最新記事一覧
生成AIによる「バイブコーディング」が急速に普及する一方で、脆弱なコードの増加が新たな課題として浮上しています。AIは何を間違え、どのような脆弱性を生み出すのでしょうか。
()
モバイルSuicaの大規模通信障害を機に、デジタルインフラの脆弱性への自衛策が注目されている。SNSでは物理カードの携行や複数の決済手段を使い分ける二刀流のリスクヘッジが再評価された。通信障害時でもセブン銀行ATMを使えば、現金でモバイルSuicaへ直接チャージが可能だ。
()
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
()
2026年4月「全てのCVEを分析する」という長年の方針を転換したNIST。約2カ月後、その運用実態を調査したところ、分析対象の絞り込みだけでなく、脆弱性評価そのものを巡る新たな課題が浮かび上がったという。
()
電子メールに届いたExcelファイルを開いただけで、PCが乗っ取られる。そんなシナリオにつながるExcelの重大な脆弱性の詳細をSentinelOneが分析した。攻撃者はこれをどのように悪用し、防御側は何を監視すべきなのか。その技術的ポイントを整理する。
()
Linuxカーネルに、一般ユーザー権限から管理者権限を取得される恐れがある重大な脆弱性が見つかった。既にPoCが公開され、一部の主要Linuxディストリビューションではroot権限取得まで確認されている。
()
The Linux Foundationは2026年6月25日、重要OSSの脆弱性を修正し、責任ある形で開示する共同取り組み「Akrites」を発表した。情シスにとっては何が関係あるのか。
()
Appleは、iPhoneおよびiPad向けのセキュリティ修正を中心とした最新OS「iOS 26.5.2」の配信を開始した。WebKit関連をはじめとする計37件の脆弱性に対処する。このうち1件は、Anthropicの従業員がAI「Claude」を活用して発見した脆弱性としてクレジットされている。
()
2024年9月、MicrosoftはWindows Server Update Services(WSUS)の非推奨化(廃止)を発表しました。「非推奨」と聞いて「もう使えなくなるのでは」と不安を抱いた人もいるのではないでしょうか。実際には、その後もWSUSを巡る状況は変化を続けています。ドライバー同期廃止の無期限延期、Windows Server 2025向けのセキュリティ強化、そして緊急パッチを要する重大脆弱性の判明――。調査では、WSUS非推奨化について内容まで把握しているIT担当者は、3割にとどまりました。WSUSを取り巻く主な出来事を振り返りながら、WSUS非推奨化の本当の意味を整理します。
()
Claude MythosがもたらすIT業界のパラダイムシフトを、建築業界の「姉歯事件」になぞらえて解説。脆弱性が放置されてきた今までから、安全性確保が義務となる成熟した業界への転換期を説く。
()
コンテナイメージの「脆弱性ゼロ」を過信してはいけない。OSSの見落とされがちなリスクを指摘し、健全性を評価する具体的なツールと、根本的な安全確保の道筋を解説する。
()
特定の脆弱性調査に24時間以上かかる状態は、今日の高度なサイバー攻撃の前では致命傷になり得る。世界26万台の端末を抱えるNECはいかにして非管理端末の死角を消し、調査時間を5分にまで短縮したのか。
()
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
()
AIエージェントの普及は利便性を高める一方、新たなセキュリティホールを生むリスクをはらんでいる。Oracleはこの脅威に対抗すべく、主要なデータベース保護機能を2027年まで無償化。従来の境界防御を捨て、データ層に直接セキュリティを配置する「データ起点」の防御戦略へとかじを切る。
()
Microsoftはマルチモデルエージェント型セキュリティシステム「MDASH」の取り組みについて解説した。Microsoftのセキュリティエンジニアリングチームが活用しており、Windowsの未知の重大な脆弱性発見に貢献しているという。
()
KDDIは、ISP事業者用メールシステムへの不正アクセスを確認した。第三者製ソフトウェアの脆弱性を悪用された結果、最大1422万件のメールアドレスとパスワードが漏えいした可能性があるという。
()
7万台超のFortiGateに関する認証情報流出疑惑で注目を集めた「FortiBleed」。これに対してFortinetは、新たな脆弱性や製品侵害ではないとの見解を示した。その一方で、影響を受けた可能性がある組織には複数の緊急対応を要請している。なぜパッチ適用後もリスクが残るのか。
()
KDDIは提供するプロバイダー向けメールシステムが不正アクセスを受けたと発表した。外部のソフトウェアの脆弱性を悪用され、最大1422万件のメールアドレスやパスワードが漏えいした可能性がある。影響はビッグローブなど計6社に及び、各事業者は利用者に早急なパスワード変更を呼びかけている。
()
AppleのA12、A13チップを搭載したiPhoneやiPadで、起動時の信頼基盤を揺るがす新たなBootROMエクスプロイト「usbliter8」の実証コードが公開された。遠隔攻撃はできないものの、一度見つかればソフトウェア更新では消せない欠陥だという。
()
生成AIの進化によって「脆弱性対策」の難易度が急上昇しています。従来は数カ月ごとの定期メンテナンスでパッチを当てるのが主流でしたが、現在はどうでしょうか。これまでの対策が通用しなくなった原因と、CISAやIPAが示す防御戦略を解説します。
()
Microsoftは、毎月のPatch Tuesdayの規模が今後も大きくなると予告した。AIによる脆弱性発見の加速が背景にあり、ユーザー側にはより迅速な対応が求められるとしている。
()
「curl」プロジェクトの開発者であるダニエル・ステンバーグ氏は、AnthropicのAIモデル「Mythos」による脆弱性分析レポートを受領し、その結果を共有した。
()
脆弱性の急増は、防御側にとって本当に悪いニュースなのか。FIRSTの最新予測によると、AIの進化によって脆弱性の発見件数は想定を大きく上回るペースで増加している。一方で、企業が優先対応すべき脆弱性の数は大きく変わっていないという。
()
生成AIが攻撃者の武器になった今、ソフトバンクグループとOpenAIは新たな一手を打った。単なる脆弱性診断ではなく、その先の「修復」まで踏み込むという構想だ。AIは企業のパッチ運用をどこまで変えられるのか。
()
セキュリティ対策の在り方が根本から変わり、メガインフラの引力が強まる中、日本の企業・組織が取り戻すべき「主権」とは何なのか。トラストの基点を決定論的な静的管理から、動的な「IDと実行時コンテキスト」に移すことは可能なのか。
()
脆弱性を発見するツールは数多く存在するが、その後の対応は依然として人手に頼る場面が多い。こうした課題に対し、オープンソースの新たなセキュリティプラットフォームが登場した。OSINTや脆弱性診断に加え、AIによる分析や修復支援も統合するという。その実力とは。
()
次世代AI「Claude Mythos」の登場と、その一般公開版「Claude Fable 5」のリリースが、サイバーセキュリティの前提を根底から覆した。この種の最先端のAIモデルが未知の脆弱性を自律的に見つけ出し、1時間足らずでデータを奪取するという、新たな脅威が生じている。セーフガードを巡る開発ベンダーの葛藤と、国家安全保障をも巻き込む激変の最前線、日本のIT管理者が取り得る対策について解説する。
()
「Windows」主要機能の脆弱性が、事前通告なしに一般公開される事件が起きた。Microsoftが激しく非難する一方で、一部の専門家は「ベンダーの怠慢」を指摘する。企業はどう身を守るべきか。
()
ソフトバンクグループと米OpenAIは6月16日、OpenAIのAI技術を活用して企業の脆弱性診断から修復方針の策定、実装の提案までを支援する法人向けサイバーセキュリティ対策ソリューション「Patching as a Service」の提供を始めると発表した。
()
Microsoftは、OutlookとWordの脆弱性CVE-2026-45456を公開した。Officeの型混同により、未認証の攻撃者がローカルでコード実行可能となる。脆弱性を悪用した攻撃の難易度も低いため、注意してほしい。
()
Microsoftが2026年6月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲な製品が対象で、悪用確認済みのゼロデイ脆弱性などが修正された。同社は早急な適用を呼びかけている。
()
脆弱性管理における部門間調整の難しさを語る英文に登場する「herding cats」。直訳すると「猫の群れを誘導する」ですが、IT業界では別の意味を持ちます。情シスが日々直面する難題を表す言葉を掘り下げます。
()
脆弱性修正の猶予は14日から3日へ。米CISAの新指令は、全企業にパッチ管理の抜本的見直しを迫っている。リソースが限られる情シスがいかにして「がむしゃらな対応」を捨て、リスクに基づいた優先順位付けと自動化を実現すべきか。
()
汎用AIモデルの進化によって、かつてない速度でサイバー攻撃が加速している。未知の脅威に対し、企業はいかに防御体制を構築すべきか。Googleが提唱する、AI技術を活用した防衛ロードマップの要点を解説する。
()
企業におけるAI活用が拡大する中、意思決定の不透明性や未知の脅威という新たな脆弱性が浮上している。従来のソフトウェア開発の常識だけでは防げない特有のリスクに対し、どのような枠組みで立ち向かえばよいのか。
()
Appleは、Apple Intelligenceを活用し、漏えいや脆弱性が判明したパスワードをPasswordsアプリとSafariから自動更新できる機能を発表した。従来、ユーザーには警告のみが表示されていたが、変更作業自体は利用者自身が実施する必要があった。
()
OpenSSLプロジェクトは、PKCS#7署名検証機能に高危険度の解放後使用欠陥があると公表した。細工済みメッセージで異常動作が生じ、クラッシュやメモリ破壊、遠隔コード実行の恐れがあり、修正版公開で更新を呼びかけた。
()
Anthropicは公式ブログで、同社の「Claude Opus」を活用してソースコードを保護するためのベストプラクティスを紹介した。
()
脆弱性公開から攻撃コードが出回るまでには、これまで一定の時間的猶予があった。しかしMythosを使った最新の検証によって、その前提が崩れつつある。わずか1時間でエクスプロイトが生成される状況で、防御をどう見直すべきか。
()
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。
()
Microsoftが過去最多となる約200件の脆弱性修正を公開した。サードパーティー製を含め月間600件に迫る「パッチアポカリプス」が到来している。情シスは従来の手法では対処しきれないパッチ管理の限界と、修正品質のリスクに直面している。
()
自然言語の指示だけでAIがアプリケーションを生成する「バイブコーディング」が注目を集めている。CX部門のIT依存を解消し開発を爆速化させる一方で、セキュリティ脆弱性やシャドーIT化など、情シスが看過できない重大なリスクも潜む。
()
Microsoftは2026年6月9日(米国時間)にWindows 11 24H2/25H2向け更新プログラム「KB5094126」を公開した。本更新プログラムを適用すると、204件に及ぶ脆弱性の修正情報やセキュアブート証明書の有効期限切れ対策に加え、複数アプリによるカメラの同時利用など、段階的に導入される新機能が追加される。
()
AIが脆弱性を見つけ、攻撃まで実行する時代。もはや人間がダッシュボードを見ながら対応する運用は限界を迎えつつある。Cisco Live!でシスコが示したのは、AIエージェントが自律的に原因を分析し、修復まで担う新たなインフラ運用の世界だった。
()
米宇宙軍の幹部やオバマ元大統領時代のホワイトハウスが使っていたInstagramのアカウントが何者かに乗っ取られ、イラン支持の画像やメッセージが投稿される被害が相次いだ。攻撃者は米Metaの「AIサポートアシスタント」が抱える脆弱性を突き、狙ったアカウントのパスワードをリセットしたと伝えられている。
()
開発者が日常的に利用するJavaScriptテストフレームワーク「Vitest」に複数の深刻な脆弱性が見つかった。細工されたURLや特定の通信経路を悪用されると、開発環境そのものが攻撃者の足場になる可能性があるという。
()
Microsoftのシステムで、第三者が公開したnpmパッケージが実行された。研究者は重大なサプライチェーンリスクだと訴えるが、Microsoftは脆弱性ではないと判断した。なぜ同じ事実を前に評価が真っ二つに割れたのか。
()
AIがサイバー攻撃の手口を激変させている。脆弱性悪用のスピードが数日単位に加速する中、侵入プロセスの大半をAIが担う「完全自律型AIエージェント攻撃」の本格化も間近だという。Googleのセキュリティトップが、脅威の現状と防御側の針路を語る。
()
トロント大学の研究者が、各ターゲットの脆弱性を自律的に特定し、カスタマイズされた攻撃戦略を生成する「AIワーム」を開発した。既存の防御を無効化しかねない最新の脅威に、情シスが今すぐ見直すべき「究極の基本対策」を解説する。
()
タニウムの調査によると、サイバー攻撃の備えができている企業はわずか2割であることが明らかになっています。ゼロデイ脆弱性の悪用や開発環境侵害、インフォスティーラーなど企業を狙う攻撃が相次ぐ中、自社を守るにはどうすればいいでしょうか。
()
米セキュリティ企業のCalifが6月3日(現地時間)、少しの通信量でWebサーバに過剰な負荷をかけ停止させるDoS攻撃手法「HTTP/2 Bomb」の注意喚起を行い、その深刻さから話題になっている。
()
Googleは公式ブログで、AIがかつてない速さでセキュリティ脆弱性を見つけ出す時代において、企業が取るべき防御策を解説した。
()
Anthropicは、サイバー脅威アクターがAIモデルを用いて攻撃を加速させている状況を受け、企業のセキュリティチームが取るべき対策をまとめたブログ記事を公開した。
()
コンテナ技術は開発を迅速化させるが、管理されないイメージの乱立というリスクも生み出している。対策を強化したいセキュリティチームが障壁にならず、開発の自由を守るためのアプローチとは。
()
生成AIやAIエージェントが企業の業務現場へ急速に浸透する一方で、セキュリティ対策は依然として後手に回りがちだ。「まず使ってみよう」という熱気が先行する中、シャドーAIの把握、AIモデルの脆弱性解消、AI利用ルールの策定と順守担保など、「安全に使う」ための土台づくりが追い付いていないのが実情だ。Cisco製品を中核に顧客のセキュリティ課題に伴走するエクシオ・デジタルソリューションズに、安全やガバナンスを確保しながらAIの利用を前進させるためのアプローチを聞いた。
()
アプリケーションのコンテナ化が浸透する一方、脆弱性スキャナーが発する過剰なアラートに現場は疲弊している。推奨されてきたベストプラクティスはなぜ形骸化するのか。真に機能する保護策を専門家が解説する。
()
AIツールによるコード生成が普及する中、生成されたコードのほぼ半数に脆弱性が潜む事実が明らかになった。AI特有の新たな脅威に対し、開発とセキュリティ対策を一体化する「DevSecOps」による防衛策を紹介する。
()
Googleは、AIを駆使した高速なサイバー攻撃に対抗する自律型システム「Google AI Threat Defense」を発表した。GeminiやWiz、Mandiantの技術を統合し、脆弱性調査から修正パッチ生成までを数分に短縮。属人的な管理の限界を突破し、攻撃者のスピードを上回る「マシンスピード」の防御体制を構築する。
()
AIコーディングやAIエージェント、OSS、CI/CD自動化、クラウドサービスなどの普及によって、開発者はこれまで以上に多くの権限や認証情報を扱う存在になりました。その結果、開発者自身が最も効率の良い「侵入口」として攻撃者に狙われ始めています。
()
米Microsoftは5月27日、事前共有なしにゼロデイ脆弱性(修正前の弱点)を公表する行為について、公式ブログで批判した。同社は顧客保護のため24時間体制で対応中とし、「協調的脆弱性開示(CVD)」の重要性を改めて訴える。
()
Windowsカーネルの脆弱性を足掛かりにSYSTEM権限に迫るPoCが公開された。この手法は、ChromeやEdge、FirefoxといったWebブラウザの隔離機能を突破できることも分かっている。PoC公開で一気に現実味を帯びた“悪用シナリオ”の中身とは。
()
Red Hatは、セキュリティを強化したコンテナイメージ群「Red Hat Hardened Images」の一般提供を開始した。既知の脆弱性を極力含まない状態を目指す“ゼロCVE”戦略を支援するという。どのような仕組みなのか。
()
ビジネスメール詐欺(BEC)は、技術的な脆弱性ではなく「人間の心理と信頼」を突く。GoogleやMeta、トヨタ子会社といった巨大組織すら、巧妙な偽請求書やCEO成り済ましに屈し、数十億円規模の損失を出している。情シスが講じるべき現実的な対策を浮き彫りにする。
()
企業にさまざまなメリットをもたらすが、セキュリティリスクも伴うクラウドサービス。運用負荷を減らしながらクラウドの安全性を高めるには、どうすればいいのか。解決策を説く。
()
GitHub Security Labは、7-Zip 26.00にヒープバッファーオーバーフロー脆弱性「CVE-2026-48095」が存在すると公表した。NTFS処理の不正なシフト演算で1バイト領域へ最大256MBを書き込み、任意コード実行やクラッシュを招く恐れがある。
()
世界中の開発現場を突然止めた「GitHub」の認証障害。CI/CDだけでなく、自動脆弱性検査や配備まで連鎖的に停止し、“当たり前に動く”はずだった開発基盤の脆さが露呈した。ここからどのような教訓を得ればいいのか。
()
金融庁と日銀は、「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を公開した。フロンティアAIの進化に伴う未知の脆弱性の急増や、AI時代のサイバー攻撃に焦点を当て、技術負債の解消や経営トップの関与など、組織に求められる9つの取り組み(応急的措置)を提示したものだ。
()
AnthropicはClaude Mythosを使ったサイバー防衛計画「Project Glasswing」の初期成果を公表した。報告によると、Claude Mythosは1万件超の深刻度「高」または「重大」な脆弱性を発見したという。大きな成果だがこれには弊害もありそうだ。
()
セキュリティ調査企業Cyeraが、ローカルLLM「Ollama」の重大なメモリ脆弱性を発見した。MITREの数カ月の放置の後、CNAであるEchoが「CVE-2026-7482」として採番して公開した。
()
Anthropicは、AIモデル「Mythos Preview」で重要ソフトの多数の脆弱性を発見したと発表した。オープンソースを含む広範な調査で修正作業の負荷増大が課題となり、防御側の迅速な対応強化を訴えた。
()
フロンティアAIが脆弱性を大量に発見し、攻撃までの猶予が消滅する──金融庁と日銀はこの近未来を前提に、全金融機関へ9項目の緊急対応を要請した。経営トップの直接関与、ベンダー契約の見直し、システム停止の判断基準策定まで踏み込んだ要請の全容を読み解く。
()
米Anthropicは5月22日(現地時間)、セキュリティプロジェクト「Project Glasswing」の初期報告を公開した。約50社のパートナー企業が1カ月で高・重大レベルの脆弱性を1万件超発見した成果に加え、同社が独自に進めてきたオープンソースソフトウェアのスキャン結果も公表された。
()
金融庁と日本銀行は5月22日、ChatGPTやClaudeなど「フロンティアAI」が脆弱性を短期間で大量発見できる脅威を受け、金融機関に9項目の短期的対応を要請した。
()
直近で話題になったNGINXの脆弱性「NGINX Rift」の修正を反映した最新版1.31.0に新たなゼロデイ脆弱性「nginx-poolslip」が見つかった。前回の深刻な脆弱性対応に追われた運用現場に、再び重い警戒が突き付けられている。
()
GitHubは、組織内のコードに潜む脆弱性をワンクリックで可視化する無料スキャン機能「Code Security Risk Assessment」を発表した。ライセンスや設定が不要で、数分で結果を得られる。
()
ボストンで開催されたIBMの顧客イベント「Think Boston 2026」。会場の熱気とは裏腹に、同社はかつてない逆風にさらされていた。米Anthropic「Claude Mythos」は、メインフレームの脆弱性を容易に特定し、IBMの牙城を揺るがしかねないとの見方が広がったからだ。「SaaSの死」という言葉が飛び交い、IBMの株価は30%近く急落した。この「Anthropicショック」に対し、IBMはどう立ち向かうのか。レガシーをAI時代の資産へと変える「4つの武器」と、反撃に向けた逆転のシナリオを現地から詳報する。
()
Anthropicが発表したAIモデル「Mythos」が波紋を広げている。システムの脆弱性を自動で網羅的に特定できるため、悪用されれば甚大な被害が出かねない。IMFが警告する、世界規模の金融崩壊のシナリオとは。
()
Cloudflareは、Anthropicのセキュリティ特化型AIモデル「Claude Mythos Preview」を用いた検証結果を公開した。複数の脆弱性を組み合わせて攻撃手法を構築し、実証コードまで自動生成する能力は、従来の自動スキャナをはるかに超え「シニア研究者」の域に達している。
()
Claude Mythos Previewに代表される高性能AIによる脆弱性発見の高速化を背景に、政府はついにAI時代のサイバー攻撃を前提とした新たな防衛戦略に乗り出した。国家横断で始動した「Project YATA-Shield」は、日本の重要インフラをどう守るのか。
()
Cloudflareは、Anthropicの新型LLM「Claude Mythos Preview」を自社インフラで動かして検証した。同社が「単純な性能向上ではなく、脆弱性探索ツールとして別種の能力を備えた」と評価するこのAIモデルの実力を細かくみていこう。
()
Cloudflareは、AnthropicのLLM「Mythos Preview」を50超の自社リポジトリー検査へ投入した結果を公表した。脆弱性連鎖の推論やPoC自動生成で高性能を示した半面、誤検知抑制や運用基盤整備の必要性も示した。
()
米セキュリティ企業のCalifが、米Appleが5年がかりで開発した最先端のセキュリティ対策「MIE」を突破するエクスプロイト(攻撃プログラム)を、わずか5日間で開発したと発表した。利用したのはAnthropicのAIモデル「Mythos」のプレビュー版だった。
()
Cloudflareは、AnthropicのAIモデル「Mythos Preview」を用いた脆弱性テスト結果を公開した。同モデルはエクスプロイトチェーン構築やPoC生成で高い能力を示した一方、ガードレールの誤作動も確認された。同社はタスクを細分化するパイプラインの構築や防御層の再構築の必要性を指摘している。
()
Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。
()
MicrosoftはExchangeのOWAに影響する重要脆弱性を公表、CISAも悪用を確認した。自動配信される緩和策の確認方法や閉域網向け手順を解説する。また、適用後にカレンダー印刷や画像表示が不全になる既知の不具合の回避策、恒久パッチの配信条件をまとめる。
()
IPAが実施したASMツールによる診断では、調査対象の中小企業126社全てで何らかの脆弱性が見つかった。放置されたデータベースや設定不備など、“見えていないIT資産”のリスクが浮き彫りになった形だ。
()
米国CISAとG7各国・EUは、AIシステム向けSBOMの最小構成要素を定めた指針を公表した。AIモデルや学習データ、インフラなどを7分類で整理し、AI供給網の透明性向上や脆弱性管理、サイバーリスク低減を支援する。
()
MicrosoftはWindows DNS Clientに深刻なRCE脆弱性「CVE-2026-41096」が存在すると公表した。細工されたDNS応答によってメモリ破損が発生し、条件次第で認証不要の遠隔コード実行に至る恐れがある。
()
Linuxカーネルに権限昇格が可能になる脆弱性「Fragnesia」が見つかった。直近話題になったゼロデイ脆弱性「Dirty Frag」の亜種とみられる。公開済みの実証コードでは/usr/bin/suのページキャッシュを改変してroot権限を奪取することが分かっている。
()
「NGINX」に、認証不要で悪用可能な“危険すぎる欠陥”が見つかった。たった一つのHTTPリクエストが、サーバ停止や遠隔コード実行(RCE)につながる可能性もあるという。問題は標準構成にも潜み、影響範囲は想像以上に広い。運用担当者が今すぐ確認すべきポイントとは。
()
AppleはiOS 26.5とiPadOS 26.5を公開した。カーネル権限取得やメモリ破損、情報漏えい、Safari異常終了など多数の脆弱性に対処しており、WebKitやWi-Fi、Accountsなど広範囲の機能に修正を加えた。ユーザーには早期更新が求められる。
()
OTセキュリティの重要性が高まる中、対策の第一歩として可視化に取り組む企業が増えている。だが、資産や通信の状況、脆弱性が見えてきた後、その情報をどう読み解き、具体的な防御策へ落とし込めばいいのか、見えた先のアクションにまでつながらないのが現状だ。こうした課題に対し、TXOne Networksは新製品「SenninRecon」と新コンセプト「TXOne Complete」を打ち出した。可視化を入口に、評価、計画、防御までをつなぎ、現場に無理のない形で対策を前へ進めるものだ。本稿では、その狙いと全体像を紹介する。
()
Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。
()
Microsoftは2026年5月12日(米国時間)にWindows 11 24H2/25H2向け更新プログラム「KB5089549」を公開した。本更新は137件もの脆弱性修正に加え、特定のタスクでCPUクロックを引き上げる新機能や低遅延プロファイルの導入など、パフォーマンス面での大幅な改善を含んでいる。2026年6月に迫るセキュアブート証明書の期限切れ対策としても重要な更新が含まれている。
()
Mandiantは年次レポート「M-Trends 2026」を発表した。2025年に実施した50万時間以上のインシデント調査では、サイバー犯罪の分業化と連携の進展により、初期アクセスから攻撃実行グループへの引き継ぎ時間が2022年の8時間超から2025年には22秒に短縮されたことが明らかになった。
()
Googleは、AI悪用によるゼロデイ探索や自律型マルウェア、LLM不正利用基盤、AI関連サプライチェーン侵害が拡大中だと公表した。中国、北朝鮮、ロシア系集団の活動例を示した。
()
LayerX Securityは、Claude for Chromeに外部拡張機能からAI操作を乗っ取れる脆弱性「ClaudeBleed」が存在すると公表した。送信元検証不備が原因で、GmailやGoogle Driveの操作が可能となり、修正版を公開した後も問題は残存しているという。
()
Palo Alto NetworksはPAN-OSに深刻な脆弱性が存在することを発表した。認証不要でroot権限のコード実行が可能だという。CISAが同脆弱性をKEVカタログに追加していることから悪用が懸念されるため注意してほしい。
()
Windows環境の脆弱性管理において、月例アップデートの適用がうまくいかないという声がある。本稿は、脆弱性管理において情シスが抱える具体的な課題と、取るべき改善策を紹介する。
()
Googleが、AIを使ったサイバー攻撃の過去3カ月における急速な進化を報告した。最先端AIモデルが従来のセキュリティスキャンでは判別できない脆弱性を発見。犯罪グループは一般提供されているAIモデルを使い、自律的に攻撃を行わせるエージェント化を進めている。
()
米グーグルは、AIによるサイバー攻撃が本格化している実態に警鐘を鳴らす調査結果を公表した。AIがシステム開発者よりも先に脆弱性を発見し、企業のサーバーから機密情報を盗んだり、製造設備を停止させたりするなど、被害を発生させる事例が広がりつつある。
()
GitHubは自社の「Advisory Database」のデータを基に、2025年のOSSの脆弱性動向に関するレポートを発表した。
()
JVNは11日、スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性が存在すると公表した。
()
主要Linuxディストリビューションでroot権限を奪取可能なゼロデイ脆弱性「Dirty Frag」が見つかった。情報漏えいによってパッチ提供前の緊急公開となっている。
()
「Docker Engine」に認可プラグインをバイパスしてホストシステムに不正アクセスできる深刻な脆弱性が公表された。修正版となる「Docker Engine 29.3.1」が公開され、アップデートが推奨されている。
()
2026年のゴールデンウイーク前後に発生した「はてな」の巨額詐欺被害や「マネーフォワード」の情報漏えい、そしてLinuxの深刻な脆弱性「Copy Fail」を解説。一見すると限定的に思えるリスクが、さまざまな攻撃手法と組み合わさることで脅威へと変化します。
()
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを提供してきたGoogleも対応を強いられるなど、AIの影響が深刻化している現実が浮き彫りになった。
()
Apache Software Foundationは、Apache HTTP Server 2.4.67を公開した。HTTP/2処理欠陥による任意コード実行懸念を含む複数の脆弱性を修正した他、認証回避や権限昇格、メモリ破損、DoS誘発といった問題に対処している。
()
Googleは2026年5月のセキュリティ情報を公表し、無線ADB機能の深刻な脆弱性の存在を明らかにした。対象はAndroid 14以降で、近距離から認証を回避しシェル権限でコードを実行される恐れがある。
()
高性能AIの登場により、脆弱性発見のスピードが劇的に加速している。英NCSCは、蓄積された「技術的負債」がAIによって一気に暴かれ、かつてないパッチ適用サイクルが到来すると警告。情シス部門が考えるべきことは?
()
Googleは、AndroidとPixelの月例セキュリティアップデートを公開した。FrameworkやSystemなど計46件の脆弱性が修正され、一部では悪用の兆候も確認されている。Pixelシリーズ向けには、ワイヤレス充電の速度低下やカメラのフリーズ、ディスプレイのノイズなど、特定の条件下で発生するバグの修正が行われた。
()
TXOne Networksは、評価およびエンタープライズ統合管理ツール群「Sennin」ファミリーを発表した。
()
CISAは悪用が確認された2件の脆弱性をカタログに追加した。ConnectWise製ツールとWindows Shellに存在する脆弱性で、遠隔操作やなりすましの恐れがある。防御態勢の維持が強く推奨される。
()
@ITで公開された記事の中から、特に注目を集めた10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。
()
Linuxカーネルに約9年間にわたり見過ごされてきた致命的なローカル権限昇格の脆弱性「Copy Fail」が突如浮上した。この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる。さらにこの発見を後押ししたのはAIだという。
()
Anthropicが発表したAI「Claude Mythos」は、数千のゼロデイ脆弱性を自動で特定し攻撃手順まで生成する。一般公開が制限されるほどの破壊力を前に、情シスは「発見」より「修復」の速度を問われる時代に突入した。低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。
()
Tenableは脆弱性管理製品NessusとNessus AgentのWindows版に任意ファイル削除の脆弱性があると公表した。SYSTEM権限で削除が可能で悪用時にコード実行の恐れがある。修正版への迅速な更新が推奨されている。
()
Claude Codeの利用中に生成される設定ファイルに、APIキーなどの認証情報がそのまま記録され、npm公開時に外部流出する恐れがあることが分かった。しかも多くの開発者がその存在に気付いていない。なぜこの見落としは起きるのか。
()
CrowdStrikeは、最先端AIによる脆弱性発見の加速に対応するため、業界連合「Project QuiltWorks」を設立した。AIと専門家を組み合わせた継続支援により、評価から優先順位付け、修正に至るまでを一貫して対応することで、企業のリスク把握と対処能力の強化を図る。
()
「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。
()
Microsoftは、ASP.NET Coreの暗号署名検証に起因する権限昇格の脆弱性(CVE-2026-40372)を公表した。未認証の攻撃者がSYSTEM権限を取得する恐れがある。修正版への更新が推奨される。
()
Oracleは、複数製品の脆弱性に対応するため、481件のセキュリティ修正を含む定例アップデートを公開した。既存の欠陥が攻撃に使われる事例が報告され、迅速な適用とサポート対象版の利用を呼びかけている。
()
CrowdStrike Falcon LogScaleに認証不要で任意ファイルの閲覧が可能な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」に該当する。SaaSは対策済みで被害確認なし、自社運用版は更新が必要だ。
()
米Anthropicは、最新AIモデル「Claude Mythos(クロード・ミトス)」を発表したものの、一般公開を見送った。ミトスはかなりの速度で脆弱性を見つけ、自律的に判断できることから、サイバーセキュリティを根本から変える可能性がある。
()
英国はAIによる自動攻撃に対抗すべく「国家サイバーシールド」構築に乗り出す。人間が20年以上見逃した脆弱性をAIが即座に看破する現状に、既製品を導入するだけの対策はもはや通用しない。政府は企業に、セキュリティを経営の義務と位置付ける誓約を求めている。情シスが直面する、AI時代の新たな防衛線とは。
()
OX Securityは、AnthropicのMCPに設計起因の脆弱性があると公表した。悪用すれば対象システムで任意のコマンドを実行できる。影響範囲は広く、関連するソフトウェアのダウンロード数は1億5000万件を超えるため要注意だ。
()
住信SBIネット銀行は、マルチクラウド環境のセキュリティリスクを一元管理する「Cloudbase」を導入した。定期診断による「点」の監視から脱却し、設定ミスや脆弱性を継続的に可視化する体制を構築している。
()
VPN機器などの脆弱性を突くのではなく、堂々と正面突破してくるサイバー攻撃の脅威が高まっている。闇市場で安価に調達できる「インフォスティーラー」を使い、攻撃者はユーザーの認証・認可情報を容易に窃取して侵入する。どんな企業であっても、このインフォスティーラーを正しく理解し、正しく恐れることが必須になっている。
()
Akamaiのレポート「インターネットの現状」(SOTI)によると、AIの普及がサイバー攻撃を変えつつある。APIが主要な攻撃対象となり、バイブコーディングが新たなリスクを招きかねないという。その実態とは。
()
NISTは、急増する共通脆弱性識別子(CVE)に対応するため脆弱性情報データベース(NVD)の運用方針を変更すると発表した。これによって限られた資源を最適化し、データベースの持続可能性を確保する。
()
2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。
()
Aikido SecurityはAxiosの脆弱性「CVE-2026-40175」を分析し、重大とされた攻撃シナリオは「Node.js」の仕様によって成立しにくいと指摘した。ライブラリ自体の不備は認めており、修正版への更新など適切な対応を求めている。
()
Microsoftは、月例セキュリティ更新で160件超の脆弱性を修正した。8件が重大、2件がゼロデイ脆弱性で、SharePointのなりすましやDefenderの権限昇格を含む。攻撃確認済みの問題もあり、迅速な更新適用が必要だ。
()
MCPにシステム的な脆弱性が存在し、ダウンストリームのフレームワークやツールのユーザーが危険にさらされているとセキュリティベンダーのOX Securityが指摘している。
()
Active Directoryにリモートコード実行の脆弱性が見つかった。認証済み攻撃者が細工したRPC通信でサーバ上の処理を実行可能となる問題で、同一ドメイン内で成立する。修正対応は必須と位置付けられている。
()
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
()
Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。
()
脆弱性診断を外部委託に頼る運用は、コストやスピードの面で限界を迎えつつある。セキュリティ品質と開発スピードをどう両立させるか。Webセキュリティの第一人者と、「ハイブリッド型・脆弱性診断」の提唱者が議論する。
()
Microsoftは2026年4月14日(米国時間)にWindows 11 24H2/25H2向け更新プログラム「KB5083769」を公開した。165件の脆弱性修正に加え、2026年6月に期限を迎えるセキュアブート証明書の更新確認機能が追加されており、全ユーザーに早急な適用を推奨する内容である。またエクスプローラーの利便性向上やAIコンポーネントの刷新も含まれている。
()
Anthropicは、AIによる脆弱性悪用の高速化を受け、企業の防御指針を発表した。パッチ適用の迅速化やAIによる開発・運用体制の強化、侵入前提の設計、資産削減などの対策を推奨した。
()
Adobeは、AcrobatとReaderに任意コード実行の恐れがある深刻な脆弱性が存在すると発表した。細工されたPDFファイルを開くだけで攻撃が発動することが分かっており、実際の悪用も確認されている。
()
Adobeは、「Adobe Acrobat」および「Adobe Acrobat Reader」に重大な脆弱性が存在し、実際に悪用が確認されていると公表した。細工されたPDFにより任意コード実行の恐れがあり、最新版への更新を強く求めている。
()
Googleは、AndroidとPixel向けの4月分月例アップデートを公開した。Android全体では深刻な脆弱性を修正。Pixel向けには、バックアップメニューの消失やQuick Share、特定ゲームのクラッシュといった不具合の改善が含まれる。
()
Appleは、iPhone、iPad、Mac向けOSの最新版「26.4.1」をリリースした。iCloudのデータ同期に関する不具合が修正された。また、企業向け端末で「盗難デバイスの保護」機能が自動で有効化されるよう変更された。セキュリティに関する公開済みの脆弱性修正は含まれていない。
()
Windowsの未修正ゼロデイ脆弱性「BlueHammer」のPoCが公開された。Defender更新処理の仕組みを悪用することで、一般権限からSYSTEM権限へ昇格できる恐れがある。パッチ未提供であるため、既存の検知を回避する可能性があるため注意が必要だ。
()
OpenSSLに複数の脆弱性が見つかった。特定の条件下で不適切な処理により情報漏えいにつながるものもあるという。影響範囲は複数バージョンに及び、プロジェクトは修正済みバージョンへの更新を呼び掛けている。問題の背景には何があるのか。
()
慣れ親しんだ「C」「C++」への依存は、メモリ脆弱性による重大な事故リスクを抱え続けることと同義だ。レガシー言語の延命は優秀な人材の離脱も招く。学習の代償を払ってでも「Rust」に移行すべき決定的理由とは。
()
昨今のサイバー攻撃は、脆弱性ではなく「アカウント」を起点に静かに侵入する時代に移行しています。気付かないうちに奪われ、売買され、悪用される認証情報の実態と、見過ごされがちなリスクの核心に迫ります。
()
ミラクシア エッジテクノロジーは、「Japan IT Week 春 2026」内の「第29回 組込み・エッジ・IoT開発 EXPO」において、同社が提供する欧州サイバーレジリエンス法(CRA)に対応可能な脆弱性可視化サービスの無償PoCを10社限定で募集すると発表した。
()
Anthropicは未公開のAIモデルが脆弱性発見能力で優れた能力を発揮した現状を受け、主要企業や各種組織と連携し防御目的で活用する枠組みを発表した。
()
AIツールの普及で開発スピードが劇的に向上する裏で、ソフトウェアの脆弱性が前年比で2倍に急増していることが明らかになった。AIツールの台頭に伴うOSSのリスクとは。
()
数年以上更新のないOSSを用いている商用ソフトウェアが大量に出回っている。開発者の意欲が削がれ、保守が止まったOSSは「第2のLog4j」のような深刻な脆弱性を生む。AI時代にOSSを救うための4つの処方箋とは。
()
Googleは、21件の脆弱性を修正したChromeの最新版を公開した。うち1件はすでに悪用が確認されており、米当局も注意を喚起している。Edgeなどにも影響する恐れがあり、迅速な更新が求められる。
()
監視ツールとして広く使われるZabbixで、低権限ユーザーからでもデータベース内部に迫れる脆弱性が明らかになった。直接データを盗めないはずの“読み取り専用”攻撃が、なぜ重大リスクへと変わるのか。
()
Amazon Threat Intelligenceは、商用生成AIサービスを悪用した脅威アクターが「FortiGate」デバイスを大規模に侵害した事例を観測した。侵入された要因は機器の脆弱性ではないという。
()
ChatGPTに脆弱性が見つかった。コード実行環境において、DNSを使った外部通信経路が成立し、入力テキストやファイル内容、要約結果などが選択的に抽出され、外部に送られる恐れがあるという。
()
Check Pointは、ChatGPTのコード実行環境に潜むDNS経由の情報流出経路を報告した。単一の不正プロンプトで会話内容や生成結果が外部へ送信され得る問題があるとしている。
()
Vimプロジェクトは、特定ファイルを開くだけで任意のOSコマンドが実行される不具合を公表した。tabpanel設定の検証漏れと自動コマンド登録処理の欠陥が連鎖し、サンドボックス外で処理が動作する問題がある。
()
ClaudeのChrome拡張機能に、閲覧しただけでAIが不正操作される脆弱性「ShadowPrompt」が見つかった。設計上の不備と外部部品のXSSを突いたものだという。
()
Synologyは、DSMなどのOSに任意のコマンドを遠隔で実行される重大な脆弱性が存在することを公表した。CVSSスコア9.8と深刻で、認証なしに悪用される恐れがある。対象製品の速やかなアップデートと、Telnetの無効化が強く推奨される。
()
TP-Linkは無線LANルーター「Archer NXシリーズ」に複数の脆弱性があると公表した。認証不要で管理操作が可能となる欠陥やコマンド実行の問題、設定暗号の不備が含まれる。対象バージョンには更新版ファームウェアの適用が推奨されている。
()
Anthropicが新機能「Claude Code Security」の限定プレビュー版の提供を開始した。人間のセキュリティ研究者と同じ手法でコードの脆弱性を解析し、人間によるレビュー用の修正パッチを提案するという。
()
The Shadowserver Foundationは51万台以上の旧式Microsoft IIS稼働を確認し、その内22万台が延長支援も終了した無防備な状態だと明かした。これらは内部侵入の足掛かりとなる恐れがあり、迅速な移行や資産管理が急務となっている。
()
生成AI活用で開発が加速する一方、AIが書いたコードのブラックボックス化等のリスクも顕在化している。本稿では静的解析ツール「SonarQube」で脆弱性ゼロと工数削減を実現したWorkXを取材。AI時代の死角をなくし、品質とスピードを両立させた実態に迫る。
()
人気の無料対戦ゲーム「僕のヒーローアカデミア ULTRA RUMBLE」について、X上でセキュリティ面の甘さを指摘する投稿がユーザーの注目を集めている。
()
OSSのセキュリティスキャンツールTrivyに対するサイバー攻撃により、クレデンシャル情報窃取マルウェアが拡散するインシデントが発生した。脆弱性の発見で人気のツールはどう侵害されたのか。本記事ではその経緯をまとめた。
()
Appleは、iPhone向け最新OS「iOS 26.4」の配信を開始した。「Apple Music」に「コンサート」検索やオフライン曲識別機能が追加されたほか、8個の新絵文字や「Apple Creator Studio」へのフリーボード統合が行われた。また、「Siri」経由の情報漏洩を含む38件の脆弱性が修正されており、全ユーザーにアップデートを推奨している。
()
ツールを入れれば安心という幻想が情シスの工数を奪い、予算を溶かしている。脆弱性診断ツールの実力と導入後に陥りがちな「重複コスト」や「スキル不足」という死角を解説する。
()
Jenkins CIはコアおよびプラグインの脆弱性を公表した。アーカイブ展開時の任意ファイル書き込みやCLIの検証不備、APIキーの平文保存などが含まれる。RCEの恐れもあり、最新版への速やかな更新と認証設定の再確認が求められる。
()
Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。
()
GNU Inetutilsのtelnetdに、未認証の遠隔攻撃者によって任意のコード実行が可能となる脆弱性が発見された。TELNETは通信内容が平文で送信される旧来のプロトコルで、現代のセキュリティ要件には適さないが、産業分野や政府系システムでは依然として使用されているため注意が必要だ。
()
Ubuntuの標準環境に権限昇格の脆弱性「CVE-2026-3888」が見つかった。通常権限の利用者がシステム内部の仕組みを悪用し、最終的にroot権限に到達する可能性がある。
()
マツダは、タイからの調達部品の倉庫業務に利用する管理システムにおいて、不正アクセスを確認したと発表した。2025年12月中旬に発生し、システムの脆弱性を悪用した第三者が従業員692件分の個人情報にアクセスした可能性がある。一般顧客への影響はないとしている。
()
企業のIT資産に潜む脆弱性を外部の専門家が発見し、報酬をやりとりする「バグバウンティプログラム」。自社でプログラムを運営する、もしくはプラットフォームを利用する場合のポイントやメリットを整理する。
()
Linux Foundationは、Anthropic、AWS、GitHub、Google、Google DeepMind、Microsoft、OpenAIから総額1250万ドル(約20億円)の助成金を受領した。資金は「Alpha-Omega」等を通じて、AIによる脆弱性報告の急増に直面するオープンソース保守担当者の支援に充てる。
()
MicrosoftはWDSの自動展開機能における脆弱性対策を発表した。応答ファイルの傍受を防ぐため、2026年4月から同機能は既定で無効化される。管理者は段階的な仕様変更への早期対応や代替手法への移行が求められる。
()
サイバー攻撃の原因は単なるシステムの問題ではない。多くの企業が高価なセキュリティ製品に投資する一方で、見過ごされがちなのが“ヒューマンレイヤー”の穴だ。これを解消するためのセキュリティ文化の育て方を解説する。
()
SentinelOneは、FortiGateの脆弱性や設定ファイルの可逆暗号を悪用し、Active Directory環境を侵害する攻撃者の最新手口を公表した。サービスアカウントを盗み、RMMツールや不正端末登録で権限を拡大するという。
()
Appleは、iPhoneやiPadの旧モデル向けに「iOS 15.8.7」と「16.7.15」を公開した。大規模な悪用が確認されている攻撃キット「Coruna」による脆弱性を修正する。悪意あるWebコンテンツによるメモリ破損やカーネル権限でのコード実行を防ぐため、対象ユーザーには早急な更新やロックダウンモードの利用が推奨されている。
()
Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。
()
Microsoftは、.NETにサービス停止を引き起こす脆弱性CVE-2026-26127の修正を公開した。境界外メモリ読み取りに起因し、認証不要の遠隔攻撃でアプリ停止の恐れがある。.NET 9.0と10.0などに更新版が提供された。
()
Microsoftは2026年3月10日(米国時間)、Windows 11 24H2/25H2向け更新プログラム「KB5079473」を公開した。タスクバーからのネットワーク速度測定ツールの起動や、Emoji 16.0への対応、Sysmonの標準搭載など、利便性を高める新機能が多く追加された。合計83件の脆弱性修正も含まれるため、早急な適用を推奨する。
()
OpenAIはアプリケーションの脆弱性を検出するAIエージェント「Codex Security」を公開した。プロジェクトを解析して脅威モデルを生成し、重大度の高い問題を抽出し修正案を提示する。高精度な分析でOSS開発を支援するという。
()
Windows Remote Desktop Servicesのゼロデイ脆弱性を悪用するコードがダークウェブ市場で高額流通されていることが分かった。同脆弱性はSYSTEM権限奪取が可能で広範なOSに影響するという。
()
CiscoはSecure FMCのWebインタフェースに認証回避の脆弱性があると発表した。未認証の攻撃者がroot権限を取得できる。CVSS v3.1のスコアは10.0、深刻度「緊急」(Critical)だ。回避策はないため修正版への速やかな更新が求められる。
()
ゼロデイ攻撃の様相は大きく変化している。専門業者が台頭し、企業ITインフラ製品の標的化が進む。2026年はAIを活用した脆弱性発見レースが加速する――。Googleのセキュリティ部門がこうした内容のレポートを発表した。組織が取るべき対策についても詳しく説明している。
()
SAPシステムのセキュリティ不備は経営に直結するリスクです。本稿では「アーリーウォッチ・アラート」(EWA)を活用した効率的な脆弱性診断や、テストの標準化による「システムの塩漬け」脱却など、即座に取り組める具体的な処方箋を紹介します。
()
建設会社の奥村組土木興業は、トレンドマイクロのEPP/EDR/CREMを採用した。全国の現場に分散する端末の可視化と24時間監視体制を構築し、データに基づく脆弱性対策によって予防型セキュリティを実現したという。
()
Check PointはClaude Codeに見つかった脆弱性の詳細な分析を報告した。悪意ある設定ファイルによって遠隔コード実行やAPIキー流出の恐れがある。同社は不審なプロジェクトを開くだけで攻撃が始まる恐れがあると警告している。
()
米国CISAは、Fortinet製品における認証バイパス脆弱性「CVE-2026-24858」が悪用されているとして注意喚起を行った。影響範囲は複数製品に及び、早急な対策が求められるという。
()
Googleは、WinRARの重大な脆弱性が国家支援型グループから金銭目的の攻撃者まで広範に悪用されていると報告した。既に修正済みだが、Windowsのスタートアップフォルダにマルウェアを配置する手法で攻撃は継続されている。
()
SBOMの必要性は理解していても、専門人材の不足や膨大な資産を前に「なかなか手がつけられない」と立ち止まる企業は多い。日々新たなセキュリティの脅威や脆弱性が発見される中で、SBOM管理を実践しつつ、“形だけ”の台帳管理にしないためにはどうすればいいだろうか。その現実解となる、真に機能する防衛策を考える。
()
Check PointはClaude Codeに重大な脆弱性があり、不正なリポジトリー設定を開くだけで遠隔コード実行やAPIキー窃取が可能だったと公表した。修正は完了しているが、AI開発基盤の供給網に新たなリスクが浮上している。
()
Ciscoは2026年のAI脅威報告書の中で、自律型エージェントの普及で攻撃が高度化するAI主導時代の到来を強調した。サプライチェーンなどの脆弱性や国家による悪用を受け、防御戦略の抜本的転換と重層的な対策に言及している。
()
Moxa製組み込み機器でTPM2_NV_Read実行時にLUKS鍵がSPIに平文出力される欠陥が見つかった。物理接触下でバス監視によって復号鍵を取得できるという。TPMが正しく認証を実施していても、ホストとの通信経路が保護されていなければ鍵が露出し得る。
()
生成AIを悪用したロシア語話者の脅威アクターが、世界600台超のFortiGateに不正アクセスしたことが分かった。脆弱性ではなく管理ポートの不備を突き、AIで攻撃を自動化・大規模化したのが特徴だ。基本対策の徹底が防御の鍵となる。
()
Anthropicはコード中の脆弱性を検出する「Claude Code Security」を発表した。脆弱性発見だけでなく、修正案も提示する。この機能の登場によって、米国市場ではセキュリティ関連銘柄が一時下落した。一体どこが革命的なのか。
()
米AnthropicはClaude Codeの新機能として、複雑な脆弱性も発見できる「Claude Code Security」をリサーチプレビューとして提供開始したことを発表しました。
()
OX SecurityはVS Code用の拡張機能4件に重大な脆弱性を確認した。Live Serverなどに遠隔ファイル流出やRCEの恐れがあり、Cursorなどにも影響する。開発環境の防御は急務であり、審査制度の整備を提言している。
()
Chromiumに見つかったゼロデイ脆弱性「CVE-2026-2441」の悪用が確認されたとして、CISAは「既知の悪用された脆弱性カタログ」にこれを追加した。CSSエンジンの不具合により任意コード実行の恐れがあるため、緊急でアップデートが必要だ。
()