

Facebook
Linkdin
セキュリティレポート