2026-05-24

デイリーニュースダイジェスト - 2026-05-24

🔒 セキュリティ

📢 サマリー

本日はnginx-poolslip（CVE-2026-9256）の脆弱性が公開され、F5が修正を発表。GitHub上のMegalodonキャンペーンにより5,500以上のリポジトリが侵害され、Drupal CoreのSQLインジェクション（CVE-2026-9082）がパッチ公開から48時間以内に悪用が確認された。CISAはMicrosoft ExchangeのXSS（CVE-2026-42897）とIvanti EPMMの脆弱性（CVE-2026-6973）をKEVカタログに追加。AI分野では、ProjectDiscoveryのAIエージェント「Neo」が自律的にクラウド環境を侵害する実証実験が話題に。また、PHP Composerパッケージへのサプライチェーン攻撃やFamilyMartの大規模データ漏洩疑惑も報告された。

📌 注目記事

CVE-2026-9256 (nginx-poolslip) の脆弱性が公開、F5が修正を発表

nginxのrewriteモジュールに新たな脆弱性「nginx-poolslip」（CVE-2026-9256）が発見され、サービス拒否（DoS）やコード実行に悪用される可能性がある。F5は修正パッチをリリースし、早急な適用を呼びかけている。

GitHub上のMegalodonキャンペーンが5,500以上のリポジトリを侵害

Megalodonと名付けられたGitHubへの攻撃キャンペーンにより、5,500以上のリポジトリが侵害された。攻撃者は偽のプルリクエストを用いてCIワークフローを標的にし、サプライチェーン攻撃を展開した。

Drupal CoreのSQLインジェクションがパッチ公開後48時間以内に悪用、15,000件以上の攻撃を観測

Drupal CoreのSQLインジェクション脆弱性（CVE-2026-9082）が5月21日に修正されたが、翌22日にはCISAがKEVカタログに追加。Impervaの研究者は、65カ国6,000サイト以上に対し15,000件以上の攻撃試行を確認した。

CISAがMicrosoft ExchangeのXSS（CVE-2026-42897）を悪用リストに追加

CISAは、Microsoft Exchange Serverのクロスサイトスクリプティング脆弱性（CVE-2026-42897）をKnown Exploited Vulnerabilitiesカタログに追加した。特定の条件下で任意のJavaScriptが実行される可能性がある。

CISAがIvanti Endpoint Manager Mobileの脆弱性（CVE-2026-6973）を悪用リストに追加

Ivanti Endpoint Manager Mobile（EPMM）の不適切な入力検証の脆弱性（CVE-2026-6973）がKEVカタログに追加された。管理者権限を持つリモート認証ユーザーがリモートコード実行を達成できる。

AIエージェントが2.5時間でCI/CDサーバーから本番DBまで完全侵害、自律型レッドチームの実力を実証

ProjectDiscoveryはAIセキュリティエンジニア「Neo」を用いた自律的レッドチーム演習を実施。Neoは外部偵察から本番データベースへのアクセスまでを約2.5時間で完遂し、CI/CDサーバーの未パッチ脆弱性を起点にクラウド環境を侵害した。

PHP Composerパッケージへのサプライチェーン攻撃が発覚、複数のパッケージが侵害

Aikido Securityは、Packagist上の複数のlaravel-lang/*パッケージが侵害され、autoload時にマルウェアが実行されるサプライチェーン攻撃を確認した。影響を受けたバージョンをインストールした場合、即座にシークレットのローテーションが必要。

FamilyMartが2,158万件のデータ漏洩疑惑、ダークウェブで情報販売か

ダークウェブ上の脅威アクターが、FamilyMartの従業員情報や取引記録を含む2,158万件のデータを流出させたと主張。企業計画、支払い情報、契約書などが含まれる可能性がある。

AIコーディングエージェントの本当の攻撃面は設定ファイルだった

AIコーディングエージェント（Claude Code、Cursorなど）のセキュリティリスクはモデル自体ではなく、設定ファイルに起因する事例が増えている。TrustFallやAWS Kiroの事例を分析し、対策ツールSigilを紹介。

Microsoft AI Engineer CoachがVS Code拡張でAIコーディング習慣を可視化・診断・改善

MicrosoftがOSSで公開したVS Code拡張「AI Engineer Coach」は、ClaudeやCopilotなどのAIコーディングセッションを分析し、45のアンチパターン検出ルールで習慣を改善する。ローカル完結でデータは外部送信されない。

📅 セキュリティ週次まとめ

該当なし

📰 セキュリティニュース (X件)

CVE, 脆弱性

CVE-2026-9256 (nginx-poolslip) 関連（2件）

CVE-2026-9256 - "nginx-poolslip", another new vulnerability in the rewrite module — Reddit r/netsec — nginxのrewriteモジュールに存在する脆弱性で、DoSやコード実行が可能。F5が修正パッチを公開。
Nginx-poolslip Vulnerability Enables DoS and Code Execution Attacks — Patch Now! — Hatena — 同脆弱性の詳細と攻撃手法を解説。管理者に早急なパッチ適用を推奨。
CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA — Microsoft Exchange ServerのXSS脆弱性（CVE-2026-42897）をKEVカタログに追加。
CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-6973) — CISA — Ivanti Endpoint Manager Mobileの不適切な入力検証脆弱性（CVE-2026-6973）をKEVカタログに追加。
Drupal Core SQL injection flaw actively exploited less than 48 hours after patch — Reddit r/cybersecurity — Drupal CoreのSQLインジェクション（CVE-2026-9082）がパッチ公開後48時間以内に悪用され、15,000件以上の攻撃を観測。
Zyxel super-admin credential leak expanded from one router image to CPE/ONT/LTE/5G devices + password gen algorithm. — Reddit r/cybersecurity — Zyxelデバイスのスーパー管理者認証情報漏洩（CVE-2021-35036）が、より広範なデバイスに影響することが判明。

サイバー攻撃, インシデント・マルウェア

Megalodon GitHub サプライチェーン攻撃関連（3件）

A new GitHub attack dubbed Megalodon compromised more than 5.5K repositories — Reddit r/cybersecurity — Megalodonキャンペーンにより5,500以上のGitHubリポジトリが侵害された。
infostealers just spawned a 5,000+ repo github supply chain attack — Reddit r/cybersecurity — インフォスティーラーが5,000以上のリポジトリに影響を与えたサプライチェーン攻撃を引き起こした。
The latest Megalodon campaign against GitHub leveraged a spray of fake PRs targeting CI workflows. Here's the complete analysis — Reddit r/cybersecurity — Megalodonキャンペーンの詳細分析。偽のプルリクエストを用いてCIワークフローを標的にした手口を解説。

PHP Composer サプライチェーン攻撃関連（2件）

Socket exposes a clever cross-ecosystem supply chain attack targeting PHP packages by hiding a malicious JS postinstall backdoor inside package.json. — X (Gray Hats) — PHP Composerパッケージに悪意のあるJSポストインストールバックドアを仕込むサプライチェーン攻撃をSocketが発見。
🚨 Ongoing supply chain attack on Composer packages! We just found multiple laravel-lang/* packages compromised on Packagist — X (Aikido Security) — Packagist上のlaravel-lang/*パッケージが侵害され、autoload時にマルウェアが実行される。影響を受けた場合はシークレットのローテーションが必要。
Italy disrupts CINEMAGOAL piracy app that stole streaming auth codes — Feedly (BleepingComputer) — イタリア当局が、NetflixやDisney+などのストリーミング認証情報を盗む海賊版アプリ「CINEMAGOAL」を摘発。
Kash Patel-Linked Merchandise Site Goes Dark After Hack Allegedly Spread Malware to Visitors — Reddit r/cybersecurity — Kash Patel関連のグッズ販売サイトがハッキングされ、訪問者にマルウェアを拡散した疑い。
セキュリティインシデントからおよそ2年が経過した今なお、globiance は十分な情報開示を行っていません。 — X (ヌ) — globianceのセキュリティインシデントから約2年が経過したが、未だに十分な情報開示が行われていないと指摘。
🚨🇯🇵 FamilyMart allegedly targeted in 21.5M record database leak — X (Dark Web Informer) — FamilyMartの2,158万件のデータがダークウェブ上で流出したと脅威アクターが主張。従業員情報や取引記録が含まれる可能性。

セキュリティツール, 研究

Update: search-for-compression.py Version 0.0.7 — Feedly (Didier Stevens) — 圧縮データ検索ツールのバグ修正バージョン。
An Example of Stack String in High Level Language, (Sat, May 23rd) — Feedly (SANS ISC) — 高級言語におけるスタック文字列の例を解説。マルウェア解析のトレーニングに関連。
Pardon MIE?: how Mythos did not bypass Apple MIE — Reddit r/netsec — Apple MIEのバイパスを試みたMythosの手法とその失敗を分析。
This Week on Brute Logic — X (BRute Logic) — PHP Null Byte Trick、SSRF Polyglots、JWT NoAlg Bypassなど、今週のセキュリティTipsまとめ。
Firefox Pentest Addons Cheat Sheet — X (Hacking Articles) — ペネトレーションテストに役立つFirefoxアドオンのチートシート。
GitHub Dorks Cheat Sheet — X (Hacking Articles) — GitHubで機密情報を検索するためのDorkチートシート。
24 powerful search engines every pentester & bug bounty hunter should know about — X (obscaries) — ペンテスターやバグハンター向けの24の強力な検索エンジンを紹介。
Today we're sharing some resources for Linux privilege escalation. — X (TCM Security) — Linux権限昇格のためのリソース集。SUDOのエスカレーションパスなどを紹介。
⚡ scan4all: All-in-one automated vulnerability scanner for red teamers & bug bounty hunters. — X (Vivek) — 15,000以上のPoCと7,000以上のWeb指紋を備えた統合脆弱性スキャナー。

クラウド

AWS Security Agent のペネトレーションテスト実行ログを CloudWatch Logs で確認してみた | DevelopersIO — Hatena — AWS Security Agentのペネトレーションテスト実行ログをCloudWatch Logsで確認する方法を解説。

Web Application Security, WebSec, OWASP

New Cheat Sheet dealing with authorization policy dimensions and distribution — Feedly (OWASP) — 認可ポリシーの次元と分散に関する新しいチートシートがOWASP Cheat Sheet Seriesに追加。
- -dangerously-skip-reading-code — HackerNews — ReactのdangerouslySetInnerHTMLに関するセキュリティ考察。
Day 10 / 30 — OPEN REDIRECT PARAM CHEATSHEET — X (Vishal Vishwakarma) — オープンリダイレクトのパラメータチートシート。
🦇 How I Took Over Any Account on a Major Platform With One Click — A Client-Side Path Traversal Story — X (bountywriteups) — クライアントサイドパストラバーサルを利用したアカウント乗っ取りの手法を解説。

Bug Bounty

Bug Type: JWT bypass using none alg Severity: Critical (10.0) Reward: $3,000](https://x.com/kalkii__/status/2058090813071196487) — *X (Abhinav)* — JWTのnoneアルゴリズムを悪用したバイパスで$ — X (Abhinav) — JWTのnoneアルゴリズムを悪用したバイパスで$3,000の報酬を得た事例。
People who think this isn’t accepted in bug bounty programs should check this out. — X (Coffin) — バグバウンティプログラムでAPIキーの露出報告が受理された事例を紹介。
A bug bounty report should not be closed solely because it “looks AI-written.” — X (ElliotSecOps) — AIが書いたように見えるという理由だけでバグバウンティレポートをクローズすべきでないと主張。
after a month try hunt on @Bugcrowd ( mostly public BBP) , i see everything very good. — X (nst) — Bugcrowdでのバグハンティング体験とDeepSeek-V4-Proの活用について。
Reported a new Google VRP finding discovered with our AI Bug Bounty Agent. — X (NullSecurityX) — AIバグバウンティエージェントがGoogle VRPでAPIキーの露出を発見し報告。
New Video: Built a real AI-powered Bug Bounty Agent from scratch using Claude Code, Kali Linux & modern recon tooling — X (NullSecurityX) — Claude CodeとKali Linuxを用いたAIバグバウンティエージェントの構築方法を解説する動画。
Nice Free tool to keep in your bug bounty arsenal: pingback.sh — X (Secuaudit) — Blind XSSペイロードのコールバック通知ツール「pingback.sh」を紹介。
Quick gut-check if you're starting bug bounty — X (The XSS Rat) — バグバウンティ初心者向けのリソース「Big Beautiful Bug Bounty Bundle」を紹介。

DevSecOps, CI/CD

Staged publishing and new install-time controls for npm - GitHub Changelog — Hatena — npmのステージドパブリッシングとインストール時の新しい制御機能が一般提供開始。
サプライチェーン攻撃への備えについて考えている #湘なんか — Hatena — サプライチェーン攻撃への備えに関するLT資料。自作ツール「happa」を紹介。
AIコーディングエージェントの本当の攻撃面は設定ファイルだった — Zenn (ju571n) — AIコーディングエージェントのセキュリティリスクは設定ファイルに起因する事例が多く、対策ツールSigilを紹介。

プライバシー, 法規制, セキュリティ政策

Oura says it gets government demands for user data — HackerNews — Ouraが政府からのユーザーデータ要求を受けていることを明らかにした。
The FBI Wants 'Near Real-Time' Access to US License Plate Readers — HackerNews — FBIが米国内のナンバープレート読み取り装置へのほぼリアルタイムアクセスを求めている。
たった今データを失うかもしれない君に捧ぐ10個の質問 — Hatena — クラウドストレージのBAN対策として、データ喪失を防ぐための10の質問を提示。
金融庁は、日本銀行と連名で、金融機関等に対し、「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について公表しました。 — X (金融庁) — 金融庁と日本銀行が、フロンティアAIによる脅威変化を踏まえた金融機関の短期的対応を要請。

セキュリティ系の勉強会やイベント、カンファレンス

Do you watch Netflix in your free time? Try hackflix for security conference talks — X (payloadartist) — セキュリティカンファレンスのトークを視聴できるサイト「hackflix」を紹介。
Join Quantova for an upcoming X Space on post-quantum security, cryptographic migration, and the future of blockchain infrastructure — X (Quantova) — ポスト量子セキュリティと暗号移行に関するX Spaceイベント。HackenProofがゲスト参加。

会社ブログ, その他

IOAとIOC：違いを理解する | クラウドストライク — Hatena — CrowdStrikeがIOA（攻撃の痕跡）とIOC（侵害の痕跡）の違いを解説。
『どこまでやればいいのよ…🥲』SaaS時代のセキュリティで悩んだので、自分なりに整理してみた — Hatena — SaaS時代のセキュリティ対策について、個人の見解を整理したブログ記事。
またセキュリティの話題が過去にまとめた記事を再掲しておこう — X (Higty) — セキュリティに関する過去のまとめ記事を再掲。
オンプレ＆クラウドやマルチクラウドのような現代の複雑な環境で、組織の「セキュリティの仕組み」をどう設計・実装するか？を体系的に学べる本。 — X (ニキヌス) — 事業会社セキュリティの実務に直結する書籍を紹介。

🤖 AI, 機械学習

AI, 機械学習ニュース (X件)

新モデル、研究論文

Making Deep Learning Go Brrrr from First Principles (2022) — HackerNews — ディープラーニングの高速化を第一原理から解説する記事。

AIツール, サービス, 製品

Microsoft AI Engineer Coach完全解説：VS Code拡張でAIコーディング習慣を可視化・診断・改善する45ルール — Feedly (AI Heartland) — MicrosoftのVS Code拡張「AI Engineer Coach」がAIコーディング習慣を分析し、45のアンチパターン検出ルールで改善を支援。
AIミュトスで脆弱性1万件超発見　アンソロピック「企業は早く修正を」 - 日本経済新聞 — Hatena — AnthropicのAIモデル「Mythos」を利用した企業で1万件以上の脆弱性が発見されたと発表。

LLM, エージェント実装

WarpのAIエージェントが毎日自己改善する仕組み——The Ralph Loopと3つの教訓 — Feedly (AI Heartland) — WarpのAIエージェント「Buzz」が毎日自己改善する仕組みと、ルールではなくプリンシプルを書くべき理由を解説。
【AIペネトレーションテスト】AIエージェントが2.5時間でCI/CDサーバーから本番DBまで完全侵害、自律型レッドチームの実力を実証 — X (中島佑允) — ProjectDiscoveryのAIエージェント「Neo」が自律的にクラウド環境を侵害した実証実験を紹介。
Dot by dot. The machine that builds the machines grows. Autonomous bug bounty solver under construction. — X (Tom Osman) — 自律型バグバウンティソルバーの開発進捗を報告。

AI政策, 倫理, 動向

— (該当なし) —

📌 その他注目技術

その他注目技術ニュース (X件)

ブラウザのアップデート, 新機能

— (該当なし) —

開発ツール, プラットフォーム

— (該当なし) —

その他

— (該当なし) —

📌 その他採用や組織マネジメント

— (該当なし) —

📋 掲載除外リスト

ソース	タイトル
Reddit r/cybersecurity	Have you ever failed a certification exam?
Reddit r/cybersecurity	Recommendations for getting started in cybersecurity
Reddit r/cybersecurity	Interviewer ask me if you observe port scanning from internal ip , the scanning ip is not authorised for scanning. How will you investigate it and how will you find attackers ip?
Reddit r/cybersecurity	Examples of intentional backdoors being breached?
Reddit r/cybersecurity	Mitigated Vulnerabilities by Vendor as Feed
Reddit r/cybersecurity	Pentesting company recommendation
Reddit r/cybersecurity	Can someone give me a detailed roadmap for becoming a SOC Analyst?
Reddit r/cybersecurity	Cyber security placement - Interview Help
Reddit r/cybersecurity	Anonymous revendique le piratage de satellites chinois pour protester contre les lois sur la vérification de l'âge
Reddit r/cybersecurity	Where can I find the tools freely on internet to practice for soc analyst
Reddit r/cybersecurity	Taking the PSAA - Practical SOC Analyst Associate by TCM Security next week
Reddit r/cybersecurity	RSAC online membership? Is it worth it?
Reddit r/cybersecurity	What do i need to learn to get into application security? Which Degrees/Certs
X (Kgethi Phakeng)	Tomorrow on the #SundaySessions @thabangline and I will be in conversation with Jimmy Bacela, an AI solutions builder using AI to solve REAL operational problems inside institutions.
X (Ankit Sisodya)	• 4th year CSE student at BIT ...
X (Africa CDC)	🔴 UPDATE: Time Change ...
X (Quantova)	Join Quantova for an upcoming X Space on post-quantum security...

取得状況

ソース	状態	取得件数
HackerNews	✅	4件（セキュリティ/AI関連）
Reddit r/netsec	✅	2件
Reddit r/cybersecurity	✅	19件（うちニュース6件）
CISA	✅	2件
JPCERT/CC	✅	0件
Zenn (security)	✅	1件
Zenn (LLM/AI)	✅	0件
Qiita (security)	✅	0件
Qiita (AI)	✅	0件
はてなブックマーク	✅	8件
Feedly (73/75フィード)	✅	6件
X キーワード検索	✅	79件（うちimpressions>=500は多数）
X リストタイムライン	✅	1件
X ブックマーク	✅	5件（新規）

sync test

rom iphone