2026-05-29

デイリーニュースダイジェスト - 2026-05-29

🔒 セキュリティ

📢 サマリー

2026年5月28日のセキュリティ・AI主要ニュース。CISAはMicrosoft WindowsやInternet Explorer、Defenderなど7件の脆弱性を悪用リストに追加。FortiClient EMSの認証バイパス脆弱性(CVE-2026-35616)が情報窃取マルウェアの配布に悪用され、GogsのゼロデイRCEも報告された。Carnival Cruiseで約600万人のデータ侵害が発生。GoogleはAIによる自律型サイバー防御サービス「Google AI Threat Defense」を発表。AnthropicはClaude Opus 4.8をリリースし、65Bドルの資金調達を発表。Laravel-Langへのサプライチェーン攻撃の詳細解説ウェビナーも開催された。

📌 注目記事

CISA Adds Seven Known Exploited Vulnerabilities to Catalog

CISAが7件の脆弱性を悪用リスト（KEV）に追加。CVE-2008-4250（Microsoft Windows / Buffer Overflow）、CVE-2009-1537（Microsoft DirectX / NULL Byte Overwrite）、CVE-2009-3459（Adobe Acrobat and Reader / Heap-Based Buffer Overflow）、CVE-2010-0249（Microsoft Internet Explorer / Use-After-Free）、CVE-2010-0806（Microsoft Internet Explorer / Use-After-Free）、CVE-2026-41091（Microsoft Defender / Link Following）、CVE-2026-45498（Microsoft Defender / Denial of Service）が対象。IEの2件はEoL/EoSのため利用中止が推奨されている。

Hackers exploit FortiClient EMS flaw to push infostealer malware

FortiClient Enterprise Management Server (EMS) の認証バイパス脆弱性 CVE-2026-35616 が攻撃者に悪用され、EKZと呼ばれる未文書化の情報窃取マルウェアが配布されている。影響を受ける組織は早急なパッチ適用が推奨される。

New Gogs zero-day flaw lets hackers get remote code execution

セルフホストGitサービス Gogs に未パッチのゼロデイ脆弱性が発見され、インターネットに公開されたインスタンス上でリモートコード実行（RCE）が可能になる。現時点で修正パッチは提供されておらず、早急な対応が求められる。

Carnival Cruise confirms data breach affecting nearly 6 million people

世界最大のクルーズライン運営会社Carnival Corporationが、約600万人に影響するデータ侵害を確認。2026年4月にShinyHunters恐喝グループが犯行を主張していた。

Introducing Google AI Threat Defense to help you outpace the adversary

Google CloudがAI搭載の包括的サイバーセキュリティサービス「Google AI Threat Defense」を発表。AIを用いた高速攻撃に対抗するため、脅威の発見から対策までを自律的に実行する。

Claude Opus 4.8

Anthropicが最新AIモデル「Claude Opus 4.8」をリリース。同時にシリーズHで650億ドルの資金調達を発表し、ポストマネー評価額は9650億ドルに達した。

mouse5212-super-formatter｜Claude AIの/mnt/user-dataを狙うnpmマルウェア「Malware-Slop」

OX Securityが「Malware-Slop」キャンペーンを公表。npmパッケージ mouse5212-super-formatter がClaudeのCode Interpreterサンドボックス内の /mnt/user-data を標的とし、postinstallでGitHubに再帰アップロードするマルウェア。AI生成マルウェアの新たな脅威を示す事例。

「侵入から横展開まで30分」がもはや標準　AIで高速化する攻撃、防御は間に合うのか？

AIの悪用によりサイバー攻撃のスピードが加速し、侵入から横展開まで30分が標準になりつつある現状をレポート。正規認証情報の窃取、MFA未導入の総当たり攻撃、ビッシングの巧妙化、ゼロデイ攻撃によるエッジデバイス侵入など、多角的な攻撃手法を解説。

MozillaがFirefox 150において271件の脆弱性を一気に発見・修正した成果を紹介。AnthropicのセキュリティAI「Mythos」を活用した大規模な脆弱性発見の取り組みと、AI時代のセキュリティ対策の在り方を考察。

詳解 Laravel-Lang サプライチェーン攻撃〜PHPエコシステムに対する攻撃の特徴と今後の対策〜

GMO Flatt Securityが2026年5月22日に発生したLaravel-Langへのソフトウェアサプライチェーン攻撃を掘り下げて解説するウェビナーの録画を公開。PHPエコシステムに対する攻撃の特徴と今後の対策を詳述。

NIDSコメンタリー第434号 - 高度なサイバー攻撃キャンペーンにおけるAI悪用によるスケール化のインパクトと対策

防衛省NIDSが、2026年2月にメキシコ政府機関がClaudeを使ったサイバー攻撃に遭い1億9500万人の納税者情報が流出した事例を分析。AI悪用によるサイバー攻撃のスケール化のインパクトと対策を解説。

JVN#01719116: Jupyter Serverにおけるオープンリダイレクトの脆弱性

Jupyter Development Teamが提供するJupyter Serverにオープンリダイレクト（CWE-601）の脆弱性が存在。CVSS基本値6.3。影響を受けるバージョンの利用者はアップデートが推奨される。

📅 セキュリティ週次まとめ

[tl;dr sec] #330 - AWS Pathfinding Labs, Running Codex Safely at OpenAI, Glasswing Updates — tl;dr sec — 100以上の意図的に脆弱なAWS環境でクラウド攻撃パスを練習できるAWS Pathfinding Labs、OpenAIがCodexを内部展開する方法、Anthropicのバグ発見とオープンソース化されたハーネスのアップデートを紹介。

📰 セキュリティニュース (35件)

CVE, 脆弱性

Hackers exploit FortiClient EMS flaw to push infostealer malware — BleepingComputer — FortiClient EMSの認証バイパス脆弱性 CVE-2026-35616 が悪用され、EKZと呼ばれる情報窃取マルウェアが配布されている。
New Gogs zero-day flaw lets hackers get remote code execution — BleepingComputer — セルフホストGitサービスGogsに未パッチのゼロデイ脆弱性が発見され、インターネット公開インスタンス上でRCEが可能になる。
CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA — CVE-2008-4250（Microsoft Windows / Buffer Overflow）、CVE-2009-1537（Microsoft DirectX / NULL Byte Overwrite）、CVE-2009-3459（Adobe Acrobat and Reader / Heap-Based Buffer Overflow）、CVE-2010-0249（Microsoft Internet Explorer / Use-After-Free）、CVE-2010-0806（Microsoft Internet Explorer / Use-After-Free）、CVE-2026-41091（Microsoft Defender / Link Following）、CVE-2026-45498（Microsoft Defender / Denial of Service）を悪用リストに追加。
本日気になった注意喚起情報（5/28）★ — Fox on Security — GitHub Enterprise Serverのクリティカル脆弱性やLiteSpeed cPanel Pluginの脆弱性（すでに悪用確認）など、5月28日時点の注意喚起情報をまとめた記事。
JVN#01719116: Jupyter Serverにおけるオープンリダイレクトの脆弱性 — JVN — Jupyter Serverにオープンリダイレクト（CWE-601）の脆弱性が存在。CVSS基本値6.3。
Finding XSS on Shazzer (literally) — X (list) — Shazzer上でXSSを発見した事例の詳細な解説。@J0R1ANによる興味深い発見プロセスを紹介。
A payload with a nice set of evasion tricks — X (list) — @KN0X55による、複数の回避テクニックを組み合わせたXSSペイロード。JavaScriptプロトコルやHTMLタグを利用した高度な難読化手法。

サイバー攻撃, インシデント・マルウェア

セキュリティツール, 研究

How SIEM helps MSPs reduce noise and stop threats faster — BleepingComputer — MSPがセキュリティデータから真の脅威を特定し、アラート疲れを軽減して迅速に対応するためのSIEM活用方法をKaseyaが解説。
Webinar: Why network incidents take too long to resolve — BleepingComputer — ネットワークインシデントの解決に時間がかかる原因と、自動化・AI支援ワークフローによる改善方法を探るウェビナーの紹介。
Introducing Insights: self-serve reporting for security teams — Intigriti — セキュリティチーム向けのセルフサービスレポート機能「Insights」を発表。Bug BountyプログラムのROSI証明や支出分析、改善状況の可視化が可能に。
ISC Stormcast For Thursday, May 28th, 2026 — SANS ISC — SANS Internet Storm Centerによる2026年5月28日のポッドキャスト。日々のセキュリティ脅威と対策の概要を提供。
CVE Lite CLI — an OWASP Incubator Project — X (search) — JS/TS開発者向けの無料オープンソース依存関係脆弱性スキャナ。ローカル実行、アカウント不要で、直接・推移的依存関係を明確に区別し修正ガイダンスを提供。
Google Safe Browsingを活用したフィッシングサイト検出法　安全なインターネットを実現するために — はてなブックマーク — Google Safe Browsingを活用したフィッシングサイト検出の仕組みと、安全なインターネット利用のための実践的対策を解説。

クラウド

Subdomain Takeover via Vulnerable Azure CNAMES — X (search) — *.azurewebsites.net および *.trafficmanager.net の脆弱なAzure CNAMEを介したサブドメイン乗っ取り手法を解説。外部BBPでの実例と参考リンクを紹介。

Web Application Security, WebSec, OWASP

OWASP ASVS V5ではlocalStorageを含むブラウザストレージへのセッショントークン保存を容認 — X (bookmarks) — 徳丸浩氏による解説。ASVS V4では禁止されていたlocalStorageへのセッショントークン保存が、V5ではXSSリスクを他の方法で緩和できるとの判断で容認された。
OWASP ASVS v4のlocalStorage制限の背景解説 — X (bookmarks) — ASVS v4がlocalStorageを危険視していたわけではなく、CookieとsessionStorageを推奨していた経緯を解説。sessionStorageもJavaScriptから読める点を指摘。
完全版：HTML属性だけで固めるフロントエンド要塞化マニュアル — Zenn (iretetameru) — サーバー側設定やJavaScriptを一切使わず、HTMLタグと属性だけで完結する最大限のセキュリティ設定を網羅したマニュアル。
『世界の99%のサイトが行っていないHTMLセキュリティ設定』 — Zenn (iretetameru) — 世界中のWebサイトの99%がブラウザ・HTMLレイヤーでの基本的なセキュリティ設定を怠っている現状を指摘し、今日から実践できる対策を解説。
Consent Phishing（同意フィッシング）と ConsentFixとは？～正規の OAuth フローを悪用した仕組みと対策 — はてなブックマーク — 正規のOAuth認可フローを悪用するConsent Phishingの仕組みと、その対策についてTrend Microが解説。
PhaaS（Phishing as a Service） — はてなブックマーク — サイバー犯罪者がフィッシング攻撃を簡単に実行できるようにするPhaaSのサービスモデルと、標的型フィッシング攻撃の効率化について解説。

Bug Bounty

[HackerNotes Ep. 176] AEM Deep Dive with Jim Green: Sling Selectors, Dispatcher Bypasses, and XSS Gadgets — Critical Thinking Podcast — Adobe Experience Manager (AEM) の深掘りエピソード。Sling Selectors、Dispatcher Bypass、XSS GadgetsなどのテクニックをJim Greenが解説。
📩 Forensics 101: Phishing Email Header Analysis Guide — X (list) — フィッシングメールのヘッダー分析に関するフォレンジック入門ガイド。メールヘッダーの読み方と分析手法を解説。
24 Characters to Super Admin — X (search) — わずか24文字でSuper Admin権限を取得できたBug Bountyの事例を解説するMedium記事。
Immunefiのレポート量4倍増に対応し応答時間を大幅改善 — X (search) — Immunefiがレポート量4倍増に対応するためトリアージを再構築し、初回応答を8.8日から2.4日に、確認から支払いまでを32.9日から10日に短縮した成果を報告。

DevSecOps, CI/CD

Claude Code向けセキュリティガイダンスプラグインをリリース — X (bookmarks) — Claude Codeでコード作成中に脆弱性を特定・修正するセキュリティガイダンスプラグインがリリース。プラグインマーケットプレイスからインストール可能。

プライバシー, 法規制, セキュリティ政策

EU fines Temu €200M for allowing sale of illegal products — HackerNews — EUがTemuに対し、違法製品の販売を許容したとして2億ユーロの罰金を科した。
Legislation Killed Would Have Effectively Blocked Police LPR, Including Flock — HackerNews — 警察のナンバープレート読み取り（LPR）システム（Flockを含む）を事実上ブロックする法案が廃案になったことを報じる記事。
デジタルアイデンティティとは？基礎知識と管理の重要性を詳しく解説します — LAC WATCH — ゼロトラスト時代のセキュリティにおけるデジタルアイデンティティ管理の重要性と、運用のポイントをわかりやすく解説。
能動的サイバー防御に向け、基幹インフラ事業者にサイバー攻撃の報告義務などの命令 — X (list) — 日本の能動的サイバー防御に向けた法整備の一環として、基幹インフラ事業者にサイバー攻撃の報告義務などを課す命令に関するニュース。
シャドーITとは？リスク・具体例と対策を解説 — はてなブックマーク — テレワークやクラウド活用の拡大に伴い増加するシャドーITのリスクと具体的な対策を解説。
第37回：亡くなった大切な人のXアカウントを保持する唯一の方法――264アカウントの「再利用」を調べて分かったこと — はてなブックマーク — 故人のXアカウント保持に関する調査記事。264アカウントの再利用状況を分析し、アカウント保持の唯一の方法を解説。

セキュリティ系の勉強会やイベント、カンファレンス

詳解 Laravel-Lang サプライチェーン攻撃〜PHPエコシステムに対する攻撃の特徴と今後の対策〜録画公開 — X (list) — GMO Flatt Securityが5月28日開催のLaravel-Langサプライチェーン攻撃解説ウェビナーの録画を公開。CTO米内氏が登壇。
サプライチェーン評価を“味方”に。組織を強くする最新セキュリティ対策セミナーアーカイブ動画公開 — X (list) — VLCセキュリティによるサプライチェーン評価（SCS評価制度）に関するセミナーのアーカイブ動画。★3・★4ギャップ分析のリアルな検証結果を紹介。
Austin, Texas Bug Bounty Meetup - June 20th — X (search) — 6月20日にテキサス州オースティンで開催されるBug Bountyミートアップ。Intigritiがスポンサー。

会社ブログ, その他

Daily記事まとめ（転職しそうなコア人材を守る戦略、ディープフェイク詐欺の手口、フロンティアAIはPoC開発時間も短縮ほか） — Fox on Security — セキュリティ関連の気になる記事をまとめたDailyまとめ。転職しそうなコア人材を守る戦略やディープフェイク詐欺の手口などをカバー。
ポーラ・オルビスホールディングス様のクラウドペネトレーションテスト事例を公開 — X (list) — GMO Flatt SecurityがAWSやSnowflake、dbt等で内製したデータ分析基盤のクラウドペネトレーションテスト事例を公開。CSPMでは見えない設計の堅牢性を検証。
社内RAGの脆弱性診断：外部文書に紛れた指示文がAIエージェントに実行される危険性 — X (search) — 中堅商社の社内RAG診断で、ベンダーから受領した資料に紛れた悪意ある指示文がAIエージェントに実行されかけた事例。外部文書の無検査投入の危険性を警告。
最新AI「ミュトス」を使えても「バグマゲドン」に？　Firefox開発元に学ぶセキュリティ対策 — はてなブックマーク — MozillaがFirefox 150で271件の脆弱性を一気に発見・修正した成果と、AnthropicのMythosを活用した大規模脆弱性発見の取り組みを紹介。
大学での授業中、教室の有線LAN端子同士をLANケーブルで繋いだ奴がいたらしく... — はてなブックマーク — 大学の教室で有線LAN端子同士をLANケーブルで接続した学生がおり、情報センター職員が緊急対応した事例。ネットワークループの危険性を注意喚起。
植え込みに落ちてた社員証を届けに記載された会社に行ったら... — はてなブックマーク — 落とし物の社員証を届けたところ、紛失した本人が入口付近で探し物をしておりスピード解決したエピソード。物理セキュリティの重要性を示す事例。

🤖 AI, 機械学習

AI, 機械学習ニュース (18件)

新モデル、研究論文

Claude Opus 4.8 — HackerNews — Anthropicが最新AIモデル「Claude Opus 4.8」をリリース。
Anthropic raises $65B in Series H funding at $965B post-money valuation — HackerNews — AnthropicがシリーズHで650億ドルを調達し、ポストマネー評価額が9650億ドルに到達。
Dynamic Workflows in Claude Code — HackerNews — Claude Codeに動的ワークフロー機能が導入され、より柔軟な開発自動化が可能に。
About LLMs at Zig Days — HackerNews — Zig DaysカンファレンスにおけるLLM活用に関する講演内容のレポート。
Mythosレディとは何か～機械速度の攻撃時代における組織生存の条件 — X (bookmarks) — CSAジャパンによるMythosレディの概念解説。人間の制御速度を超えた自律システムが存在する世界での社会システム設計を考察。
Follow every Mythos discovery through our coordinated vulnerability disclosure dashboard — X (bookmarks) — AnthropicのMythosによる脆弱性発見を追跡できるCVDダッシュボード。発見された全脆弱性の開示状況を一元管理。

AIツール, サービス, 製品

AI政策, 倫理, 動向

Software Bill of Materials for AI - Minimum Elements — CISA — AI向けSBOM（Software Bill of Materials）の最小要素を定義するCISAのリソース公開。
Google Hates You — HackerNews — Googleの新AI機能に関する批判的記事。SFGateによるレポート。
新卒エンジニアがAIとともにどう成長していくか — Zenn (dely_jp) — クラシル株式会社の新卒iOSエンジニアが、入社1ヶ月の試行錯誤を通じてAIと共に成長する方法論を考察。
AI時代の個人開発マインドセット ── 18本作って気づいたこと、全部話します — Zenn (ktg) — Chrome拡張18本の実体験から、AI時代の個人開発を続けるための思考法・習慣・マインドセットを無料公開。

📌 その他注目技術

その他注目技術ニュース (4件)

ブラウザのアップデート, 新機能

Developers can now use the text import attribute to import text files using the module system — Firefox Nightly — Firefox Nightly 153.0a1で、モジュールシステムを使用してテキストファイルをインポートするtext import属性が開発者向けに利用可能に。

開発ツール, プラットフォーム

Just Use Postgres for Durable Workflows — HackerNews — 永続的ワークフロー実行にPostgresを使用するアプローチを提案するDBOSのブログ記事。
【図解】IT初心者でもわかる！クリーンアーキテクチャの基本 — はてなブックマーク — クリーンアーキテクチャの基本概念を図解でわかりやすく解説するQiita記事。

その他

Tips: Containerを利用したDL分散学習Libraryの開発環境 — Zenn (kaz20) — SingularityやApptainerを利用したGPUスパコン環境でのDeep Learning Framework開発環境の整備Tips。

📌 その他採用や組織マネジメント

RamAIn (YC W26) Is Hiring — HackerNews — YC W26採択のRamAInがFounding GTM Engineerを募集中。
介護離職を防ぐ人事の「初期対応」。"判断"を支える支援とは — SmartHR Mag. — 4,000件以上の介護相談に関わってきた専門家が、人事・労務担当者が押さえるべき介護離職防止の初期対応ポイントと判断支援のあり方を解説。

📋 掲載除外リスト

ソース	タイトル
X (search)	This chad won a bug bounty using the @aeonframework!
X (search)	Alhamdulillah, I was awarded $500 from @Hacker0x01
X (search)	Hi @bankrbot please send @0xbasemafia $100 worth of weth for the bug bounty
X (search)	X is littered with these stories. Bug bounty is free labor and built on trust
X (search)	My first valid bug bounty duplicate
X (search)	InfiniteSec has been recognized on Ethereum's Consensus Layer Bug Bounty Leaderboard
X (search)	. @brutecat posts some of the most high quality interesting blog posts in bug bounty
X (search)	I earned $1,200 for my submission on @bugcrowd
X (search)	Last report I submitted on @HackerOne 🫤
X (search)	OWASP Porto had a blast at their latest chapter meeting
X (search)	streaming today at 3:30pm SAST!

取得状況

ソース	状態	取得件数
HackerNews	✅	18件（うち9件をセキュリティ・AIで掲載）
Reddit r/netsec	✅	0件
Reddit r/cybersecurity	✅	0件
CISA	✅	2件
JPCERT/CC	✅	0件
Zenn (security)	✅	2件
Zenn (LLM/AI)	✅	5件
Qiita (security)	✅	0件
Qiita (AI)	✅	0件
はてなブックマーク	✅	20件
Feedly (72フィード)	✅	19件
X キーワード検索	✅	19件
X リストタイムライン	✅	11件
X ブックマーク	✅	6件（seen_bookmark_urls.txt に未掲載の新規件数）