セキュリティニュース
最新のサイバーセキュリティ脅威・インシデント・トレンドを、初心者にもわかりやすく解説
注目の記事
ランサムウェア初動対応 ─ 最初の1時間でやること・やってはいけないこと
ランサムウェア感染が疑われる最初の1時間に、端末隔離、共有領域保護、証跡保全、バックアップ確認、社内報告をどう進めるかを実務目線で整理する。
記事一覧
KEVとは ─ CVSSだけに頼らない脆弱性対応の優先順位
CISA KEV、CVSS、EPSS、インターネット露出、自社資産の重要度を組み合わせ、CVE対応の優先順位を決める実務手順を解説する。
SaaS権限棚卸しの進め方 ─ 退職者・OAuth・外部共有を見落とさない実務手順
SaaS権限棚卸しを、管理者ロール、退職者アカウント、OAuth同意、外部共有、APIトークンの観点で整理。初回30日の進め方と優先順位を解説する。
フィッシングメールの見分け方 2026年版 ─ 迷ったときの確認チェックリスト
フィッシングメールを開く前に確認すべき送信元、URL、添付ファイル、ログイン画面、AI生成文面の違和感を整理。個人と企業で使える実践チェックリストを紹介する。
サイバーセキュリティ勉強方法 2026年版 ─ 初心者が迷わない学習ロードマップ
サイバーセキュリティを何から勉強すればよいか迷う初心者向けに、基礎、用語、攻撃手法、防御、ハンズオンまでの順番を整理。情シス、開発者、SOC志望など目的別の進め方も紹介する。
マネーフォワードGitHub不正アクセス ─ リポジトリコピーから考える開発組織の初動
2026年5月に公表されたマネーフォワードのGitHub不正アクセスを、公式発表をもとに整理。認証情報漏えい、リポジトリコピー、鍵ローテーション、銀行口座連携停止から、開発組織が確認すべき実務対応を解説する。
OAuth同意フィッシング ─ MFAをすり抜けるSaaS権限奪取
OAuth同意フィッシングは、MFAを破らずSaaSアプリ連携の権限を奪う。危険な同意画面、管理者同意、監査ログ、アプリ制御の実務対応を整理する。
パスキー導入の落とし穴 ─ フィッシング耐性MFAを失敗させない移行設計
パスキーはフィッシングに強い認証だが、復旧導線、共有端末、例外運用を誤ると導入後に形骸化する。FIDO2/WebAuthnを組織へ広げる前に決めるべき設計と、段階導入の実務ポイントを整理する。
Marimo RCE CVE-2026-39987 ─ 公開10時間未満で悪用、AIノートブックを守る実務対応
MarimoのCVE-2026-39987は、未認証でターミナルWebSocketからシェルに到達できる重大なRCE脆弱性だ。CISA KEV追加、公開後9時間41分での悪用観測、影響環境、更新・露出遮断・資格情報ローテーションまで実務対応を整理する。
FortiClient EMS ゼロデイ CVE-2026-35616 ─ 管理APIバイパスがKEV入り、露出確認と封じ込めを急ぐべき理由
Fortinet FortiClient EMS の管理API認証・認可バイパス脆弱性 CVE-2026-35616 がCISA KEVへ追加された。影響バージョン、ホットフィックス、管理プレーン露出の危険性、侵害確認と封じ込めの実務手順を整理する。
Apache ActiveMQ Classic のRCEが実戦投入 ─ CVE-2026-34197 と管理API露出の危険
Apache ActiveMQ Classic のコード実行脆弱性 CVE-2026-34197 が2026年4月16日にCISA KEVへ追加され、実際の悪用が確認された。影響バージョン、Jolokia管理APIが危険な理由、6.0.0〜6.1.1でさらに深刻になる背景、管理者が直ちに取るべき対策を整理する。
「私はロボットではありません」の罠 ─ ClickFix攻撃が2026年に主流化したワケ
「人間か確認します」と表示される偽のCAPTCHA画面に従うと、知らぬ間にPowerShellでマルウェアが実行される──。2024年から急拡大したClickFix(クリックフィックス)攻撃は、2026年にはフィッシングと並ぶ主要な配送経路になりました。仕組みと、個人・組織の両方でできる対策をやさしく解説します。
Adobe Acrobat Reader ゼロデイ CVE-2026-34621 ─ PDFを開くだけでローカルファイル窃取・任意コード実行
2026年4月12日、Adobe Acrobat Readerに2025年11月から悪用されていたゼロデイCVE-2026-34621(CVSS 8.6)の緊急パッチが公開された。プロトタイプ汚染を利用した手法で悪意あるPDFを開くだけでローカルファイル窃取や任意コード実行が可能。初期VirusTotal検出率は13/64と極めて低く、パッチ未適用環境への警戒が求められる。
CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃
2026年4月9〜10日、PC診断ツールメーカーCPUIDの公式サイトが約6時間改ざんされ、CPU-Z・HWMonitorのダウンロードリンクがSTX RAT配布ファイルに差し替えられた。DLLサイドローディングと5段階インメモリ感染チェーンを使う高度な攻撃の全容を解説する。
Ivanti EPMM CVE-2026-1340/1281 ─ CVSS 9.8、4,400超インスタンスが危険、CISAが4/11までのパッチを命令
IvantiのMDMソリューション「EPMM」に深刻な脆弱性CVE-2026-1340/1281(CVSS 9.8)が見つかり、4,400超のインスタンスが危険にさらされています。CISAはKEVカタログに登録し連邦機関へ4/11までのパッチを命令。実際の攻撃手法と緊急対策を解説します。
北朝鮮「Contagious Interview」— npm・PyPI・Go・Rust・PHPに1,700本超の偽パッケージを展開
北朝鮮連動のAPTグループ「Contagious Interview(UNC1069)」が5つのパッケージエコシステムに1,700本以上の悪意あるパッケージを展開。開発者のクレデンシャルや暗号資産ウォレットを狙うクロスエコシステム・サプライチェーン攻撃の全貌を解説します。
週1億DLのaxiosに北朝鮮バックドア ─ UNC1069による3時間のサプライチェーン汚染
2026年3月31日、北朝鮮系のUNC1069が人気JavaScriptライブラリaxiosのnpmアカウントを侵害し、WAVESHAPER.V2バックドアを仕込んだ悪意あるバージョンを公開しました。80%のクラウド環境が影響を受け得るこのサプライチェーン攻撃の全貌を解説します。
2026年4度目のChromeゼロデイ ─ WebGPUのUAFがサンドボックス脱出チェーンに悪用
CVE-2026-5281はChromeのWebGPU実装「Dawn」に存在するuse-after-free脆弱性で、野生での悪用が確認されCISAのKEVカタログに追加されました。2026年に入り4度目のChromeゼロデイが示すWebGPUという新たな攻撃面の拡大を解説します。
CVSS 10.0の悪夢 ─ Cisco FMCゼロデイCVE-2026-20131をInterlockランサムウェアがパッチの36日前から悪用
Cisco Secure Firewall Management Centerに存在するJavaデシリアライゼーション脆弱性が、Interlockランサムウェアグループによって公開前から野生で悪用されていました。FMCが侵害されると、組織全体のファイアウォールが攻撃者の踏み台になります。
セッションIDが筒抜けに ─ Citrix NetScaler SAML IDPの記憶漏洩脆弱性CVE-2026-3055が野生で悪用
CVSS 9.3のCitrix NetScalerメモリ読み取り脆弱性が2026年3月27日から積極的に悪用されています。SAMLログインに細工したリクエストを送るだけで、認証済み管理者のセッションIDがCookieに乗って返ってくる──この攻撃の仕組みと即時対応を解説します。
FBI長官のメールを盗んだ集団 ─ イラン系ハクティビストHandalaが仕掛けた報復型サイバー作戦
2026年3月27日、イラン系ハッカー集団HandalaがFBI長官カッシュ・パテル氏の個人メールを侵害し、300通以上のメールと私的写真を公開しました。FBIが同集団のドメインを押収した翌週という「報復」の構図、そして高位職にある人物のデジタルセキュリティが持つ意味を解説します。
「侵入」から「ログイン」へ ─ インフォスティーラーとエージェンティックAIが変えたサイバー犯罪の構造
2025年に世界で1,100万台のマシンに感染したインフォスティーラーが33億件の認証情報を生産し、エージェンティックAIがそれを自動的にテスト・悪用する時代が来ています。「脆弱性を突く」から「正規のIDで入る」へという攻撃パラダイムの転換と、組織が取るべき対策を解説します。
公開から20時間で世界規模の攻撃へ ─ LangflowのRCE脆弱性が示す「アドバイザリー駆動型エクスプロイト」の脅威
AIワークフロー構築ツールLangflowの重大なリモートコード実行脆弱性CVE-2026-33017が、公開からわずか20時間で実際の攻撃に悪用された。概念実証コードがない状態でも攻撃が成立した衝撃の事例から、AI時代のセキュリティ対応の新しい常識を解説します。
国家ぐるみの暗号資産強盗 ─ 北朝鮮Lazarusが仕掛けたBitrefill侵害と累計6,750億円盗難の全貌
北朝鮮のハッカー集団Lazarusが2026年3月にBitrefillを侵害し、18,500件の購入記録と暗号資産を奪いました。2025年だけで2,020億円を盗んだ彼らの最新手口と、個人・企業が今すぐできる防衛策を解説します。
Oracleクラウドの沈黙 ─ 600万件のSSO認証情報が闇市場に出回った「否定された侵害」
2026年3月、Oracle Cloudのシングルサインオン基盤から約600万件の認証情報が流出したとされる事件が発覚。Oracleは侵害を否定し続けたが、複数の企業が漏洩データの真正性を確認。クラウドセキュリティの盲点と今すぐできる対策を解説します。
AIツールが標的になる時代:LiteLLM汚染事件が示したCI/CDパイプラインの死角
2026年3月、AI開発で広く使われるPythonライブラリ「LiteLLM」に悪意あるコードが仕込まれました。攻撃者はセキュリティスキャナを踏み台にするという巧妙な手口で、36%のクラウド環境に存在するツールを武器化しようとしました。
クレデンシャルの連鎖が1ペタバイトを失わせた:TELUS Digital侵害の解剖
2026年3月、ShinyHuntersがTELUS Digitalから最大1ペタバイトのデータを盗み、6500万ドルで脅迫しました。入口はまったく別の企業の侵害で得た1つの認証情報。「クレデンシャルチェーン」の恐怖を解説します。
多要素認証を破る『工場』が壊滅:Tycoon 2FA摘滅作戦の全貌
2026年3月、Microsoft・Europol・Cloudflareらの国際連携が、MFAを突き破るフィッシングサービス「Tycoon 2FA」の基盤を壊滅させました。64,000件以上の攻撃を可能にしたインフラとその崩壊の全貌を解説します。
CVSS 10.0の緊急脆弱性:攻撃者が真っ先に狙う理由と組織の防御戦略
2026年3月、Quest KACE SMAにCVSS満点(10.0)の脆弱性が発見されました。スコア10.0とは何を意味するのか、なぜ即座にパッチ適用が必要なのかを詳しく解説します。
英国小売業を震撼させたランサムウェア連合:DragonForceとScattered Spider
M&S、Co-op、Harrods を立て続けに攻撃した DragonForce と Scattered Spider。なぜ彼らは成功したのか?「犯罪カルテル化」が意味するものを解説します。
AIが変えたフィッシング詐欺の脅威:2026年の実態と持続可能な自衛策
フィッシング攻撃が前年比1,265%増の異常事態。AI化、AiTM(中間者攻撃)、そしてPaaS型ツールの台頭により「怪しいメールを見分ける」時代は終わった。