本日の共通テーマは、「修正は存在する」ことと「修正が実際に適用されている」こととの間のギャップです。悪用が確認された2件の Defender 脆弱性に連邦政府の修正期限が到来し、Android は実際に悪用されている欠陥を修正し、GitHub のバックエンド RCE は大多数の自己ホスト型インスタンスで依然として未修正のままで、そして個人情報の流出は、暴露されたデータがどの単一のパッチサイクルよりも長く残ることを誰もに思い出させます。
要点:2件の Microsoft Defender CVE に対する CISA KEV 期限を満たし、積極的に悪用されている Framework の欠陥を塞ぐ6月の Android 更新を配信し、まだパッチを当てていない88%に該当する場合は CVE-2026-3854 に対して GitHub Enterprise Server を修正し、報じられた Grindr の流出を単なるプライバシーのニュースとしてではなく、認証情報のローテーションとアカウント乗っ取りの問題として扱ってください。
CISA は CVE-2026-41091 と CVE-2026-45498 を既知の悪用された脆弱性(KEV)カタログに追加し、連邦民間機関に対して2026年6月3日の修正期限を設定しました。CVE-2026-41091(CVSS 7.8)は攻撃者に SYSTEM 権限を取得させ、CVE-2026-45498(CVSS 4.0)は Defender に影響するサービス拒否の欠陥です。KEV への掲載は、悪用が理論上のものではなく現実であることを示す最も明確なシグナルです。
Google の2026年6月の Android 更新は124件の脆弱性を修正し、そのなかには積極的に悪用されている高深刻度の Framework 欠陥 CVE-2025-48595(CVSS 8.4)が含まれます。これはユーザー操作なしで権限昇格を可能にします。操作不要の権限昇格は最も危険な種類です。なぜなら「リンクをクリックしないで」という防御アドバイスを対策として無効化してしまうからです。
Wiz が公開した CVE-2026-3854 は、GitHub の内部 Git インフラにある深刻なリモートコード実行の欠陥です。認証済みユーザーが一度 git push を行うだけで、数百万の公開・非公開リポジトリにアクセスできるバックエンドノード上で任意のコマンドを実行できます。GitHub.com は報告された当日に修正され、実環境での悪用は確認されていませんが、公開時点で GitHub Enterprise Server インスタンスの約88%が未修正のままでした。
2026年6月3日に報告された情報漏えいは、Grindr ユーザーのパスワードと位置情報を暴露したとされています。まだ確認されていなくても、暴露された認証情報と正確な位置履歴は高い影響を持ちます。パスワードは複数のサービスで使い回され、位置情報はこの機微なユーザー層に現実の身体的安全とゆすりのリスクをもたらします。
結論:本日のリスクは修正が欠けていることではなく、パッチの遅延と不可逆な暴露です。KEV 期限、モバイル更新、自己ホスト型バックエンドは適用されて初めてあなたを守り、流出した ID データは決して取り戻せません。
KENSAI はチームが攻撃面上の未修正のエッジソフトウェア、暴露された自己ホスト型インフラ、脆弱な ID フロー、認証情報の使い回しリスクを発見するのを支援します。
無料スキャンを開始 →警戒を怠らずに。
🗡️ KENSAI セキュリティチーム