ISSコラム

column by iss

2026年6月の主な脆弱性情報

Check Point Security Gateway CVE-2026-50751【CVSS:9.3 緊急】

本脆弱性は非推奨のIKEv1鍵交換を利用する構成における証明書検証のロジック不備であり、攻撃者が有効なユーザーパスワードを持たなくてもリモートアクセスVPNセッションを確立できます。TenableのCVE説明ではRemote AccessおよびMobile Accessの証明書検証におけるlogic flow weaknessにより未認証のリモート攻撃者がVPN接続を確立できると整理されています。CISAは6月8日に本脆弱性をKEVへ追加しました。悪用確認がありPoC/Exploit codeについては公開実用コードというより、ベンダー・調査会社が攻撃成立条件とIoCを示している段階として扱うのが妥当であるとしています。 

実務上の重大性は、VPNが「境界の認証点」である点にあります。攻撃が成立すると攻撃者は正規ユーザーに近いネットワークへの到達性を得るためEDR未導入サーバ、管理系セグメント、ファイルサーバ、AD、バックアップ、仮想化基盤へ横展開できます。Check PointおよびRapid7は、悪用が少なくとも2026年5月7日から観測され、6月上旬に増加したと説明しています。また、少なくとも一部の事案ではQilinランサムウェア affiliate との関連が中程度の信頼度で評価されています。調査では、VPN接続ログ、IKEv1利用状況、証明書検証エラー、異常なVPN払い出しIP、地理的に被害組織に近いVPS、接続後のTox通信、ELFファイルのダウンロード、Linuxランサムウェア展開痕跡を確認すべきです。 

BerriAI LiteLLM CVE-2026-42271【CVSS:8.7〜8.8相当 重要】

LiteLLMは、複数のLLM APIを統合的に扱うプロキシ/AI gatewayとして利用されます。Cloud Security Alliance(CSA)は、本件をLiteLLM 1.74.2から1.83.6に影響するcommand injection脆弱性とし、MCP server test endpointがユーザー指定のsubprocess設定をホスト上で実行してしまうと説明しています。CISAは6月8日にKEVへ追加し、悪用確認ありとしています。特に重要なのは、当初は「認証済みユーザーが必要」と見えた脆弱性が、Horizon3.aiの分析ではStarletteのHost Header validation bypassであるCVE-2026-48710と連鎖することで、未認証RCEに到達し得ると示された点です。AI gatewayは、OpenAI、Azure OpenAI、Anthropic、Google等のAPIキー、クラウド資格情報、モデル利用ログ、内部プロンプト、RAG接続先情報、プロキシAPIキーを保持が可能です。侵害後には、環境変数の窃取、.envやKubernetes Secretの取得、モデルAPIキーの不正利用、社内RAG文書へのアクセス、内部サービスへのSSRF的な探索、CI/CDやクラウドへの横展開が想定されます。検知するには、MCP test endpointへのアクセス、想定外のsubprocess起動、LiteLLMコンテナ内のshell実行、外部へのAPIキー送信、未知のHostヘッダ、異常なLLM API呼び出し量、コンテナからのクラウドメタデータアクセスを確認することが必要です。アップデートだけでなく、LiteLLM proxy key、LLM provider key、クラウド認証情報、RAG接続用資格情報を侵害済み前提でローテーションすることが望ましいです。 

Splunk Enterprise CVE-2026-20253【CVSS:9.8 緊急】

Splunk Enterpriseの CVE-2026-20253 は、監視・ログ分析基盤そのものが攻撃対象化した重要事案になります。本脆弱性は、Splunk EnterpriseのPostgreSQL sidecar service endpointにおけるmissing authenticationであり、ネットワーク到達可能な攻撃者が認証なしで任意ファイルを作成したり削除ができます。Security Affairsは、当該endpointに認証制御が欠落しており、未認証のリモート攻撃者がファイル操作を呼び出せると説明しています。HKCERTは、CVE-2026-20253について、悪用の実績があり、PoC exploit codeの公開ありと明記しています。この脆弱性のリスクは、Splunkが「監視する側」であるため、侵害時に防御側の視界そのものが損なわれる点にあります。任意ファイル作成が可能であれば、スクリプトディレクトリや設定ファイルへの書き込みを通じてRCEに発展する可能性があり、任意ファイルの削除が可能であれば、インデックス、設定、監査ログ、アラート定義を破壊できます。攻撃者は、ログ破壊、検索ヘッド設定改ざん、forwarder設定変更、saved search改ざん、認証情報・トークン取得、検知ルール停止、追加ペイロード配置に進行できます。検知をするには、PostgreSQL sidecar endpointへの外部または内部からのアクセス、Splunkプロセス権限で作成された不審ファイル、$SPLUNK_HOME/etc/apps配下の変更、監査ログ欠落、index破損、savedsearches.confやinputs.confの改変、管理者以外による設定変更を確認する必要があります。監視基盤が侵害された可能性がある場合、Splunk上のログだけに依存せず、EDR、ネットワークログ、バックアップ、OS監査ログとの突合が必要です。 

Ubiquiti UniFi OS CVE-2026-34908 / CVE-2026-34909 / CVE-2026-34910【CVSS:いずれも10 緊急】

Ubiquiti UniFi OSのこの3つの脆弱性は、単体ではアクセス制御、パストラバーサル、入力検証不備として見えますが、実情は「未認証root RCEチェーン」として扱うべきです。Bishop Foxは6月5日、UniFi OS Server 5.0.6に対し、パッチ差分解析を通じて3層の攻撃チェーンを確認し、1リクエストでroot shellへ到達できること、5.0.8で修正を確認できたことを公表しました。CISAは6月23日にこれらを含むUniFi OS関連脆弱性をKEVへ追加しています。 UniFi OSは、ネットワーク機器、Wi-Fi、スイッチ、ゲートウェイ、監視カメラ、ドアアクセス等の管理面に接続されることが多く、攻撃者がroot権限を得た場合、ネットワーク構成の窃取、管理者トークン偽造、SSH有効化、root password設定、バックドア配置、接続機器の把握、監視カメラ・物理アクセス系への波及、DNS,DHCP,VPN設定改ざんが想定される。Bishop Foxは、侵害が確認された場合は「rotate and hope」では不十分で、偽造トークンによりSSHやroot passwordが既に設定されている可能性があるため、既知正常イメージからの再構築を検討すべきと述べています。検知するには、UniFi OS Serverのバージョン、Web UI到達性、Bishop Foxの安全な検出スクリプト、root password変更、SSH有効化、管理者追加、設定エクスポート、未知プロセス、Nginx/auth gateway周辺ログ、外部送信通信を確認する必要があります。 

SimpleHelp CVE-2026-48558【CVSS:10 緊急】

本脆弱性はSimpleHelpのOpenID Connect認証フローに関わる認証バイパスであり、OIDC identity tokenの署名検証不備により、未認証のリモート攻撃者がトークンを偽造し、技術者セッションを取得できます。Horizon3.aiは6月12日にIoCを公開しました。The Hacker NewsおよびHelp Net Securityは、攻撃者がこの脆弱性を悪用してTaskWeaverとDjinn Stealerを展開していると報じています。RMM製品は、攻撃者にとって極めて価値が高いです。なぜなら、RMMは本来、管理者が端末へ接続し、ファイル転送、コマンド実行、ソフトウェア展開、リモート操作を行うための正規経路だからです。。SimpleHelpが侵害された場合、攻撃者はマルウェアを「管理作業」の文脈で展開でき、EDRやSOCの検知においても正規管理ツールとして紛れ込みやすく、TaskWeaverはNode.js loaderとしてシステム情報収集と暗号化ペイロード実行を担い、Djinn StealerはWindows、macOS、Linuxにまたがるクロスプラットフォーム情報窃取マルウェアとして、ブラウザ認証情報、クラウド資格情報、コードリポジトリ関連情報、AI関連トークン等を狙うと報じられています。検知するには、SimpleHelp technician account、OIDC設定、MFA bypass、異常なtechnician session、管理セッションからのファイル配布、Node.js実行、未知JavaScript payload、Djinn Stealerの外部通信、接続先端末側の資格情報アクセスを確認する必要があります。 

Oracle WebLogic Server CVE-2024-21182【CVSS:7.5 重要】

6月1日にCISA KEVへ追加された CVE-2024-21182 は、2024年7月に既に修正されていたOracle WebLogic Serverの脆弱性です。NVDは、Oracle Fusion MiddlewareのWebLogic Server Coreに存在し、12.2.1.4.0および14.1.1.0.0が影響を受け、T3またはIIOP経由でネットワークアクセス可能な未認証攻撃者が容易に悪用できると説明しています。悪用に成功すると重要データへの不正アクセス、またはWebLogic Serverがアクセス可能な全データへの完全アクセスが可能になります。CISAは6月1日にKEVへ追加し、悪用確認があるため連邦機関に短期での修正を求めました。PoC/Exploit codeについてはWebLogic系脆弱性の歴史的な攻撃容易性を踏まえると、公開情報・攻撃ノウハウが十分に存在するものとして扱うべきです。 WebLogicは、基幹系、認証連携、業務アプリケーション、古いJava EEシステムで長期間残存しやすいため、攻撃者は外部公開されたT3/IIOPポート、古い管理コンソール、未更新ミドルウェアを探索し、Webshell設置、JNDI/Java deserialization系の攻撃、アプリケーション設定窃取、DB接続文字列取得、内部ネットワーク探索に進む可能性があります。検知するには、T3/IIOPへの外部スキャン、weblogicプロセスによる不審な子プロセス、servers/*/tmp/_WL_user配下のWebshell、管理コンソールログイン、SerializedSystemIni.datやJDBC設定へのアクセス、異常なHTTP 500、既知WebLogic exploitパターンを確認する必要があります。本件は「古いCVEでも、攻撃者の都合が整えば再びKEV化する」ことを示しており、資産棚卸しとEOLミドルウェア排除の重要性が高いです。 

PTC Windchill / FlexPLM CVE-2026-12569 【CVSS:9.8 緊急】と Cisco Unified Communications Manager CVE-2026-20230【CVSS:8.6 重要】

CVE-2026-12569は、PTC Windchill PDMlinkおよびPTC FlexPLMに影響する重大なRCEであす。NVDは、信頼できないデータのデシリアライゼーションを通じて悪用され得るcritical RCEとして説明しています。WindchillやFlexPLMは製品ライフサイクル管理、設計情報、部品表、製造関連データを扱うため、侵害時には単なるサーバ侵害に留まらず、知的財産、製造データ、サプライチェーン情報、顧客設計情報へのアクセスにつながります。CISA KEV掲載、悪用確認あり、CVSSは公開情報上9点台として扱われ、PoC/Exploit codeについては、少なくとも攻撃者による実地悪用が確認されているため、外部公開環境では侵害前提の確認が必要です。CVE-2026-20230 は、Cisco Unified Communications Manager Serverに関する脆弱性で、Cisco UC基盤は、電話、ボイスメール、会議、通話記録、組織内連絡網、場合によっては緊急通報やコンタクトセンターに影響があります。攻撃者がUC基盤を侵害すれば、通話メタデータ、内線情報、管理者認証情報、音声サービス可用性、さらにはソーシャルエンジニアリング用の組織情報を得る可能性があります。検知するには、管理者ログイン、未知のAPI操作、構成変更、SIP/CTI異常、ユーザー追加、通話ルーティング変更、UCサーバ上の不審プロセスを確認する必要があります。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。