セキュリティ
Apache HTTPに致命的RCE脆弱性——世界Webサーバーの30%超に影響
Apache HTTP Serverに致命的RCE脆弱性CVE-2026-23918(Critical)。世界のWebサーバー30%超に影響、2.4.65への即時アップグレードが必要。
#サイバー攻撃 の記事
セキュリティ
CISA KEV緊急追加、ConnectWise脆弱性でMSP数百社侵害
CISAが2026年4月末〜5月にKEV catalogを緊急更新。ConnectWise ScreenConnetとWindowsカーネル脆弱性が実環境で悪用中、MSPが標的に。連邦機関は3週間以内のパッチ義務。日本のSIerが取るべき対策を解説。
セキュリティ
Trellixがソースコード流出——守る側の武器が攻撃者の手に
Trellix (McAfee Enterprise + FireEye統合) がセキュリティ製品のソースコードを流出。EDR/XDRの内部ロジックが攻撃者の手に渡り、フォーチュン500顧客にゼロデイ被害の懸念。日本企業への影響と代替検討を解説。
セキュリティ
Canvas LMSが2.75億件流出——ShinyHuntersが8,809校を襲撃
教育LMS最大手Instructure CanvasがShinyHuntersに侵害され、約2.75億件の学生・教師データと8,809校の情報が流出。教育機関史上最大級の侵害事件を詳しく解説。
セキュリティ
Foxconnが1100万ファイル流出——Nitrogen犯行声明、Apple/Nvidia顧客情報懸念
ランサムウェア集団Nitrogenが世界最大EMSメーカーFoxconnへの侵害を主張。1100万ファイル超が流出し、Apple/Nvidia/Google/Dell/Intelの顧客情報、製品設計図、銀行明細などサンプルが既にダークウェブ上で公開された。
セキュリティ
cPanel CVE-2026-41940——認証バイパスで44,000 IP侵害、グアム政府も陥落
cPanel/WHMにCVSS9.4の認証バイパスCVE-2026-41940。4/30時点で44,000IP侵害、グアム政府サイトも被害。世界Webホスティングの63%を占めるcPanelの広範影響と日本での対策を解説。
セキュリティ
Cisco SD-WANに認証バイパス——UAT-8616が悪用、2026年6件目のゼロデイ
Cisco SD-WANに認証バイパス脆弱性CVE-2026-20182が発覚。脅威アクターUAT-8616が悪用し、admin権限を奪取。2026年6件目のSD-WANゼロデイでCISAは3日以内のパッチ義務を発令。
セキュリティ
Exchange CVE-2026-42897——OWAでXSS、CISA KEV緊急追加
on-prem Microsoft Exchange ServerにCVSS 8.1のXSS由来Spoofing脆弱性CVE-2026-42897。OWAでメールを開くだけでJSが発火。CISAが2026-05-15にKEV追加、連邦機関は3週間以内のパッチ義務化。日本企業の対策を解説。
セキュリティ
nginx-uiにCVSS 9.8の認証バイパス——MCP統合の脆弱性"MCPwn"が悪用中
nginx-ui ≤2.3.5にCVSS 9.8の認証バイパスCVE-2026-33032。MCP統合の不備でわずか2回のHTTPリクエストでRCE。Shodan露出2,689台、CISA KEV入り、対策を解説。
セキュリティ
SAP BPC/BWにCVSS 9.9のSQL注入——低権限で財務データ窃取可能
SAP BPC/BWにCVSS 9.9の重大SQLインジェクション脆弱性CVE-2026-27681。低権限ユーザーが財務データを窃取・改ざん可能。パッチ適用手順と対策を解説。
セキュリティ
Microsoft 4月パッチ168件、SharePointゼロデイ実攻撃中
Microsoft 2026年4月 Patch Tuesday が168件を一括修正。SharePoint ゼロデイ CVE-2026-32201 が実攻撃中で CISA KEV 登録、FCEB は4月28日が期限。IKE/TCP-IP/Defender の重大CVEも深掘り。
セキュリティ
Axios CVSS 10.0脆弱性——Prototype PollutionからRCE・クラウド乗っ取りへ
Axios CVE-2026-40175はCVSS最高スコア10.0。Prototype PollutionからRCE・AWSクラウド乗っ取りに至る攻撃チェーンの技術詳細と緊急対策を解説
セキュリティ
FBIがW3LLフィッシング帝国を壊滅——$20M詐欺を支えたPhaaS開発者を逮捕
FBIとインドネシア警察がW3LLフィッシングキットを壊滅。$20M規模の詐欺を支えたPhaaS開発者逮捕の全容と、MFAバイパス手法、日本への影響を解説。
セキュリティ
FortiClient EMSにCVSS 9.1のゼロデイ——認証不要で任意コード実行
Fortinet FortiClient EMSのゼロデイ脆弱性CVE-2026-35616(CVSS 9.1)が積極的に悪用中。認証なしで任意コード実行が可能。影響範囲・技術解説・緊急対策を詳しく解説。
セキュリティ
Smart Slider 3 Proが乗っ取られた——90万サイトに迫るバックドアの全貌
WordPress人気プラグインSmart Slider 3 Proがサプライチェーン攻撃で乗っ取られ、90万以上のサイトにバックドアが配布された。攻撃の技術詳細と対策を徹底解説
セキュリティ
Marimo脆弱性CVE-2026-39987——公開10時間でroot奪取が始まった
PythonノートブックMarimoのCVE-2026-39987はCVSS 9.3の認証なしRCE。WebSocketの認証欠如で公開10時間以内にroot奪取が観測された。技術詳細と対策を解説
セキュリティ
偽WhatsAppアプリでスパイウェア配布——イタリア企業SIOが200人を標的に
イタリアのスパイウェア企業SIO傘下ASIGINTが偽WhatsAppアプリでスパイウェアを配布。約200人が標的に。偽アプリの手口と対策を解説。
セキュリティ
React2ShellでNext.js 766ホスト侵害——CVSS 10.0の認証情報窃取攻撃
CVE-2025-55182(React2Shell)はNext.jsのReact Server Componentsを悪用するCVSS 10.0のRCE脆弱性。766ホスト侵害の実態と対策を解説。
セキュリティ
ロシアAPT28が家庭用ルーターを乗っ取りM365認証を大量窃取
ロシアAPT28がMikroTik・TP-Linkルーターを侵害しDNSハイジャックでMicrosoft 365認証情報を大量窃取。FrostArmada攻撃の手法と対策を解説。
セキュリティ
Anthropic「Claude Mythos」が数千のゼロデイを発見——Project Glasswing始動
Anthropicが発表したProject GlaswingとClaude Mythosの全貌を解説。全主要OSから数千のゼロデイ脆弱性を発見した最強サイバーセキュリティAIの仕組みと影響。
セキュリティ
Chromeゼロデイ CVE-2026-5281が悪用中——35億ユーザーに今すぐ更新を
Chrome最新ゼロデイ CVE-2026-5281はWebGPU実装Dawnのuse-after-freeバグ。CVSS 8.8で任意コード実行が可能。2026年4つ目のゼロデイの詳細と対策を解説。
セキュリティ
Axiosに北朝鮮バックドア——週間1億DLのnpmパッケージが3時間汚染された
週間1億DL超のnpmパッケージAxiosに北朝鮮ハッカーがバックドアを注入。UNC1069による攻撃手法、影響範囲、対策を詳しく解説
セキュリティ
イランAPTが米国のPLCを攻撃——FBI・CISA・NSAが緊急勧告
イラン関連ハッカーが米国重要インフラのPLCを攻撃。FBI・CISA・NSAなど6機関が緊急共同勧告AA26-097Aを発表。攻撃手法と対策を解説。
セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
Solana上のDeFiプロトコル「Drift Protocol」から$2.85億(約428億円)が12分で流出。durable nonces攻撃の手法と日本への教訓を徹底解説。
セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
FCCが外国製コンシューマールーターの新規認可を停止。Salt Typhoon攻撃がきっかけ。TP-Link・ASUS・Netgearへの影響と日本への示唆を解説。
セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
FBIの盗聴・監視システムがFISMA重大インシデント認定。中国系ハッカー関与の疑いと米国サイバーセキュリティへの影響を解説
セキュリティ
Axiosが北朝鮮ハッカーに乗っ取られた——npm史上最大級のサプライチェーン攻撃
週間1億DLのAxiosが北朝鮮ハッカーに乗っ取られ、RATが配信された。WAVESHAPER.V2の仕組みと対策を詳しく解説。
セキュリティ
HackerOne従業員287名のSSNが流出——サードパーティNaviaの侵害が連鎖
バグバウンティ大手HackerOneの従業員287名のSSNが、サードパーティNavia Benefit Solutionsの侵害で流出。BOLA脆弱性の手口と対策を解説。
セキュリティ
Telnyx PyPIパッケージが乗っ取り——WAVファイルに隠されたクレデンシャル窃取
Telnyx Python SDKのPyPIパッケージがTeamPCPに侵害され悪意あるバージョンが公開。WAVファイル偽装でクレデンシャルを窃取する手口と対策を解説。
セキュリティ
欧州委員会のAWSが侵害——ShinyHuntersが350GBのデータ窃取
欧州委員会のAWSクラウドがShinyHuntersに侵害され350GBのデータが流出。政府クラウドセキュリティの課題と対策を詳しく解説。
セキュリティ
LiteLLMにバックドア混入——TeamPCPがCI/CDを侵害し340万DLのAIツールを汚染
攻撃グループTeamPCPがLiteLLMのCI/CDパイプラインを侵害しPyPIトークンを窃取。バックドア入りバージョンが約3時間で配布され、SSHキーやクラウド認証情報が窃取対象に。
セキュリティ
Oracle Identity ManagerにCVSS 9.8の緊急RCE脆弱性——四半期外パッチ発動
Oracle Identity ManagerとWeb Services ManagerにCVSS 9.8の重大脆弱性CVE-2026-21992。認証不要のHTTP経由RCE。四半期パッチ外の緊急対応を解説。
セキュリティ
CISAが連邦機関に即時パッチ指示——Ciscoファイアウォールのゼロデイが猛威
CISAがCisco Firewall Management Centerのゼロデイ脆弱性CVE-2026-20131に対し連邦機関に即時パッチを指示。ランサムウェアグループが1月から悪用。
セキュリティ
CISA緊急警告——F5 BIG-IP脆弱性がRCEに再分類、CVSS 9.3
F5 BIG-IPの脆弱性CVE-2025-53521がDoSからRCEに再分類され、CVSS v4スコア9.3に引き上げ。CISAが既知悪用脆弱性カタログに追加し連邦機関に即時パッチを指示。
セキュリティ
脆弱性悪用が2026年サイバー侵入の主因に——パッチ管理が生死を分ける
2026年のサイバー侵入で脆弱性悪用が最大の初期アクセスベクターに急浮上。パッチ管理の遅延がもたらすリスクと対策を徹底解説
セキュリティ
PolyShell脆弱性がMagento/Adobe Commerceを直撃——認証不要のRCE
Magento/Adobe Commerceに認証不要のRCE脆弱性「PolyShell」が発見。CVSSスコア9.8、50以上のIPから大規模スキャン進行中。ECサイト運営者の緊急対応を解説。
セキュリティ
Qilinランサムウェア、2026年だけで400件超——最も活発な脅威グループに
Qilinランサムウェアが2026年Q1だけで400件超の被害を出し最も活発なグループに。攻撃手法・標的業界・身代金分析と日本企業が取るべき対策を解説。
セキュリティ
Trivy GitHub Actionsにマルウェア注入——CI/CDサプライチェーン攻撃の全貌
脅威アクターTeamPCPがAqua SecurityのTrivy GitHub Actionsにクレデンシャル窃取マルウェアを注入。CI/CDパイプラインへのサプライチェーン攻撃の詳細と対策を解説。
セキュリティ
Medusa Ransomware、大学病院を攻撃——35クリニック閉鎖、1TB流出
Medusaランサムウェアがミシシッピ大学医療センターを攻撃。35クリニック閉鎖、1TB流出、$800K身代金要求。医療機関を狙うランサムウェアの最新動向と対策を解説。
セキュリティ
新型マルウェア「Speagle」がCobra DocGuardを乗っ取り機密文書を窃取
正規セキュリティソフトCobra DocGuardを悪用する新型マルウェアSpeagleの技術的詳細と、サプライチェーン攻撃から組織を守る具体的な防御策を解説。
セキュリティ
INTERPOL国際作戦で45,000サーバー摘発、94人逮捕
INTERPOL Operation Synergia IIIで72カ国のサイバー犯罪インフラを摘発。45,000サーバー撤去、94人逮捕の全容を解説。
セキュリティ
Langflowに致命的RCE脆弱性——公開20時間で攻撃開始
Langflowに未認証RCE脆弱性CVE-2026-33017(CVSS 9.3)。公開20時間で攻撃開始、AIツールのセキュリティリスクを解説。
セキュリティ
SaaSサプライチェーンが2026年最大の侵入経路に——サードパーティ接続のリスク管理
2026年、サードパーティSaaSサプライチェーンが企業への最大侵入経路に。OAuthトークン悪用やシャドーSaaSのリスク、SSPM導入による防御策を解説。
セキュリティ
CiscoファイアウォールにまさかのCVSS 10.0——Interlock ransomwareが1カ月先行で悪用
Cisco Firewall Management CenterにCVSS 10.0の致命的脆弱性。Interlockランサムウェアがパッチ公開の1カ月前から悪用。攻撃手法と緊急対策を解説。
セキュリティ
ロシアAPT28がMSHTMLゼロデイを悪用——LNKファイルで政府機関を標的に
ロシア軍情報部APT28がMSHTMLゼロデイCVE-2026-21513を悪用しLNKファイルで政府機関を攻撃。攻撃手法の詳細と防御策を解説。
セキュリティ
SalesforceのAuraInspectorが攻撃ツールに転用——Experience Cloudの大量スキャンが発覚
Salesforce Experience Cloudが改変版AuraInspectorで大量スキャンされ顧客データ流出のリスク。攻撃手法の詳細と防御策を解説。
セキュリティ
Microsoft 3月Patch Tuesdayで78件修正——SQL Serverゼロデイ含む8件のCritical
Microsoft 2026年3月Patch Tuesdayで78件の脆弱性を修正。SQL Serverゼロデイ・CVSS 9.8のRCEなど8件のCriticalの詳細と対応優先度を解説。
セキュリティ
TELUS Digital から1PBのデータ流出——ShinyHuntersがGCP認証情報を起点に大規模侵入
TELUS DigitalがShinyHuntersに1PBのデータを窃取された。GCP認証情報からBigQueryへ侵入、FBI身元調査やソースコードが流出。攻撃手法と防御策を解説。
セキュリティ
Google Sheetsが中国スパイのC2サーバーに——GridTide攻撃の全貌
中国系ハッカー集団UNC2814がGoogle Sheetsを悪用したGridTideマルウェアで42カ国53組織に侵入。攻撃手法の技術的詳細とGoogleの対応策を解説。
セキュリティ
米医療機器最大手Strykerにイラン系ハッカーのワイパー攻撃——20万台のデバイスが消去
米医療機器最大手StrykerがイランHandalaグループのワイパー攻撃で20万台のデバイスを消去された。Intuneを悪用した攻撃手法と医療セキュリティの課題を解説。
セキュリティ
Chromeゼロデイ2件が同時発覚——V8とSkiaの脆弱性が実際に悪用中
Google Chromeのゼロデイ脆弱性CVE-2026-3909(Skia)とCVE-2026-3910(V8)が実際の攻撃で悪用中。CVSS 8.8の深刻度と対策を解説。
セキュリティ
医療機器大手Strykerが20万台消去——Intune悪用の衝撃
医療機器大手Strykerがイラン系ハッカーのワイパー攻撃で20万台以上のデバイスを消去された。Microsoft Intune悪用の手口と企業が取るべきMDMセキュリティ対策を解説。