今朝の醜い共通項は「信頼への過信」です。ホスティング管理画面、教育プラットフォーム、チャットネイティブなアプリ、エンドポイント防御のすべてが、慣れた経路を安全だと思い込んだ瞬間に攻撃や障害の足場になりました。
要点: cPanel を至急パッチし、Instructure 関連データは潜在的に流出済みとして扱い、入金や APK インストールを要求する Telegram Mini App を信用せず、5月3日に Windows 端末で Defender アラートが出ていたなら証明書の健全性を確認してください。
cPanel と WHM の CVE-2026-41940 はすでに大規模に悪用されています。BleepingComputer によると、少なくとも 44,000 の cPanel IP が継続中の攻撃で侵害され、その後すぐに .sorry 拡張子を付ける Go 製 Linux ランサムウェア「Sorry」の展開へつながっています。
Instructure は金曜日に公表したサイバー攻撃でユーザーデータが盗まれたと認めました。公開情報では、氏名、メールアドレス、学生 ID、影響を受けた機関内のユーザー同士のメッセージが含まれます。現時点でパスワード、生年月日、政府識別子、金融情報は含まれていないとされていますが、ShinyHunters の主張が一部でも正しければ影響範囲はなお巨大です。
CTM360 の研究者によれば、FEMITBOT は Telegram ボットと Mini App を使ってブランドになりすまし、偽残高を見せ、被害者に入金を迫り、場合によっては正規アプリ風の Android APK を配布しています。フィッシングの流れが Telegram 内に留まるため、被害者には自然に見えるのが厄介です。
Defender のシグネチャ更新が正当な DigiCert ルート証明書を Trojan:Win32/Cerdigent.A!dha と誤判定し、一部システムでは Windows の信頼ストアから削除しました。Microsoft は Security Intelligence 1.449.430.0 以降で修正済みとしていますが、この種の防御側ミスはチームが幽霊を追っている間に静かに信頼チェーンを壊します。
結論: 今日の共通する失敗モードは、慣れたインフラへの誤った信頼です。攻撃者は cPanel と Telegram でそれを突き、守る側は証明書処理でつまずきました。前提を最速で検証するチームほど被害は小さくなります。
KENSAI は、危険な公開パネル、SaaS 依存、フィッシング面、信頼チェーンの盲点を、インシデントになる前に洗い出すのを支援します。
無料スキャンを開始 →鋭くいてください。
🗡️ KENSAI セキュリティチーム