| 2026-05-30 |
米CISAがNx ConsoleとGitHubリポジトリへのサプライチェーン侵害に関するアラートを発行。国内ではアソビュー、石川コンピュータ・センター、興亜硝子など複数企業がサイバー攻撃被害を公表。オランダ当局は1700万台規模のボットネットを停止。Google Chromeは全ユーザー向けにセッションCookie窃取対策を一般提供開始。AnthropicのClaude CodeにDynamic Workflowsが導入され、最大1,000のサブエージェント並列実行が可能に。Liquid AIが8B-A1B MoEモデルを発表。Microsoftはゼロデイ脆弱性の連続公表を非難し、発見者への報復を予告。 |
| 2026-05-29 |
2026年5月28日のセキュリティ・AI主要ニュース。CISAはMicrosoft WindowsやInternet Explorer、Defenderなど7件の脆弱性を悪用リストに追加。FortiClient EMSの認証バイパス脆弱性(CVE-2026-35616)が情報窃取マルウェアの配布に悪用され、GogsのゼロデイRCEも報告された。Carnival Cruiseで約600万人のデータ侵害が発生。GoogleはAIによる自律型サイバー防御サービス「Google AI Threat Defense」を発表。AnthropicはClaude Opus 4.8をリリースし、65Bドルの資金調達を発表。Laravel-Langへのサプライチェーン攻撃の詳細解説ウェビナーも開催された。 |
| 2026-05-28 |
CISAがNx Console、TanStack、Daemon Tools Liteの3件の脆弱性を悪用リスト(KEV)に追加。GlassWormボットネットのC2インフラがテイクダウンされ、1年以上続いたVS Code拡張機能とnpmパッケージを介した開発者向けサプライチェーン攻撃キャンペーンが解体された。FBIはSilent Ransom Groupが対面でのデータ窃取攻撃に戦術を変更したと警告。国内では北九州市立大学やロッキング・オン・ジャパンなど複数のインシデントが報告され、穴吹ハウジングサービスのランサムウェア被害は約20.8万件の個人情報漏洩が確定。AI分野ではAnthropicがClaude Mythosの一般公開方針を6〜12ヶ月以内に転換すると発表。MicrosoftがブラウザエージェントWebwrightを公開し、OWASP Agentic Top 10に対応するAgent Governance Toolkitもリリースされた。 |
| 2026-05-27 |
CISAがLiteSpeed cPanel Pluginの権限昇格脆弱性(CVE-2026-48172)をKEVカタログに追加。7-ZipにNTFSヒープオーバーフロー(CVE-2026-48095)、Ghost CMSにSQLインジェクション(CVE-2026-26980、CVSS 9.4)の深刻な脆弱性が報告され、後者は700以上のサイトで悪用が確認されている。Ollamaのメモリ開示脆弱性(CVE-2026-7482)は30万台に影響する可能性。インシデントでは7-Elevenから18.5万人の個人情報流出、メディカ出版のランサム被害で64万人分の情報漏洩が判明。AnthropicのProject Glasswingが50社で1万件超の脆弱性を発見した初回成果を公開。AI分野では「Language Models Need Sleep」論文やCodexの関西弁インジェクション現象が話題に。国内ではサイバー対処能力強化法が10月施行予定。 |
| 2026-05-26 |
本日はOnlyFansからの3.4億件ユーザーレコード流出が最大の話題。ShinyHuntersによる7-Elevenフランチャイジーシステムへの攻撃では18.5万件のアカウントがHIBPに統合された。npm・PyPI・Crates.ioにまたがるTrapDoorサプライチェーン攻撃が発見され、AI開発環境のCLAUDE.md汚染という新手口が確認された。脆弱性ではCisco Secure Workload APIのCVSS 10.0の重大欠陥、ExifToolのCVE-2026-3102(macOSでのRCE)、Ghost CMSのSQLインジェクションがClickFixキャンペーンで悪用されている。国内ではLaravel-Langへのサプライチェーン攻撃に関するウェビナーが告知され、JNSAから「CISOがおさえておきたいAIセキュリティの基本」が公開された。 |