2026/04/09 12:00から2026/04/10 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。
総合
CISA, JPCERT/CC, IPAからの注意喚起など。
Microsoft
Microsoft製品に関する情報。
UNIX
UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.
- Red Hat Enterprise Linuxのgit-lfs, nodejs:22, rhc, kea, nginx:1.26, nodejs:24のセキュリティフィックス
-
- 影響を受ける製品
- Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (git-lfs, nodejs:22, rhc, nginx:1.26, nodejs:24). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (rhc). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (kea).
- 詳細
- git-lfs, rhcはnet/urlのIPv6ホストの不適切な処理の1件の脆弱性を、nodejs:22は9件の脆弱性を、keaはDoS攻撃の1件のリモート脆弱性を、nginx:1.26は4件の脆弱性を、nodejs:24は18件の脆弱性をそれぞれフィックスしています。
- 解決法
- 文書に従って更新を行ってください。
- Ubuntu LinuxのLinux kernel USN-8159-1, USN-8148-5, USN-8149-2, Linux kernel (FIPS), Linux kernel (Real-time), python-django, OpenSSL, Linux kernel (NVIDIA Tegra), Linux kernel (HWE), Linux kernel (Azure FIPS) USN-8163-1, USN-8165-1, Linux kernel (Intel IoTG Real-time)のセキュリティフィックス
-
- 影響を受ける製品
- Ubuntu 25.10 (Linux kernel (USN-8149-2)). Ubuntu 24.04 LTS (Linux kernel (USN-8149-2), Linux kernel (Azure FIPS) (USN-8165-1)). Ubuntu 22.04 LTS (Linux kernel (USN-8159-1, USN-8148-5), Linux kernel (FIPS), Linux kernel (Real-time), Linux kernel (Azure FIPS) (USN-8163-1), Linux kernel (Intel IoTG Real-time)). Ubuntu 20.04 LTS (Linux kernel (USN-8159-1), OpenSSL, Linux kernel (NVIDIA Tegra)). Ubuntu 18.04 LTS (OpenSSL). Ubuntu 16.04 LTS (python-django, OpenSSL, Linux kernel (HWE)). Ubuntu 14.04 LTS (python-django, OpenSSL).
- 詳細
- Linux kernel (USN-8159-1), Linux kernel (FIPS), Linux kernel (Real-time)は4件の脆弱性を、Linux kernel (USN-8148-5, USN-8149-2)はnetfilter: nf_tablesのgenmaskチェックの順序が不適切な1件の脆弱性とnet/schedの解放後メモリ利用の1件の脆弱性とcryptoのNULLポインタ参照の1件の脆弱性を、python-djangoは偽装POSTによりインスタンスが作成される1件の脆弱性と偽装POSTによりインスタンスのパーミッション検証の不備の1件の脆弱性とDoS攻撃の1件の脆弱性を、OpenSSLは4件の脆弱性を、Linux kernel (NVIDIA Tegra)は84件の脆弱性を、Linux kernel (HWE)は5件の脆弱性を、Linux kernel (Azure FIPS) (USN-8163-1)は351件の脆弱性を、Linux kernel (Intel IoTG Real-time)は16件の脆弱性を、Linux kernel (Azure FIPS) (USN-8165-1)は439件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップデートを行なってください。
- Slackware Linuxのlibpngのセキュリティフィックス
-
- 影響を受ける製品
- 15.0, -current.
- 詳細
- 解放後メモリ利用の1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
Apple
Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。
Applications
各種アプリケーションに関する情報。
扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。
- Juniper Networksがセキュリティアドバイザリをリリース
-
- 影響を受ける製品
- 複数のJuniper Networks社製品。
- 詳細
- 4月 9日に28件のセキュリティアドバイザリがリリースされています。1件がCritical, 11件がHighに分類されています。Security Advisoriesのページをご確認下さい。
- 解決法
- 文書の指示に従ってください。
- 参考情報
-
- TENABLE: [R1] Stand-alone Security Patch Available for Tenable Security Center Versions 6.5.1, 6.6.0, 6.7.2 and 6.8.0: SC202604.1
-
- 影響を受ける製品
- Tenable Security Center.
- 詳細
- 4件の脆弱性をフィックスしています。Highに分類されています。
- 解決法
- パッチが用意されています。文書に従ってください。
- Spring Security Advisories: CVE-2026-22750: SSL bundle configuration silently bypassed in Spring Cloud Gateway
-
- 影響を受ける製品
- Spring Cloud Gateway.
- 詳細
- spring.ssl.bundleの設定が無視されてデフォルト設定が利用される1件の脆弱性をフィックスしています。
- 解決法
- 文書に従って下さい。
- GitLab Patch Release: 18.10.3, 18.9.5, 18.8.9
-
- 影響を受ける製品
- GitLab.
- 詳細
- 12件の脆弱性をフィックスしています。3件がHighに分類されています。
- 解決法
- 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
- 参考情報
-
2026年 4月 9日に日本語で書かれたばらまき型攻撃メール(Trojan. Buggie. Marte)が学内のメールアドレスに送信されたことを確認しました。
悪意あるzipファイルが添付されてるもの
以下のSubjectで攻撃メールが観測されています。全てではありません。他にもあると思われます。
From: 顧客サービス <○○○○○○@○○.○○○○○.ne.jp>
Subject: 電子請求書発行のお知らせ
本文はHTML形式のものが観測されています。
添付ファイルとそのSHA256ハッシュ値のまとめは以下の通りです。
添付ファイルを展開した主要なファイルは以下のとおりです。
クラウドサンドボックスの解析結果は以下のとおりです。
このような攻撃メールは破棄してください。添付ファイルやリンクは開かないでください。
インターネットの昨今の情勢を考えますと、今後は詐欺メールあるいはフィッシングメール、ばらまき型攻撃メールが続くものと推測されます。決して騙されないようよろしくお願いします。
本学の学生及び教職員の方で万が一ウイルスに感染した疑いがある方はは至急情報基盤センターにご連絡ください。
2026/04/08 12:00から2026/04/09 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。
総合
CISA, JPCERT/CC, IPAからの注意喚起など。
- CISA Adds One Known Exploited Vulnerability to Catalog
- CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報
- 米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.2.0(2025-12)の翻訳を公開しました
- IPA発表の米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.2.0 (2025-12)の翻訳の公開の広報です。
Microsoft
Microsoft製品に関する情報。
UNIX
UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.
- Red Hat Enterprise Linuxのgo-toolset:rhel8, nginx, nodejs22, libtiff, nodejs:22のセキュリティフィックス
-
- 影響を受ける製品
- Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat Enterprise Linux for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux for IBM z Systems - Extended Life Cycle 8.10 s390x (go-toolset:rhel8, nodejs:22). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (nginx). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (nodejs22, libtiff). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (libtiff).
- 詳細
- go-toolset:rhel8はcmd/goの任意のファイルに上書き可能な1件の脆弱性とnet/urlのIPv6ホストの不適切な処理の1件の脆弱性を、nginxは4件の脆弱性を、nodejs22, nodejs:22は9件の脆弱性を、libtiffはDoS攻撃の1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 文書に従って更新を行ってください。
- Ubuntu Linuxのopenssl, gdk-pixbuf, squid, dogtag-pkiのセキュリティフィックス
-
- 影響を受ける製品
- Ubuntu 25.10, 24.04 LTS, 22.04 LTS (openssl, gdk-pixbuf, squid). Ubuntu 20.04 LTS, 18.04 LTS (dogtag-pki).
- 詳細
- opensslは7件の脆弱性を、gdk-pixbufはヒープベースのバッファオーバーフローの1件の脆弱性を、squidは解放後メモリ利用の2件の脆弱性と入力の不適切な検証の1件の脆弱性を、dogtag-pkiは証明書の更新が可能な1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップデートを行なってください。
- Debian GNU/Linuxのopenssl, firefox-esrのセキュリティフィックス
-
- 影響を受ける製品
- oldstable (bookworm), stable (trixie).
- 詳細
- opensslは7件の脆弱性を、firefox-esrは整数桁溢れの1件の脆弱性とメモリ破損の2件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
- Slackware Linuxのmozilla-firefox, mozilla-thunderbirdのセキュリティフィックス
-
- 影響を受ける製品
- 15.0, -current.
- 詳細
- 両者とも整数桁溢れの1件の脆弱性とメモリ破損の2件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
Apple
Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。
Applications
各種アプリケーションに関する情報。
扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。
- Palo Alto Networks: Palo Alto Networks社製品に複数の脆弱性
-
- 影響を受ける製品
- Palo Alto Networks社の複数の製品。
- 詳細
- 4月 9日に6件のセキュリティアドバイザリが公開されています。1件がhighに分類されています。Security Advisoriesのページをご確認下さい。
- 解決法
- 文書に従って下さい。
- Logstash, Kibanaに脆弱性
-
- 影響を受ける製品
- Elastic製品。
- 詳細
- 4月 9日に 6件のセキュリティアドバイザリがリリースされています。Announcementsのページをご確認下さい。
- 解決法
- 文書の指示に従ってください。
- SNWLID-2026-0003: SonicWall SMA1000 Series Appliances Affected By Multiple Vulnerabilities/dt>
-
- 影響を受ける製品
- SonicWall SMA1000.
- 詳細
- 4件の脆弱性をフィックスしています。1件がhighに分類されています。
- 解決法
- 脆弱性を解決したファームウェアが用意されています。文書に従ってください。
- 参考情報
-
- TP-Linkがセキュリティアドバイザリをリリース
-
- 影響を受ける製品
- 複数のTP-Link社製品。
- 詳細
- 4月 8日に2件のセキュリティアドバイザリがリリースされています。1件がhighに分類されています。TP-Link Product Security Advisoryのページをご確認下さい。
- 解決法
- 文書の指示に従ってください。
- HPESBNW05032 rev.1 - HPE Aruba Networking Private 5G Core On-Prem, Open Redirect Vulnerability
-
- 影響を受ける製品
- HPE Aruba Networking Private 5G Core version 1.25.3.0及びこれ以前のバージョン。
- 詳細
- オープンリダイレクトの1件の脆弱性をフィックスしています。Highに分類されています。
- 解決法
- 脆弱性を解決したソフトウェアが用意されています。文書を確認して下さい。
- Drupal : Orejime - Moderately critical - Cross-site scripting - SA-CONTRIB-2026-032
-
- 影響を受ける製品
- Orejime.
- 詳細
- XSSの1件の脆弱性をフィックスしています。
- 解決法
- 文書に従って下さい。
- Chrome 安定版 147.0.7727.55/56 (Windows/Mac), 147.0.7727.55 (Linux)がリリース
-
- 影響を受ける製品
- Chrome.
- 詳細
- 60件の脆弱性をフィックスしています。2件がcritical, 14件がhighに分類されています。
- 解決法
- 自動あるいは手動で更新を行ってください。
- [重要] Movable Type 9.1.1 / 9.0.7 / 8.8.3 / 8.0.10、Movable Type Premium 9.1.1 / 9.0.7 / 2.15 の提供を開始(セキュリティアップデート)
-
- 影響を受ける製品
- Sixaprt Movable Type.
- 詳細
- 任意のperlコードを実行可能な1件のリモート脆弱性とSQL挿入の1件のリモート脆弱性をフィックスしています。
- 解決法
- 文書に従って下さい。
- 参考情報
-
2026年 4月 6日に警視庁を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
17:05:54着信
From: 警察庁 サイバー犯罪対策課 <noreply@mail12.mymamababy.com>
Subject: 【緊急】あなたの個人情報が漏洩した可能性について
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、電話をしてしてしまった方は至急
情報基盤センターにご連絡ください。
2026年 4月 6日にAmazonを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
07:48:45着信
From: Amazon Prime <AmazonPrimeVideo.reply@croma.jp>
Subject: *ご利用のカード情報の承認エラーについて
リンク先は接続できますが、エラーとなります。
No.2
11:20:18着信
From: プライム会員カスタマーサポート <verify@servicerek.michianaworkout.com>
Subject: A M A Z O N|有効期限が近いポイントがあります
11:23:26着信
From: データ管理通知 <verify@servicercf.michianaworkout.com>
Subject: A M A Z O N|ポイント情報のご案内
リンク先は複数あり、全て詐欺サイトが動作しています。
No.3
14:33:50着信
From: noreply <noreply@mail36.ltsj666.com>
Subject: 【重要】Amázon:会員資格一時停止前の最終ご案内(プライム会費について)!番号:99760659
リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急
情報基盤センターにご連絡ください。
2026年 4月 6日にイープラスを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
14:30:10着信
From: members_eplus <t-onkyo-info_am@eplus.co.jp>
Subject: 【e+より】チケット購入情報の確認について
リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。
2026年 4月 6日にイオンを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
11:41:31着信
From: イオンカード <info@mail3.sucomb.com>
Subject: 【通知】取引内容のチェックが必要です
14:56:45着信
From: イオンクレジットサービス <info@mail6.sucomb.com>
Subject: クレジットカードご利用内容のご確認
リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。
2026年 4月 6日に東京電力を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
11:20:21着信
From: 東京電力ホールディングス <tepco-co.jpz5uL@readyfor.jp>
Subject: <TEPCO電気料金のご支払い案内>
リンク先は詐欺サイトが動作しています。
No.2
12:30:03着信
From: 【TEPCO】 支払い業務課 <noreply@mail11.52talkclub.com>
Subject: 【重要】サービスの停止リスクに関するご案内 番号:19273223
12:33:01着信
From: 【TEPCO】 支払い手続き部 <noreply@mail19.52talkclub.com>
Subject: 【重要】TEPCO 未払い料金の確認と支払い手続きをお願いいたします 番号:63196934
リンク先は複数あり、全て詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号、口座番号、携帯電話番号等を送ってしまった方は至急情報基盤センターにご連絡ください。
2026年 4月 6日にサポート詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
09:50:42着信
From: <admin@〇〇〇〇〇〇.〇〇.jp>
Subject: あなたのアカウントは別のデバイスからアクセスされました。
リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、電話をしてしまった方は至急情報基盤センターにご連絡ください。
2026年 4月 6日に楽天を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。
No.1
10:09:45着信
From: "楽天カード" <info@rakuten.co.jp>
Subject: 【重要】楽天ポイント有効期限が迫っています|お早めにご利用くださいNo.480217
10:10:32着信
10:11:31着信
From: 楽天カード <noreply@mail29.cnshishen.com>
From: 楽天カード <noreply@mail22.cnshishen.com>
Subject: 【重要】楽天ポイント有効期限が迫っています|お早めにご利用ください
リンク先は複数あり、全て詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID、パスワード、口座番号、クレジットカード番号、電話番号等を送ってしまった方は至急
情報基盤センターにご連絡ください。