← ブログに戻る
セキュリティブリーフィング5分で読めます2026-05-07

セキュリティブリーフィング 2026年5月7日:PAN-OSゼロデイ、vm2サンドボックス脱出、MuddyWaterの偽旗作戦、Microsoft AiTMフィッシング

今朝のパターンは一貫しています。攻撃者はシステムの外側にある“信頼された層”――ファイアウォールポータル、サンドボックスのラッパー、コラボレーションの流れ、そして見覚えのあるログイン画面――を悪用して勝っています。


要点:PAN-OS Captive Portal の露出をすぐに制限し、不審コードが動く場所では vm2 を即時更新し、Teams 起点の遠隔アクセスや恐喝事案をスパイ活動として再点検し、クラウド上のコンプライアンス風フィッシングをパスワード窃取ではなくトークン窃取として扱うべきです。


1. PAN-OS Captive Portal は本日最優先のインターネット境界リスク

Palo Alto によれば CVE-2026-0300 は User-ID Authentication Portal にある重大なバッファオーバーフローで、公開された PA-Series / VM-Series ファイアウォール上で未認証の root 権限コード実行を許します。限定的な悪用はすでに始まっており、信頼できない IP 空間から到達可能なら、リスクは今まさに有効です。


2. vm2 は「サンドボックス化された」JavaScript がそれ自体で安全境界ではないと再確認させる

vm2 の CVE-2026-26956 はサンドボックス脱出とホスト上でのコード実行を可能にし、公開 PoC も出ています。影響確認は特定の Node.js 25 環境ですが、教訓はもっと大きい。ユーザー提供 JavaScript を実行する製品では、そのラッパー自体が blast radius の一部です。


3. MuddyWater はランサムウェア劇場でスパイ活動を隠している

Rapid7 関連の報告では、MuddyWater は Microsoft Teams のソーシャルエンジニアリング、画面共有、認証情報窃取、AnyDesk、DWAgent、恐喝メールを使いながら、実際のファイル暗号化は展開しませんでした。Chaos は衣装であり、本体はアクセス獲得・永続化・情報窃取です。


4. Microsoft の conduct-review フィッシングはリアルタイムのトークン窃取向けに設計されている

Microsoft は、偽の内部通知、PDF ルアー、Cloudflare CAPTCHA、そして Microsoft サインインを中継する adversary-in-the-middle ページを用いた 35,000 件超の試行を約 13,000 組織で観測しました。重要なのは、AiTM フィッシングは弱い MFA をパスワードではなくセッショントークン奪取で突破する点です。


昼までにセキュリティチームがやるべきこと

  1. 露出した PAN-OS Captive Portal 面を最優先で閉じるか制限する。
  2. vm2 を更新し、顧客や従業員が共有ホスト上で JavaScript を実行できる経路をすべて見直す。
  3. Teams ベースのソーシャルエンジニアリングをメールフィッシングや vishing と同じプレイブックに入れる。
  4. フィッシング対応を、パスワードリセットだけでなくトークン失効とセッション確認重視へ更新する。

ソース


要するに、今日のパターンは「信頼の反転」です。外向きポータル、サンドボックス実行基盤、コラボレーションツール、見慣れたログイン画面は、ラッパーを制御そのものだと誤解した瞬間に攻撃面になります。

攻撃者が実際に悪用している信頼境界を監査する

KENSAI は、公開ポータル、脆いサンドボックス、危険なリモートアクセス経路、そして実戦的なフィッシング圧力で崩れるアイデンティティフローを見つけるのに役立ちます。

無料スキャンを開始 →

鋭くいきましょう。

🗡️ KENSAI Security Team