セキュリティ
脆弱性・暗号・プライバシー
Index
count=123- セキュリティtheme: テクノロジー
Mastra npm 144 パッケージで大規模供給網攻撃
The Hacker News は 6 月 17 日、AI フレームワーク Mastra の npm スコープが乗っ取られ、144 パッケージに dayjs 偽装ライブラリ「easy-day-js」が依存追加されたと報じました。週次 91 万 DL の @mastra/core を含み、北朝鮮系 APT BlueNoroff との関連も指摘されています。
- セキュリティtheme: テクノロジー
JetBrains の悪性プラグインで AI API 鍵を窃取
BleepingComputer は 6 月 17 日、JetBrains Marketplace 上の少なくとも 15 種の不正プラグインが、ユーザーが設定画面に入力した OpenAI / DeepSeek などの API キーを攻撃者サーバーへ密かに送信していたと報じました。合計約 7 万回インストールされていました。
- セキュリティtheme: テクノロジー
SoftBank、OpenAI 技術でインフラ 3,000 社にサイバー防御パッチ提供
SoftBank と OpenAI は 6 月 16 日の東京イベントで、空港・電力・交通などインフラを支える日本の主要 3,000 社向けに OpenAI 技術を用いた「パッチサービス」を提供すると発表しました。孫正義氏はサイバー攻撃を「黒船」になぞらえ、危機感を訴えています。
- セキュリティtheme: テクノロジー
Cisco Catalyst SD-WAN Manager に新ゼロデイ、限定的攻撃を確認
Cisco は 6 月 16 日、Catalyst SD-WAN Manager (旧 vManage) の任意ファイル書き込み脆弱性 CVE-2026-20262 (CVSS 6.5) を公表しました。限定的な標的型攻撃で悪用が確認されており、CISA も KEV カタログに追加して連邦機関に 6 月 29 日までのパッチ適用を命じています。
- セキュリティtheme: テクノロジー
三菱電機の Wi-Fi 家電に脆弱性、エアコンや冷蔵庫など広範囲が対象
ITmedia は、三菱電機が Wi-Fi 対応の霧ヶ峰や冷蔵庫、給湯機など広範な家電にハードコードされた認証情報の脆弱性が見つかったとしてユーザーに対応を求めていると報じた。
- セキュリティtheme: テクノロジー
CISA、LiteSpeed cPanel プラグインの root 昇格脆弱性に修正命令
BleepingComputer は、CISA が LiteSpeed の cPanel プラグインに存在する権限昇格脆弱性 CVE-2026-54420 を KEV カタログに追加し、連邦機関に 6 月 18 日までの修正を命じたと報じた。
- セキュリティtheme: テクノロジー
NEC と英 BAE、能動的サイバー防御で日本政府向け協業 MOU
NEC と英 BAE Systems が、日本政府への能動的サイバー防御 (ACD) 導入に向けた覚書を締結。日英戦略的サイバーパートナーシップに沿った官民連携の一環。
- セキュリティtheme: テクノロジー
WordPress 主要プラグインの CDN 改ざんで 120 万サイト規模の供給網攻撃
OptinMonster や PushEngage など Awesome Motive 製プラグインの CDN が改ざんされ、管理者ログイン時に偽の管理者アカウントを作成するスクリプトが配信された。
- セキュリティtheme: テクノロジー
イラン 4 大銀行で大規模システム障害 共通通信網への「限定的」サイバー攻撃で ATM 停止
イランの銀行協調評議会は 6 月 13 日夜、Bank Melli、Bank Tejarat、Bank Saderat、Export Development Bank の 4 行が共有する通信インフラに「限定的」サイバー攻撃を受け、モバイル銀行・ネット銀行・ATM・POS 端末がいっせいに停止したと発表しました。顧客データの漏えいや削除はなく、Tejarat と Export Development Bank は 14 日中に復旧しました。
- セキュリティtheme: テクノロジー
Google が中国系スミッシング組織 Outsider Enterprise を提訴 Gemini 悪用認定
Google は 6 月 12 日、中国拠点のサイバー犯罪組織 Outsider Enterprise を米連邦裁に提訴。Gemini AI で偽電話会社・米郵便・E-ZPass を模したフィッシングサイトを大量生成し、5 月の 2 週間だけで 250 万件のスミッシングを米国に送信、累計 387 万件のクレジットカード窃取と 19 億ドル被害に関与したと主張しています。
- セキュリティtheme: テクノロジー
Arch Linux AUR で 400 超パッケージが侵害 eBPF ルートキットを配布
Arch Linux のコミュニティリポジトリ AUR で 6 月 11 日以降、放置されたパッケージ 400 件超が乗っ取られ、悪意ある npm 依存 (atomic-lockfile / js-digest) を経由して Rust 製の認証情報窃取ツールと eBPF ルートキットを配布する大規模サプライチェーン攻撃が発生しました。
- セキュリティtheme: テクノロジー
LangGraph に RCE 連鎖脆弱性 自前ホストの AI エージェントが危険に
LangChain 開発の AI エージェント基盤 LangGraph に 3 件の脆弱性が公表されました。SQL インジェクション (CVE-2025-67644) と msgpack デシリアライズ (CVE-2026-28277) を連鎖させると、自前ホスト環境でリモートコード実行が可能です。
- セキュリティtheme: テクノロジー
メイン州、データ漏えい通知ポータルを一般非公開化 偽の Discord / VRChat 届出受け
メイン州司法長官事務所は、データ漏えい通知ポータルが偽の届出を自動公開していた問題を受け、公開機能を一時停止しました。Discord 1,000 万人・VRChat 240 万人と偽る届出が出回り、両社が否定する事態に発展。
- セキュリティtheme: テクノロジー
ServiceNow、API 認証バイパスで顧客データ流出 6 月 5 日に修正済み
ServiceNow は 6 月 9 日、未認証で REST API エンドポイントを叩ける構成不備により顧客インスタンスのテーブルが照会された事象を公表しました。修正パッチは 6 月 5 日適用済みで、6 月 2 日から数日間の悪用が確認されています。
- セキュリティtheme: テクノロジー
Ivanti Sentry CVSS 10.0 脆弱性、PoC 公開直後に実攻撃 CVE-2026-10520
Ivanti が 6 月 9 日に公表した Sentry の未認証 OS コマンドインジェクション脆弱性 CVE-2026-10520 (CVSS 10.0) について、watchTowr が PoC を公開した翌日には実攻撃が観測された。Shadowserver は公開済み 19 台のうち 2 台でバックドア設置を確認している。
- セキュリティtheme: テクノロジー
ShinyHunters、Oracle PeopleSoft ゼロデイで 100 組織超を侵害 CVE-2026-35273
Oracle は 6 月 10 日、PeopleSoft Enterprise PeopleTools の未認証 RCE 脆弱性 CVE-2026-35273 (CVSS 9.8) に out-of-band パッチを公開。Mandiant は ShinyHunters が 5 月末から 100 組織超 (約 7 割が米国の大学) をゼロデイで侵害したと報告した。
- セキュリティtheme: テクノロジー
データセンターの UPS / HVAC に CVSS 9.8 脆弱性 Claroty が連鎖攻撃を実証
Claroty Team82 は 6 月 10 日、Vertiv 製 UPS ネットワークカードと Trane 製 HVAC コントローラに CVSS 9.8 級の脆弱性を発見したと公表した。認証バイパスとスタックオーバーフローを連鎖させると、データセンターの空調・電源を遠隔から停止可能となる。
- セキュリティtheme: テクノロジー
Microsoft Defender の新ゼロデイ「RoguePlanet」公開、Patch Tuesday 直後に SYSTEM 権限奪取の PoC
研究者 Nightmare Eclipse が 6 月 10 日、6 月パッチ適用後の Windows 10 / 11 でも有効な Defender のゼロデイ「RoguePlanet」の PoC を公開。Defender 内部の競合状態を突いて非特権ユーザーから SYSTEM シェルを取れるローカル特権昇格 (LPE) 脆弱性。
- セキュリティtheme: テクノロジー
Microsoft 6 月パッチ、過去最多 208 件の脆弱性を修正 Defender ゼロデイ悪用中
Microsoft は 6 月の月例セキュリティ更新で 208 件の脆弱性を修正しました。2017 年以降で最大規模で、Defender の権限昇格脆弱性 CVE-2026-41091 が実際に悪用中。CVSS 9.8 の Windows カーネル RCE など重大度クリティカルが複数含まれます。
- セキュリティtheme: テクノロジー
Veeam Backup & Replication にドメインユーザーから RCE 可能な CVE-2026-44963 (CVSS 9.4)
Veeam は Backup & Replication v12 に存在する重大 RCE 脆弱性 CVE-2026-44963 (CVSS v4 9.4) を修正しました。Active Directory 参加環境では認証済みドメインユーザーが任意コードを実行可能で、バックアップサーバーの完全乗っ取りに繋がります。
- セキュリティtheme: テクノロジー
警察庁と JC3、企業 PC を遠隔操作する「ボイスフィッシング」新手口に注意喚起
警察庁と日本サイバー犯罪対策センター (JC3) は、企業の PC を遠隔操作するボイスフィッシング起点の新手口に注意喚起しました。法人口座を狙った 2025 年の被害は 143 件・約 45 億円に達し、不正送金被害額の約 4 割を占めています。
- セキュリティtheme: テクノロジー
Check Point VPN 重大脆弱性 CVE-2026-50751、Qilin ランサムウェアが悪用
Check Point VPN の認証バイパス脆弱性 CVE-2026-50751 (CVSS 9.3) が 5 月 7 日からゼロデイ攻撃に悪用され、Qilin ランサムウェア affiliate による侵害が確認されました。CISA は 6 月 8 日に KEV カタログ追加、連邦機関に 6 月 11 日までのパッチ適用を命じています。
- セキュリティtheme: テクノロジー
近大入試で AI 合成写真の替え玉受験、元塾講師起訴 生体認証導入論議へ
近畿大学の推薦入試で、生徒の顔と自分の顔を AI で合成した写真を使って身分確認をすり抜けた元学習塾講師が 2026 年 6 月 8 日に起訴されました。視認による本人確認では AI 合成画像を見破れず、大学入試での生体認証導入を求める議論が広がっています。
- セキュリティtheme: テクノロジー
九州電力送配電、最大 1090 万件分の顧客情報入り記憶媒体が紛失
九州電力の子会社・九州電力送配電は 2026 年 6 月 8 日、最大 1090 万件の顧客情報を保存した外部記憶媒体がサーバ室から行方不明になったと発表しました。データは暗号化もパスワード設定もされておらず、福岡県警に窃盗の疑いで被害届を提出しています。
- セキュリティtheme: テクノロジー
Linux カーネル nf_tables の UAF、ローカル root 取得の PoC が公開
Exodus Intelligence が CVE-2026-23111 の技術解説と動作 PoC を公開しました。nf_tables の use-after-free を悪用し、Debian / Ubuntu 上で非特権ユーザーから root への昇格が 99% 以上の信頼性で再現できると報告されています。
- セキュリティtheme: テクノロジー
りそな HD、AI セキュリティ専門チームを発足
りそなホールディングスの南昌宏社長が、Anthropic Claude Mythos など脆弱性発見に長けた高性能 AI に備える社内専門チームを発足したと表明。IT セキュリティと経営企画から横断メンバーを集める。
- セキュリティtheme: テクノロジー
Android 6 月パッチ、悪用中のゼロデイ含む 124 件を修正
Google が Android 6 月セキュリティ速報を公開。Framework の整数オーバーフロー CVE-2025-48595 が限定的・標的型攻撃で悪用中とされ、Android 14・15・16・16 QPR2 が影響を受ける。
- セキュリティtheme: テクノロジー
IBM WebSphere に重大 3 件、認証回避と RCE が連鎖可能
IBM が WebSphere Application Server 8.5/9.0 で CVSS 9 級の脆弱性 3 件を一斉公開。なりすまし 1 件 + RCE 2 件が連鎖し完全な制御権奪取につながる。
- セキュリティtheme: テクノロジー
Windows Netlogon の RCE 脆弱性、実環境で悪用開始
5 月 Patch Tuesday で修正された Netlogon の RCE 脆弱性 CVE-2026-41089 (CVSS 9.8) について、ベルギーの CCB が実環境での悪用を確認したと警告。ドメインコントローラに認証不要で到達可能な深刻度。
- セキュリティtheme: テクノロジー
Red Hat の npm パッケージに Miasma ワーム侵入
@redhat-cloud-services スコープの npm パッケージが供給網攻撃で改竄され、32 パッケージ・96 バージョンに認証情報窃取ワーム「Miasma」が混入。週間ダウンロード約 11.7 万件の規模で開発機 / CI 環境を狙う。
- セキュリティtheme: テクノロジー
悪意ある Codex UI npm、週 2.7 万 DL で OpenAI トークン窃取
Aikido Security が、OpenAI Codex 向け人気 npm パッケージ codexui-android が refresh トークンを Sentry 通信を装って外部送信していたと公表しました。
- セキュリティtheme: テクノロジー
Charterで490万件流出 ShinyHuntersが暴露
米通信大手 Charter Communications がデータ侵害を確認。ShinyHunters が 4 月の vishing で侵入し、4 月以降に窃取した 490 万件分の顧客情報を恐喝の決裂後に公開した。
- セキュリティtheme: テクノロジー
Palo Alto の GlobalProtect 認証バイパス、攻撃に悪用 CISA 緊急対応
Palo Alto Networks の PAN-OS GlobalProtect 認証バイパス (CVE-2026-0257) が実環境で悪用され、CISA は KEV カタログに追加し連邦機関に 6 月 1 日までの対処を指示した。
- セキュリティtheme: テクノロジー
ChatGPT 要約機能から QR フィッシング、Permiso が公開
Permiso Security は ChatGPT の Web 要約レスポンスに Markdown 経由で攻撃者のリンク・画像・QR を埋め込む「ChatGPhish」手法を公開。被害者の IP / UA / Referer 漏洩や、モバイルへのピボットも可能となる。
- セキュリティtheme: テクノロジー
邦銀 3 メガ、Anthropic Mythos 利用へ
片山財務相は日本政府と 3 メガバンクが Anthropic の脆弱性発見モデル Claude Mythos へ早期アクセスを得る見通しと発表。Project Glasswing 連合に邦銀として初参画する。
- セキュリティtheme: テクノロジー
marimo 侵害、LLM 主導で内部 DB 流出
Sysdig は CVE-2026-39987 経由で marimo を侵害した攻撃者が、LLM エージェントを主役に 4 段ピボットを 1 時間で完走させ、内部 PostgreSQL を盗み出した事例を初公表した。
- セキュリティtheme: テクノロジー
CISA、サプライチェーン攻撃3件をKEVに追加
CISA は DAEMON Tools・TanStack・Nx Console を狙ったサプライチェーン攻撃 3 件を Known Exploited Vulnerabilities に追加。FCEB 機関に対処を求めた。
- セキュリティtheme: テクノロジー
Claude 狙う悪性 npm、自身の GitHub トークン流出
Anthropic の Claude が利用するアップロード領域を狙う悪性 npm パッケージが発見された。攻撃者が自身の GitHub トークンを誤って同梱し、追跡可能になった。
- セキュリティtheme: テクノロジー
Windows 11 カーネル、ブラウザ脱出 PoC 公開
Windows 11 24H2/25H2 のカーネル脆弱性 CVE-2026-40369 が公開。ブラウザのレンダラサンドボックスからでも SYSTEM 権限を取得できる PoC が GitHub で公表された。
- セキュリティtheme: テクノロジー
Gitea 脆弱性、未認証で private コンテナ取得可能
Gitea の脆弱性 CVE-2026-27771 が公表。private 指定のコンテナイメージを未認証のまま pull できる状態が約 4 年間放置されていた。
- セキュリティtheme: テクノロジー
Ghost CMSの脆弱性悪用、700超サイト改ざん
Ghost CMS の SQL インジェクション脆弱性 CVE-2026-26980 を悪用した改ざんキャンペーンが進行中。Harvard 大学や DuckDuckGo を含む 700 超のサイトが被害を受けています。
- セキュリティtheme: テクノロジー
公開APIキーがGemini悪用の標的に、高額請求が続出
Google Maps 向けに公開していた API キーがスコープ拡大で Gemini を呼び出せる状態になり、悪用されて開発者が高額請求を受ける被害が相次いでいると TechCrunch が報じました。キー失効の反映が遅い問題も指摘されています。
- セキュリティtheme: テクノロジー
LiteSpeed cPanel プラグインに CVSS 10、root 奪取に悪用
Web ホスティング向け LiteSpeed cPanel プラグインに CVSS 10.0 の権限昇格脆弱性 CVE-2026-48172 が見つかり、実環境で悪用されています。一般 cPanel ユーザーが root 権限で任意コードを実行でき、サーバー乗っ取りにつながります(初報は 5 月 23 日)。
- セキュリティtheme: テクノロジー
DDoS ボットネット「KimWolf」運営の 23 歳カナダ人を逮捕 — 200 万デバイス感染、30 Tbps の記録的攻撃
米司法省は 5 月 22 日、約 200 万台の IoT 機器を支配し最大 30 Tbps の記録的 DDoS を組織したボットネット「KimWolf」運営者として、オタワ在住の 23 歳 Jacob Butler 容疑者 (通称 Dort) をカナダ当局が逮捕したと公表。米加で起訴され、米国では計算機侵入の幇助罪 (最大 10 年) に問われる。
- セキュリティtheme: テクノロジー
「Megalodon」攻撃、6 時間で GitHub 5,561 リポジトリに悪性 CI ワークフロー注入 — 5,718 件の偽コミット
セキュリティ研究者は 5 月 22 日、GitHub 上で 5,561 のリポジトリに合計 5,718 件の悪性コミットが約 6 時間で投下された自動キャンペーン「Megalodon」を公開した。攻撃は 5 月 18 日 UTC 11:36〜17:48 に集中し、Base64 化された GitHub Actions ワークフローが CI シークレット・クラウド認証情報・OIDC トークンを 216.126.225.129:8443 の C2 へ送出する。
- セキュリティtheme: テクノロジー
Laravel-Lang composer パッケージで大規模サプライチェーン攻撃 — 700+ タグ書き換えで認証情報窃取
Laravel-Lang 組織配下の 4 つの Composer パッケージで、既存の git タグ計 700 以上が攻撃者支配下のフォークコミットに書き換えられるサプライチェーン攻撃が発生。autoload.files に注入された helpers.php が CI 環境変数を外部に送信する。5 月 22 日 22:32 UTC から開始され、5 月 23 日にかけて拡大した。
- セキュリティtheme: テクノロジー
Cisco Secure Workload に CVSS 10.0 — 無認証 REST API で Site Admin 権限奪取
Cisco は 5 月 20-21 日、マイクロセグメンテーション製品 Secure Workload に CVSS 10.0 の脆弱性 CVE-2026-20223 を公表。REST API エンドポイントの認証不備により、未認証のリモート攻撃者がテナント境界を越えて Site Admin 権限で機密情報読み取り・設定変更が可能となる。SaaS 版は対処済み、オンプレ版は 3.10.8.3 / 4.0.3.17 へ更新が必要。
- セキュリティtheme: テクノロジー
NTT ドコモビジネス、AI エージェント運用の「AI SOC」提供開始 — 調査稼働 95% 削減
NTT ドコモビジネスが 5 月 20 日、独自開発の AI エージェントによるログ相関分析とマネージド SOAR を組み合わせたセキュリティ運用サービス「AI SOC」を提供開始。社内導入実績ではアラート調査稼働を 95% 削減し、熟練アナリストで 1-2 時間を要していた相関分析を約 10 分に短縮。
- セキュリティtheme: テクノロジー
GitHub、社内 3,800 リポジトリ流出を確認 — 侵害 Nx Console 拡張が侵入起点
GitHub が CISO 名義で内部リポジトリ侵害を公式認定。初報は 5 月 18 日の Nx Console 拡張サプライチェーン攻撃で、社員端末を経由して 3,800 件の社内リポジトリが攻撃グループ TeamPCP に窃取された。顧客 GitHub データ自体への影響は否定。
- セキュリティtheme: テクノロジー
Ubiquiti UniFi OS、CVSS 10.0 重大脆弱性を 3 件同時公開 — UDM / UNVR 直撃
Ubiquiti が 5 月 22 日、UniFi OS 系の脆弱性 5 件を含む Security Advisory Bulletin 056 を公開。うち 3 件 (CVE-2026-34908 / 34909 / 34910) は CVSS 10.0 で未認証リモート侵害を許容。UCG / UDM / UNVR / UNAS など主要機器が広範囲に影響を受ける。
- セキュリティtheme: テクノロジー
Socket、$60M Series C で $1B 評価到達 — AI 加速時代の OSS サプライチェーン攻撃を毎週 1000+ ブロック
Thrive Capital 主導の Series C で評価額 $1B に到達。Anthropic / xAI / Cursor 等の AI ネイティブ企業を顧客に、悪性 npm / PyPI パッケージのダウンロード前ブロックを売りにする。
- セキュリティtheme: テクノロジー
NGINX 1.31.0 に未修正 RCE 0-day「nginx-poolslip」公開 — ASLR 回避で Web 全体の 30-40% に影響
セキュリティ研究チーム NebSec が 5 月 21 日に NGINX の最新安定版を狙う未認証 RCE を公表。CVE 未採番・F5 公式パッチ未提供のまま 30 日責任開示の途中段階。
- セキュリティtheme: テクノロジー
Microsoft Defender、悪用中の 0-day 2 件を緊急修正 — CVE-2026-41091 / 45498 が CISA KEV 入り
Microsoft は 5 月 19 日 に Defender の脆弱性 CVE-2026-41091 (CVSS 7.8 / SYSTEM 権限昇格) と CVE-2026-45498 (CVSS 4.0 / DoS) を公開し、いずれも実環境で悪用されていることを明示した。CISA は 5 月 21 日に両 CVE を KEV カタログへ追加し、連邦機関に 6 月 3 日までの対応を義務付けた。
- セキュリティtheme: テクノロジー
Verizon DBIR 2026 公開 — 脆弱性悪用が認証情報盗用を初めて逆転、shadow AI 利用は 45% に倍増
Verizon は 5 月 19 日、19 年目となる Data Breach Investigations Report 2026 を公開した。初期侵入経路として脆弱性悪用 (31%) が認証情報盗用を 19 年で初めて上回り、社員による未承認 shadow AI 利用は 45% へ約 3 倍に拡大。サードパーティ起因の侵害も 60% 増。
- セキュリティtheme: テクノロジー
Microsoft、マルウェア署名サービス Fox Tempest を解体 — 1000 超の不正証明書を失効、OpFauxSign
Microsoft Digital Crimes Unit は 5 月 19 日、ランサムウェアを正規ソフトに偽装させる malware-signing-as-a-service (MSaaS) Fox Tempest を法的措置で解体したと発表した。同社の Artifact Signing 経由で取得された 1000 を超える証明書を失効し、signspace[.]cloud などの基幹インフラを差し押さえた。
- セキュリティtheme: テクノロジー
Drupal、PostgreSQL サイトを直撃する SQL injection を緊急修正 (SA-CORE-2026-004 / CVE-2026-9082)
Drupal は 5 月 20 日、未認証でも悪用可能な PostgreSQL バックエンド向け SQL injection 脆弱性 SA-CORE-2026-004 (CVE-2026-9082) を「Highly Critical」(20/25) として緊急公開。情報漏えい・権限昇格・RCE につながり得るとし、対応版へのアップデートを強く呼び掛けている。
- セキュリティtheme: テクノロジー
Nx Console VS Code 拡張に侵害版 — 開発者の認証情報やClaude設定まで窃取
Nx Console (nrwl.angular-console) v18.95.0 が侵害版として VS Code Marketplace に公開。GitHub / npm / AWS / 1Password / Vault のトークンに加え、~/.claude/settings.json まで狙う 498KB のペイロードを配信していた。
- セキュリティtheme: テクノロジー
TeamPCP が Shai-Hulud ソースを GitHub 公開 ⇒ 5 日後に模倣攻撃が npm 出現 — chalk-tempalte など 4 パッケージ
BleepingComputer は 5 月 18 日、漏洩した Shai-Hulud ワームのソースコードを使った npm 模倣攻撃 4 件を確認したと報じた。TeamPCP が 5 月 12 日に GitHub でソースを公開してから 5 日、難読化すらしない素のクローン chalk-tempalte などが既に流通している。
- セキュリティtheme: テクノロジー
Tycoon2FA、OAuth『端末コード』経由で Microsoft 365 を乗っ取り — Trustifi の追跡 URL も悪用
PhaaS『Tycoon2FA』が OAuth Device Authorization Grant を悪用する攻撃を新装備。被害者は本物の microsoft.com/devicelogin で MFA を完了させられ、攻撃者デバイスにアクセストークンが渡る。誘導 URL には Trustifi のクリック追跡ドメインを利用し評判をロンダリング。
- セキュリティtheme: テクノロジー
NGINX Rift (CVE-2026-42945) 野放しで悪用観測 ⇒ worker クラッシュ続発、RCE も成立条件付き
VulnCheck が NGINX に 18 年潜伏した CVE-2026-42945 の悪用観測を公表。GitHub 上の PoC 公開後、未認証 HTTP リクエスト 3 発で worker プロセスが連続クラッシュし、ASLR 無効環境では RCE まで到達することが確認されている。
- セキュリティtheme: テクノロジー
Windows 0-day『MiniPlasma』PoC 公開 — フル更新環境でも SYSTEM 権限奪取
研究者 Chaotic Eclipse が cldflt.sys の未修整バグを悪用する Windows 権限昇格 0-day『MiniPlasma』の PoC を公開。最新 May 2026 Patch Tuesday 適用済みの Windows 11 でも標準ユーザーから SYSTEM 権限のコマンドプロンプトを起動できる。
- セキュリティtheme: テクノロジー
WordPress Funnel Builder の脆弱性悪用 — WooCommerce 決済 4 万店にスキマー注入
WordPress プラグイン Funnel Builder (FunnelKit) の未認証脆弱性が悪用され、WooCommerce 4 万店超の決済ページに偽 GTM スクリプト経由のクレジットカード・スキマーが注入されていると Sansec が報告した。
- セキュリティtheme: テクノロジー
Grafana、GitHub トークン窃取で社内コード流出 — CoinbaseCartel の恐喝は拒否
Grafana Labs が 5 月 16 日に GitHub 環境への不正アクセスを公表。攻撃者は Fork → 悪性 workflow で特権トークンを窃取し非公開リポジトリ 5 件を取得、CoinbaseCartel として恐喝を試みたが同社は支払いを拒否した。
- セキュリティtheme: テクノロジー
OpenClaw に 4 連鎖脆弱性『Claw Chain』⇒ 公開 AI エージェント 24.5 万台が露出
Cyera が自律 AI エージェント基盤 OpenClaw に未公開の 4 脆弱性『Claw Chain』を公表。サンドボックス回避から認証情報漏洩・権限昇格まで連鎖可能で、インターネットに露出する公開インスタンス約 24.5 万台が影響対象となる。
- セキュリティtheme: テクノロジー
Pwn2Own Berlin 2026、2 日間で 39 件のゼロデイ・90 万ドル賞金 — Exchange RCE が単発最高 20 万ドル
Pwn2Own Berlin 2026 が Day 2 を終え、累計 39 件のゼロデイ・90 万 8,750 ドルを支払い。Orange Tsai が完全パッチ済み Exchange の SYSTEM 権限 RCE を 3 バグ連鎖で達成、単発最高 20 万ドルを獲得。
- セキュリティtheme: テクノロジー
PraisonAI に認証バイパス CVE-2026-44338 — 公開 4 時間で攻撃を観測
オープンソースのマルチエージェント基盤 PraisonAI で認証不要のエンドポイントが露出する CVE-2026-44338 が公表され、公開からわずか 3 時間 44 分後にスキャンと攻撃が観測された。
- セキュリティtheme: テクノロジー
Microsoft、Turla の Kazuar が P2P 型ボットネット化と分析
Microsoft Security は 5 月 14 日、ロシア FSB 関連の APT グループ Turla が運用する Kazuar バックドアが、モジュール式の P2P ボットネット型へ進化していると詳細解析を公開した。
- セキュリティtheme: テクノロジー
Microsoft、オンプレ Exchange の OWA XSS『CVE-2026-42897』を緊急開示 — 悪用確認、恒久パッチは作成中
OWA で動く XSS 経由のなりすまし脆弱性が Subscription Edition / 2019 / 2016 に影響。Microsoft は EM Service による緩和 M2 を即時適用するよう要請。
- セキュリティtheme: テクノロジー
Cisco Catalyst SD-WAN に CVSS 10.0 の認証バイパス — 既に悪用、CISA KEV 入り
Cisco Catalyst SD-WAN Controller/Manager の peering 認証に最大深刻度の認証バイパス。UAT-8616 によるゼロデイ悪用が確認され、CISA KEV にも追加された。
- セキュリティtheme: テクノロジー
NGINX に 18 年潜伏の未認証 RCE『NGINX Rift』判明 ⇒ AI 解析で CVE-2026-42945 発見
F5 と depthfirst が NGINX の rewrite モジュールに 2008 年から潜む heap overflow を公表。単発の HTTP リクエストで未認証 RCE/DoS が可能で、自律 AI コード監査により発見された。
- セキュリティtheme: テクノロジー
Foxconn 北米工場が Nitrogen ランサム被害 ⇒ Apple/Nvidia の機密 8TB を窃取と犯行声明
Foxconn が 5/1 から続く北米工場のサイバー攻撃を確認。二重恐喝型 Nitrogen が Apple、Nvidia、Dell、Intel、Google の機密 11M ファイル (8TB) 窃取を主張している。
- セキュリティtheme: テクノロジー
Microsoft、エージェント AI『MDASH』で Windows の RCE 4 件含む 16 脆弱性を発見 ⇒ 5 月パッチで修正
100 超の AI エージェントを束ねるスキャナ MDASH が、Patch Tuesday 1 回分に Critical RCE 4 件を含む 16 件の新規 CVE を流し込んだ。
- セキュリティtheme: テクノロジー
TanStack の npm 42 パッケージが改竄、Mini Shai-Hulud ワーム再燃 ⇒ GitHub Actions の OIDC を窃取
TanStack は 5 月 11 日 19:20 UTC ごろから 6 分間にわたり @tanstack/* 42 パッケージ 84 版が改竄され配布されたと公表しました。攻撃者は pull_request_target 経由で Actions キャッシュを汚染し、ランナー上の Worker プロセスから OIDC トークンをメモリ抽出して正規の SLSA 出所付きでマルウェアを公開。週ダウンロード 1,200 万を超える @tanstack/react-router を含む広範な依存に影響します。
- セキュリティtheme: テクノロジー
Ollama に重大 OOB read 脆弱性 CVE-2026-7482『Bleeding Llama』⇒ 約 30 万台のサーバにメモリ漏えいリスク
Cyera が 5 月初旬に公表したローカル LLM 実行基盤 Ollama の脆弱性 CVE-2026-7482『Bleeding Llama』が、5 月 10 日に The Hacker News などで本格的に報じられました。GGUF テンソル解析処理のヒープ OOB read で、未認証リモート攻撃者がプロセスメモリを丸ごと漏えいさせることが可能。インターネット公開中の約 30 万台が影響を受けると見られ、修正版は 0.17.1。
- セキュリティtheme: テクノロジー
JDownloader 公式サイトが侵害 ⇒ Windows / Linux インストーラに Python RAT が混入、5/6-7 DL 分が対象
BleepingComputer は 5 月 9 日、ダウンロードマネージャ JDownloader の公式サイトが侵害され、5 月 6 日 0:01 UTC から 5 月 7 日にかけて配布された Windows「Alternative Installer」と Linux シェルインストーラが Python ベースの RAT に置き換えられていたと報じました。配布チャネルのうち macOS / Flatpak / Snap / Winget / 主要 JAR は影響を受けていません。
- セキュリティtheme: テクノロジー
Microsoft Semantic Kernel に CVSS 9.8 の RCE ⇒ プロンプトがシェルになる AI エージェント脆弱性 2 件を修正
Microsoft が Semantic Kernel エージェント フレームワークの 2 件の RCE 脆弱性を 5 月 7 日に開示。Python 版 InMemoryVectorStore に CVSS 9.8 の致命的欠陥があり、プロンプト経由で任意コード実行や任意ファイル書き込みが可能だった。
- セキュリティtheme: テクノロジー
RansomHouse、Trellix のソースコード侵入を犯行声明 ⇒ VMware・Rubrik 管理画面のスクショも公開
Trellix が 5 月 1 日に開示した『ソースコードリポジトリの一部への不正アクセス』について、ランサムウェアグループ RansomHouse が 5 月 7 日にリークサイトで犯行声明を出しました。同グループは Trellix 社内の VMware・Rubrik・Dell EMC 管理ダッシュボードを写したとされる 7 枚のスクリーンショットを根拠として公開し、被害がソースコードの範囲を越えてインフラ全体に及ぶ可能性が指摘されています。Trellix は『ソースコードの配布や流用の痕跡はない』と説明しています。
- セキュリティtheme: テクノロジー
Linux カーネルに『Dirty Frag』2 件の root 取得 LPE、PoC 公開 ⇒ 主要ディストリが緊急 mitigation
5 月 7 日に oss-security へ公開された『Dirty Frag』は、Linux カーネルの xfrm-ESP (CVE-2026-43284) と RxRPC (CVE-2026-43500) に存在する 2 つのページキャッシュ書き込み欠陥で、ローカルから root 権限への昇格を許します。レースに依存しない決定論的な悪用が可能で、Ubuntu / Red Hat / AlmaLinux / CloudLinux などが順次パッチや mitigation を 5 月 8 日付けで公開しました。
- セキュリティtheme: テクノロジー
ShinyHunters、Instructure に再侵入 ⇒ 大学 Canvas が一斉ダウンし 275M 件で恐喝段階へ
犯罪集団 ShinyHunters は 5 月 7 日、学習管理システム Canvas を提供する米 Instructure を再び侵害したと主張し、複数大学のログイン画面を改ざんしました。グループは合計 8,809 校・275M 件の利用者データを掌握したとし、5 月 12 日までに身代金を支払わなければデータを公開すると通告しています。Pennsylvania 大学などで学期末の重要な時期に Canvas が一時利用不能となりました。
- セキュリティtheme: テクノロジー
Ivanti EPMM に管理者権限 RCE の CVE-2026-6973、限定的に実環境悪用 ⇒ CISA は 5/10 期限
Ivanti は 5 月 7 日、Endpoint Manager Mobile (EPMM) に認証済み管理者によるリモートコード実行を許す入力値検証不備 CVE-2026-6973 (CVSS 7.2) が存在し、ごく一部の顧客で実環境悪用が観測されたと公表しました。CISA は同日 KEV カタログに追加し、米連邦民間機関に 5 月 10 日までのパッチ適用を義務付けています。
- セキュリティtheme: テクノロジー
Iran 系 MuddyWater、Chaos ランサムウェアを『偽旗』として展開 ⇒ Teams 経由で MFA 突破
Rapid7 は 5 月 5 日付の調査レポートで、当初 Chaos RaaS による暴露型攻撃に見えたインシデントが、イラン国家支援型 APT『MuddyWater (Seedworm)』による偽旗作戦だったと公表しました。攻撃者は Microsoft Teams での画面共有を起点にソーシャルエンジニアリングで認証情報と多要素認証 (MFA) を奪取しており、ランサムウェアは諜報目的の隠蔽手段として使われていました。
- セキュリティtheme: テクノロジー
Palo Alto PAN-OS 認証ポータルに RCE 脆弱性 CVE-2026-0300、実環境で悪用中
Palo Alto Networks は 5 月 6 日、PAN-OS の User-ID 認証ポータル (Captive Portal) に未認証で root 権限の任意コード実行が可能なバッファオーバーフロー脆弱性 CVE-2026-0300 が存在し、実環境で悪用が観測されていると公表しました。PA シリーズ・VM シリーズの両ファイアウォールが対象で、修正版は 5 月中下旬予定、現時点では緩和策の適用が呼びかけられています。
- セキュリティtheme: テクノロジー
Apache HTTP Server に HTTP/2 二重解放の重大脆弱性 CVE-2026-23918、2.4.67 で修正
Apache 財団は 5 月 4 日、HTTP/2 の早期リセット時に二重解放を起こす CVE-2026-23918 (CVSS 8.8) を公表し、修正版 2.4.67 を配布。デフォルトで mod_http2 を有効にする多数のサイトが DoS と RCE 双方の影響を受け得る。Debian 系の APR mmap アロケータでは scoreboard を用いた RCE 経路が現実的に成立する。
- セキュリティtheme: テクノロジー
Amazon WorkSpaces for Windows に TOCTOU 競合の LPE 脆弱性 CVE-2026-7791
AWS が 5 月 4 日、Amazon WorkSpaces for Windows のバックグラウンドサービス Skylight Workspace Config Service にローカル権限昇格の脆弱性 CVE-2026-7791 を公表。ログローテーション処理の TOCTOU 競合で SYSTEM 権限を奪取される恐れがあり、修正版へのアップデートを推奨。
- セキュリティtheme: テクノロジー
cPanel CVE-2026-41940、複数の脅威アクターが悪用拡大 政府機関・MSP に標的型攻撃と『.sorry』ランサム
4 月末に CVE-2026-41940 として正式採番された cPanel/WHM の認証バイパス脆弱性 (CVSS 9.8) について、5 月 4 日時点で複数の脅威アクターによる現用攻撃が確認されたと Help Net Security が報じた。東南アジアの政府・軍ドメインへの標的型侵入と、『.sorry』拡張子を使う Linux ランサムへ展開している。
- セキュリティtheme: テクノロジー
米英豪加 NZ、エージェンティック AI 導入の共通指針を公表 監視できない権限拡大に警鐘
米国 CISA・NSA や英 NCSC など 5 か国の 6 機関が、エージェンティック AI 導入時のセキュリティ共通ガイダンスを公表。重要インフラ内のエージェントが組織の監視能力を超える権限を握りつつあると警告した。
- セキュリティtheme: テクノロジー
Microsoft Defender、DigiCert ルート証明書を Trojan と誤検知 修正版を緊急配布
BleepingComputer が 5 月 3 日報道。Defender のシグネチャ更新が DigiCert Assured ID Root CA など信頼ルート証明書を Trojan:Win32/Cerdigent.A!dha として検知。Microsoft は定義 1.449.430.0 で誤検知を解消した。
- セキュリティtheme: テクノロジー
サイバーセキュリティ大手 Trellix、ソースコード一部に不正アクセスを公表
Trellix が 5 月 2 日に開示。社内のコードリポジトリの一部に第三者が不正アクセスし、製品開発コードへの侵入を確認した。配布物や顧客環境への影響は現時点で確認されていないと説明している。
- セキュリティtheme: テクノロジー
中国春節期に日本向けフィッシング 7 割減 ⇒ プルーフポイントが分析
米プルーフポイントの分析で、2 月 15 〜 23 日の中国春節休暇中、Amazon や Microsoft、PayPay を装い日本向けに送られたフィッシングメールが平日 130 万通から 35 万通へ約 7 割減ったことが共同通信の取材で判明した。
- セキュリティtheme: テクノロジー
Canonical、Ubuntu インフラに大規模 DDoS 親イラン 313 Team が犯行声明
Canonical は 5 月 1 日、Ubuntu や Launchpad、Snap Store など同社 Web インフラが越境型 DDoS 攻撃を受けていると認めた。親イラン系ハクティビスト『313 Team』が犯行声明を出し、攻撃は恐喝へと変質しつつある。
- セキュリティtheme: テクノロジー
西日本シティ銀行、行員の BeReal 投稿で顧客 7 名の氏名流出 博多どんたく参加自粛
西日本シティ銀行は 5 月 1 日、行員が SNS アプリ BeReal に下関支店の執務室を撮影・投稿したことで顧客 7 名の氏名・業務目標・PC 画面が外部に拡散した問題を受け、5 月 3 日からの「博多どんたく港まつり」への参加を自粛すると発表した。初報は 4 月 30 日。私物スマホからの不適切投稿による情報漏えいで、株価は前日比 2.86% 下落した。
- セキュリティtheme: テクノロジー
Canvas LMS の Instructure、サイバー攻撃で利用者の氏名・メール流出
学習管理システム Canvas を提供する Instructure は 5 月 1 日、外部の攻撃者によるサイバーインシデントを公表した。流出したのは利用機関の氏名・メールアドレス・学生 ID および利用者間のメッセージで、パスワードや生年月日・政府発行 ID・金融情報は対象外と説明している。同日から Canvas Data 2 と Canvas Beta が一部停止している。
- セキュリティtheme: テクノロジー
cPanel/WHM に深刻な認証バイパス CVE-2026-41940、約 2 か月間ゼロデイ攻撃に悪用 PoC も公開
ホスティング管理ツール cPanel & WHM に未認証の遠隔攻撃で管理権限を奪える致命的な認証バイパス脆弱性 CVE-2026-41940(CVSS 9.8)が判明。2 月 23 日頃から実環境で悪用されており、4 月 28 日に緊急パッチが公開されるまで約 2 か月間ゼロデイ状態が続いた。watchTowr は技術詳細と PoC を公開、CISA は KEV カタログに登録し連邦機関に 5 月 3 日までの修正を命じた。
- セキュリティtheme: テクノロジー
イエローハット子会社で最大 345 万人分の個人情報漏えいか 2 りんかんアプリで持ち出し痕跡
イエローハットは 5 月 1 日、二輪用品店『2 りんかん』を運営する子会社・2 りんかんイエローハット (埼玉県和光市) で発生した不正アクセスを巡り、最大 345 万 5,754 人分の個人情報が外部に持ち出された痕跡を確認したと発表した。対象はポイントサービスとアプリ会員の氏名・住所・電話番号・生年月日・性別・メールアドレス、アプリ ID/パスワード。クレジットカード情報は別系で管理されており漏えい対象外という。同社は 4 月 20 日に検知し、アプリの一部サービスを停止していた。
- セキュリティtheme: テクノロジー
PyTorch Lightning 2.6.2/2.6.3 が PyPI で改ざん 認証情報窃取マルウェアが混入、42 分で隔離
機械学習ライブラリ PyTorch Lightning の悪意あるバージョン 2.6.2 / 2.6.3 が 4 月 30 日に PyPI へ公開された。インポート時に自動実行される難読化 JavaScript ペイロードが SSH キー、シェル履歴、クラウド認証情報、GitHub と npm のトークン、暗号資産ウォレットなどを窃取する。PyPI は約 42 分で同パッケージを隔離。SAP 系 npm を狙った『Mini Shai-Hulud』キャンペーンの一環と見られ、TeamPCP に帰属される。
- セキュリティtheme: テクノロジー
Microsoft、AI エージェント実行時保護『Agent 365 Runtime Protection』を Preview 公開
Microsoft は 4 月 30 日、Copilot 上で動作する AI エージェントを実行時に監視・遮断する『Agent 365 Runtime Protection』のパブリックプレビューを公開した。Defender for Cloud の AI Security Posture Management、GitHub Advanced Security の AI コードスキャン、Purview の AI Data Security Investigations と合わせ、エージェント時代向けの一連の防御機能を投入。一般提供は 2026 Q3 を予定する。
- セキュリティtheme: テクノロジー
Linux カーネルの『Copy Fail』脆弱性 CVE-2026-31431 公開、ローカル権限昇格の PoC も
4 月 29 日に公開された CVE-2026-31431 は、Linux カーネルの algif_aead / authencesn 経路に存在するページキャッシュ書き込みのバグで、無権限ユーザーが任意のページキャッシュを破壊できる。/etc/passwd のキャッシュページを直接書き換えて root を取得する PoC が GitHub で公開され、Ubuntu 24.04 / RHEL 14.3 / Amazon Linux 2023 / SUSE 16 などが影響を受けるとされる。
- セキュリティtheme: テクノロジー
CISA、Windows Shell ゼロクリック脆弱性 CVE-2026-32202 を KEV に追加
米 CISA は 4 月 28 日、Windows Shell の認証保護メカニズム不備を突くゼロクリック脆弱性 CVE-2026-32202 を Known Exploited Vulnerabilities (KEV) カタログに追加した。攻撃者が悪意ある .lnk ショートカットを置いたフォルダを閲覧させるだけで NTLMv2 ハッシュを窃取できるとされ、連邦政府機関に対し 5 月 12 日までのパッチ適用を命じている。
- セキュリティtheme: テクノロジー
cPanel/WHM に認証バイパスの重大脆弱性、各社ホスティング事業者が緊急遮断
cPanel/WHM のログイン認証に重大な脆弱性が確認され、Namecheap・InMotion Hosting・hosting.com など主要ホスティング事業者が一斉に管理画面ポートを遮断。サポート対象の全バージョンが影響を受け、cPanel は段階的にパッチ済みリリースを配信している。
- セキュリティtheme: テクノロジー
GMOサイバーセキュリティ、AIエージェント向けペネトレーションテストを開始
GMOサイバーセキュリティ byイエラエが、企業内で稼働する AI エージェント / チャットボット / RAG を対象に、ホワイトハッカーが実攻撃手法でリスクを検証する『AIエージェントペネトレーションテスト』の提供を開始。情報漏えい・不正操作・権限逸脱を業務フロー単位で可視化する。
- セキュリティtheme: テクノロジー
Entra ID『Agent ID Administrator』の権限逸脱、Service Principal を全面乗っ取り可能
Silverfort が発見した Microsoft Entra ID の脆弱性。AI エージェント管理用に追加された『Agent ID Administrator』ロールが本来のスコープを越え、テナント内の任意の Service Principal の所有者となり権限を奪取できた。Microsoft は 4 月 9 日に全クラウドへ修正を展開済みで、追加の利用者対応は不要とされる。
- セキュリティtheme: テクノロジー
Robinhood、自社メールに偽サイト挿入される脆弱性
投資アプリ Robinhood の口座作成画面の脆弱性が悪用され、Robinhood 公式メールサーバから利用者へフィッシングメールが届く事案が 4 月 26-27 日にかけて発生。SPF / DKIM / DMARC を通過する『正規メール』として配信され、暗号資産の窃取を狙ったとみられる。Robinhood は問題のフィールドを削除して対応した。
- セキュリティtheme: テクノロジー
村田製作所、不正アクセスで 8.8 万件流出の恐れ
電子部品大手の村田製作所が 4 月 27 日、2 月に検知した社内システムへの不正アクセスについて第三報を公表。顧客・取引先約 1.5 万件と従業員約 7.3 万件、合計約 8.8 万件の情報が流出した可能性があると明らかにした。生産・販売活動への影響はないとしている。
- セキュリティtheme: テクノロジー
スマートメータ大手 Itron、内部 IT 網への侵入を公表
電力・ガス・水道向けスマートメータを 1 億 1,000 万拠点超に納入する米 Itron が、内部 IT 網への不正アクセスを 8-K 開示。4 月 13 日に検知し、顧客ホスト環境への波及はないとしている。重要インフラ事業者への攻撃が続く流れの最新事例。
- セキュリティtheme: テクノロジー
Bitwarden CLI npm 改ざん ⇒ Checkmarx 関連サプライチェーン攻撃の続報
Bitwarden の CLI 用 npm パッケージ @bitwarden/cli@2026.4.0 が約 1.5 時間にわたり改ざん配布され、開発者環境の認証情報を窃取するコードが含まれていた。先行する Checkmarx サプライチェーン攻撃の派生事例で、攻撃者は同一の TeamPCP と見られる。初報は 2026-04-22。
- セキュリティtheme: テクノロジー
10 カ国 15 機関、中国関連の秘匿型攻撃基盤を共同警戒 ⇒ 侵害ルータの可視化を要請
英 NCSC を主導機関に、CISA・NSA・独・蘭・西・スウェーデン・豪・NZ など 10 カ国 15 機関が共同アドバイザリを公表。中国関連グループが侵害ルータで構築した秘匿性の高いネットワークを悪用しているとして対策を呼びかけた。
- セキュリティtheme: テクノロジー
はてな、最大 11 億円の資金流出 ⇒ 虚偽の送金指示によるビジネスメール詐欺か
京都市中京区のはてなが 4 月 24 日、従業員アカウント経由で外部口座に最大約 11 億円が送金されたと公表。第三者からの虚偽指示に従った疑いで、捜査機関や関係金融機関と被害回復の措置を進めている。
- セキュリティtheme: テクノロジー
LLM 推論基盤 LMDeploy に SSRF 脆弱性 ⇒ 公開 13 時間で実環境悪用
OpenMMLab の LLM 推論サーバ LMDeploy に Server-Side Request Forgery 脆弱性 CVE-2026-33626 が公開された。Sysdig のハニーポットには 13 時間以内に攻撃が到達。
- セキュリティtheme: テクノロジー
市立奈良病院、通常診療を再開 ⇒ サイバー攻撃疑いも初動遮断で漏えいなし
電子カルテに障害が発生していた市立奈良病院は 4 月 24 日 8 時 30 分から通常診療を再開。ネットワーク監視装置による検知・遮断が奏功し、個人情報の漏えいや感染は確認されていない。
- セキュリティtheme: テクノロジー
CISA、KEV に 4 件追加 ⇒ SimpleHelp と Samsung MagicINFO / D-Link が悪用観測
米 CISA は KEV カタログに新たに 4 件の脆弱性を追加。SimpleHelp の 2 件、Samsung MagicINFO 9 Server、D-Link DIR-823X が対象で、連邦機関は 5 月 15 日までの修正が義務付けられた。
- セキュリティtheme: テクノロジー
CAMPFIRE、最大 22.5 万人の個人情報漏えいか ⇒ GitHub 不正アクセス
クラファン運営 CAMPFIRE が 4 月 24 日に第 4 報を公表。プロジェクト実行者と支援者を中心に最大 22 万 5846 人分の情報が漏えいした可能性。
- セキュリティtheme: テクノロジー
Checkmarx KICS の公式 Docker が改ざん、開発者情報を窃取
Checkmarx の IaC スキャンツール KICS の公式 Docker Hub イメージと VSCode 拡張が 4 月 22 日に改ざんされ、悪意あるバイナリが開発環境から機密情報を収集していたと 4 月 23 日に開示された。攻撃者は TeamPCP と見られる。
- セキュリティtheme: テクノロジー
Ollama の量子化エンジンに未認証メモリ漏洩、CVE-2026-5757 で公表
CERT/CC が Ollama の量子化エンジンにある未認証のリモート情報漏洩脆弱性 CVE-2026-5757 を公表。GGUF ヘッダの改竄でヒープメモリを読み出し、レジストリ API で外部に送出できる。
- セキュリティtheme: テクノロジー
Apple、iOS 26.4.2 で削除済み通知から過去メッセージが復元できる不具合を修正
iPhone で一度消えたはずの通知が内部に残り、Signal 等で削除したチャットの履歴を法執行機関に復元されていた問題を Apple が iOS 26.4.2 / iPadOS 26.4.2 で修正しました。
- セキュリティtheme: テクノロジー
NGate の新亜種、NFC 決済アプリ HandyPay に偽装してブラジルで拡散
ESET は正規 NFC 決済アプリ HandyPay に偽装した Android マルウェア NGate の新亜種を確認。ブラジルのユーザーを狙いカード情報と PIN を窃取している。
- セキュリティtheme: テクノロジー
Cohere の Python サンドボックス Terrarium に CVSS 9.3 の脱出脆弱性
Cohere AI が公開する Python サンドボックス Terrarium に、ホスト上での root 権限コード実行を許す重大な脱出脆弱性 CVE-2026-5752 が報告された。
- セキュリティtheme: テクノロジー
Mozilla、Firefox 150 で 271 件の脆弱性を修正 Claude Mythos で発見
Mozilla が Anthropic の未公開モデル Claude Mythos Preview を自社コードベースに適用し、Firefox 150 で 271 件の脆弱性を修正したと発表した。
- セキュリティtheme: テクノロジー
Oracle、4 月の Critical Patch Update 公開 483 件の脆弱性を修正
Oracle が 4 月 21 日に四半期の Critical Patch Update を公開。Database / MySQL / WebLogic など全製品群で計 483 件の脆弱性を修正した。MySQL では最大 CVSS 9.8 の未認証 RCE を含む。
- セキュリティtheme: テクノロジー
CISA、悪用確認済み脆弱性 8 件を追加 PaperCut と Zimbra も対象に
米 CISA が 4 月 20 日に Known Exploited Vulnerabilities (KEV) カタログへ 8 件を追加。PaperCut NG/MF の認証バイパス (CVE-2023-27351) と Synacor Zimbra Collaboration Suite の XSS (CVE-2025-48700) を含む。
- セキュリティtheme: テクノロジー
ドコモ、dポイントに専用番号導入 7 月から不正対策強化
NTT ドコモが dポイントクラブアプリ等に 7 月 1 日から「アプリ専用番号」と「ポイント利用活性化方式」を導入。5 分間限定の利用で、バーコード窃取による不正利用を抑止する。
- セキュリティtheme: テクノロジー
Vercel、Context.ai 経由の侵害で顧客情報漏えい
Next.js を開発する Vercel が 4 月 20 日に侵害を公表。AI オフィスツール Context.ai から従業員の Google Workspace 経由で侵入され、環境変数や認証情報が流出した。
- セキュリティtheme: テクノロジー
LINEヤフー、韓国 NAVER とのシステム分離を完了
LINEヤフーが韓国 NAVER とのシステム分離を 3 月末までに完了。2023 年の情報漏えい事案を受けた総務省の行政指導に基づく再発防止策の一環。
- セキュリティtheme: テクノロジー
Microsoft 4月の月例更新、168件の脆弱性修正 SharePoint 0-day 含む
Microsoft が 4 月の Patch Tuesday で 168 件の脆弱性を修正。活発に悪用されている SharePoint の 0-day を含み、過去 2 番目の規模となった。