2026-05-27

デイリーニュースダイジェスト - 2026-05-27

🔒 セキュリティ

📢 サマリー

CISAがLiteSpeed cPanel Pluginの権限昇格脆弱性（CVE-2026-48172）をKEVカタログに追加。7-ZipにNTFSヒープオーバーフロー（CVE-2026-48095）、Ghost CMSにSQLインジェクション（CVE-2026-26980、CVSS 9.4）の深刻な脆弱性が報告され、後者は700以上のサイトで悪用が確認されている。Ollamaのメモリ開示脆弱性（CVE-2026-7482）は30万台に影響する可能性。インシデントでは7-Elevenから18.5万人の個人情報流出、メディカ出版のランサム被害で64万人分の情報漏洩が判明。AnthropicのProject Glasswingが50社で1万件超の脆弱性を発見した初回成果を公開。AI分野では「Language Models Need Sleep」論文やCodexの関西弁インジェクション現象が話題に。国内ではサイバー対処能力強化法が10月施行予定。

📌 注目記事

CISA、LiteSpeed cPanel Pluginの権限昇格脆弱性（CVE-2026-48172）をKEVカタログに追加

CISAはLiteSpeed cPanel Pluginに存在する権限昇格脆弱性（CVE-2026-48172）を悪用リストに追加した。任意のcPanelユーザーアカウントからroot権限で任意のスクリプトを実行可能な深刻な脆弱性で、連邦政府機関に対策を義務付けている。

7-ZipにNTFSヒープオーバーフロー脆弱性（CVE-2026-48095）、細工されたファイルで悪用可能

7-Zip 26.00以前に影響するCVE-2026-48095が発見され、26.01で修正された。細工されたNTFSディスクイメージをinvoice.pdfやreport.zipなどにリネームして開くだけで悪用可能で、NTFSイメージに見えないファイルでも攻撃が成立する。

Ghost CMSのSQLインジェクション脆弱性（CVE-2026-26980、CVSS 9.4）が700以上のサイトで積極的悪用

AnthropicのClaudeによって発見され2月にパッチがリリースされたGhost CMSのSQLインジェクション脆弱性（CVE-2026-26980、CVSS 9.4）が、5月7日以降700以上の公開ウェブサイトで積極的に悪用されている。多くのサイトが未パッチのまま。

Ollamaのメモリ開示脆弱性（CVE-2026-7482）、30万台に影響の可能性

OllamaがGGUFモデルファイルを処理する際の境界チェック欠如に起因するメモリ開示脆弱性。細工されたモデルファイルによりメモリ読み取りが操作可能で、CVE採番が数カ月放置されていた問題も指摘されている。

7-Elevenデータ侵害、ShinyHuntersが18.5万人の個人情報を窃取

コンビニエンスストアチェーン大手7-Elevenが4月にハッキングされ、ShinyHunters恐喝グループが18万3千人超の個人情報を窃取したことがHave I Been Pwnedによって確認された。

GitHubがWindowsゼロデイを公開する報復的セキュリティ研究者をBAN

GitHubは「骨を粉々にする」と脅迫しながらWindowsゼロデイ脆弱性を公開したセキュリティ研究者のアカウントを停止した。研究者は報復目的で脆弱性を公開していた。

メディカ出版、ランサム被害で64万人分の情報漏洩か

メディカ出版がランサムウェア攻撃を受け、正規アカウントを悪用した侵入により最大64万人分の個人情報が漏洩した可能性が報じられている。

WhatsAppユーザーデータセットがハッカーにより流出、フィッシング被害の懸念

ハッカーがWhatsAppユーザーの大規模データセットを流出させ、フィッシング攻撃への悪用が懸念されている。

Anthropic Project Glasswing初回成果、50社で1万件超の高深刻度バグを発見

AnthropicがProject Glasswingの初回成果を公開。パートナー50社で1万件超の高深刻度バグを発見し、Cloudflareで2,000件、Mozilla Firefoxは旧モデル比10倍の271件を検出。OSS 1,000リポジトリでは23,019件のうち6,202件がHigh/Critical判定。

Claude AIのファイル窃取デモ、パッケージインストールの脆弱性が実証される

Claude AIのチャットからファイルを無音で窃取可能な脆弱性のライブデモが公開された。フォローアップではClaudeがVMインスタンスにプロンプトなしでランダムなパッケージをインストールする様子も実証されている。

First VPN解体、Europolの国際共同捜査でVPN＝匿名の常識が崩壊

Europolが2026年5月、ランサムウェア攻撃や情報窃取に利用されていたVPNサービス「First VPN」を国際共同捜査により解体したと発表。VPNを使用しても匿名で攻撃できるという犯罪者の常識が崩れ始めている。

CERT-In、AI支援攻撃に対抗する12時間パッチ適用を推奨

インドのCERT-Inが38ページのサイバーセキュリティブループリントを発表し、インターネット接続システムの既知の悪用脆弱性に対し12時間以内のパッチ適用を推奨。AIツールによる攻撃タイムラインの短縮が背景。

個人情報法改正案が衆院通過、企業が同意なき病犯歴収集可能に

個人情報保護法の改正案が衆院本会議で可決。病気や犯罪歴などを企業が本人の同意なしに収集可能にする一方、違反業者への課徴金制度を新設。国産AI開発の促進と適正な利活用の両立を狙う。

サイバー対処能力強化法が2026年10月施行、インフラ事業者に新たな義務

社会インフラへのサイバー攻撃深刻化を受け、インフラ事業者に新たな義務を課す「サイバー対処能力強化法及び同整備法」が2026年10月に施行される。直接対象は約260社だが、取引先やITベンダーにも広く影響する見込み。

Microsoft Secure Boot証明書期限が2026年6月に迫る、期限無視時の影響を解説

2011年発行のMicrosoftセキュアブート証明書の有効期限が2026年6月に迫り、期限が来た場合の影響とユーザーが取るべき対応についてMicrosoftが解説を公開した。

Language Models Need Sleep、LLMに睡眠が必要であることを示す論文

言語モデルに「睡眠」フェーズが必要であることを示す研究論文がarXivに公開された。連続学習による性能劣化を防ぐための新たなアプローチとして注目されている。

Codexで関西弁インジェクション現象が確認される

OpenAIのCodexにおいて、関西弁がトリガーとなるプロンプトインジェクション現象が確認された。ファイルの1行目に関西弁での応答指示を埋め込むと、高い確率でCodexが関西弁で応答するようになる。

Google Cloud Next 2026、Agentic Enterprise時代のクラウド戦略と新発表

Google Cloud Next 2026の現地レポート。Wiz統合によるAgentic Defenseなど「AIがAIを守る」新たなセキュリティモデルが提示され、エージェント時代のクラウド戦略が解説されている。

メルカリのAIガバナンスとガードレール実装、Agentic AI時代の安全対策

メルカリが全従業員のAI前提業務スタイル変革を目指し、安全なAIエージェント利用環境やルール整備を多面的に推進している取り組みを解説。Agentic AI時代のリスク全体像とガードレール実装の詳細。

TrapDoorクロスエコシステム暗号通貨窃取キャンペーン

複数のエコシステムにまたがる暗号通貨窃取マルウェア「TrapDoor」のキャンペーン分析。クロスプラットフォームで動作する高度な情報窃取機能を持つ。

IRGCフロントによるOT/IT破壊的攻撃、停戦下でのサイバー戦争

食品工場の冷蔵室の温度異常から発覚したIRGCフロントによるOT/IT攻撃の詳細分析。コントローラの設定値や安全リミットが意図的に書き換えられており、停戦合意下での破壊的サイバー攻撃の実態が明らかに。

台湾高速鉄道TETRAインシデント分析（パート1）

台湾高速鉄道（THSR）のTETRA通信システムに対するサイバーインシデントの技術分析。重要インフラの通信システムを標的とした攻撃の詳細が解説されている。

14件のnpm/PyPI/AIサプライチェーン脅威が1日で検出される

2026年5月26日の1日で14件のnpm、PyPI、AIサプライチェーン脅威が検出された。クリティカルワームやParse Server DoS、AI RCEなどを含む。

Microsoft Defenderが侵害エンドポイントの自動隔離機能をテスト中

MicrosoftがDefender for Endpointの新機能として、侵害されたエンドポイントを自動的に隔離し攻撃者のラテラルムーブメントを阻止する機能のテストを開始した。

Varonis AtlasがClaude Compliance APIと統合、AIガバナンスを強化

VaronisがAtlasプラットフォームにClaude Compliance APIデータを統合し、AIツールの利用状況監視、リスク調査、コンプライアンス対応を支援する機能を発表。

Detectify MCP Server発表、セキュリティインテリジェンスをAIワークフローに接続

DetectifyがMCP Serverを発表し、リアルタイムの脆弱性データとアタックサーフェスインサイトをAIワークフローに直接配信可能に。開発者とセキュリティチーム向け。

DockSec、Dockerイメージの脆弱性ノイズをLLMで削減するOWASPインキュベーターOSS

Trivy、Hadolint、Docker Scoutの結果をLLMで分析し重複を除去して実影響順に整理するOSS「DockSec」がOWASPインキュベータープロジェクトとして登場。修復手引きとDockerfile修正案も提示。

ランサムウェア攻撃が持続可能なビジネスに、侵入コスト6.6万円・復旧に2.3億円

Halcyon Japanの調査レポートによると、ランサムウェア攻撃の侵入コストは約6.6万円である一方、被害企業の復旧コストは約2.3億円と約3500倍の開きがあることが判明。

AtlassianがJira/ConfluenceデータをAI改善に利用開始、オプトアウト可否を解説

Atlassianが2026年8月17日からJira・Confluence・JSM等のデータを全顧客向けアプリ・AI体験改善に利用開始。プラン別のオプトアウト可否や対象データについて解説。

Windows 11 5月セキュリティ更新が一部PCでインストール不可、暫定回避策あり

Windows 11 24H2/25H2向け5月定例更新プログラムが一部PCにインストールできない事象が発生。Microsoftが暫定回避策を公表し、今後の更新で抜本的対策予定。

Windows Server 2016で5月セキュリティ更新後ドメインコントローラ検索障害

Windows Server 2016にKB5087537（2026年5月セキュリティ更新）をインストール後、ドメインコントローラの検索が失敗する既知の問題をMicrosoftが確認。

E/SASV Games公式サイトに不正アクセス、個人情報流出は確認されず

E/SASV Games実行委員会が運営する公式ホームページに外部から不正アクセスがあったと公表。現時点で個人情報の流出は確認されていない。

河合楽器製作所の米国子会社で不正アクセスの可能性、国内システムへの影響なし

河合楽器製作所の米国子会社カワイアメリカにおいて不正アクセスの可能性が確認された。国内システムへの影響は確認されていない。

Claudeを偽装したACR Stealerの可能性、SANSが注意喚起

SANS Internet Storm CenterがClaudeを偽装したページから配布されるACR Stealerの可能性について注意喚起。マルウェア配布キャンペーンの詳細を分析。

Encrypted DNS 2026: DoH/DoT/DoQ/DoH3プロトコル比較とDNSハイジャック攻撃ベクトル

DoH、DoT、DoQ、DoH3の各暗号化DNSプロトコルを比較し、ISPレベルのスヌーピング防止やDNSハイジャック対策における各プロトコルの有効性と限界を分析。

OTPロックアウト状態が有効コードを漏洩、OLXアカウント乗っ取りが可能に

OLXのOTPレート制限状態において、無効なOTP試行後のロックアウトメッセージが有効コードのシグナルを漏洩する脆弱性の技術的解説。この情報漏洩によりアカウント乗っ取りが可能だった。

Claude Code v2.1.146〜150、/usageカテゴリ別表示やPowerShell権限昇格修正

Claude Code v2.1.146〜v2.1.150のアップデート内容を解説。/usageがカテゴリ別にブレイクダウン表示、/code-reviewへの改称、PowerShellのcd..\cd\ 権限昇格バイパス修正など。

MoneyPrinterTurbo、テキストからAI短編動画を自動生成するOSS

テーマ入力だけでAI短編動画を自動生成できるOSS。GitHub 58,000スター超え。OpenAI/DeepSeek/Gemini/Ollama対応、Edge TTS/Azure音声合成、Pexels素材自動取得、字幕生成まで一気通貫。

Bonsaiはシーザー暗号を解けるのか、3値量子化小型LLMの実験

prism-mlの3値量子化小型LLM「Bonsai」にシーザー暗号を解かせる実験。Bonsai-8Bはツール活用時に高精度を達成したが、Bonsai-1.7Bは汎化できず。今後の学習設計見直しが展望。

AIエージェント時代のアーキテクチャ、特定モデルに依存しない設計とテスト戦略

Slackから呼び出せるAIエージェントの運用経験から、AIモデルを差し替え可能に保つ設計の重要性を解説。Webアプリ開発からスマートグラス用アプリまで、個人開発の入口がSlackに集約された実例。

LLMアプリのセキュリティ診断ハンドブック、実務チェックリスト120項目

OWASP Top 10 for LLMに対応した8章構成のLLMアプリ脆弱性診断チェックリスト120項目。各項目に攻撃例と修正例を添え、40例のペイロード集と診断レポートテンプレートも付録。

サプライチェーン攻撃対策の実効を継続検証するGitHub監査基盤を内製

pnpm minimumReleaseAgeやGitHub Actions SHA pinningなどのサプライチェーン対策の実効性を継続監査する内製基盤の設計思想と実装を解説。既存ツールではなく自作した理由も詳述。

人工衛星もハッキングされる時代、宇宙セキュリティを初心者向けに徹底解説

2025年の報告で宇宙関連サイバーインシデントが前年比118%増加している現状を踏まえ、GPSや衛星放送など身近なサービスを支える衛星のセキュリティリスクを初心者エンジニア向けに解説。

Claude CodeやCodexに機密情報を入れるリスク、プラン別のセキュリティ比較

Claude CodeやCodex CLIのSkills機能を業務利用する際のセキュリティリスクをプラン別に解説。ZDR、BAA、SOC2、EKMなどの用語解説と、企業提案時に知っておくべきポイントをまとめている。

本当の多様性とは？組織を壊す空気の支配と集団浅慮の正体

ユナイテッドアローズCHROと『集団浅慮』著者が組織の多様性をテーマに対談。結束力の強い組織ほど同調圧力により不合理な結論に至る集団浅慮のメカニズムと本質的な多様性の実現方法を探る。

子育てペナルティの放置が組織を静かに衰退させる、人事が引く4つのレバー

出産を経た女性のキャリアや賃金が元の軌道に戻りにくい「子育てペナルティ」の構造的課題に対し、評価や昇進の見直しなど企業・人事が取るべき4つの対策を東京大学大学院教授の知見を基に解説。

転職平均年齢・学生の就職へのホンネ・共働き世帯の転職リアル

パーソルグループのHRニュースまとめ。転職平均年齢の動向や学生の就職に対する本音、共働き世帯の転職実態など、最新の採用市場データを紹介。

pinact v4リリース、GitHub Actionsのセキュリティ強化

pinact v4.0.0とpinact-action v3.0.0がリリース。Breaking Changesとして-reviewオプションの廃止やdiff常時出力などが含まれるが、アップグレードのブロッカーになるものはない。

auじぶん銀行のAIゼロフラウド事例、不正取引検知にAIを活用

金融犯罪被害の大部分が銀行送金による資金詐取であることを背景に、auじぶん銀行がAIによる不正取引検知を本格導入した事例。ラックの助言を踏まえた環境変化への対応。

📅 セキュリティ週次まとめ

Security, Funded #245 - Socket To Ya — Feedly (Return on Security) — 2026年5月18日週のサイバーセキュリティ業界の資金調達・M&A・カテゴリ動向をまとめた週次経済レポート。

📰 セキュリティニュース (49件)

CVE, 脆弱性

CISA Adds One Known Exploited Vulnerability to Catalog — CISA — CVE-2026-48172（LiteSpeed cPanel Plugin / 権限昇格脆弱性）を悪用リストに追加。任意のcPanelユーザーがroot権限で任意のスクリプトを実行可能。
CISA orders feds to patch actively exploited Drupal vulnerability — Feedly (BleepingComputer) — CISAがDrupal CMSのSQLインジェクション脆弱性の積極的悪用を確認し、連邦政府機関に水曜日までのパッチ適用を命令。
7-Zip CVE-2026-48095: NTFS Heap Overflow Can Trigger Through Renamed Files — Reddit (r/cybersecurity) — 7-Zip 26.00以前に影響するCVE-2026-48095。細工されたNTFSイメージを.pdfや.zipにリネームして開くだけで悪用可能。26.01で修正済み。
Ghost CMS flaw being actively exploited to compromise 700+ sites — Reddit (r/cybersecurity) — Ghost CMSのSQLインジェクション脆弱性（CVE-2026-26980、CVSS 9.4）が5月7日以降700以上のサイトで積極的悪用。AnthropicのClaudeが発見し2月にパッチ済み。
【完全版】AIセキュリティ地獄絵図2026 - CVE・攻撃手法・防御策を全部解説する — はてな (Qiita) — CVE-2026-7482「BleedAI」を中心に、AIサービスのセキュリティ脆弱性・攻撃手法・防御策を包括的に解説。100万台のAIサービススキャン結果の深掘り記事。
「CVE採番が数カ月放置された」Ollamaの脆弱性が危ない“3つの理由”　30万台に影響か — はてな (atmarkit) — CVE-2026-7482はOllamaのGGUFモデルファイル処理におけるメモリ開示脆弱性。境界チェック欠如により細工されたモデルでメモリ読み取りが操作可能。30万台に影響の可能性。

サイバー攻撃, インシデント・マルウェア

7-Eleven data breach exposes personal information of 185,000 people — Feedly (BleepingComputer) — ShinyHunters恐喝グループが4月に7-Elevenのシステムに侵入し、18万3千人超の個人情報を窃取。Have I Been Pwnedが確認。
Possible ACR Stealer From Page Impersonating Claude — Feedly (SANS) — Claudeを偽装したページから配布されるACR Stealerの可能性についてSANSが注意喚起。マルウェア配布キャンペーンの詳細分析。
E/SASV Games実行委員会、公式サイトへの不正アクセスを公表 — Feedly (サイバーセキュリティ.com) — E/SASV Games実行委員会の公式ホームページに外部から不正アクセス。現時点で個人情報流出は確認されず。
河合楽器製作所、米国子会社で不正アクセスの可能性 — Feedly (サイバーセキュリティ.com) — 河合楽器製作所の米国子会社カワイアメリカで不正アクセスの可能性が確認。国内システムへの影響はなし。
Incident with Actions and Pages — HackerNews — GitHubのActionsとPagesにインシデントが発生し、GitHub Statusで状況が報告された。
GitHub bans vindictive security researcher dropping Windows zero-days — Reddit (r/cybersecurity) — GitHubが「骨を粉々にする」と脅迫しながらWindowsゼロデイを公開した報復的セキュリティ研究者のアカウントを停止。
WhatsApp users on alert after hacker drops massive dataset — Reddit (r/cybersecurity) — ハッカーがWhatsAppユーザーの大規模データセットを流出させ、フィッシング攻撃への悪用が懸念されている。

Claude AI ファイル窃取関連（3件）

Anyone Can Silently Steal Your Files from your Claude AI chat – Live Demo — Reddit (r/cybersecurity) — Claude AIのチャットからファイルを無音で窃取可能な脆弱性のライブデモ。深刻なセキュリティリスクが実証された。
Follow up : Steal Your Files Claude AI installing package because internet say so — Reddit (r/cybersecurity) — Claude AIがファイルを窃取する脆弱性のフォローアップ動画。インターネット上の指示に従いパッケージをインストールする様子を実証。
Follow up : showing Claude install random pacakage in its vm instance without asking or prompting — Reddit (r/cybersecurity) — ClaudeがVMインスタンスにプロンプトなしでランダムなパッケージをインストールする様子を示す追加検証動画。
TrapDoor Cross-Ecosystem Crypto Stealer Campaign — Reddit (r/cybersecurity) — 複数エコシステムにまたがる暗号通貨窃取マルウェア「TrapDoor」のキャンペーン分析。クロスプラットフォームの高度な情報窃取機能。
🚨 14 npm/PyPI/AI Supply-Chain Threats Today (2026-05-26) — Reddit (r/cybersecurity) — 2026年5月26日の1日で14件のnpm、PyPI、AIサプライチェーン脅威を検出。クリティカルワームやParse Server DoS、AI RCEなどを含む。
The War Between Wars: How an IRGC Front Runs Destructive OT and IT Attacks — Reddit (r/netsec) — 食品工場の冷蔵室温度異常から発覚したIRGCフロントによるOT/IT攻撃の詳細。コントローラ設定値が意図的に書き換えられ、停戦下での破壊的サイバー攻撃の実態。
Analyzing the Taiwan High-Speed Rail (THSR) TETRA incident (part 1) — Reddit (r/netsec) — 台湾高速鉄道のTETRA通信システムに対するサイバーインシデントの技術分析パート1。重要インフラ通信システムへの攻撃詳細。
ランサムウェア攻撃が「持続可能なビジネス」に　侵入コスト6万6000円、復旧に2億3000万円 — はてな (ITmedia) — Halcyon Japanの調査でランサムウェア攻撃の侵入コスト約6.6万円に対し復旧コスト約2.3億円と約3500倍の開き。攻撃が持続可能なビジネス化。
崩れゆく「VPN＝匿名」の常識　犯罪に利用されたFirst VPN解体 — はてな (TechTarget) — Europolがランサムウェア攻撃や情報窃取に利用されていたVPNサービス「First VPN」を国際共同捜査で解体。VPN＝匿名の常識が崩壊。

セキュリティツール, 研究

Project Glasswing初回成果報告：パートナー50社で1万件超の脆弱性発見 — Feedly (AI Heartland) — AnthropicのProject Glasswing初回成果。50社で1万件超の高深刻度バグを発見、Cloudflareで2,000件、Firefoxは旧モデル比10倍の271件。OSS 1,000リポジトリで6,202件がHigh/Critical。
Microsoft Defender can now automatically isolate hacked endpoints — Feedly (BleepingComputer) — MicrosoftがDefender for Endpointで侵害エンドポイントを自動隔離しラテラルムーブメントを阻止する新機能をテスト中。
How Varonis Atlas integrates Claude Compliance API for AI governance — Feedly (BleepingComputer) — Varonis AtlasがClaude Compliance APIデータを統合し、AIツールの利用監視・リスク調査・コンプライアンス対応を支援。
Introducing the Detectify MCP Server to connect security intelligence into your AI workflows — Feedly (Detectify) — DetectifyがMCP Serverを発表。リアルタイム脆弱性データとアタックサーフェスインサイトをAIワークフローに直接配信可能に。
CEO insights: holding on to the human line in the age of AI adoption — Feedly (Intigriti) — Intigriti CEOがAI時代におけるBug Bounty業界の人間的要素の重要性について見解を共有。AI導入が進む中でも人間の判断の価値を強調。
They said AI would kill Bug Bounty. The data says otherwise — Feedly (YesWeHack) — AIがBug Bountyを殺すと言われていたが、データは逆の結果を示している。AIがBug Bountyをより良くしている実態を分析。
Encrypted DNS in 2026: DoH, DoT, DoQ and DoH3 protocol comparison — Reddit (r/netsec) — DoH/DoT/DoQ/DoH3の各暗号化DNSプロトコルをDNSハイジャック攻撃ベクトルを含めて比較。ISPスヌーピング防止やDNSハイジャック対策の有効性と限界を分析。
OTP lockout state leaked valid-code signal, enabling OLX account takeover — Reddit (r/netsec) — OLXのOTPレート制限状態でロックアウトメッセージが有効コードシグナルを漏洩する脆弱性の技術解説。この情報漏洩でアカウント乗っ取りが可能だった。

クラウド

Google Cloud Next 2026 関連（2件）

Google Cloud Next 2026 現地レポート前編｜Agentic Enterprise時代のクラウド戦略と新発表まとめ — Feedly (NRIS_ブログ) — Google Cloud Next 2026現地レポート前編。Wiz統合によるAgentic Defenseなど「AIがAIを守る」新セキュリティモデルやエージェント時代のクラウド戦略を解説。
Google Cloud Next 2026 現地レポート後編｜Gemini Enterpriseのガバナンス・AIエージェントID統制の要点 — Feedly (NRIS_ブログ) — 後編ではGemini Enterpriseのガバナンス機能やAIエージェントID統制を解説。企業内のシャドーAI化が進む中での対策の要点をまとめている。

Web Application Security, WebSec, OWASP

Bump the pip group with 3 updates — Feedly (OWASP) — OWASP Cheat Sheet Seriesのpipグループに3件の依存関係アップデートを適用するPR。
LLMアプリのセキュリティ診断ハンドブック ― 実務チェックリスト120項目 — Zenn (mshirakawa) — OWASP Top 10 for LLM対応の8章構成チェックリスト120項目。各項目に攻撃例と修正例、40例のペイロード集と診断レポートテンプレートを付録。

DevSecOps, CI/CD

サプライチェーン攻撃対策の「実効」を継続検証するGitHub監査基盤を内製した話 — Zenn (smartround_dev) — pnpm minimumReleaseAgeやGitHub Actions SHA pinning等のサプライチェーン対策の実効性を継続監査する内製基盤の設計思想と実装を解説。
pinact v4 — はてな (Zenn) — pinact v4.0.0とpinact-action v3.0.0リリース。-reviewオプション廃止やdiff常時出力などのBreaking Changesを含むGitHub Actionsセキュリティ強化ツール。

プライバシー, 法規制, セキュリティ政策

Netherlands blocks US takeover of vital digital supplier — HackerNews — オランダが重要デジタルサプライヤーの米国企業による買収を阻止。国家安全保障上の懸念が背景。
CERT-In Recommends 12-Hour Patching for Internet-Facing Flaws Amid AI-Assisted Attacks — Reddit (r/cybersecurity) — インドCERT-Inが38ページのブループリントで、AI支援攻撃のタイムライン短縮を受けインターネット接続システムの既知脆弱性に12時間以内のパッチ適用を推奨。
Microsoftが2026年6月のセキュアブート期限を無視した場合にWindows 11 PCに何が起こるかを明らかに — はてな (Gigazine) — 2011年発行のMicrosoftセキュアブート証明書の有効期限が2026年6月に迫り、期限無視時の影響とユーザーが取るべき対応をMicrosoftが解説。
個人情報法改正案、衆院を通過　企業が同意なき病犯歴収集可能に — はてな (news.jp) — 個人情報保護法改正案が衆院通過。企業が本人同意なしに病犯歴収集可能になる一方、違反業者への課徴金制度を新設。国産AI開発促進と適正利活用の両立が狙い。
サイバー対処能力強化法が10月施行 — はてな (日経クロステック) — インフラ事業者に新たな義務を課すサイバー対処能力強化法が2026年10月施行。直接対象約260社だが取引先やITベンダーにも広く影響。

セキュリティ系の勉強会やイベント、カンファレンス

制御システムのセキュリティリスク分析ガイドオンラインセミナー2026年度（上期）の募集を開始しました — Feedly (IPA) — IPAが制御システムのセキュリティリスク分析ガイドに関する2026年度上期オンラインセミナーの参加者募集を開始。
「実務経験者に対する講習制度」の認定を受けました — Feedly (セキュアスカイプラス) — セキュアスカイプラスが令和8年度より導入された情報処理安全確保支援士の「実務経験者に対する講習制度」の認定を取得したことを報告。

会社ブログ, その他

Daily記事まとめ（Mythos機能が一般公開される可能性、ある日突然SBOMが破綻する？ほか） — Feedly (Fox on Security) — 直近のセキュリティ関連記事まとめ。Mythos機能の一般公開可能性やSBOMの課題、Verizon DBIRからの学びなどをカバー。
本日気になった注意喚起情報（5/26）★ — Feedly (Fox on Security) — Drupal SQLi脆弱性の悪用確認、Movable Type権限チェック欠如、PayPay誘導型フィッシング急増など5月26日の注意喚起情報をまとめ。
auじぶん銀行株式会社様 AIゼロフラウド事例 — Feedly (ラック) — 金融犯罪被害対策としてauじぶん銀行がAIによる不正取引検知を本格導入した事例。ラックの助言を踏まえた環境変化への対応を解説。
Claude CodeやCodexに機密情報入れて大丈夫？セキュリティを軽くまとめ — Zenn (acntechjp) — Claude CodeやCodex CLIのSkills機能を業務利用する際のセキュリティリスクをプラン別に解説。ZDR、BAA、SOC2、EKMなどの用語も解説。
人工衛星もハッキングされる時代——宇宙セキュリティを初心者エンジニア向けに徹底解説 — Zenn (mapellion) — 2025年に宇宙関連サイバーインシデントが前年比118%増加した現状を踏まえ、衛星セキュリティのリスクと対策を初心者向けに解説。
GitHub Advisory Database について — はてな (GitHub Docs) — GitHub Advisory Databaseの概要とEnterprise Cloud環境での脆弱性報告・管理に関する公式ドキュメント。
エアギャップとは【用語集詳細】 — はてな (SOMPO CYBER SECURITY) — エアギャップの定義と、インターネットから完全に隔絶するセキュリティ対策としての意義を解説する用語集エントリ。

🤖 AI, 機械学習

AI, 機械学習ニュース (12件)

新モデル、研究論文

Language Models Need Sleep — HackerNews — 言語モデルに「睡眠」フェーズが必要であることを示す研究論文。連続学習による性能劣化を防ぐ新たなアプローチとして注目。
Outsourcing plus local AI will soon become more economical vs. frontier labs — HackerNews — アウトソーシングとローカルAIの組み合わせが、フロンティアラボの大規模モデルよりも経済的になるという分析。
Bonsai はシーザー暗号を解けるのか — Zenn (tokium_dev) — prism-mlの3値量子化小型LLM「Bonsai」にシーザー暗号を解かせる実験。Bonsai-8Bはツール活用時に高精度だが1.7Bは汎化できず。

AIツール, サービス, 製品

Claude Code v2.1.146〜150｜/usageカテゴリ別・/code-review改称・PowerShell権限昇格Fix — Feedly (AI Heartland) — Claude Code v2.1.146〜v2.1.150の5日分の変更を解説。/usageのカテゴリ別ブレイクダウン、/code-review改称、PowerShell権限昇格バイパス修正など。
MoneyPrinterTurbo完全ガイド：テキストからAI短編動画を自動生成するOSSのインストールと使い方 — Feedly (AI Heartland) — テーマ入力だけでAI短編動画を自動生成するOSS。GitHub 58,000スター超え。OpenAI/DeepSeek/Gemini/Ollama対応、字幕生成まで一気通貫。
Stack Overflow's forum is dead but the company's still kicking — HackerNews — AIの影響でStack Overflowのフォーラムは衰退したが、同社はAIを活用して事業を継続している現状をレポート。
Xiaomi MiMo-v2.5 Series API Permanent Price Reduction Up to 99% — HackerNews — Xiaomi MiMo-v2.5シリーズAPIの恒久価格が最大99%引き下げられたことを発表。
AtlassianのAIデータ利用とオプトアウト可否｜Jira・Confluence対策 — はてな (CloudNative BLOGs) — Atlassianが2026年8月17日からJira・Confluence・JSM等のデータをAI体験改善に利用開始。プラン別オプトアウト可否や情シスが確認すべき設定を解説。

LLM, エージェント実装

AIエージェント時代のアーキテクチャ: 特定モデルに依存しない設計とテスト戦略の紹介 — Zenn (aokiti) — Slackから呼び出せるAIエージェント運用経験から、AIモデルを差し替え可能に保つ設計の重要性を解説。個人開発の入口がSlackに集約された実例。
書き手の声を消さない、Zenn記事執筆サポートスキルを作った話 — Zenn (innovation) — Zenn記事執筆をサポートするClaude Skillの設計プロセスを解説。書き手の声を消さないための工夫や設計上の迷いポイントを共有。
Codexで確認された “関西弁インジェクション” 現象まとめ — Zenn (rgbkids) — Codexで関西弁がトリガーとなるプロンプトインジェクション現象を確認。ファイル1行目に関西弁指示を埋め込むと高確率で関西弁応答になる。深刻なリスクではなく軽度の汚染レベル。
Agentic AI時代におけるメルカリのAIガバナンスとガードレール実装 — はてな (Speaker Deck) — メルカリが全従業員のAI前提業務スタイル変革を目指し、安全なAIエージェント利用環境やルール整備を多面的に推進する取り組みを解説。

📌 その他注目技術

その他注目技術ニュース (4件)

ブラウザのアップデート, 新機能

Text selected in PDFs is now highlighted clearly like in normal web pages — Feedly (Firefox Nightly) — Firefox Nightly 153.0a1でPDF内のテキスト選択時のハイライト表示が通常のWebページと同様に明確化された。
The circle() and ellipse() functions accept two new keywords closest-corner and farthest-corner — Feedly (Firefox Nightly) — Firefox Nightly 153.0a1でCSSのcircle()とellipse()関数にclosest-cornerとfarthest-cornerキーワードが追加された。

その他

Microsoft: Domain Controller lookup may fail on Windows Server 2016 — Feedly (BleepingComputer) — Windows Server 2016にKB5087537（2026年5月セキュリティ更新）適用後、ドメインコントローラ検索が失敗する既知の問題をMicrosoftが確認。
一部PCでWindows 11（バージョン 24H2／25H2）で5月のセキュリティ更新をインストールできない事象 — はてな (ITmedia PC USER) — Windows 11 24H2/25H2向け5月定例更新が一部PCにインストールできない事象が発生。Microsoftが暫定回避策を公表し今後の更新で抜本的対策予定。

📌 その他採用や組織マネジメント

本当の多様性とは？組織を壊す「空気の支配」と集団浅慮の正体 — Feedly (SmartHR Mag.) — ユナイテッドアローズCHROと『集団浅慮』著者が組織の多様性をテーマに対談。結束力の強い組織ほど同調圧力で不合理な結論に至る集団浅慮のメカニズムを探る。
子育てペナルティの放置が、組織を静かに衰退させる。経営課題として人事が引く4つのレバー — Feedly (SmartHR Mag.) — 出産後の女性のキャリア・賃金が元に戻りにくい「子育てペナルティ」の構造的課題に対し、評価・昇進見直しなど企業が取るべき4つの対策を東大教授の知見を基に解説。
転職平均年齢・学生の就職へのホンネ・共働き世帯の転職リアル｜パーソルグループHRニュースまとめ【2026年6月号】 — Feedly (doda) — パーソルグループのHRニュースまとめ。転職平均年齢の動向、学生の就職本音、共働き世帯の転職実態など最新の採用市場データを紹介。

📋 掲載除外リスト

ソース	タイトル
Feedly (BleepingComputer)	Webinar: Too many tools are slowing network incident response
Feedly (SANS)	ISC Stormcast For Tuesday, May 26th, 2026
Reddit (r/cybersecurity)	I'm a security professional who has dealt with ransomware. AMA about incident response and business continuity.
Reddit (r/cybersecurity)	passkeys, MFA, biometrics, and you can still reset everything with access to one gmail account
Reddit (r/cybersecurity)	start learning cybersecurity from scratch
Reddit (r/cybersecurity)	How important do you think browser/device fingerprinting has become for modern fraud detection?
Reddit (r/cybersecurity)	How do you balance Paw?
Reddit (r/cybersecurity)	Cybersecurity statistics of the week (May 18th - May 24th)
Reddit (r/cybersecurity)	Entra ID sessions revoke
Reddit (r/cybersecurity)	How do you evaluate whether a privacy service is actually privacy-respecting?
Reddit (r/cybersecurity)	Which one Intellipaat or coursera which one to choose

取得状況

ソース	状態	取得件数
HackerNews	✅	18件（フィルタ後6件）
Reddit r/netsec	✅	4件
Reddit r/cybersecurity	✅	20件
CISA	✅	1件
JPCERT/CC	✅	0件
Zenn (security)	✅	4件
Zenn (LLM/AI)	✅	4件
Qiita (security)	✅	0件
Qiita (AI)	✅	0件
はてなブックマーク	✅	13件
Feedly (75フィード)	✅	30件
X キーワード検索	✅	75件
X リストタイムライン	✅	12件
X ブックマーク	✅	10件（新規）