セキュリティプロ・フリーランス編集部– Author –
-
木原官房長官がAI悪用サイバー攻撃に警鐘、Claude Mythos登場受け政府対策を本格化
「政府がAI悪用攻撃を『新たな脅威』と言い始めたけど、何が変わるの?」「Claude Mythosって何?なぜ官房長官がわざわざ言及したの?」 ボス、官房長官がAIサイバー攻撃のことを国会の会見で話したらしいでしゅよ!すごい時代になったでしゅね……。 ふふふ... -
GitHubに重大RCE脆弱性CVE-2026-3854、git push一発で他社リポジトリまで侵害可能
「GitHub.comは安心して使えると思っていたのに、git pushでサーバーが乗っ取られる脆弱性って本当?」「うちはオンプレのGitHub Enterprise Serverを使っているけど、何をすればいい?」 ボス、git pushしただけで他人のリポジトリまで覗けるなんて、信じ... -
KPMGがサイバーセキュリティ主要課題2026を発表、CISO必読の8テーマが浮上
「2026年、自社のセキュリティはどこから手を付ければいい?」「CISOとして経営層に何を提示すれば納得してもらえる?」 ボス、KPMGが2026年のセキュリティ課題を発表したらしいでしゅよ!どれから取り組めばいいか、もう何が何だか……。 ふふふ、よく見て... -
Cisco ASA/Firepowerに永続化バックドア「FIRESTARTER」、CISAが緊急警告
「Ciscoのファイアウォールはちゃんとパッチ当てたから安心だよね?」「ファーム更新したのに、まだ侵入者が残ってるって本当に?」 ボス、ファイアウォールってネットワーク全体を守る装置ですよね?それが乗っ取られてるなんて怖すぎでしゅ……。 ふふふ、... -
Hugging Face LeRobotに未修正RCE脆弱性、AIロボット制御サーバーが認証不要で乗っ取り可能
「AIロボットなんて研究室の話で、自分の会社には関係ないよね?」「Hugging Faceの脆弱性って、これまでのAI攻撃と何が違うの?」 ボス、ロボットを動かすAIサーバーがハッキングされるなんて、もうSFの世界じゃないでしゅか!? ふふふ、まさにそこが今... -
CISAがScreenConnectとWindows ShellをKEV登録、ゼロクリックでNTLMハッシュ流出の恐れ
「CISAのKEVカタログに新しい脆弱性が追加されたって聞いたけど、自社のWindows環境は大丈夫?」「ScreenConnectなんて使ってないし、関係ないよね?」 ボス、CISAが急にKEVカタログに2件も追加したでしゅよ!しかも対応期限が5月12日って、ゴールデンウィ... -
GlassWormのスリーパーVSCode拡張73件がOpen VSXで活性化、開発者を狙うサプライチェーン攻撃
「VSCodeの拡張機能を入れたら、開発環境ごと乗っ取られるって本当?」「ダウンロード数が多い拡張なら安全だと思ってたのに、なぜ騙されるの?」 ボス、エンジニアのみんなが使ってるVSCodeの拡張機能まで信用できないんでしゅか? 残念ながらだ。GlassWorm... -
McGraw Hillで1350万件流出、Salesforce設定ミスを突くShinyHuntersが300社超を侵害
「Salesforceの設定ミスで1350万人のデータが流出するなんて、何が起きたの?」「日本企業もSalesforceは使ってるけど、自社は大丈夫?」 ボス、ShinyHuntersってあの常連さんでしゅよね…McGraw Hillまでやられたんでしゅか? ふふふ。McGraw Hillだけじゃな... -
Tropic Trooper APTがホームルーター経由で日本企業を侵害、SumatraPDF偽装でAdaptixC2展開
「家のWi-Fiルーターから会社のPCまで侵入されるの?」「PDFリーダーの偽更新で、どうやってAPTが日本企業に入り込むの?」 ボス、Tropic TrooperってどこかのAPTで聞いたでしゅ…今回の手口、また進化してるんでしゅか? そうだな。中国系として知られるグル... -
LMDeploy SSRF脆弱性CVE-2026-33626が公開13時間で悪用、AI推論基盤からクラウド認証情報窃取
「LLMの推論サーバーから内部ネットワークがスキャンされるって、どういうこと?」「公開13時間で悪用って早すぎない?なぜそんな速さで攻撃できるの?」 ボス、画像読み込みの脆弱性で、AWSの認証情報まで取られたって本当でしゅか? 本当だ。SSRFという古典...
