SECURITY NEWS (2026/04/21 12:00-2026/04/22 12:00)

2026/04/21 12:00から2026/04/22 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

JPCERT/CC WEEKLY REPORT 2026-04-22
【1】複数のCisco製品に脆弱性
【2】Arcserve製UDP ConsoleにダミーのURLへリダイレクトされる脆弱性
【3】PHP向け依存関係管理ツールComposerのPerforce VCSドライバーに複数の任意のコマンド実行につながる脆弱性
【4】Drupal coreに複数の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のSAP製品に脆弱性
【7】複数のFortinet製品に脆弱性
【8】Cockpitにリモートコード実行の脆弱性
【9】WordPress向け複数プラグインにおける不正なコード混入
【10】JPCERT/CCとIPAが2026年1月から3月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開
【11】JPCERT/CCが2026年1月から3月分の「JPCERT/CC 四半期レポート」を公開
【12】2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
【13】Adobe AcrobatおよびReaderの脆弱性(APSB26-43)に関する注意喚起

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのkernel, thunderbirdのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (kernel). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat Enterprise Linux for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux for IBM z Systems - Extended Life Cycle 8.10 s390x (thunderbird).
詳細
kernelはscsi: qla2xxxの不適切なメモリ解放の1件の脆弱性とnet/schedのの不適切なバッファ管理の1件の脆弱性を、thunderbirdは5件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Debian GNU/Linuxのntfs-3g, ngtcp2のセキュリティフィックス
影響を受ける製品
oldstable (bookworm), stable (trixie).
詳細
ntfs-3gはヒープベースのバッファオーバーフローの1件の脆弱性を、ngtcp2はバッファオーバーフローの1件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

FreeBSDのFreeBSD-SA-26:10.tty, FreeBSD-SA-26:11.amd64のセキュリティフィックス
影響を受ける製品
FreeBSD.
詳細
FreeBSD-SA-26:10.ttyはTIOCNOTTYハンドラの解放後メモリ利用の1件の脆弱性を、FreeBSD-SA-26:11.amd64はamd64アーキテクチャの不適切なメモリ保護の1件の脆弱性をそれぞれフィックスしています。
解決法
バイナリパッチを利用してください。あるいはパッチを適用しOSをリビルドしてください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Oracle Critical Patch Update Advisory - April 2026
影響を受ける製品
JavaSE, Solaris, MySQLを含むOracle社の複数の製品。
詳細
複数のセキュリティフィックスが行なわれています。
解決法
文書に従ってください。
参考情報


Firefox 150, Firefox ESR 140.10.0, Firefox ESR 115.35.0がリリース
影響を受ける製品
Firefox, Thunderbird.
詳細
Firefox 150.0は49件の脆弱性を、Firefox ESR 140.10.0は25件の脆弱性を、Firefox ESR 115.35.0は10件の脆弱性をそれぞれフィックスしています。
解決法
自動更新機能あるいは手動でアップデートしてください。

Springがセキュリティアドバイザリをリリース
影響を受ける製品
複数のSpring製品。
詳細
4月20, 21日に7件のセキュリティアドバイザリが公開されています。Spring Security Advisoriesのページをご確認下さい。
解決法
文書の指示に従ってください。
NVIDIAがセキュリティアドバイザリをリリース
影響を受ける製品
複数のNVIDIA製品。
詳細
4月21日に2件のセキュリティアドバイザリが公開されています。両者ともhighに分類されています。Security Bulletinsのページをご確認下さい。
解決法
文書に従って下さい。

Fortraがセキュリティアドバイザリをリリース
影響を受ける製品
Fortra GoAnywhere MFT.
詳細
4月21日に5件のセキュリティアドバイザリが公開されています。2件がhighに分類されています。Fortra Product CVEsのページをご確認下さい。
解決法
文書に従って下さい。

Atlassian: Security Bulletin - April 21 2026
影響を受ける製品
Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Jira Data Center and Server, Jira Service Management Data Center and Server.
詳細
合わせて38件の脆弱性が公開されています。7件がcritcal, 31件がhighに分類されています。
解決法
文書に従ってください。
参考情報


SECURITY NEWS (2026/04/20 12:00-2026/04/21 12:00)

2026/04/20 12:00から2026/04/21 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Adds Eight Known Exploited Vulnerabilities to Catalog
CISAが8件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

Supply Chain Compromise Impacts Axios Node Package Manager​
CISA発表のAxios npmパッケージの侵害についての指針に関する注意喚起です。

SB26-110 Vulnerability Summary for the Week of April 13, 2026
CISA発表の脆弱性情報のサマリです( 4月13日の週)。

2026年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起
IPA発表の2026年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起です。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのgo-rpm-macros RHSA-2026:8840, RHSA-2026:8841, delve, giflib, openexr, kernel RHSA-2026:8921, RHSA-2026:9131, freerdp, osbuild-composerのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (go-rpm-macros (RHSA-2026:8840), delve, giflib). Red Hat Enterprise Linux for IBM z Systems 10 s390x (go-rpm-macros (RHSA-2026:8840), giflib). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (giflib). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (go-rpm-macros (RHSA-2026:8841), openexr, kernel (RHSA-2026:8921)). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (openexr, kernel (RHSA-2026:8921), osbuild-composer). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x, Red Hat Enterprise Linux for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux for IBM z Systems - Extended Life Cycle 8.10 s390x (freerdp, kernel (RHSA-2026:9131)).
詳細
go-rpm-macros, osbuild-composerはnet/urlのIPv6ホストの不適切な処理の1件の脆弱性を、delveは証明書の不適切な検証の1件の脆弱性とnet/urlのIPv6ホストの不適切な処理の1件の脆弱性を、giflibはメモリ二重解放の1件の脆弱性を、openexrは整数桁溢れの1件の脆弱性を、kernel (RHSA-2026:8921)はnet/schedの不適切なバッファ管理の1件の脆弱性とscsi: qla2xxxの不適切なメモリ解放の1件の脆弱性を、freerdpはヒープバッファオーバーフローの1件の脆弱性とDoS攻撃の1件のリモート脆弱性を、kernel (RHSA-2026:9131)はscsi: qla2xxxの不適切なメモリ解放の1件の脆弱性とALSA: aloopの競合条件の1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Debian GNU/Linuxのsimpleevalのセキュリティフィックス
影響を受ける製品
oldstable (bookworm), stable (trixie).
詳細
サンドボックスの迂回の1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Progress: MOVEit WAF Critical Security Bulletin - April 2026 - (CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048, CVE-2026-21876)
影響を受ける製品
MOVEit WAF: GA v7.2.62.2及びこれ以前のバージョン。
詳細
5件の脆弱性をフィックスしています。
解決法
文書の指示に従って下さい。

Progress: LoadMaster Security Vulnerabilites: CVE-2026-3517 / CVE-2026-3518 / CVE-2026-3519 / CVE-2026-4048 / CVE-2026-21876
影響を受ける製品
Progress Kemp LoadMaster: GA v7.2.62.2及びこれ以前のバージョン。Progress Kemp LoadMaster: LTSF v7.2.54.16及びこれ以前のバージョン。
詳細
5件の脆弱性をフィックスしています。
解決法
文書の指示に従って下さい。

Sky株式会社 : 【重要】不適切なファイルアクセス権設定の脆弱性(CVE-2026-39454)
影響を受ける製品
SKYSEA Client View. SKYMEC IT Manager.
詳細
インストールフォルダの不適切なファイルアクセス権設定の脆弱性の1件の脆弱性をフィックしています。
解決法
文書に従ってください。
参考情報


【2026/04/21 9:50】 LINEグループ作成を要求されるCEO詐欺メールに関する注意喚起

2026年 4月21日にLINEグループ作成を要求されるCEO詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
09:47:05着信
From: ◯◯ ◯ <rongxiu759785@outlook.com>
Subject: ◯◯◯◯◯株式会社

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、返信してしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 14:50】メールIDとパスワードを窃取する詐欺メールに関する注意喚起

2026年 4月20日にメールIDとパスワードを窃取する詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
14:42:52着信
From: Mail Server <purchase@elim-china.com>
Subject: You have too many messages on hold

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 14:50】松井証券を騙る詐欺メールに関する注意喚起

2026年 4月20日に松井証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
08:55:06着信
From: 松井証券 <information@matsui.co.jp>
Subject: 【松井証券】ご本人確認の再検証のお願い(期限:2026年4月30日)

09:03:16着信
From: 松井証券 <information@matsui.co.jp>
Subject: 【松井証券】ご本人確認の再検証のお願い(期限:2026年4月30日)

10:02:01着信
From: 松井証券 <information@matsui.co.jp>
Subject: =?iso-2022-jp?B?GyRCIVo+PjBmPlo3dCFbJDRLXD9NM05HJyROOkY4IT5aJE4 kKjRqJCQhSjR8OEIhJxsoQjIwMjYbJEJHLxsoQjQbJEI3bhsoQjMwGyRCRnwhSxsoQg==?=

14:46:02着信
From: 松井証券 <information@matsui.co.jp>
Subject: 【松井証券】パスキー認証の導入による口座セキュリティ強化のご案内 No.4610220

リンク先は複数あり、全て詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 14:50】Appleを騙る詐欺メールに関する注意喚起

2026年 4月20日にAppleを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
14:10:11着信
14:40:36着信
From: A‍p​ple‌ <noreply@mail05.metrovna.com>
Subject: お‌支‌払‌い‌に‌関‌す‌る‌領‌収‌書‌ #‌45cebf8ec70a4b9284b60643ed2fd3d3
From: A‍p​ple‌ <noreply@mail31.ilanbudur.com>
Subject: お‌支‌払‌い‌に‌関‌す‌る‌領‌収‌書‌ #‌04ac9b70b2a147d3ae7822eaefca5acd

リンク先は複数あり、全て詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 13:10】えきねっとを騙る詐欺メールに関する注意喚起

2026年 4月20日にえきねっとを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
12:40:11着信
13:01:59着信
From: え‍き​ねっ‌と <noreply@mail30.goodbabas.com>
Subject: 【 重 要 】 え き ね っ と ア カ ウ ン ト の 自 動 退 会 処 理 に つ い て ( d2b3e6d20fc341b6bda6be6d96615caa )
From: え き ね っ と <noreply@mail40.goodbabas.com>
Subject: 【 重 要 】 え き ね っ と ア カ ウ ン ト の 自 動 退 会 処 理 に つ い て ( da27451cae254f2196d39a9b764abf62 )

リンク先は複数あり、全て詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 11:00】サポート詐欺メールに関する注意喚起

2026年 4月20日にサポート詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
10:52:06着信
From: <microsoft-noreply@microsoft.com>
Subject: 【重要】Windowsセキュリティーシステムのアップグレード

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、電話をしてしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 11:40】楽天証券を騙る詐欺メールに関する注意喚起

2026年 4月20日に楽天証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
11:33:53着信
11:37:47着信
From: 楽天証券 <service@rakuten-sec.co.jp>
Subject: 【楽天証券】パスキー認証未設定:アカウント保護のためご対応ください

リンク先は複数あり、全て詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2026/04/20 10:50】SBIネオトレード証券を騙る詐欺メールに関する注意喚起

2026年 4月20日にSBIネオトレード証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
10:48:37着信
From: SBIネオトレード証券 <post@sbigroup.co.jp>
Subject: 【至急】お客様の未受領特典(5,000円相当)に関する失効期限のお知らせ

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。