セキュリティニュース(4ページ目)
CVE・KEVや脅威情報を、影響範囲・確認方法・初動対応まで日本語で整理します。
Latest
新着記事から確認する
公開日が新しい記事を先頭に、公式情報と実務上の初動をすぐ確認できます。
サイバーセキュリティ勉強方法 2026年版 ─ 初心者が迷わない学習ロードマップ
サイバーセキュリティを何から勉強すればよいか迷う初心者向けに、基礎、用語、攻撃手法、防御、ハンズオンまでの順番を整理。情シス、開発者、SOC志望など目的別の進め方も紹介する。
記事一覧
マネーフォワードGitHub不正アクセス ─ リポジトリコピーから考える開発組織の初動
2026年5月に公表されたマネーフォワードのGitHub不正アクセスを、公式発表をもとに整理。認証情報漏えい、リポジトリコピー、鍵ローテーション、銀行口座連携停止から、開発組織が確認すべき実務対応を解説する。
OAuth同意フィッシング ─ MFAをすり抜けるSaaS権限奪取
OAuth同意フィッシングは、MFAを破らずSaaSアプリ連携の権限を奪う。危険な同意画面、管理者同意、監査ログ、アプリ制御の実務対応を整理する。
パスキー導入の落とし穴 ─ フィッシング耐性MFAを失敗させない移行設計
パスキーはフィッシングに強い認証だが、復旧導線、共有端末、例外運用を誤ると導入後に形骸化する。FIDO2/WebAuthnを組織へ広げる前に決めるべき設計と、段階導入の実務ポイントを整理する。
Marimo RCE CVE-2026-39987 ─ 公開10時間未満で悪用、AIノートブックを守る実務対応
MarimoのCVE-2026-39987は、未認証でターミナルWebSocketからシェルに到達できる重大なRCE脆弱性だ。CISA KEV追加、公開後9時間41分での悪用観測、影響環境、更新・露出遮断・資格情報ローテーションまで実務対応を整理する。
FortiClient EMS ゼロデイ CVE-2026-35616 ─ 管理APIバイパスがKEV入り、露出確認と封じ込めを急ぐべき理由
Fortinet FortiClient EMS の管理API認証・認可バイパス脆弱性 CVE-2026-35616 がCISA KEVへ追加された。影響バージョン、ホットフィックス、管理プレーン露出の危険性、侵害確認と封じ込めの実務手順を整理する。
Apache ActiveMQ Classic のRCEが実戦投入 ─ CVE-2026-34197 と管理API露出の危険
Apache ActiveMQ Classic のコード実行脆弱性 CVE-2026-34197 が2026年4月16日にCISA KEVへ追加され、実際の悪用が確認された。影響バージョン、Jolokia管理APIが危険な理由、6.0.0〜6.1.1でさらに深刻になる背景、管理者が直ちに取るべき対策を整理する。
「私はロボットではありません」の罠 ─ ClickFix攻撃が2026年に主流化したワケ
「人間か確認します」と表示される偽のCAPTCHA画面に従うと、知らぬ間にPowerShellでマルウェアが実行される──。2024年から急拡大したClickFix(クリックフィックス)攻撃は、2026年にはフィッシングと並ぶ主要な配送経路になりました。仕組みと、個人・組織の両方でできる対策をやさしく解説します。
Adobe Acrobat Reader ゼロデイ CVE-2026-34621 ─ PDFを開くだけでローカルファイル窃取・任意コード実行
2026年4月12日、Adobe Acrobat Readerに2025年11月から悪用されていたゼロデイCVE-2026-34621(CVSS 8.6)の緊急パッチが公開された。プロトタイプ汚染を利用した手法で悪意あるPDFを開くだけでローカルファイル窃取や任意コード実行が可能。初期VirusTotal検出率は13/64と極めて低く、パッチ未適用環境への警戒が求められる。
CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃
2026年4月9〜10日、PC診断ツールメーカーCPUIDの公式サイトが約6時間改ざんされ、CPU-Z・HWMonitorのダウンロードリンクがSTX RAT配布ファイルに差し替えられた。DLLサイドローディングと5段階インメモリ感染チェーンを使う高度な攻撃の全容を解説する。
Ivanti EPMM CVE-2026-1340/1281 ─ CVSS 9.8、4,400超インスタンスが危険、CISAが4/11までのパッチを命令
IvantiのMDMソリューション「EPMM」に深刻な脆弱性CVE-2026-1340/1281(CVSS 9.8)が見つかり、4,400超のインスタンスが危険にさらされています。CISAはKEVカタログに登録し連邦機関へ4/11までのパッチを命令。実際の攻撃手法と緊急対策を解説します。
北朝鮮「Contagious Interview」— npm・PyPI・Go・Rust・PHPに1,700本超の偽パッケージを展開
北朝鮮連動のAPTグループ「Contagious Interview(UNC1069)」が5つのパッケージエコシステムに1,700本以上の悪意あるパッケージを展開。開発者のクレデンシャルや暗号資産ウォレットを狙うクロスエコシステム・サプライチェーン攻撃の全貌を解説します。
週1億DLのaxiosに北朝鮮バックドア ─ UNC1069による3時間のサプライチェーン汚染
2026年3月31日、北朝鮮系のUNC1069が人気JavaScriptライブラリaxiosのnpmアカウントを侵害し、WAVESHAPER.V2バックドアを仕込んだ悪意あるバージョンを公開しました。80%のクラウド環境が影響を受け得るこのサプライチェーン攻撃の全貌を解説します。
2026年4度目のChromeゼロデイ ─ WebGPUのUAFがサンドボックス脱出チェーンに悪用
CVE-2026-5281はChromeのWebGPU実装「Dawn」に存在するuse-after-free脆弱性で、野生での悪用が確認されCISAのKEVカタログに追加されました。2026年に入り4度目のChromeゼロデイが示すWebGPUという新たな攻撃面の拡大を解説します。
Cisco FMC CVE-2026-20131 ─ KEV追加済みの管理基盤RCEをどう点検するか
Cisco Secure Firewall Management CenterのCVE-2026-20131は、CISA KEVにも追加された重大な管理基盤RCEです。公式情報とAmazonの公開分析をもとに、FMC管理者が確認すべき初動を整理します。
セッションIDが筒抜けに ─ Citrix NetScaler SAML IDPの記憶漏洩脆弱性CVE-2026-3055が野生で悪用
CVSS 9.3のCitrix NetScalerメモリ読み取り脆弱性が2026年3月27日から積極的に悪用されています。SAMLログインに細工したリクエストを送るだけで、認証済み管理者のセッションIDがCookieに乗って返ってくる──この攻撃の仕組みと即時対応を解説します。
FBI長官のメールを盗んだ集団 ─ イラン系ハクティビストHandalaが仕掛けた報復型サイバー作戦
2026年3月27日、イラン系ハッカー集団HandalaがFBI長官カッシュ・パテル氏の個人メールを侵害し、300通以上のメールと私的写真を公開しました。FBIが同集団のドメインを押収した翌週という「報復」の構図、そして高位職にある人物のデジタルセキュリティが持つ意味を解説します。
「侵入」から「ログイン」へ ─ インフォスティーラーとエージェンティックAIが変えたサイバー犯罪の構造
2025年に世界で1,100万台のマシンに感染したインフォスティーラーが33億件の認証情報を生産し、エージェンティックAIがそれを自動的にテスト・悪用する時代が来ています。「脆弱性を突く」から「正規のIDで入る」へという攻撃パラダイムの転換と、組織が取るべき対策を解説します。
公開から20時間で世界規模の攻撃へ ─ LangflowのRCE脆弱性が示す「アドバイザリー駆動型エクスプロイト」の脅威
AIワークフロー構築ツールLangflowの重大なリモートコード実行脆弱性CVE-2026-33017が、公開からわずか20時間で実際の攻撃に悪用された。概念実証コードがない状態でも攻撃が成立した衝撃の事例から、AI時代のセキュリティ対応の新しい常識を解説します。
国家ぐるみの暗号資産強盗 ─ 北朝鮮Lazarusが仕掛けたBitrefill侵害と累計6,750億円盗難の全貌
北朝鮮のハッカー集団Lazarusが2026年3月にBitrefillを侵害し、18,500件の購入記録と暗号資産を奪いました。2025年だけで2,020億円を盗んだ彼らの最新手口と、個人・企業が今すぐできる防衛策を解説します。
Oracleクラウドの沈黙 ─ 600万件のSSO認証情報が闇市場に出回った「否定された侵害」
2026年3月、Oracle Cloudのシングルサインオン基盤から約600万件の認証情報が流出したとされる事件が発覚。Oracleは侵害を否定し続けたが、複数の企業が漏洩データの真正性を確認。クラウドセキュリティの盲点と今すぐできる対策を解説します。
AIツールが標的になる時代:LiteLLM汚染事件が示したCI/CDパイプラインの死角
2026年3月、AI開発で広く使われるPythonライブラリ「LiteLLM」のPyPI配布版に悪意あるコードが混入しました。確認済みの事実、影響確認、CI/CDとAPIキーの守り方を整理します。
クレデンシャルの連鎖が1ペタバイトを失わせた:TELUS Digital侵害の解剖
2026年3月、ShinyHuntersがTELUS Digitalから最大1ペタバイトのデータを盗み、6500万ドルで脅迫しました。入口はまったく別の企業の侵害で得た1つの認証情報。「クレデンシャルチェーン」の恐怖を解説します。
多要素認証を破る『工場』が壊滅:Tycoon 2FA摘滅作戦の全貌
2026年3月、Microsoft・Europol・Cloudflareらの国際連携が、MFAを突き破るフィッシングサービス「Tycoon 2FA」の基盤を壊滅させました。64,000件以上の攻撃を可能にしたインフラとその崩壊の全貌を解説します。
全99件のうち 73〜96件を表示しています。