脆弱性  ·  2026-07-01

SimpleHelp OIDC認証バイパス脆弱性が悪用され、AI/クラウド開発者認証情報を狙うDjinn Stealerが配信される (CVE-2026-48558)

脆弱性High 影響度GlobalCVE-2026-48558
CVE-2026-48558 (CVSS 10, CWE-347) は、SimpleHelpのOIDCフロー内の重大な認証バイパス脆弱性です。ログイン時に送信されたアイデンティティトークンが暗号署名を検証されずに受け入れられるため、認証されていない攻撃者がトークンを偽造し、完全に認証された技術者セッションを取得できます。2026年6月29日にCISA KEVに追加され、連邦政府の期限は2026年7月2日です。Blackpointの Adversary Pursuit Group は、TaskWeaver (jquery.jsに偽装したNode.js難読化ローダー) とDjinn Stealer (クラウド認証情報、SSHキー、CI/CDトークン、暗号通貨ウォレット、および重要なAI開発ツール認証情報とMCPサーバー構成トークンを狙うクロスプラットフォームインフォスティーラー) という2つのマルウェアファミリーを配信する積極的な悪用を確認しました。
Djinn Stealerはアidevelopment AIツール認証情報とMCP構成を明確に収集します。盗まれたMCPトークンは、AI アシスタントに接続されているすべてのリポジトリ、データベース、クラウドサービスへのアクセス権を攻撃者に付与する可能性があります。SimpleHelpは600以上の組織によって使用され、数百万のエンドポイントが管理されています。単一のSimpleHelp インスタンスの侵害により、攻撃者はすべての管理対象システムに対してRMMレベルのフルアクセスを取得でき、AI認証情報盗難はより広いサプライチェーン侵害の増幅要因となります。
認証されていない攻撃者がインターネット公開のSimpleHelpサーバーに偽造OIDC アイデンティティトークンを送信し、特権技術者セッションを取得した後、RMM ファイル転送およびコマンド実行を使用してTaskWeaverとDjinn Stealerをすべての管理対象エンドポイントにデプロイします。
SimpleHelp (OIDC認証が有効化されているすべてのバージョン、2026年5月セキュリティ更新前)
https://simple-help.com/security/simplehelp-security-update-2026-05 からSimpleHelp セキュリティ更新を直ちに適用してください。連邦機関は CISA BOD 26-04 に従い、2026年7月2日までにパッチを適用する必要があります。
出典
SecurityWeek — Critical SimpleHelp Vulnerability Exploited for Malware Delivery (2026-06-30)Blackpoint Cyber — A Djinn in the Machine: TaskWeaver's Node.js Intrusion ChainSimpleHelp Security Update 2026-05CISA KEV Catalog
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →