国立大学法人 電気通信大学

情報基盤センター

Information Technology Center, The University of Electro-Communications

2026年 3月19日にメールIDとパスワードを窃取する詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: James Lorenzo <○○○○○○@○○○○○.○○○.ne.jp>
Subject: (18 March, 2026) が 8 通のメールを拒否しました

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード等を送ってしまった方は至急情報基盤センターにご連絡ください。

2026/03/17 13:00から2026/03/19 13:00のセキュリティ情報です。
今月１ヶ月分のまとめはこちらをご覧下さい。

総合

　CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

• Security NEXT

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

• Security NEXT
• BLEEPING COMPUTER

CISA Urges Endpoint Management System Hardening After Cyberattack Against US Organization

CISA発表の米国組織へのサイバー攻撃を受けてのエンドポイント管理システムの対策の推奨に関する注意喚起です。

JPCERT/CC WEEKLY REPORT 2026-03-18

【1】Google Chromeに複数の脆弱性
【2】複数のIntel製品に脆弱性
【3】Parse Serverに不適切なアクセス制御の脆弱性
【4】Firefoxに複数の脆弱性
【5】複数のFortinet製品に脆弱性
【6】複数のSAP製品に脆弱性
【7】Budibaseに複数の脆弱性
【8】nginx-uiに認証不備の脆弱性
【9】n8nのリモートコード実行の脆弱性に関する悪用観測状況
【10】警察庁が「令和７年におけるサイバー空間をめぐる脅威の情勢等について」を公開
【11】複数のアドビ製品に脆弱性
【12】2026年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起

CISA Releases Six Industrial Control Systems Advisories

CISA発表のICSの６件のセキュリティアドバイザリ公開の広報です。

Microsoft

　Microsoft製品に関する情報。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのopencryptoki, vim, libpng, glibc, mysql, java-1.8.0-ibm, rhc RHSA-2026:4892, RHSA-2026:4952, capstoneのセキュリティフィックス

影響を受ける製品

Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (opencryptoki, vim, rhc (RHSA-2026:4892)). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (opencryptoki). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le (libpng, glibc, java-1.8.0-ibm, rhc (RHSA-2026:4952)). Red Hat Enterprise Linux for ARM 64 8 aarch64 (libpng, glibc, rhc (RHSA-2026:4952)). Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (glibc). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (mysql, capstone).

詳細

opencryptokiはシンボリックリンク攻撃が可能な1件の脆弱性を、vimはhelpfile処理の任意のコードを実行可能な1件の脆弱性を、libpngは整数丸め誤差の1件の脆弱性とヒープバッファオーバーリードの1件の脆弱性とヒープバッファオーバーフローの1件の脆弱性を、glibcは情報漏えいの1件の脆弱性とwordexpの未初期化メモリの利用の1件の脆弱性を、mysqlは6件の脆弱性を、java-1.8.0-ibmはopenjdkの3件の脆弱性を、rhcはcrypto/x509: golangのリソース枯渇の1件の脆弱性とgolang: net/urlのメモリ枯渇の1件の脆弱性とcrypto/tlsの不適切なセッション再開の1件の脆弱性を、capstoneはメモリ破損の1件の脆弱性とヒープバッファオーバーフローの1件の脆弱性をそれぞれフィックスしています。

解決法

文書に従って更新を行ってください。

Ubuntu LinuxのLinux kernel (GCP), snapd (USN-8102-1), Linux kernel (Real-time) USN-8095-3, USN-8096-4, Linux kernel USN-8094-2, USN-8096-3, USN-8098-3, exiv2, flask, freerdp3, valkey, Linux kernel (AWS FIPS), bouncycastleのセキュリティフィックスとsnapd (USN-8102-2), roundcube のセキュリティフィックスのアップデート

影響を受ける製品

Ubuntu 25.10 (snapd (USN-8102-1), Linux kernel (USN-8094-2), exiv2, freerdp3, valkey). Ubuntu 24.04 LTS (snapd (USN-8102-1, USN-8102-2), Linux kernel (Real-time) (USN-8095-3), Linux kernel (USN-8094-2), exiv2, flask, freerdp3, valkey, bouncycastle). Ubuntu 22.04 LTS (snapd (USN-8102-1), Linux kernel (Real-time) (USN-8095-3, USN-8096-4), Linux kernle (USN-8096-3), exiv2, flask, bouncycastle). Ubuntu 20.04 LTS (Linux kernel (GCP), snapd (USN-8102-1), Linux kernle (USN-8096-3, USN-8098-3), exiv2, flask, Linux kernel (AWS FIPS), bouncycastle, roundcube ). Ubuntu 18.04 LTS (snapd (USN-8102-1), exiv2, Linux kernel (USN-8098-3), bouncycastle). Ubuntu 16.04 LTS (snapd (USN-8102-1), exiv2, bouncycastle).

詳細

Linux kernel (GCP), Linux kernel (USN-8098-3), Linux kernel (AWS FIPS)は8件の脆弱性を、snapd (USN-8102-1)は権限昇格の１件のローカル脆弱性を、Linux kernel (Real-time) (USN-8095-3)は424件の脆弱性を、Linux kernel (USN-8094-2)は173件の脆弱性を、Linux kernle (USN-8096-3), Linux kernel (Real-time) (USN-8096-4)は218件の脆弱性を、exiv2は７件の脆弱性を、flaskは機密情報を含むクッキーのキャッシュの１件の脆弱性を、freerdp3は32件の脆弱性を、valkeyは境界外メモリ読込の１件の脆弱性と任意の情報を挿入可能な１件の脆弱性を、bouncycastleは6件の脆弱性をそれぞれフィックスしています。snapd (USN-8102-2), roundcubeは１件の回帰エラーをそれぞれフィックスしています。

解決法

自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのnodejs, gst-plugins-base1.0, freetypeのセキュリティフィックス

影響を受ける製品

oldstable (bookworm) (gst-plugins-base1.0, freetype). stable (trixie) (nodejs, gst-plugins-base1.0, freetype).

詳細

nodejsは7件の脆弱性を、gst-plugins-base1.0は整数桁溢れの1件の脆弱性を、freetypeは整数桁溢れの1件の脆弱性をフィックスしています。

解決法

自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのexpatのセキュリティフィックス

影響を受ける製品

15.0, -current.

詳細

NULLポインタの逆参照の２件の脆弱性とDoS攻撃の１件の脆弱性をフィックスしています。

解決法

自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

About the security content of Background Security Improvements for iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, and macOS 26.3.2

影響を受ける製品

iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, macOS 26.3.2.

詳細

WebKitの同一オリジンポリシーのバイパスの1件の脆弱性をフィックスしています。

解決法

自動的にアップデートされます。

参考情報

• Security NEXT
• BLEEPING COMPUTER

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

VMware Tanzu製品に脆弱性

影響を受ける製品

VMware Tanzu製品。

詳細

3月18日に26件のセキュリティアドバイザリがリリースされています。8件がcriticalに、17件がhighに分類されています。Security Advisories - Tanzuのページをご確認下さい。

解決法

文書の指示に従ってください。

Jenkins Security Advisory 2026-03-18

影響を受ける製品

Jenkins (core), LoadNinja Plugin.

詳細

合わせて4件の脆弱性をフィックスしています。2件がhighに分類されています。

解決法

Jenkins weekly version 2.555, Jenkins LTS version 2.541.3, LoadNinja Plugin version 2.2が用意されています。アップデートしてください。

CTX696350: XenServer Security Update for CVE-2026-23554

影響を受ける製品

XenServer 8.4.

詳細

ゲストVMからホストを侵害可能な１件の脆弱性をフィックスしています。

解決法

アップデートが用意されています。文書の指示に従って下さい。

2026/03/16 12:00から2026/03/17 13:00のセキュリティ情報です。
今月１ヶ月分のまとめはこちらをご覧下さい。

総合

　CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

• Daily CyberSecurity
• BLEEPING COMPUTER
• Security NEXT

Microsoft

　Microsoft製品に関する情報。

Microsoft Edge Stable Channel (Version 146.0.3856.62)がリリース

影響を受ける製品

Microsoft Edge.

詳細

Edge固有の１件の脆弱性対応を含む最新のChromium projectの最新のアップデートを反映したリリースです。 CVE-2026-3909は悪用が観測されています。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

参考情報

• Security NEXT

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのgrub2 RHSA-2026:4648, RHSA-2026:4649, container-tools:rhel8のセキュリティフィックス

影響を受ける製品

Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (grub2 (RHSA-2026:4648)). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (grub2 (RHSA-2026:4649)). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (container-tools:rhel8).

詳細

grub2は解放後メモリ利用の1件の脆弱性を、container-tools:rhel8はcrypto/x509: golangのリソース枯渇の１件の脆弱性とgolang: net/urlのメモリ枯渇の１件の脆弱性とcrypto/tlsの不適切なセッション再開の１件の脆弱性をそれぞれフィックスしています。

解決法

文書に従って更新を行ってください。

Ubuntu LinuxのLinux kernel USN-8094-1, USN-8095-1, USN-8096-1, USN-8098-1, roundcube, curl, Linux kernel (NVIDIA), Linux kernel (FIPS) USN-8095-2, USN-8096-2のセキュリティフィックスとpython-cryptographyのセキュリティフィックスのアップデート

影響を受ける製品

Ubuntu 25.10 (Linux kernel (USN-8094-1), python-cryptography). Ubuntu 24.04 LTS (Linux kernel (USN-8094-1, USN-8095-1), roundcube, Linux kernel (NVIDIA), Linux kernel (FIPS) (USN-8095-2), python-cryptography). Ubuntu 22.04 LTS (Linux kernel (USN-8095-1, USN-8096-1), roundcube, Linux kernel (NVIDIA), Linux kernel (FIPS) (USN-8096-2), python-cryptography). Ubuntu 20.04 LTS (Linux kernel (USN-8096-1, USN-8098-1), roundcube, curl). Ubuntu 18.04 LTS (roundcube, curl).

詳細

Linux kernel (USN-8094-1)は173件の脆弱性を、Linux kernel (USN-8095-1), Linux kernel (FIPS) (USN-8095-2)は424件の脆弱性を、Linux kernel (USN-8096-1), Linux kernel (FIPS) (USN-8096-2)は218件の脆弱性を、Linux kernel (USN-8098-1)は8件の脆弱性を、roundcubeはXSSの1件の脆弱性を、curlはCONNECTメソッドの不適切な接続の再利用の1件の脆弱性とOAuth2トークンの漏洩の1件の脆弱性と誤った接続の再利用の1件の脆弱性を、Linux kernel (NVIDIA)は417件の脆弱性をそれぞれフィックスしています。python-cryptographyは回帰エラーをフィックスしています。

解決法

自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromiumのセキュリティフィックス

影響を受ける製品

oldstable (bookworm), stable (trixie).

詳細

Skiaの境界外メモリ書き込みの１件の脆弱性とV8の不適切な実装の１件の脆弱性をフィックスしています。両者ともhighに分類されており、悪用が観測されています。

解決法

自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

GROWI 脆弱性対応のお知らせ (JVN#46373837)

影響を受ける製品

GROWI v7.4.6以前のバージョン。

詳細

OpenAI連携機能のAPIのIDORの１件の脆弱性をフィックスしています。

解決法

脆弱性を解決したGROWI v7.4.6以降が用意されています。文書に従ってください。

参考情報

• JVN#55745775

Ghostscript Version 10.07.0 (2026-02-27)がリリース

影響を受ける製品

Ghostscript/GhostPDL.

詳細

脆弱性は確認中です。

解決法

入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

2026年 3月12日にメールIDとパスワードを窃取する詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: "@xx.uec.ac.jp" <noreply@xx.uec.ac.jp>
Subject: 重要：アカウント認証がまもなく期限切れになります

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード等を送ってしまった方は至急情報基盤センターにご連絡ください。

2026年 3月 9日にサポート詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: <〇〇〇〇@〇〇.uec.ac.jp>
Subject: No-reply.

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、電話をしてしまった方は至急情報基盤センターにご連絡ください。

2026年 3月 9日にAmazonを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: [ アマゾン ] <noreply@mail11.rixkj.com>
Subject: 【重要】Amazonプライム会員資格の一時停止とお支払い方法更新のお願い！番号：81582308

2026年 3月 9日に日専連カードを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: 日専連カード <llookpip@mail05.imdeduper.com>
Subject: 日専連カードサービスアンケート

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、口座番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

2026年 3月 9日にNHKを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: ◉〔Ｎ Ｈ Ｋ放 送 受 信 料〕 <NHK.admiEmail@wrmj.jp>
Subject: ©NHK放送受信料 定期支払い内容確認のお知らせ

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

2026年 3月 9日に大和コネクト証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: 大和コネクト証券 <promotion@connect-sec.co.jp>
Subject: 【大和コネクト証券】配当金還付手続き一時停止中：4/10までに情報更新をお願いします

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

2026年 3月 9日にマネックス証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

From: マネックス証券株式会社 <mail@q.vodafone.ne.jp>
Subject: 【最終警告】認証再設定未完了による取引制限予定のご案内｜マネックス証券 No.62067503

From: マネックス証券 <notice@monex.co.jp>
Subject: 【重要】マネックスポイント失効まであとわずか｜マネックス証券 No.4584814
Subject: 【重要】マネックスポイント失効まであとわずか｜マネックス証券 No36192

From: "マネックス証券" <server@monex.co.jp>
Subject: 【重要】マネックス証券｜取引制限実擦里里蕕察容ぢ未定）No.0553698430
From: "マネックス証券" <server@monex.co.jp>
Subject: 【重要】マネックス証券｜取引制限実擦里里蕕察容ぢ未定）No.4526993367

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。