SECURITY NEWS (2026/01/15 12:00-2026/01/16 12:00)

2026/01/15 12:00から2026/01/16 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Releases Fifteen Industrial Control Systems Advisories
CISA発表のICSの15件のセキュリティアドバイザリ公開の広報です。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise LinuxのRHSA-2026:0667, RHSA-2026:0694, net-snmp, libpq, gnupg2 RHSA-2026:0697, RHSA-2026:0719, RHSA-2026:0728, mariadb-devel:10.3, transfigのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (firefox (RHSA-2026:0667), libpq, gnupg2 (RHSA-2026:0728)). Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (mariadb-devel:10.3). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (net-snmp, gnupg2 (RHSA-2026:0697)). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (firefox (RHSA-2026:0694), gnupg2 (RHSA-2026:0719)). ed Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (transfig).
詳細
firefoxは13件の脆弱性を、net-snmpはsnmptrapdのバッファオーバーフローの1件のリモート脆弱性を、libpqはバッファのサイズ不足の1件の脆弱性を、gnupg2は境界外メモリ書込の1件の脆弱性を、mariadb-devel:10.3はmariadb-dumpのRCEの1件のリモート脆弱性を、transfigはスタックオーバーフローの1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Ubuntu Linuxの, cpp-httplibのセキュリティフィックス
影響を受ける製品
Ubuntu 25.10, 24.04 LTS, 22.04 LTS (ruby-rack, cpp-httplib). Ubuntu 25.04 (cpp-httplib). Ubuntu 20.04 LTS, 18.04 LTS, 16.04 LTS (ruby-rack).
詳細
ruby-rackは6件の脆弱性を、cpp-httplibはHTTPヘッダ挿入の1件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromiumのセキュリティフィックス
影響を受ける製品
stable (trixie).
詳細
10件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Oracle Critical Patch Update Pre-Release Announcement - January 2026
影響を受ける製品
Oracle社の複数の製品。
詳細
複数のセキュリティフィックスが行なわれる予定です。
解決法
2026年 1月20日にリリースされる予定です。ベンダーからの情報に注意してください。

Thunderbird 147, Thunderbird 140.7がリリース
影響を受ける製品
Thunderbird.
詳細
Thunderbird 147は16件の脆弱性を、Thunderbird 140.7は13件の脆弱性をそれぞれフィックスしています。
解決法
自動更新機能あるいは手動でアップデートしてください。

OpenVPN : CVE-2025-15497 - in epoch key handling (an authenticated remote system can send a valid OpenVPN data packet that triggers an endge case where a too-strict check would trigger an ASSERT(), exiting OpenVPN)
影響を受ける製品
OpenVPN 2.7_alpha1 - 2.7_rc4.
詳細
DoS攻撃の1件のリモート脆弱性をフィックスしています。
解決法
脆弱性を解決した2.7_rc5が用意されています。アップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

複数のAMD製品に脆弱性
影響を受ける製品
複数のAMD製品。
詳細
1月15日に1件のSecurity Bulletinと3件のSecurity Bulletinのアップデートが公開されています。2件がhighに分類されています。AMD Product Securityのページをご確認下さい。
解決法
対応する製品を利用している場合は文書の指示あるいはハードウェアベンダ等の指示に従ってください。

SECURITY NEWS (2026/01/14 12:00-2026/01/15 12:00)

2026/01/14 12:00から2026/01/15 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

JPCERT/CC WEEKLY REPORT 2026-01-15
【1】Trend Micro Apex Centralに複数の脆弱性
【2】n8nにContent-Type Confusionによる不適切な入力検証の脆弱性
【3】複数のCisco製品に脆弱性
【4】GitLabに複数の脆弱性
【5】Fujitsu Security Solution AuthConductor Client Basic V2に送信元の確認が不十分な脆弱性
【6】Veeam Backup & Replicationに複数の脆弱性
【7】Google Chromeに権限チェックの欠如の脆弱性
【8】OpenBlocksシリーズに認証回避の脆弱性
【9】MongoDBに情報漏えいの脆弱性

Secure Connectivity Principles for Operational Technology (OT)
CISA, NCSC-UK及び国際パートナー共同発表のSecure connectivity principles for operational technology (OT)公開の注意喚起です。

JPCERT-AT-2026-0001 2026年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
JPCERT/CC発表の 1月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。

Microsoft 製品の脆弱性対策について(2026年1月)
IPA発表の 1月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのpodmon, libpq, cups, vsftpd RHSA-2026:0605, RHSA-2026:0606, RHSA-2026:0608のセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (podman, libpq, vsftpd (RHSA-2026:0606)). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (podman). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (cups, vsftpd (RHSA-2026:0608)). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (vsftpd (RHSA-2026:0605)).
詳細
podmanはgolang.org/x/crypto/ssh/agentのSSHクライアントのDoS攻撃の1件の脆弱性を、libpqはバッファのサイズ不足の1件の脆弱性を、cupsはDoS攻撃の1件のローカル脆弱性と低速のクライアントによるDoS攻撃の1件のリモート脆弱性を、vsftpdはDoS攻撃の1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Ubuntu Linuxのangular.js, klibc, erlang, libpng1.6のセキュリティフィックス
影響を受ける製品
Ubuntu 25.10 (klibc, libpng1.6). Ubuntu 25.04, 22.04 LTS (angular.js, klibc, libpng1.6). Ubuntu 24.04 LTS (angular.js, klibc, erlang, libpng1.6). Ubuntu 20.04 LTS, 18.04 LTS, 16.04 LTS (angular.js, klibc). Ubuntu 14.04 LTS (klibc).
詳細
angular.jsは10件の脆弱性を、klibcはzlibの不特定の影響の1件の脆弱性性を、erlangはOTPの拡張キーの不適切な処理の1件の脆弱性を、libpng1.6はヒープバッファオーバーリードの2件の脆弱性と境界外メモリ読込の1件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのpython-parslのセキュリティフィックス
影響を受ける製品
stable (trixie).
詳細
SQL挿入の1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのlibpng, mozilla-firefox, mozilla-thunderbirdのセキュリティフィックス
影響を受ける製品
15.0, -current.
詳細
libpngはヒープバッファオーバーリードの2件の脆弱性を、mozilla-firefoxは140.7.0esrへのアップデートに伴い13件の脆弱性を、mozilla-thunderbirdへのアップデートに伴い複数の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Juniper Networksがセキュリティアドバイザリをリリース
影響を受ける製品
複数のJuniper Networks社製品。
詳細
1月14日に26件のセキュリティアドバイザリがリリースされています。2件がCritical, 10件がHighに分類されています。Security Advisoriesのページをご確認下さい。
解決法
文書の指示に従ってください。

Palo Alto Networks: Palo Alto Networks社製品に複数の脆弱性
影響を受ける製品
Palo Alto Networks社の複数の製品。
詳細
1月15日に2件のセキュリティアドバイザリが公開されています。Security Advisoriesのページをご確認下さい。
解決法
文書に従って下さい。

Progress: MOVEit WAF Vulnerabilities: CVE-2025-13444 / CVE-2025-13447
影響を受ける製品
Progress MOVEit Transfer 7.2.62.1.
詳細
コマンド挿入の2件の脆弱性をフィックスしています。2件ともHighに分類されています。
解決法
文書の指示に従って下さい。
参考情報


Progress: LoadMaster Vulnerabilities: CVE-2025-13444 / CVE-2025-13447
影響を受ける製品
Progress LoadMaster GA, LoadMaster LTSF, Multi-Tenant Hypervisor.
詳細
コマンド挿入の2件の脆弱性をフィックスしています。2件ともHighに分類されています。
解決法
文書の指示に従って下さい。
参考情報


NVIDIA SUPPORT: Security Bulletin: NVIDIA NSIGHT Graphics - January 2026
影響を受ける製品
NVIDIA NSIGHT Graphics for Linux.
詳細
コマンド挿入の1件の脆弱性をフィックスしています。Highに分類されています。
解決法
アップデートが用意されています。文書に従ってください。
参考情報


Drupalのセキュリティアドバイザリがリリース
影響を受ける製品
Drupal.
詳細
1月14日に5件のセキュリティアドバイザリが公開されています。1件がcriticalに分類されています。Security advisoriesのページをご確認下さい。
解決法
文書に従って下さい。

UECアカウントによる統合認証ログインについて

平素より情報基盤センターの活動にご理解とご協力をいただき誠にありがとうございます.

UECアカウントによる統合認証ログイン,UEC Wireless等について以下のようにお知らせします.

※For information in English, see the bottom of the page.

時間

2025/1/13(火)16:00ごろから

内容

統合認証ログインにログインできない,UEC Wirelessに接続できない,VPNに接続できない等,UECアカウントを用いたログインができない.

原因

UECアカウント利用者には誓約書,INFOSS,セキュリティ自己点検の3つの受講完了をお願いしております.

  • 誓約書,INFOSSに関しましては,下記リンク先の内容に従って受講をお願い致します.既に受講済みの方(80点以上の得点を取得している方)は再度の受講は必要ございません.

https://www.cc.uec.ac.jp/ug/ja/infoss/index.html

  • セキュリティ自己点検に関しましては,2025/10/10または2025/12/24に<UECアカウント>@edu.cc.uec.ac.jp宛に届いております情報セキュリティ対策に係る自己点検(個人向け)について(依頼)という件名のメールをご確認ください.

メール本文に記載のGoogleフォームまたは下記リンク先のGoogleフォームの回答をお願い致します.

・学生用
https://forms.gle/6kJ5ZapSPHTwRSbGA

・職員用
https://forms.gle/csRe39wKdGTJq7k98

最新の受講状況は下記リンク先より統合認証ログインを行い,UECアカウント基本情報よりご確認ください.

https://www.cc.uec.ac.jp/portal/

受講完了後,下記反映予定時刻になりますと受講状況が反映されます.

誓約書,INFOSS,セキュリティ自己点検の反映予定(受講状況の反映予定日時

2026-01-14 16:40更新)

1/14正午

1/14 14:00ごろ

1/14 16:45ごろ

1/15正午

1/16正午

-----------------------------------------------------------------------------------------------

Time

Starting around 4:00 PM on Tuesday, January 13, 2025

Content

Unable to log in using a UEC account, including being unable to log in to the integrated authentication login, connect to UEC Wireless, or connect to a VPN.

Cause

UEC account users are required to complete three courses: the Pledge, INFOSS, and Security Self-Assessment.

  • For the Pledge and INFOSS, please follow the instructions at the links below. Those who have already taken the courses (those with a score of 80 or above) do not need to take them again.

https://www.cc.uec.ac.jp/ug/en/infoss/index.html

  • For the Security Self-Assessment, please refer to the email with the subject 情報セキュリティ対策に係る自己点検(個人向け)について(依頼)(Request for Information Security Self-Assessment (for individuals)) that was sent to <UECAccount>@edu.cc.uec.ac.jp on October 10, 2025 or December 24, 2025.

Please complete the Google Form included in the email or the Google Form linked below.

・For Students
https://forms.gle/4qkKbXA9L33nAdeX8

・For Staffs
https://forms.gle/csRe39wKdGTJq7k98

To check your current course status, log in using integrated authentication at the link below and check your UEC account basic information.

https://www.cc.uec.ac.jp/portal/

After completing your course, your course status will be updated at the scheduled update time listed below.

For Scheduled Update Dates for the Pledge, INFOSS, and Security Self-Assessment (Scheduled Update Dates for Course Status) , please see the end of the Japanese version above the English version.

【2026/01/07 5:00】Amazonを騙る詐欺メールに関する注意喚起

2026年 1月 7日にAmazonを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:02:37着信
04:51:12着信
From: アマゾン <hiroshitotsuka@snbwa.com>
Subject: 【Amazon】アカウント特典が停止されました
From: アマゾン <takamorimika2002@cfmic.com>
Subject: 【Amazon】会員サービスが利用できない状態です

リンク先は複数あり、全て詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 5:00】マスターカードを騙る詐欺メールに関する注意喚起

2026年 1月 7日にマスターカードを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:56:29着信
From: Mastercardサービス <kadoya-kobe939@krimi.com>
Subject: 【重要】セキュリティ認証のご案内と手続きのお願い

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、口座番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 4:50】 セゾンカードを騙る詐欺メールに関する注意喚起

2026年 1月 7日にセゾンカードを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:01:21着信
04:07:10着信
From: SaisonCard <terasawa-0703@jjzhg.com>
Subject: 【緊急連絡】ご利用中のカードに関する重要事項
From: 【セゾンカード】 <hifumiutsumi-2014@coswn.net>
Subject: 【ご注意ください】セゾンカードの利用制限について

リンク先は複数あり、全て詐欺サイトが動作しています。
No.2
04:46:32着信
From: ◆セゾンカード <ninfio-sreply@yaonisshindo.co.jp>
Subject: ◉今回の振替内容確定のご案内*

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 4:30】ポケットカードを騙る詐欺メールに関する注意喚起

2026年 1月 7日にポケットカードを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:21:36着信
From: ポケットカード <fujimoto.kanna87@qmago.com>
Subject: 【一部制限中】カード機能がご利用いただけません

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、口座番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 4:20】スマートEXを騙る詐欺メールに関する注意喚起

2026年 1月 7日にスマートEXを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:12:43着信
From: スマートEX <murahashikaede_midori@kmgab.com>
Subject: 【継続利用のため】不正利用防止のため速やかな対応をお願いしますJM=92835383560

リンク先は詐欺サイトに接続します。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 4:20】イオンを騙る詐欺メールに関する注意喚起

2026年 1月 7日にイオンを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:15:30着信
From: 株式会社イオン銀行 <tscu@bMJww.com>
Subject: 1月ご請求額のお知らせ

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/01/07 4:00】ファミリーマートを騙る詐欺メールに関する注意喚起

2026年 1月 7日にファミリーマートを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
03:55:51着信
From: FamilyMart <watada_minokamo@kapto.com>
Subject: 【限定企画】ログインするだけで 3,000ポイント獲���!

リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。