DifyTap Flaws Expose AI Data Across Tenants on Platform Powering 1M+ Apps
2026/06/23 gbhackers — 広く使用されているオープンソースの LLMOps プラットフォーム Dify に、複数の深刻な脆弱性が発見された。100 万を超える AI アプリケーションを支えている、Dify の脆弱性は 4 件の欠陥で構成されており、DifyTap と総称されている。そのうち 2 件は Critical と評価され、残り 2 件は認証を必要としない欠陥とされている。それらを悪用する攻撃者は、テナント間でのデータ漏洩のリスクを引き起こし、非公開の AI 会話へのアクセス/機密文書のプレビュー/内部 API との対話などを可能にする。
Continue reading “Dify の脆弱性群 DifyTap が FIX:AI アプリ 100万件でテナント間データ漏洩の恐れ”Critical libssh2 Vulnerability Lets Remote Attackers Execute Code via Crafted SSH Packets
2026/06/23 gbhackers — 広く使用されているクライアント側 SSH ライブラリである libssh2 に存在する、深刻なセキュリティ脆弱性 CVE-2026-55200 を悪用するリモート攻撃者は、特別に細工された SSH パケットの送信によりコード実行を引き起こす可能性がある。この脆弱性は CVSS スコア 9.2 と評価されており、libssh2 のバージョン 1.11.1 以下に影響するものである。セキュリティ研究者 Tristan Madani による責任ある開示を受けて、最新のパッチ・コミット (7acf3df) で修正された。
Continue reading “libssh2 の脆弱性 CVE-2026-55200 が FIX:細工された SSH パケットによる RCE の恐れ”OpenAI Releases GPT‑5.5‑Cyber With Full Automation for Vulnerability Detection and Patching
2026/06/23 CyberSecurityNews — OpenAI が公表したのは、高度な脆弱性検出/パッチ生成/マシン速度での自動修復を実現するために設計された、専用 AI モデル GPT-5.5-Cyber のフルバージョンの正式リリースである。このリリースは、OpenAI の包括的なイニシアチブ Daybreak の一環であり、世界中の信頼できる組織に対してサイバーセキュリティ防御能力を広く普及させることを目的としている。
Continue reading “OpenAI が GPT-5.5-Cyber を公開:主要セキュリティ・ベンチマークで最高水準の性能を記録”Critical FFmpeg Vulnerability Lets Hackers Execute Remote Code via Malicious Media Files
2026/06/23 gbhackers — FFmpeg が公表した脆弱性は、特別に細工されたメディア・ファイルを介してメモリ破損を引き起こし、リモート・コード実行へと至る深刻な欠陥である。JFrog Security Research により発見され、PixelSmash と名付けられた CVE-2026-8461 は、FFmpeg の libavcodec ライブラリ内の MagicYUV デコーダに影響を及ぼす脆弱性であり、CVSS スコアは 8.8 と評価されている。
Continue reading “FFmpeg の脆弱性 PixelSmash CVE-2026-8461:細工されたメディア・ファイルによる RCE の恐れ”Hackers Using FortigateSniffer Tool That Turns Compromised Firewalls Into Password Collectors
2026/06/23 CyberSecurityNews — FortigateSniffer と呼ばれる Golang ベースのカスタム・ツールが、金銭的な動機を持つ脅威アクターにより、世界中の 430,000 台を超える FortiGate ファイアウォールに展開された。遅くとも 2026年2月以降に、この攻撃者は 1 億 1,000 万件を超える認証情報を密かに収集しており、その中には NATO と連携する防衛請負業者から流出したデータも含まれる。
Anthropic’s Mythos AI Reportedly Breaches NSA Systems in Red Team Exercise
2026/06/22 SecurityBoulevard — 今週、Anthropic の最先端 AI モデルである Mythos が、レッドチーム演習中に National Security Agency (NSA) の機密システムへ侵入したとの報道が浮上した。それにより、同モデルがもたらすセキュリティ上の脅威に対する懸念が高まり、同社と連邦政府の間での対立は、さらに混迷を深めている。
Continue reading “Anthropic と米政府の対立の背景:数時間で NSA への侵入を達成した演習中の Mythos”Hackers Impersonate Node.js Installer in Google Ads to Deploy Infostealer Malware
2026/06/22 CyberSecurityNews — Node.js インストーラーを装う新たなマルウェア・ローダーを配布するために、ハッカーたちは偽の Google Ads を使用している。このキャンペーンは米国の Windows ユーザーを積極的に標的としており、正規に見えるスポンサード検索広告を 1 回クリックするだけで、被害者の端末に情報窃取型マルウェアが密かにインストールされる。この攻撃は、オンラインでソフトウェアを検索して、上位の検索結果を信頼するという、多くの人々の行動を悪用するものである。このケースでは、正規の Node.js プラットフォームを模倣する悪意のランディング・ページを、脅威アクターが構築していた。
Continue reading “Google Ads の悪用と情報窃取型マルウェアの配布:偽の Node.js インストーラーに御用心”QNAP Fixes 14 Vulnerabilities in QTS, QuTS Hero, QuTS Cloud, and QVP
2026/06/22 gbhackers — QNAP はセキュリティ・アドバイザリ QSA-26-10 を公開し、広く使用されている NAS および監視プラットフォームである QTS/QuTS hero/QuTS cloud/QVP (QVR Pro アプライアンス) に影響を与える 14 件の脆弱性 (Important) に対処した。
Continue reading “QNAP NAS 製品群の複数の深刻な脆弱性が FIX:認証情報窃取や DoS などの恐れ”pgAdmin 4 Released with Patches for Seven Vulnerabilities and Feature Enhancements
2026/06/22 gbhackers — pgAdmin Development Team は pgAdmin 4 バージョン 9.16 をリリースし、大幅なセキュリティ改善に加え、機能強化およびバグ修正を導入した。具体的には、7 件の脆弱性 CVE-2026-12044 ~ CVE-2026-12050 への対処と 64 件のバグ修正、各種のユーザビリティ向上が含まれている。PostgreSQL 環境向けに最も広く使用されているオープンソース管理ツール pgAdmin に依存する管理者と開発者にとって、このリリースは重要な意味を持つ。
Continue reading “pgAdmin 4 v9.16 がリリース:SQL インジェクションや RCE などの 7 件の脆弱性に対処”Report: CVE Disclosures Are 46% Higher Than Projected in First Half of 2026
2026/06/22 SecurityBoulevard — インシデント対応の非営利団体である Forum of Incident Response and Security Teams (FIRST) が公開したレポートによると、2026 年前半に開示された Common Vulnerabilities and Exposures (CVE) の件数は、当初の予測を 46% 上回るペースで増加している。現時点で FIRST は、2026年に開示される CVE の件数が約 66,000 件に達すると予測している。この数値は、2 月時点で予測されていた 59,427 件から増加している。
Continue reading “2026年前半の脆弱性件数は前年比で 46% 増:FIRST が示すデータと AI がもたらす変革とは?”GitHub Actions Checkout Adds Protection Against Malicious pull_request_target Workflows
2026/06/22 gbhackers — GitHub がリリースした actions/checkout v7 は、長年にわたり問題となってきた脆弱性群 “pwn request” への対処を目的として、Actions エコシステムに対して大規模なセキュリティ強化を実装するものである。
このアップデートは 2026年6月18日に発表されたものであり、pull_request_target イベントによりトリガーされるワークフロー向けに、より安全なデフォルト設定を導入するものだ。このイベントは、CI/CD パイプラインで最も頻繁に誤用されるトリガーの 1 つであり、ソフトウェア・サプライチェーン侵害の根本的な原因となってきた。
pull_request_target イベントは、ベース・リポジトリのコンテキストでワークフローを実行する。そのため、GITHUB_TOKEN/暗号化されたシークレット/デフォルト・ブランチに関連付けられたキャッシュなどの、機密性の高いリソースへのアクセスが可能になる。
この設計は、高度な自動化シナリオをサポートする一方で、信頼できないフォーク・リポジトリからのコードを、ワークフローが誤ってチェックアウトして実行する場合にリスクを引き起こす。
この挙動を突く攻撃者は、悪意のプルリクエストの送信により、昇格された権限で任意コードを実行できる。この手法が、“pwn request” と呼ばれるものである。
これに対処するために、GitHub の actions/checkout v7 は、pull_request_target または特定の workflow_run コンテキストにおいて、ワークフローがフォークされたプルリクエストからコードを取得しようとする場合に、危険なパターンをデフォルトでブロックするようになった。
具体的には、プルリクエストの head 参照/マージコミット/フォークリポジトリのソースといった、信頼できない入力を用いる試みを検出すると、そのアクションは失敗する。この強制措置は、一般的に安全ではないとされる、以下のようなコンフィグを対象としている。
- uses: actions/checkout@v7 with: ref: refs/pull/${{ github.event.pull_request.number }}/merge repository: ${{ github.event.pull_request.head.repo.full_name }}
これまでは、上記のようなパターンであっても、攻撃者の制御するコードをワークフローが取得し、リポジトリの権限で実行することを可能にしていた。しかし v7 では、これらのコンフィグは明示的に拒否されるため、GitHub Actions を自動化に使用する数千のリポジトリにおいて攻撃対象領域が縮小される。
GitHub が認めたのは、この保護を 2026年7月16日から、すべてのサポートされているメジャー・バージョンにバックポートすることだ。actions/checkout@v4 などのフローティング・バージョン・タグを使用しているリポジトリも、新しい保護機能を自動的に継承する。
ただし、特定の SHA やマイナー・バージョンに固定されたワークフローは、Dependabot または標準的なアップグレード手順を通じて手動で更新し、この保護の恩恵を受ける必要がある。
重要な点として、このアップデートは pull_request イベントによってトリガーされるワークフローには影響せず、同一リポジトリ内のプルリクエストも制限しない。また GitHub は、この緩和策が “pwn request” 悪用における、すべての形態を排除するものではないことを認めている。
たとえば、run ステップ内で git または GitHub CLI (gh) を手動で呼び出し、信頼できないコードを取得するワークフローは、依然として脆弱である。同様に、issue_comment などの他のイベント・トリガーは、この強制措置の対象に含まれない。
フォークからのコントリビューションに対するレポート生成や、認証済みチェックの実行などの、正当なユースケースにおける柔軟性を維持するため、GitHub は明示的なオプトアウト・メカニズムを提供している。
開発者は、checkout ステップで allow-unsafe-pr-checkout フラグを設定することで、この制限をバイパスできる。ただし、自身のワークフローが厳重に監査されている場合を除き、強く推奨されるものではない。
- uses: actions/checkout@v7 with: allow-unsafe-pr-checkout: true
この変更は、開発者の制御を維持しながら、Secure-by-Default の原則を強化するものであり、サプライチェーン脅威に対する GitHub Actions のハードニングにおける重要な一歩となる。
CI/CD パイプラインを活用する組織に推奨されるのは、ワークフローの見直し/安全でないパターンの排除/更新済みバージョンの採用などにより、信頼できないプルリクエストを起点とする権限昇格攻撃への露出面を低減することである。
FortiBleed – Fortinet Warns of Active Credential Harvesting Campaign Targeting FortiGate Devices
2026/06/22 CyberSecurityNews — Fortinet が発行した緊急セキュリティ・アドバイザリは、FortiGate アプライアンスを標的とする “FortiBleed” という認証情報窃取キャンペーンについて顧客に警告するものだ。Carl Windsor と共有された同社の分析によると、この活動は新たな脆弱性に起因するものではない。過去に開示されたセキュリティ上の欠陥/不十分なパスワード衛生/多要素認証 (MFA) の未導入を組み合わせて、このアプライアンスを悪用するものである。
Continue reading “FortiBleed の積極的な悪用:FortiGate デバイスから認証情報を収集 – Fortinet”Google DeepMind Treats Advanced AI as ‘Insider Threats’ in New Cybersecurity Roadmap
2026/06/20 SecurityBoulevard — Google DeepMind が導入したのは、AI エージェントを単なるソフトウェア・ツールではなく、潜在的なセキュリティ脅威として扱うセキュリティ・フレームワークである。同社が新たに公開した “AI Control Roadmap” は、人間による監督の回避/データの流出/割り当てられたタスクの妨害を、可能にし得る AI システムを封じ込めるものであり、積極的な監視と監督を実行するための予防的な戦略を示している。
Continue reading “Google DeepMind が AI Control Roadmap を発表:AI エージェントを脅威として扱う方式とは?”Critical WordPress Plugin Bug Could Allow File Deletion Attacks on 1 Million Sites
2026/06/19 gbhackers — 広く使用されている WordPress プラグインである Avada (Fusion) Builder において、深刻なセキュリティ脆弱性が発見された。この CVE-2026-8713 (CVSS:9.1) を悪用する未認証の攻撃者は、任意のファイルを削除できるようになるため、100万件を超えるインストール環境で Web サイト全体が侵害される可能性がある。
Continue reading “WordPress Avada Builder の脆弱性 CVE-2026-8713:任意のファイル削除の恐れ”Chrome Extensions’ Critical Flaws Let Attackers Easily Compromise Millions of Browsers
2026/06/19 CyberSecurityNews — 人気の Chrome エクステンションである SiderAI と MaxAI に深刻なセキュリティ上の脆弱性が発見され、数百万人のユーザーが危険にさらされている。これらの脆弱性を悪用する攻撃者は、ブラウザ・セッションを完全に乗っ取り、Web サイトやローカル・システム上の機密データにアクセスする可能性がある。
HazyBeacon Abuses AWS Lambda Function URLs for Stealthy Command-and-Control Operations
2026/06/19 gbhackers — HazyBeacon は、CL-STA-1020 として特定された、ステルス型のクラウド・ネイティブ・マルウェア・キャンペーンのことである。このマルウェアは、Amazon Web Services (AWS) Lambda Function URL を悪用することで、隠蔽された Command-and-Control (C2) チャネルを構築しており、攻撃者の戦術における大きな進化を示している。Qualys の最近の調査によると、このキャンペーンはミスコンフィグされたサーバレス・インフラを悪用して、主に東南アジア全域の政府機関を標的としている。その結果として、正規のクラウド活動の中に悪意のトラフィックを紛れ込ませることが可能となる。
Continue reading “HazyBeacon キャンペーンを分析:AWS Lambda 悪用のクラウドネイティブ攻撃”CISA Warns of Splunk Enterprise Critical Function Vulnerability Actively Exploited in Attacks
2026/06/19 CyberSecurityNews — CISA は、Splunk Enterprise に存在する深刻な脆弱性が、実際の環境で積極的に悪用されているとして、組織に警告する高優先度アラートを発出した。この脆弱性 CVE-2026-20253 は、エンタープライズ環境に対する差し迫ったリスクを示しており、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。
Continue reading “CISA KEV 警告 26/06/18:Splunk Enterprise の脆弱性 CVE-2026-20253 を KEV に登録”Node.js Releases Security Updates for 12 Vulnerabilities, Two Rated High Severity
2026/06/19 gbhackers — Node.js が発表したのは、サポート対象リリース系列全体に存在する、12 件の脆弱性に対処する重要なセキュリティ・アップデートである。その中には、サービス拒否 (DoS) 状態や認証バイパスにつながる可能性がある、2 件の高深刻度の欠陥が含まれる。これらのアップデートは、2026年6月18日に Node.js バージョン 22.x/24.x/26.x に対してリリースされている。パッチ適用済みバージョンは、v22.23.0/v24.17.0/v26.3.1 となる。
Continue reading “Node.js の 12件の脆弱性が FIX:プロセス・クラッシュや認証バイパスなどの恐れ”PoC Exploit Released for HTTP/2 Bomb Remote DoS Vulnerability in Apache HTTP Server
2026/06/18 CyberSecurityNews — Apache が公開したのは、HTTP Server に存在する深刻なサービス拒否の脆弱性 CVE-2026-49975 に対する PoC (proof-of-concept) エクスプロイト情報である。この脆弱性は “HTTP/2 Bomb” と呼ばれている。この欠陥を突くリモート攻撃者は、認証を必要とすることなくサーバのメモリを枯渇させ、サービスを妨害できる。そのため、パッチ未適用の Apache デプロイメントを運用する組織に、重大なリスクが生じている。
Continue reading “Apache HTTP Server の脆弱性 “HTTP/2 Bomb” CVE-2026-49975 にPoC:DDoS 攻撃を実証”F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks
2026/06/18 gbhackers — F5 がリリースしたのは、NGINX コンポーネントに存在する複数の高深刻度の脆弱性 CVE-2026-42530/CVE-2026-42055 に対処するための、定例外のセキュリティ通知である。これらの脆弱性は、特定のコンフィグにおいてリモート・コード実行 (RCE) およびサービス拒否 (DoS) 攻撃を引き起こす可能性がある。F5 がユーザーに推奨するのは、影響を受けるデプロイメントに対する速やかなパッチ適用もしくはアップグレードである。
Continue reading “NGINX の脆弱性 CVE-2026-42530/42055 が FIX:DoS と RCE の可能性”Hackers Abuse Claude.ai Shared Chat Feature to Host the ClickFix Social Engineering Instructions
2026/06/18 CyberSecurityNews — 信頼された AI プラットフォームを悪用するハッカーたちが、高度なソーシャル・エンジニアリング攻撃を展開するケースが増えている。最近のキャンペーンでは、Claude.ai の共有チャット機能が悪用され、悪意ある ClickFix 指示がホストされていた。TrendAI Research によると、攻撃者は 7 週間の間に 6 つのキャンペーン・ウェーブを引き起こし、悪意のある一意なホスト名 106 件を展開した。この攻撃者は、インフラを継続的にローテーションし、AI がテーマの誘導をテストすることで効果を最大化していった。
Continue reading “Claude.ai チャットを侵害する攻撃者:ClickFix ソーシャルエンジニアリングを展開する新たな手口”AWS Launches Continuum to Detect and Fix Code Vulnerabilities at Machine Speed
2026/06/18 gbhackers — AWS が導入した “Continuum” は、コードに存在する脆弱性をマシン速度で検出/検証/修復するよう設計された、新しいセキュリティ機能である。それが示すのは、従来のテレメトリ重視のセキュリティ・モデルから、自動化されたコンテキスト駆動型の修復へと移行していく流れである。2026年6月17日に限定的なプレビューとして発表された、高度な AI モデルを活用する AWS Continuum は、現代的な開発環境やフロンティア AI システムが生み出す脆弱性の増加に対処するものだ。
Continue reading “AWS Continuum がデビュー:脆弱性の検出と修正をマシンスピードで!”Multiple Vulnerabilities in Firefox 152 Enables Remote Code Execution Attacks
2026/06/18 CyberSecurityNews — Mozilla がリリースした Firefox 152 は、複数の高深刻度の脆弱性を修正し、リモート・コード実行 (RCE) およびサンドボックス・エスケープ攻撃に対処するものである。2026年6月16日に公開されたセキュリティ・アドバイザリが強調するのは、ブラウザのコア・コンポーネントに影響を及ぼす広範な欠陥であり、ユーザーによる速やかなアップデートの重要性が示されている。
Hackers Exploit WordPress SMTP Plugin With 100,000+ Installs to Steal Sensitive Data
2026/06/18 gbhackers — 広く使用されている Gravity SMTP WordPress プラグインに存在する、深刻なセキュリティ欠陥を積極的に悪用する脅威アクターが、API キーや認証トークンを含む機密性の高いコンフィグ・データを抽出している。この脆弱性 CVE-2026-4020 (CVSS 5.3) は、バージョン 2.1.4 以下に影響を及ぼすものであり、10 万を超える Web サイトを潜在的な侵害にさらしている。
Critical Cisco ISE Vulnerability Allows Attacker to Execute Malicious Code Remotely
2026/06/18 CyberSecurityNews — Cisco が公表したのは、同社の Identity Services Engine (ISE) に存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、リモートから悪意のあるコードを実行し、機密データへアクセスする可能性があるため、エンタープライズ・ネットワークに深刻なリスクをもたらす。
AI-Generated ClickFix Campaign Delivers SmartRAT Banking Trojan via Fake Brazilian Bank Website
2026/06/18 gbhackers — AI 搭載 Web サイト作成ツールにより生成された、悪意のコンテンツをホストするタイポスクワッティング・ドメインが複数確認された。注目すべきキャンペーンの 1 つでは、AI により作成された銀行の偽のサイトと ClickFix ソーシャル・エンジニアリング誘導が組み合わされ、SmartRAT という名の PowerShell ベースの RAT (リモート・アクセス型トロイの木馬) が配信されていた。
Continue reading “SmartRAT を配布する ClickFix キャンペーンを確認:AI が生成した偽銀行サイトとは?”Splunk AI Toolkit Vulnerability Enables Arbitrary OS Command Execution Attacks
2026/06/18 CyberSecurityNews — Splunk が公表したのは、同社の AI Toolkit に存在する深刻なセキュリティ脆弱性 CVE-2026-20266 に関する情報である。この脆弱性を悪用する攻撃者は、影響を受けるシステム上での任意の OS コマンド実行の可能性を得る。この脆弱性は CVSS スコア 9.1 と評価され、CWE-78 として分類されており、エンタープライズ環境への深刻な影響を示している。この脆弱性の影響が及ぶ範囲は、Splunk AI Toolkit バージョン 5.7.4 未満である。Splunk によると、この脆弱性は AI Toolkit 内のコンフィグ関連の処理を担う btool コンフィグ・ヘルパーに存在する。
Continue reading “Splunk AI Toolkit の脆弱性 CVE-2026-20266 が FIX:任意の OS コマンド実行の恐れ”Trying to Control AI is Like Holding Sand
2026/06/17 SecurityBoulevard — ほぼ 1 週間にわたる Anthropic の Fable モデルをめぐる議論は、1 つの AI 企業と米国政府との対立として捉えられてきた。しかし、この議論は、その枠組みに当てはまらず、はるかに大きなものへと拡大している。つまり、知能そのものの本質をめぐって、サイバーセキュリティ分野で最も尊敬される専門家たちと、政策立案者との間で繰り広げられる、公的な意見の対立になってしまっている。
Continue reading “Anthropic Fable 論争が問う知能統制の限界:国家が防御サイドを弱体化させる?”FortiBleed Attack Exposes Fortinet Firewall Credentials in 194 Countries
2026/06/17 hackread — Fortinet FortiGate ファイアウォールを標的とする、新たな攻撃キャンペーンにより、公開された VPN および管理者アクセスが危険な状況に置かれている。研究者たちは、この活動について、大手企業や公共部門組織に影響を及ぼす、数万件の検証済みファイアウォール・ログインと結び付けている。サイバーセキュリティ企業 Hudson Rock によると、研究者 Volodymyr “Bob” Diachenko が特定したデータセットには、194 カ国にわたる、一意の Fortinet ファイアウォール URL 73,932 件が含まれており、その影響を受けるドメインは 21,632 件に達するという。
Continue reading “FortiBleed という偵察キャンペーンを検出:194 カ国にわたる 73,932 件の URL でログインチェック中”Low-skilled attacker used Claude, Codex to breach 14 companies
2026/06/17 HelpNetSecurity — 長年にわたり研究者たちが警告してきたのは、サイバー攻撃で必要とされるスキルを、AI エージェントが引き下げる可能性である。そして、OALABS (Open Analysis) の研究者による最近のレポートは、それを裏付けるものとなっている。Anthropic Claude Code/OpenAI Codex エージェントをデプロイしていた攻撃者のサーバを、研究者たちが侵害した後に、1,000 件を超えるエージェント・セッションを復元して分析した。そこで明らかにされたのは、エージェントのガードレールの大半を攻撃者が容易にバイパスした様子と、きわめて少ない知識と作業で侵害を達成していたことだった。
Google Cloud Vertex AI Allows Attacker to Hijack Victim’s Model and Poison it
2026/06/17 CyberSecurityNews — Google Cloud Vertex AI に新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、機械学習モデルのアップロードを乗っ取り、被害者の環境で悪意のコードを実行する可能性があった。この調査は、責任ある開示の下で Google に共有された。この問題は Vertex AI Python SDK (google-cloud-aiplatform) に影響し、予測可能なクラウド・ストレージ・バケット名と所有権に対する検証の欠如の組み合わせにより発生する。
Continue reading “Google Cloud Vertex AI の脆弱性:モデル・アーティファクトを標的とするサプライチェーン攻撃”27-Year-Old OpenBSD Security Flaw Exposes Systems to Full PAP Authentication Bypass
2026/06/17 gbhackers — OpenBSD の PPP スタックに、深刻な脆弱性 CVE-2026-55706 が発見され、2026年6月に修正された。この脆弱性を悪用する攻撃者は、Password Authentication Protocol (PAP) 検証をバイパスし、不正なネットワーク・アクセスを取得できる。この脆弱性の原因は、1999年にさかのぼるレガシーコードにあり、現代のオペレーティング・システムに至るまで長期間にわたり残存した。
Continue reading “OpenBSD の脆弱性 CVE-2026-55706 が FIX:27年前からの認証バイパスを発見”Hackers Compromised 140+ Mastra npm Packages to Deploy Password-Stealing Malware
2026/06/17 CyberSecurityNews — Mastra-AI npm エコシステムを標的とする、高度なサプライチェーン攻撃が発生した。Microsoft と Socket の研究者が特定したのは、開発者マシン/CI/CD ランナー/ビルド環境に情報窃取ペイロードを展開するよう設計された、141件以上の侵害済みパッケージである。このタイポスクワッティング依存関係を悪用するキャンペーンは、2026年6月17日に検出されたものであり、仮想通貨ウォレットデータやブラウザ履歴といった機密性の高い情報を窃取するための、多段階マルウェアを配布するものである。
Continue reading “Mastra npm パッケージ 140件以上で侵害:パスワード窃取マルウェアを配布”CISA Issues Alert on Oracle PeopleSoft Vulnerability Exploited by Ransomware Groups
2026/06/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle PeopleSoft Enterprise PeopleTools に存在する、深刻な脆弱性 CVE-2026-35273 (CWE-306) の積極的な悪用に関する緊急アラートを発出した。この脆弱性を悪用する未認証の攻撃者は、脆弱な PeopleSoft 環境の完全な制御を可能にする。
Continue reading “CISA KEV 警告 26/06/12:Oracle PeopleSoft の脆弱性 CVE-2026-35273 を登録”Critical LiteLLM Flaw Allows Authentication Bypass via Host Header Injection
2026/06/17 CyberSecurityNews — LiteLLM に存在する、深刻なセキュリティ脆弱性 CVE-2026-49468 の情報が開示された。LiteLLM は、LLM API の管理に使用されるプロキシであり、採用例が拡大している。この脆弱性を悪用する攻撃者は、Host ヘッダーの不適切な処理を突くことで、特定の条件下における認証メカニズムのバイパスを可能にする。影響を受けるのは LiteLLM 1.84.0 より前のバージョンであり、深刻度は Critical と評価されている。
JetBrains Plugin Security Alert: 70,000+ Installs Linked to AI Key Theft
2026/06/17 gbhackers — JetBrains IDE ユーザーを標的とする協調的なサプライチェーン攻撃により、7 万人を超える開発者が、認証情報窃取のリスクにさらされていた。このキャンペーンに関与していたのは、DeepSeek などのモデルを基盤とする AI 搭載コーディング・アシスタントを装い、JetBrains Marketplace 経由で配布された少なくとも 15 件の悪意あるプラグインである。
Continue reading “JetBrains IDE を狙う悪意のプラグイン:OpenAI/DeepSeek/SiliconFlow などの API キーを窃取”Critical Chrome Vulnerabilities Allow Attackers to Execute Arbitrary Code – Update Now!
2026/06/17 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザ向けの重要なセキュリティ・アップデートである。一連の Critical 脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行する恐れがある。それらの欠陥は、ブラウザのコア・コンポーネントに影響するため、ユーザーに強く推奨されるのは速やかなアップデートである。最新の Chrome Stable チャネルは、Windows/macOS 向けのバージョン 149.0.7827.155/.156 と、Linux 向けの 149.0.7827.155 が提供されている。
Continue reading “Chrome に存在する 7件の Critical 脆弱性などが FIX:メモリ破壊による任意のコード実行”Beyond Identity Launches Platform to Secure AI Agents
2026/06/16 SecurityBoulevard — Beyond Identity が提供を開始した Ceros は、プロセス・レベルでポリシーを継続的に適用することで、サイバーセキュリティ・チームによる AI エージェントの安全な実行を支援するプラットフォームである。Identiverse 2026 カンファレンスで発表された Ceros プラットフォームにより、サイバーセキュリティ・チームは、それぞれのエージェント・セッションで定義された認可エンベロープの範囲内で、起動を実際に許可する AI エージェントを制御できる。さらに、AI エージェントに実行を許可するタスクの範囲や、呼び出し可能なツールの制限も可能になる。
Continue reading “AI エージェントの安全な実行を支援するプラットフォーム:Beyond Identity が提供する Ceros とは?”Hackers Exploit Critical Fortinet FortiSandbox Flaws in Active Attacks
2026/06/16 gbhackers — Fortinet FortiSandbox アプライアンスに存在する、複数の深刻な脆弱性を標的とする積極的な悪用の試みを、セキュリティ研究者たちが報告した。それにより、エンタープライズ・セキュリティ・インフラに対する侵害の懸念が高まっている。Defused Cyber が共有した脅威インテリジェンスによると、新たに開示された CVE-2026-39813/CVE-2026-39808/CVE-2026-25089 などの脆弱性が、過去 24 時間以内に悪用され始めている。
Continue reading “FortiSandbox の脆弱性 CVE-2026-39813/39808/25089:実環境での悪用を観測”2026/06/16 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が、Cisco Catalyst および LiteSpeed cPanel プラグインの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。今回、カタログに追加された 2 件の脆弱性は、以下のとおりである。
UK Government Finds 400+ Vulnerabilities in AI Hackathons
2026/06/15 InfoSecurity — 英国政府が明らかにしたのは、フロンティア AI モデルを活用した一連の内部ハッカソンの結果として、数百件の脆弱性を発見/修正したことである。この毎週開催された対面形式のイベントは、Government Cyber Coordination Centre (GC3) による取り組みであり、National Cyber Security Centre (NCSC) と Department for Science, Innovation and Technology (DSIT) の共同イニシアチブとして実施された。その目的は、AI モデルを用いることで、9 つの政府省庁にまたがる公開コード・リポジトリをスキャンすることにあったとされる。
SimpleHelp bug lets hackers create rogue remote support accounts
2026/06/15 BleepingComputer — SimpleHelp リモート管理ソフトウェアに存在する、脆弱性を悪用する未認証の攻撃者は、OpenID Connect (OIDC) 認証プロトコルを利用するサーバ上で、特権を持つ Technician アカウントを作成できる。この脆弱性 CVE-2026-48558 は、深刻度 Critical と評価されており、SimpleHelp のバージョン 5.5.15 以下/6.0 のプレ・リリース版に影響する。
Continue reading “SimpleHelp の脆弱性 CVE-2026-48558 が FIX:OIDC 認証の不備と不正なリモート管理アカウント作成”Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks
2026/06/15 BleepingComputer — Cisco が公表したのは、Catalyst SD-WAN Manager に存在する脆弱性 CVE-2026-20262 に対処するためのセキュリティ・アップデートのリリースである。この脆弱性は、root 権限への昇格を目的とした実際の攻撃で悪用されている。以前は SD-WAN vManage として知られていた Catalyst SD-WAN Manager は、単一のダッシュボードから最大 6,000 台の SD-WAN デバイスを管理するための、ネットワーク管理ソフトウェアである。
Continue reading “Cisco SD-WAN のゼロデイ脆弱性 CVE-2026-20262 が FIX:root 権限昇格の恐れ”Velvet Ant Hackers Backdoor OpenSSH and PAM to Spy on Critical Infrastructure Network
2026/06/15 gbhackers — 中国由来の脅威アクター Velvet Ant に帰属し、高度に規律化された、長期にわたる侵入が明らかになった。Operation Highland は、約 10年に及ぶ静かなアクセス・キャンペーンであり、分離された重要インフラ・ネットワーク全体で、中核的な認証コンポーネントである OpenSSH バイナリと PAM モジュールの置き換えを行っていた。
Continue reading “Velvet Ant による OpenSSH と PAM のバックドア化:分離されたネットワークに 10年にわたり侵入”Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data in One Click
2026/06/15 CyberSecurityNews — Microsoft 365 Copilot Enterprise に存在する、深刻な脆弱性チェーンを悪用する攻撃者が、正規の Microsoft ドメインを指すリンクを 1 回クリックさせるだけで、企業の機密データ/MFA コード/メールの内容/カレンダーの詳細/機密ファイルを窃取できる状態にあった。
Continue reading “Microsoft 365 Copilot の深刻な脆弱性チェーン SearchLeak:ワンクリックで機密情報を流出”Jenkins RCE Flaw Exploited by Attackers in the Wild
2026/06/15 gbhackers — Jenkins に存在するリモート・コード実行 (RCE) 脆弱性 CVE-2026-53435 が、現在進行形で積極的に悪用されている。この脆弱性は、Jenkins の config.xml 処理時における安全でないデシリアライズに起因するものであり、未認証または低権限の攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許すものだ。そのため、広く利用されている CI/CD 自動化サーバに依存する組織に深刻なリスクが生じている。
Continue reading “Jenkins の RCE 脆弱性 CVE-2026-53435:デシリアライズを悪用する攻撃キャンペーンを観測”SearchJack Adware Campaign Exposes 758,000 Users to Privacy and Phishing Risks
2026/06/15 gbhackers — SearchJack と呼ばれる組織的なキャンペーンにより、23件の悪意の Chrome エクステンションが約 75.8 万人に配布され、ユーザーのデフォルト検索設定を密かに乗っ取っている。具体的には、検索結果が返される前に、脅威アクターが管理する収益化ミドルウェアを経由して、検索クエリがルーティングされてしまう。
Continue reading “Chrome の検索設定を変更する 23件のエクステンション:SearchJack キャンペーンと 75.8 万人への影響”SecSuite – AI-powered Tool for OSINT, Web and API Security Testing
2026/06/15 CyberSecurityNews — TheSecuredAnalyst プロジェクトの下で開発された、SecSuite という新たなオープンソース・セキュリティ・プラットフォームがリリースされた。このプラットフォームは、OSINT 偵察/情報収集/Web 脆弱性スキャン/API セキュリティ評価/コンプライアンス・チェック/AI 搭載分析を、単一の統合ツールキットにまとめたものである。
Continue reading “TheSecuredAnalyst が SecSuite をリリース:AI 搭載ツールにより OSINT/Web/API セキュリティ・テストに対応”Russia-Aligned Hackers Exploit Old WinRAR Vulnerability to Target Ukrainian Organizations
2026/06/15 gbhackers — 2025年7月の時点で修正された WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088 は、ウクライナを標的とする複数の侵入グループにとって、依然として強力な初期アクセス・ベクターである。2026年4月までの攻撃分析によると、この脆弱性を悪用する少なくとも 2 つの異なるキャンペーンが確認されている。1 つは SHADOW-EARTH-066 と命名された侵入グループ (CERT-UA により UAC-0226 として追跡) に帰属するコンパイル済みスティーラー・チェーンであり、もう 1 つはロシア寄りの Earth Dahu (Gamaredon) が使用する HTA ベースのスパイ活動チェーンである。
Continue reading “WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088:ロシア系脅威グループによる悪用が継続”Palo Alto Warns of GlobalProtect VPN Vulnerability Actively Exploited in the Wild
2026/06/15 CyberSecurityNews — Palo Alto Networks Unit 42 が公表したのは、PAN-OS GlobalProtect のポータル/ゲートウェイ・コンポーネントに影響を及ぼす、深刻な認証バイパス脆弱性 CVE-2026-0257 の積極的な悪用に関する緊急の警告である。この脆弱性を悪用する未認証のリモート攻撃者は、セキュリティ制御を回避し、不正な VPN 接続を開始できる。
Continue reading “Palo Alto GlobalProtect VPN の脆弱性 CVE-2026-0257:積極的な悪用を観測”
IoT OT Security News 
You must be logged in to post a comment.