「CVSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

監視ツールが裏口に？　Zabbix深刻度「高」脆弱性の危うい実態
監視ツールとして広く使われるZabbixで、低権限ユーザーからでもデータベース内部に迫れる脆弱性が明らかになった。直接データを盗めないはずの“読み取り専用”攻撃が、なぜ重大リスクへと変わるのか。（2026/4/3）

“可能性”から“実証”へ　現場を疲弊させないセキュリティ運用：
PR：「攻撃が成立するか」を検証するASM　攻撃者視点のセキュリティが今求められる理由
ランサムウェア被害の報道が続く中、「どこから対策すべきか」「ツールを導入しても運用できるか不安」と悩む声は多い。背景には、CVSSスコアだけでは本当に危険な脆弱（ぜいじゃく）性を判断しにくい課題がある。そこで注目されるのが、攻撃をエミュレーションし“本当に侵入できるか”を検証するASM「ULTRA RED」だ。先端セキュリティソリューションを日本市場に届けてきたマクニカはなぜ今、本製品を推奨するのか。（2026/4/2）

セキュリティニュースアラート：
Synology製品に緊急の脆弱性　認証なしでリモート操作の恐れ
Synologyは、DSMなどのOSに任意のコマンドを遠隔で実行される重大な脆弱性が存在することを公表した。CVSSスコア9.8と深刻で、認証なしに悪用される恐れがある。対象製品の速やかなアップデートと、Telnetの無効化が強く推奨される。（2026/3/31）

セキュリティニュースアラート：
TP-Linkの無線LANルーター「Archer NXシリーズ」に複数の重大な脆弱性
TP-Linkは無線LANルーター「Archer NXシリーズ」に複数の脆弱性があると公表した。認証不要で管理操作が可能となる欠陥やコマンド実行の問題、設定暗号の不備が含まれる。対象バージョンには更新版ファームウェアの適用が推奨されている。（2026/3/31）

セキュリティニュースアラート：
ingress-nginxに深刻な脆弱性　Nginx構成注入によるコード実行の危険
Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。（2026/3/24）

セキュリティニュースアラート：
Linuxから産業機器まで　GNU Inetutils telnetdに深刻な脆弱性
GNU Inetutilsのtelnetdに、未認証の遠隔攻撃者によって任意のコード実行が可能となる脆弱性が発見された。TELNETは通信内容が平文で送信される旧来のプロトコルで、現代のセキュリティ要件には適さないが、産業分野や政府系システムでは依然として使用されているため注意が必要だ。（2026/3/21）

セキュリティニュースアラート：
AD DSにSYSTEM権限取得の脆弱性　Microsoftが修正プログラムを配布
Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。（2026/3/13）

セキュリティニュースアラート：
.NETにサービス停止の脆弱性　広範なアプリケーションに影響
Microsoftは、.NETにサービス停止を引き起こす脆弱性CVE-2026-26127の修正を公開した。境界外メモリ読み取りに起因し、認証不要の遠隔攻撃でアプリ停止の恐れがある。.NET 9.0と10.0などに更新版が提供された。（2026/3/13）

セキュリティニュースアラート：
Windows RDSにゼロデイ脆弱性　悪用コードが22万ドルで闇市場に流通
Windows Remote Desktop Servicesのゼロデイ脆弱性を悪用するコードがダークウェブ市場で高額流通されていることが分かった。同脆弱性はSYSTEM権限奪取が可能で広範なOSに影響するという。（2026/3/10）

能動的サイバー防御の時代へ：
「子会社の古いVPN装置」は何点リスク？　攻撃者より先に動くためのセキュリティ“優先度”再設計術
2025年11月27日、サイバーセキュリティアドバイザーとして活躍する名和利男氏が「ASMを意思決定エンジンへ：優先度駆動の能動的防御」と題して「ITmedia Security Week 2025 秋」で講演した。（2026/3/10）

セキュリティニュースアラート：
Cisco FMCにCVSS10.0の脆弱性　回避策はないため迅速なアップデートを推奨
CiscoはSecure FMCのWebインタフェースに認証回避の脆弱性があると発表した。未認証の攻撃者がroot権限を取得できる。CVSS v3.1のスコアは10.0、深刻度「緊急」（Critical）だ。回避策はないため修正版への速やかな更新が求められる。（2026/3/7）

セキュリティニュースアラート：
VS Code拡張機能4件に重大な脆弱性　累計ダウンロード数は1.2億
OX SecurityはVS Code用の拡張機能4件に重大な脆弱性を確認した。Live Serverなどに遠隔ファイル流出やRCEの恐れがあり、Cursorなどにも影響する。開発環境の防御は急務であり、審査制度の整備を提言している。（2026/2/21）

セキュリティニュースアラート：
Palo Alto Networks製品にDoS脆弱性　再起動やサービス停止の恐れ
Palo Alto Networksは、PAN-OSのADNS機能に未認証で再起動を誘発可能なDoS脆弱性を公表した。特定バージョンが影響を受け、速やかな修正版への更新が求められている。（2026/2/16）

セキュリティニュースアラート：
Claude拡張機能にCVSS10.0の脆弱性　現在も未修正のため注意
Claudeの拡張機能にカレンダーの予定から任意のコードを実行されるゼロクリック脆弱性が判明した。サンドボックスを介さない特権動作やコネクター間の信頼設計に構造的欠陥があり、現在も未修正のため注意を要する。（2026/2/13）

セキュリティニュースアラート：
Fortinet、管理サーバ製品の重大欠陥を公表　直ちにアップデートを
FortinetはFortiClientEMSにSQLインジェクションの脆弱性が存在すると発表した。CVSSスコアは9.8と高く、未認証でリモートコード実行の恐れがある。影響を受けるユーザーは速やかな更新が求められる。（2026/2/11）

セキュリティニュースアラート：
Fortinet製品にCVSS 9.8の脆弱性　約328万件のインターネット上の資産に影響
Fortinet製品のFortiCloud SSOに認証回避の重大な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」（Critical）であり、攻撃者による悪用も確認されている。インターネットに公開されている約328万件の資産が影響を受けるという。（2026/2/3）

セキュリティニュースアラート：
TP-Link製ルーターに重要度の高い脆弱性　早急な更新を推奨
TP-Linkは同社製品のArcher MR600 v5にコマンドインジェクションの脆弱性が存在すると公表した。認証済み攻撃者が管理インタフェースからシステムコマンドを実行し、機器を制御する恐れがある。同社は最新版への更新を推奨している。（2026/1/31）

セキュリティニュースアラート：
USB作成ツール「Rufus」に重大な脆弱性　ローカルで管理者権限を実行可能に
USBメモリ作成ツール「Rufus」の4.11以前に、競合状態を利用した権限昇格の脆弱性が確認された。悪用されると、一時ファイルを介して管理者権限で任意のコードを実行される恐れがある。（2026/1/28）

セキュリティニュースアラート：
VMware ESXiを狙う高度なエスケープ攻撃を解明　中国系脅威アクターの関与が浮上
HuntressはVMware ESXiへの高度なエスケープ攻撃を分析した。VPN認証情報の侵害からドメインを掌握後、公表1年前から準備されたゼロデイ攻撃でバックドアを設置する手法が判明した。パッチ適用とホスト監視の重要性を強調している。（2026/1/20）

新時代の産業サイバーセキュリティ（2）：
CRAで変わる産業サイバー対策：実務対応ポイントと最新動向
EUで成立したサイバーレジリエンス法（CRA）は、デジタル要素を持つ製品に対し、設計から市場投入後まで一貫したサイバーセキュリティ対策を義務付けている。EU市場に製品を供給する場合、EU域外の日本企業もCRA対応が必要となる。本稿では、CRA対応の要点を解説する。（2026/1/20）

セキュリティニュースアラート：
PAN-OSにDoS攻撃を可能とする脆弱性　回避策や緩和策はなし
Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるDoS脆弱性を発表した。未認証の攻撃によってファイアウォールが停止する恐れがある。回避策や緩和策は存在しないとされている。（2026/1/17）

セキュリティニュースアラート：
FortiSIEMなどFortinetの複数製品に重大な脆弱性　急ぎアップデート推奨
Fortinetは「FortiSIEM」や「FortiClientEMS」をはじめとする複数製品に影響する重大な脆弱性を修正した。悪用可能な問題を含んでおり、未認証のコマンド実行やSQL注入の恐れがある。利用者は迅速な更新や回避策の適用が推奨されている。（2026/1/16）

セキュリティニュースアラート：
Hikvisionアクセス制御製品に重要な脆弱性　悪用ハードルが低いため注意
Hikvisionは監視機器やアクセス制御製品の探索機能に2件の脆弱性があると発表した。同一LAN内から細工されたパケットによって機器が誤動作する恐れがある。（2026/1/15）

セキュリティニュースアラート：
React Routerに「緊急」の脆弱性　悪用の難易度も低いため要注意
React Routerは、Node.js用パッケージなどに深刻な脆弱性が存在すると報告した。署名なしCookieとの併用時に、指定外のファイルを読み書きされる恐れがある。CVSSスコアは9.1と高く、開発者は最新版への更新が推奨される。（2026/1/14）

セキュリティニュースアラート：
Trend Micro Apex Centralに重大な脆弱性　修正パッチを公開のため急ぎ適用を
Trend Microはオンプレミス版のApex Centralの脆弱性3件を修正するパッチを公開した。最大深刻度はCVSS 9.8で、SYSTEM権限でのコード実行やDoS攻撃の恐れがある。速やかな最新版への更新が求められる。（2026/1/14）

CVSSスコアは8.7：
MongoDBに機密情報漏えいの脆弱性「MongoBleed」　すぐに可能な対策は？
Akamai Security Intelligence Groupは、2025年12月に情報公開されたNoSQLデータベース「MongoDB」の脆弱性（CVE-2025-14847）について、公式ブログで解説した。（2026/1/14）

セキュリティニュースアラート：
家庭用Wi-Fi中継機に深刻な脆弱性　CVSS 9.8だがパッチなし
TRENDnet製のWi-Fi中継機に認証不要のコマンドインジェクション脆弱性が判明した。root権限で任意コマンドが実行可能なため、機器の完全制御や踏み台悪用の恐れがある。（2026/1/10）

2025年版のリスト　警戒すべき変化とは：
「認可の欠落」が4位に急浮上　「最も危険な脆弱性Top 25」MITREが公開
MITREはソフトウェアにおける危険な脆弱性タイプをまとめた「CWE Top 25 Most Dangerous Software Weaknesses」の2025年版を発表した。Webアプリケーション関連の脆弱性がTop 3を独占する結果となった。（2026/1/8）

辻伸弘の「投げます。一石、」（1）：
「ペネトレーションテストは死んだ？」
セキュリティリサーチャー辻伸弘氏が、サイバーセキュリティの世界におけるさまざまな“常識”や思い込みに、次々と一石を投じる新連載。第1回は、辻氏のキャリアの原点でもあるペネトレーションテストにつき、身を切る思いで問題を提起する。（2026/1/15）

2025年のインシデントを総括し、2026年を展望：
ビールが消えた“アサヒのランサムウェア”だけじゃない――国内外30件のサイバー攻撃を総覧
2025年、アサヒグループホールディングスへのランサムウェア攻撃など、企業や社会インフラを直撃するサイバー攻撃が相次いだ。国内外で多発したランサムウェアや不正アクセスの事例を振り返りながら、2025年に見えた攻撃トレンドを整理し、2026年の脅威を展望する。（2025/12/29）

セキュリティニュースアラート：
Net-SNMPに判明した重大欠陥　snmptrapd停止を招く脆弱性の影響
Net-SNMPの開発者らはsnmptrapdに細工済み通信で異常終了を招く欠陥があることを公表した。全版が影響を受けて深刻度は極めて高い。修正版の導入と通信制御の徹底が必要だ。（2025/12/27）

脅威アクターは「中国関連」「暗号通貨マイニング目的」の2タイプ：
Reactの深刻な脆弱性「React2Shell」の悪用事例　Google脅威インテリジェンス部門が報告
Google Threat Intelligence Groupは、React2Shell脆弱性の悪用事例を観測したと報告し、侵害の検出方法と推奨対策を紹介した。（2025/12/23）

セキュリティニュースアラート：
Cisco Secure Email製品にCVSS 10.0の重大な脆弱性　中国系APTによる攻撃か
Cisco Talosは、Cisco Secure Email製品を標的とした攻撃キャンペーンを確認した。攻撃者は深刻な脆弱性を悪用し、Python製バックドアで永続化を図った可能性がある。（2025/12/20）

セキュリティニュースアラート：
複数のFortinet製品に深刻な脆弱性　ログイン認証をバイパスされるリスク
Fortinetは複数製品に影響する深刻な脆弱性を公表した。FortiCloud SSOの実装不備により、細工されたSAML応答で管理GUIへ不正アクセスされる恐れがある。影響範囲は広く、早急な更新と設定確認が求められている。（2025/12/18）

「安全なSaaS」は幻想か？　アシュアードが暴くベンダー5割が抱える“回復力”の欠落
アシュアードは、2025年のセキュリティ動向の総括と2026年の脅威予測に関するメディアラウンドテーブルを開催した。独自のデータを基にSaaS事業者のセキュリティ状況を明らかにし、企業が目指すべき方向性を示した。（2025/12/18）

セキュリティニュースアラート：
React Server Componentsに新たな脆弱性　DoSとソースコード露出の危険
React Teamは、React Server Componentsに関する新たな脆弱性を公表した。DoSやソースコード露出の恐れがあり、影響範囲は複数パッケージに及ぶ。対象環境の確認と迅速な対応が利用者に求められている。（2025/12/16）

セキュリティニュースアラート：
PowerShellにリモートコード実行の脆弱性　Windows広範囲に影響
MicrosoftはWindows PowerShellにリモートコード実行の危険を伴う脆弱性「CVE-2025-54100」を発表した。影響範囲は広く、Microsoftは各環境への更新プログラムを公開し、迅速な適用を呼びかけている。（2025/12/12）

すぐに更新を：
ReactにCVSSスコア最大値10の深刻な脆弱性　どんな影響があるのか？
「React」のサーバコンポーネントに深刻な脆弱性が発表された。Reactのバージョン19や「Next.js」などは至急更新する必要がある。（2025/12/9）

セキュリティニュースアラート：
Reactの重大脆弱性「React2Shell」悪用拡大　215万件に影響の可能性
Reactの深刻な脆弱性「CVE-2025-55182」により、RSCを利用する公開サービス215万件超が影響を受ける可能性が判明した。国家支援とされる脅威グループによる悪用も観測され、早期対策が求められている。（2025/12/9）

セキュリティニュースアラート：
CVSSは「10.0」　ReactとNext.jsにリモートコード実行の脆弱性
ReactおよびNext.jsにCVSS 10.0の脆弱性が見つかった。悪用されると認証不要でリモートコード実行が可能になる。多数のアプリケーションや公開サーバに影響する可能性があり、速やかなバージョン更新が求められている。（2025/12/6）

セキュリティニュースアラート：
10万超のWebサイトに影響　WordPress人気プラグインに深刻なRCE脆弱性
WordPressの人気プラグイン「ACF Extended」に、未認証状態で任意のコードを実行される恐れのある重大な脆弱性が確認された。影響範囲は10万以上のWebサイトに及ぶ可能性があり、早急な更新を呼びかけている。（2025/12/5）

脆弱性リストとIT資産リストの突合を高速化
Excelの「XLOOKUP」で脆弱性管理をラクにする手順
頻繁に出るIT製品の脆弱性情報をどう効率よく管理するかが、セキュリティ担当者にとって悩みどころだ。Excelの「XLOOKUP関数」を使えば、脆弱性管理のスピードを高められる。（2025/12/5）

セキュリティニュースアラート：
Outlookに「保護されたビュー」を回避する重大欠陥　PoC公開済み
Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」（MonikerLink）のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。（2025/12/3）

セキュリティニュースアラート：
md-to-pdfにCVSSスコア10.0の脆弱性　急ぎアップデートを
MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。（2025/11/26）

「ソフトウェアサプライチェーンの不具合」は3位に上昇：
Webアプリの10大リスク2025年版　3ランク上昇の「設定ミス」を抑えた1位は？
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。（2025/11/25）

セキュリティニュースアラート：
pgAdmin4にCVSS9.1のRCE脆弱性　緊急更新を推奨
pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。（2025/11/18）

セキュリティニュースアラート：
FortiWebに「管理コマンド実行」の重大脆弱性　緊急対応を
FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。（2025/11/18）

セキュリティニュースアラート：
GitHub CopilotとVS Codeに脆弱性　速やかなアップデートを
MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。（2025/11/15）

セキュリティニュースアラート：
Cisco ISEとCitrix製品に未公開のゼロデイ脆弱性　攻撃者が既に悪用
AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。（2025/11/15）

セキュリティニュースアラート：
Webアプリケーションで最も高いリスクとは？　OWASP Top 10に新項目がランクイン
OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。（2025/11/13）