CVE-2026-5281 Chromiumベースの製品の脆弱性

CVE-2026-5281 (04/01)

『Google Dawn には、レンダリング処理を不正に操作したリモート攻撃者が、細工したHTMLページを介して任意のコードを実行できる可能性がある、Use-After-Freeの脆弱性（解放されたメモリを再使用宣言なく使用する脆弱性）があります。』以上機械翻訳と手直し少々

KEV Catalog (04/01)

『この脆弱性は、Google Chrome、Microsoft Edge、Opera などを含む複数のChromiumベースの製品に影響を与える可能性がある』　以上機械翻訳

「Google Chrome 146」には脆弱性の修正も ～深刻度「Critical」を含む29件に対処 - 窓の杜 (03/12)

『Windows環境ではv146.0.7680.71/72が展開中

　・・・

深刻度の最大評価は、4段階中最高の「Critical」。』

「Microsoft Edge」にゼロデイ脆弱性、WebGPU実装「Dawn」の欠陥を突く攻撃が確認 - 窓の杜 (04/06)

『修正版のv146.0.3856.97が展開中、できるだけ早い適用を

　・・・

　深刻度の最高評価は、4段階中上から2番目の「High」。なかでも、WebGPU実装「Dawn」で発見された解放後メモリ利用（Use after free）の脆弱性 「CVE-2026-5281」はすでに悪用が確認されており、警戒が必要だ。できるだけ早いアップデートをお勧めする。』

FortiClient EMS API認証および認証バイパス

https://fortiguard.fortinet.com/psirt/FG-IR-26-099

「FortiClient EMSの不適切なアクセス制御脆弱性[CWE-284]により、認証されていない攻撃者が不正なコードやコマンドを細工されたリクエストで実行できるようになる可能性があります。

フォーティネットはこれを実際に悪用する点を指摘しており、脆弱な顧客に対して、以下の手順に従って、FortiClient EMS 7.4.5および7.4.6のホットフィックスをインストールするよう呼びかけています。」　以上機械翻訳

Claude Mythos Preview

Anthropicが警鐘を鳴らすAI時代のサイバー脅威　企業が採用すべき対策とは：セキュリティニュースアラート - ITmedia エンタープライズ (04/15)

『

AI加速型攻撃への対抗策　組織が直面する課題と実践的な防御実装とは

パッチ適用の遅延解消（最優先事項）

• 既知の脆弱性は公開後すぐに悪用手法が確立されるため、インターネット公開システムでは24時間以内の対応が望ましい
• 米国の既知悪用脆弱性カタログや確率指標を活用し、適切な優先順位を付ける

脆弱性報告の急増への備え

• 報告件数が桁違いに増えることを見込み、受付・分類・修正管理の仕組みを根本から見直す
• オープンソース依存関係の安全性評価や、ベンダーに対しても同水準の対策を求める
• AIを報告の重複整理、影響分析、修正チケット作成などに役立てる

出荷前の欠陥検出体制の強化

• 静的解析、AIによるコードレビュー、継続的テストの導入によって問題の早期発見を図る
• ビルド工程の保護や安全設計の原則を採用し、新規開発ではメモリ安全性の高い言語を利用する

既存コードの再検証

• 長期間運用されているシステムには未発見の問題が残る可能性が高いため、AIによる再分析を実施する
• 特に外部入力処理や認証関連など、影響の大きい箇所から優先的に調査する

侵入を前提とした設計

• 侵入を完全に防ぐことは困難なため、ゼロトラストの採用、ハードウェア認証、短期間で失効するトークンの利用などで被害範囲を限定する

公開資産の把握と削減

• 接続資産を正確に把握し、不要なシステムを停止して攻撃面を縮小させる
• AIを活用して未使用コードや不要なサービスを特定し、模擬攻撃による検証を実施する

インシデント対応の迅速化

• アラートの初期分析や記録作成をAIに任せ、人間が判断に集中できる体制を構築する
• 複数の同時事案を想定した訓練や、検知能力の可視化を重視する

脆弱性報告の質の確保

• AI生成の報告が増える中で、人間による検証、再現手順、修正案の提示を不可欠とし、信頼性を確保する

専門部門を持たない組織向けの対策

• 自動更新の有効化、マネージドサービスの利用、ハードウェア認証の導入を推奨
• コードホスティングサービスが提供する無料のセキュリティ機能を積極的に活用する

　同社は今後もパートナーとの取り組みを通じて指針を更新するとしており、AI時代における防御戦略の継続的な見直しの必要性を強調している。

』

関連

Claude Mythosの衝撃 (04/11)

Device code attacks #2

Q. 先の記事の"デバイス"と手法を紹介しているビデオはありますか?
A. デバイスコードフィッシングの攻撃手法を、実際の操作画面（デモ）を交えて解説している非常にわかりやすい動画がいくつかあります。

英語の動画が中心ですが、攻撃者がどのようなツールを使い、被害者がどのように騙されるのかという「攻撃の流れ」が視覚的に理解できるものを紹介します。

1. 攻撃と対策の全行程がわかるデモ（おすすめ）

動画タイトル：YOU NEED TO BLOCK THIS (Device Code Auth in M365)

（チャンネル：diecknet EN / 約9分）

この動画では、攻撃者側と被害者側の両方の画面を並べてデモを行っています。

• 攻撃のデモ (01:21〜): 1. 攻撃者がコマンドラインツール（TokenTactics）を実行し、正規の「デバイスコード」と「認証URL」を取得します。

  2. 攻撃者が被害者に「システム確認のためにコードを入力してください」といった偽のメッセージを送ります。

  3. 被害者が**公式サイト（microsoft.com/devicelogin）**にアクセスし、送られてきたコードを入力します。

  4. 被害者が「続行」を押すと、攻撃者の手元にあるツールに「認証済みトークン」が届き、パスワードなしでアカウントが乗っ取られる様子が映し出されます。

• 対策の解説 (04:37〜): * Microsoft Entra ID（旧Azure AD）の設定で、この「デバイスコードフロー」自体をブロックする方法を解説しています。

2. 「MFA（多要素認証）が効かない」ことを強調したデモ

動画タイトル：How to Stop Device Code Flow Attacks in Entra

（チャンネル：Threatscape / 約5分）

この動画のポイントは、被害者が**「物理セキュリティキー（FIDO2）」という非常に強固な認証を使っているにもかかわらず、攻撃が成功してしまう**ことを実演している点です。

• 見どころ (02:01〜): 被害者が指紋認証や物理キーで「正しくログイン」したその瞬間に、攻撃者がトークンを奪取してメールやファイルにアクセスできるようになる流れが非常にスピーディーに示されています。

---

動画で示されている共通の「攻撃の流れ」まとめ

これらのデモ動画を見ると、以下の3ステップがこの攻撃の核心であることがわかります。

1. 「本物のサイト」へ誘導する: 偽サイトではなく、MicrosoftやGoogleの本物のログインページにコードを入力させるため、被害者は警戒心を解いてしまいます。

2. ログイン後の「権限」を奪う: ユーザーがログインを完了すると、その「ログイン済みの状態（トークン）」が攻撃者のマシンに転送されます。

3. パスワード・MFAをバイパス: ユーザーが自分でMFAを突破して「許可」ボタンを押してしまうため、どれほど強固な認証を設定していても防げません。

より専門的・技術的な詳細に興味がある場合は、2025年のハッカーカンファレンスでの講演**「DEFCON33 - Turning Microsoft's Login Page into our Phishing Infrastructure」**も、この手法がどのように悪用されているかを深く掘り下げており、非常に参考になります。

Device code phishing attacks have skyrocketed: here’s what you need to know

https://pushsecurity.com/blog/device-code-phishing/ (04/04)

いつものセキュリティホールmemoさんの記事で気になったので、後で読むためのメモ。

https://www.st.ryukoku.ac.jp/~kjm/security/memo/2026/04.html#20260407_devicecode

◆悪用成立シナリオをAIに訊いてみた◆

RFC 8628で定義されている OAuth 2.0 Device Authorization Grant（デバイスフロー） において、攻撃者がターゲットのアカウントを乗っ取る操作手順を簡潔にまとめます。

この攻撃の核心は、「正規のログイン手順の中に、攻撃者のデバイスを紛れ込ませる」 ことにあります。

---

悪用の操作手順

1. 攻撃者によるコード取得
   攻撃者は自分のデバイスから認証サーバーへリクエストを送り、**ユーザーコード（例: ABC-123）**を取得します。
2. 被害者へのフィッシング（誘導）
   攻撃者は「セキュリティ確認のため」や「特典の受け取り」などの口実を使い、被害者に以下の2点を伝えます。
• 正規の認証用URL（例: google.com/device）にアクセスすること
• 攻撃者が取得したユーザーコードを入力すること
3. 被害者による承認
   被害者は、URL自体が本物であるため安心してアクセスし、指示されたコードを入力します。その後、自分のID/パスワードでログインし、「デバイス（実際は攻撃者のもの）のアクセスを許可しますか？」という画面で「はい」を押してしまいます。
4. 攻撃者によるトークン奪取
   被害者が承認した瞬間、攻撃者のデバイスがポーリング（待機）していた認証サーバーからアクセストークンが発行されます。これにより、攻撃者は被害者のパスワードを知ることなく、アカウントへアクセス可能になります。

---

なぜこれが成り立つのか？

このフローでは、**「コードを入力している人間（被害者）」と「実際にログインしようとしているデバイス（攻撃者）」**が同一人物であることを確認する仕組みが欠けているため、このような「コードのすり替え」が成立してしまいます。

ポイント:

攻撃の成功には、被害者に「偽のサイト」ではなく、**「本物のサイトに、攻撃者のコードを入力させる」**というソーシャルエンジニアリング（騙しのテクニック）が不可欠です。

なお、各種アプリのすべての機能を使用するには、Gemini アプリ アクティビティを有効にする必要があります。

シャドーAIによる誤認逮捕

AI顔認識による誤認逮捕で5カ月勾留、行ったこともない州の事件の「容疑者」に　米(1/2) - CNN.co.jp (03/30)

『「ウェストファーゴの関係機関は、我々の上層部が認識していない独自のAI顔認識システムを調達した。我々はその使用を認めておらず、その後使用を禁止した」とファーゴ警察のデイブ・ジボルスキー署長は話している。

　・・・

ファーゴでは弁護士が選任され、犯行時刻にリップスさんがテネシー州にいたことを証明する銀行記録が見つかった。ファーゴ警察によると、州検察は12月12日、「無実を証明し得る証拠」が弁護士から提出されたとファーゴ警察に通知した。』

弁護士が証拠を提出できていなければ、有罪確定だったのか? 案外司法が未成熟!?

Progress ShareFile にリモートコード実行可能な脆弱性

Security Vulnerability Fix For ShareFile Storage Zones Controller 5.x (February 2026) (04/06)

『Progress ShareFile チームは最近、お客様が管理するゾーンの ShareFile Storage Zones Controller v5 バージョンのデプロイメントに重大なセキュリティ脆弱性があることを確認しました。現在のところ、これらの脆弱性が悪用されたという報告は受けておりません。

これらの脆弱性は、認証されていないリモートの攻撃者がオンプレミスのストレージゾーンコントローラーの設定ページにアクセスすることを可能にし、システム設定の変更やリモートコードの実行につながる可能性があります。』 以上機械翻訳

You’re Not Supposed To ShareFile With Everyone (Progress ShareFile Pre-Auth RCE Chain CVE-2026-2699 & CVE-2026-2701) (04/02)

『私たちは Progress ShareFile のフィンガープリントをスキャンとレポートに追加し、2026-04-02 に公開された 784 のユニーク IP を確認しました。最近、@watchtowrcyber が ShareFile に影響を及ぼす RCE CVE-2026-2699 & CVE-2026-2701 悪用チェーンの詳細を公開しました。最新のパッチを必ず適用してください！ pic.twitter.com/aVvl83pzt4
- Shadowserver Foundation (@Shadowserver) April 3, 2026 』

April 3, 2026 nekono_nanomotoni (@nekono_naha)

『Progress社ShareFileで認証前RCEに繋がる脆弱性の詳細PoCが公開されたため公開サーバを調査。グローバルで642台を発見し内18.1%の116台が脆弱性の影響を受ける可能性あり。同社製品は様々なものが過去何度も悪用されており今回も遅かれ早かれITWになると予想。日系へ影響小https://t.co/wUTDlr8teR pic.twitter.com/AzI6i2FkXW』

NVD - CVE-2026-2699 

『Customer Managed ShareFile Storage Zones Controller (SZC) allows an unauthenticated attacker to access restricted configuration pages. This leads to changing system configuration and potential remote code execution.

　・・・

CNA:  Progress Software Corporation

Base Score: 

9.8 CRITICAL』

NVD - CVE-2026-2701

『Authenticated user can upload a malicious file to the server and execute it, which leads to remote code execution.

　・・・

CNA:  Progress Software Corporation

Base Score: 

9.8 CRITICAL』