2026-W17
週次まとめ 2026-W17 (04/20〜04/26)
日次ノート
- 2026-04-20 — security: 36件 ai: 30件 tech: 8件
- 2026-04-21 — security: 26件 ai: 6件 tech: 4件
- 2026-04-22 — security: 42件 ai: 21件 tech: 7件
- 2026-04-23 — security: 72件 ai: 22件 tech: 13件
- 2026-04-24 — security: 46件 ai: 22件 tech: 9件
- 2026-04-25 — security: 49件 ai: 12件 tech: 6件
- 2026-04-26 — security: 20件 ai: 14件 tech: 6件
週計
| カテゴリ | 合計 |
|---|---|
| 🔒 セキュリティ | 291件 |
| 🤖 AI | 127件 |
<!-- llm-weekly-analysis -->
I now have enough data to compose the report. Here is the analysis:
今週の CVE
| CVE | 対象ソフトウェア | 深刻度 | 悪用状況 | 言及日 |
|---|---|---|---|---|
| CVE-2026-32604 | Spinnaker Clouddriver | CVSS 10.0 | PoC公開 | 04-22 |
| CVE-2026-32613 | Spinnaker Echo | CVSS 10.0 | PoC公開 | 04-22 |
| CVE-2026-23500 | Dolibarr ERP(PDF変換) | CVSS 9.4 | 未確認 | 04-21 |
| CVE-2026-34197 | Apache ActiveMQ | 高 | 実環境悪用確認(KEV追加、6,400台以上影響) | 04-22/04-26 |
| CVE-2026-32201 | Microsoft SharePoint Server | 高 | 実環境悪用確認(KEV追加) | 04-23 |
| CVE-2009-0238 | Microsoft Office | 高 | 実環境悪用確認(KEV追加、旧脆弱性が現在も悪用) | 04-23 |
| CVE-2026-35616 | Fortinet FortiClient EMS | 高 | 実環境悪用確認(KEV追加) | 04-23 |
| CVE-2026-28950 | Apple iOS/iPadOS 通知サービス | 高 | 実環境悪用確認 | 04-23 |
| CVE-2026-41251 | Lenis(npm週80万DL、Next.js/Nuxt/SvelteKit) | 中 | 未確認(v1.3.22で修正済み) | 04-21 |
| CVE-2026-40871 | mailcow(Second-Order SQLi) | 中 | PoC公開 | 04-20 |
| CVE-2025-29635 | D-Link DIR-823X(EoL、使用停止推奨) | 高 | 実環境悪用確認(KEV追加) | 04-25 |
| CVE-2024-7399 | Samsung MagicINFO 9 Server | 高 | 実環境悪用確認(KEV追加) | 04-25 |
| CVE-2024-57728 | SimpleHelp(パストラバーサル) | 高 | 実環境悪用確認(KEV追加) | 04-25 |
| CVE-2024-57726 | SimpleHelp(認可不備) | 高 | 実環境悪用確認(KEV追加) | 04-25 |
| CVE-2025-55182 | Next.js(BISSA Scannerに悪用) | 高 | 実環境悪用確認(3万件超の認証情報窃取) | 04-23 |
| CVE-2026-5752 | Cohere Terrarium(AIサンドボックス脱出) | 中 | PoC公開 | 04-25 |
| CVE-2025-59532 | OpenAI Codex CLI(AIサンドボックス脱出) | 中 | PoC公開 | 04-25 |
| CVE-2026-33626 | LMDeploy(SSRF) | 中 | 実環境悪用確認(開示直後に悪用) | 04-25 |
| CVE-2025-4144 | OAuth 2.1移行対応フレームワーク | 中 | PoC公開 | 04-20 |
今週のトップニュース
- Vercel confirms breach as hackers claim to be selling stolen data — Vercelが内部システムへの不正アクセスを確認。Lumma Stealerに感染した従業員経由でContext.ai OAuthアプリが侵害され、機密性の高い環境変数・APIキーが露出。認証情報の全件ローテーションとOAuthアプリ棚卸しが推奨される。
- MCP脆弱性:STDIOトランスポートの設計欠陥で20万台のサーバーがRCEの危険に — AnthropicのMCPのSTDIOトランスポートに設計レベルの脆弱性が発覚。Cursor・LiteLLM・LangChain等が影響を受け、4つの攻撃経路と10件超のCVEが特定されており対応が急務。
- Clearwing — オープンソース脆弱性発見エンジン — AnthropicのGlasswingと同等のワークフローをMITライセンスで公開。ファイル並列エージェント・クラッシュオラクル・検証エージェントを組み合わせ任意のLLMで動作し、公開5日で1,500以上のいいねを獲得。
- Chained CSPT into full account takeover using a 2FA bypass — CSPT(クライアントサイドパストラバーサル)とこれまでバグバウンティでは見られなかった新手の2FAバイパス技術を連鎖させ、フルアカウント乗っ取りを実現したバグバウンティレポート。
- GitHubコメントがAIエージェントを乗っ取る:「Comment and Control」攻撃 — PRやIssueコメントにプロンプトインジェクションを仕込んでAIエージェントを制御するC2攻撃を解説。Claude Code(CVSS 9.4)・Gemini CLI・GitHub CopilotのAPIキー流出を実証するコードを公開。
- NIST to stop rating non-priority flaws due to volume increase — NISTが脆弱性提出件数の急増を受け、優先度の低い脆弱性へのCVSSスコア付与を廃止する方針を発表。NVDへの依存度が高い組織は代替的な脆弱性トリアージ手段の検討が必要。
- Claude Opusを使い36万円でサイバー攻撃を"開発" Discordを標的に検証した結果 — Hacktron AIがClaude Opusを使ってV8エンジンへの攻撃コード連鎖を構築した検証を公開。約36万円のコストで実動作する攻撃コードが生成可能と示され、AI悪用コストの低下を改めて示した。
- Bug bounty programs face massive increase in AI-generated slop reports — 正規のバグバウンティプログラムでAIツールによる低品質レポートが急増し、審査パイプラインが詰まりつつある問題が指摘された。OSSメンテナーの負担増が深刻化している。
- Claude Code Hardening Cheatsheet — Claude Codeを安全に使うためのセキュリティ強化チートシートをCLAUDE.mdで適用できる形で公開。1,100以上のいいねを集め広く参照されている(❤️1136、👁️170K)。
- gh skill — GitHub公式のClaude Code向けスキル管理ツール — GitHubが公開したClaude Code用スキル管理ツール「gh skill」の機能と実際の動作を解説。Copilot・Cursor等のAIツールに1コマンドでスキルを導入可能(❤️588、👁️43K)。
- セキュリティ監査は死んだ — Claude MythosによるFirefox 150の271件自律発見・パッチやXBOWのHackerOneリーダーボード席巻を踏まえ、従来の監査・ペンテスト・バグバウンティ業界構造が根本変革を迫られるという論考。業界関係者の間で広く共有されている。
- 安全なコンテナイメージを作るための新しい業界標準: Docker Hardened Images — サプライチェーン攻撃の主要標的となるコンテナイメージのセキュリティ強化のためのDocker Hardened Images標準を解説したスライド。
Webアプリケーションセキュリティ
- Chained CSPT into full account takeover using a 2FA bypass — Client-Side Path Traversal(CSPT)と新手の2FAバイパスを連鎖させたフルATO達成のバグバウンティレポート。CSPT単体では低リスクと分類されがちだが連鎖により致命的になることを示した事例。
- 「1日1回限定のガチャ」を20連できてしまう ― ゲームAPIで頻出するTOCTOUとその対策 — ゲームAPIにおけるTOCTOU(Time-of-Check to Time-of-Use)の脆弱性と対策を解説。APIのレース条件を悪用した攻撃例と防御設計を紹介。
- トークンや隠しフォームフィールド不要のCSRF保護手法 — Fetch Metadataリクエストヘッダーを活用したCSRF保護の実装方法を解説。MicrodotフレームワークでのOWASP準拠実装例も含む。
- [HackerNotes Ep. 171] Protobuf XSS, Cookie Case Sensitivity, and Clickjacking Tricks — Protobuf XSS・Cookieの大文字小文字区別・クリックジャッキング手法など最近発見されたクライアントサイド脆弱性を解説。今週見落とされがちな攻撃ベクターが集約されている。
- WebサイトでのPasskey利用時のセキュリティ考慮事項 — Report URIにPasskeyを実装した経験をもとに、WebサイトでPasskeyを安全に採用するための実践的な考慮事項を解説。
- OAuth 2.1 PKCE必須化がバグを生む移行期の注意点 — OAuth 2.1でPKCE必須・Implicit Flow廃止の移行期に、両バージョン対応フレームワークがCVE-2025-4144のような固有バグを生む事例。モバイルアプリでの旧エンドポイント残留にも注意が必要。
AIセキュリティ
- MCP脆弱性:STDIOトランスポートの設計欠陥で20万台のサーバーがRCEの危険に — MCPのSTDIOトランスポートに設計レベルの欠陥。Cursor・LiteLLM・LangChainが影響を受け、4つの攻撃経路(ツール名汚染・引数インジェクション等)と10件超のCVEが特定された。
- Clearwing — オープンソース脆弱性発見エンジン — AnthropicのGlasswing相当のAI脆弱性発見ワークフローをMITライセンスでOSS化。防御側がAI能力を無償で活用できる新たな選択肢として注目。
- GitHubコメントがAIエージェントを乗っ取る:「Comment and Control」攻撃 — PR/Issueコメント経由のプロンプトインジェクションで、AIコーディングツールのAPIキーを窃取するC2攻撃。Claude Code(CVSS 9.4)への実証コード付きで開示。
- Claude Opusを使い36万円でサイバー攻撃を"開発" Discordを標的に検証した結果 — AIを使った攻撃コード開発コストが約36万円で完結できることを実証した研究。AIによる攻撃コスト低下が加速していることを示す。
- Bug bounty programs face massive increase in AI-generated slop reports — AIツールによる低品質バグバウンティレポートの急増でOSSメンテナーの審査パイプラインが逼迫。AnthropicのMythosがCVEと高品質パッチを同時提出した事例が対比として挙げられている。
- BISSA Scanner解析:AI支援の大規模脆弱性スキャンと.envクレデンシャル窃取の仕組み — CVE-2025-55182を悪用してNext.jsに大規模スキャンを行い、.envから3万件超のAPIキーを窃取するAI支援攻撃プラットフォームBISSA Scannerの詳細解析。
今週のトレンド
-
サプライチェーン攻撃の多発:Vercel・Bitwarden・npmワーム・Booking.com — 今週はサプライチェーン攻撃が集中した週となった。Lumma Stealer→OAuthアプリ乗っ取りによるVercel侵害、Bitwarden CLI npmパッケージ侵害、自己増殖型npmワーム、ClickFix手法を使ったBooking.com侵害と、異なる手口が同時多発した。Renovate/Dependabot自動マージの冷却期間見直しや環境変数管理の強化が急務。
-
AI主導の脆弱性発見が業界構造を揺るがす:Claude Mythos / Clearwing / XBOW — Claude MythosによるFirefox 150での271件ゼロデイ自律発見・パッチ、OSSのClearwing公開、AI特化バグバウンティ企業XBOWのHackerOneリーダーボード席巻が重なり、従来のペンテスト・監査業界の存在意義が問われ始めた。日本でも片山金融相が官民作業部会設置を発表するなど政策面でも対応が進んでいる。
-
バイブコーディングのセキュリティリスク深刻化:APIリクエスト113%増・DB露出7% — 1,764本のバイブコーディングアプリ審査でSupabase DB露出7%・APIキーハードコード15%が確認され、Akamaiのレポートではバイブコーディングを起因とするAPIへの攻撃が113%増となった。AI生成コードの品質・セキュリティ確認プロセスの確立が課題。
-
AIエージェントを標的とした攻撃手法の体系化:Comment & Control・MCP・プロンプトインジェクション — GitHubコメント経由のC2攻撃、MCPのSTDIO設計欠陥、Cursor IDEのプロンプトインジェクションRCE、Google AntibravityのFlag注入RCE等、AIエージェントを標的とした攻撃手法が今週だけで複数公開された。AIツールを使う開発チームはCI/CD環境の入力制御とエージェントの権限最小化が急務。
-
BEC(ビジネスメール詐欺)の国内被害拡大:はてな11億円・各地で多発 — はてなの11億円不正送金、日本カーソリューションズの社員名簿流出と、役員なりすましや偽の送金指示によるBEC被害が国内で相次いだ。1人の従業員が大額送金を承認できる内部統制の問題が改めて浮き彫りとなり、多重承認フローと送金指示の帯域外確認が強く推奨される。
<!-- llm-weekly-analysis -->