Day: March 27, 2026

Vibe Security Radar プロジェクト:GenAI 由来の脆弱性のみを判別して掲載

Security Researchers Sound the Alarm on Vulnerabilities in AI-Generated Code

2026/03/27 InfoSecurity — Anthropic の Claude Code などのバイブ・コーディング (Vibe Coding) ツールによる新たな脆弱性が、ソフトウェアへと大量に流入していると、Georgia Tech の研究者たちが警告している。2026年3月には、AI が生成するコードに起因する、35 件の新たな CVE (Common Vulnerabilities and Exposures) が公開された。この数字は、1月の 6 件と、2月の 15 件から大幅に増加している。これらの脆弱性を追跡しているのは、Georgia Tech (ジョージア工科大学) の Systems Software & Security Lab (SSLab) が、2025年5月に立ち上げた Vibe Security Radar プロジェクトである。

Continue reading “Vibe Security Radar プロジェクト:GenAI 由来の脆弱性のみを判別して掲載”

Databricks が SIEM 分野に参入:AI 駆動型の Lakewatch プラットフォームの強みとは?

Databricks Expands Into Cybersecurity with AI-Driven Lakewatch Platform

2026/03/27 SecurityBoulevard — Databricks が発表したのは、Lakewatch と呼ばれる新しいセキュリティ・プラットフォームによる、サイバー・セキュリティ分野への進出である。これまでのデータと AI に関連する製品を、隣接するエンタープライズ・セキュリティ市場へと拡張する、一貫した戦略における新たな展開である。

Continue reading “Databricks が SIEM 分野に参入:AI 駆動型の Lakewatch プラットフォームの強みとは?”

BIND 9 の脆弱性 CVE-2026-1519 などが FIX:サーバ/プロセスの異常終了の恐れ

BIND 9 Security Flaws Allow Attackers to Bypass Security Controls and Crash Servers

2026/03/27 gbhackers — Internet Systems Consortium が公開したのは、広く利用される BIND 9 Domain Name System (DNS) ソフトウェア・スイートにおける、3 件の深刻な脆弱性に対応するクリティカルなセキュリティ・アドバイザリである。これらの脆弱性が未修正の状態で放置されると、それを悪用するリモート攻撃者により、アクセス制御リストの回避/過剰なシステム・リソース消費/DNS サーバの完全なクラッシュなどが引き起こされる可能性がある。

Continue reading “BIND 9 の脆弱性 CVE-2026-1519 などが FIX:サーバ/プロセスの異常終了の恐れ”

Windows Error Reporting の脆弱性 CVE-2026-20817:SvcElevatedLaunch の削除による対応

New Windows Error Reporting Vulnerability Lets Attackers Escalate to Gain SYSTEM Access

2026/03/27 CyberSecurityNews — Windows Error Reporting (WER) サービスにおいて、新たに発見されたローカル権限昇格の脆弱性を悪用する攻撃者は、SYSTEM 権限を容易に取得できる。この脆弱性 CVE-2026-20817 は、その構造的な危険性の高さを懸念する Microsoft により、従来のコード・パッチの適用ではなく、該当する機能自体を完全に削除するという対応が取られた。この脆弱性は、Windows Error Reporting サービスの主要ライブラリである “WerSvc.dll” ファイル内に存在する。

Continue reading “Windows Error Reporting の脆弱性 CVE-2026-20817:SvcElevatedLaunch の削除による対応”

CISA KEV 警告 26/03/26:Trivy Scanner の脆弱性 CVE-2026-33634 を登録

CISA Adds Critical Aquasecurity Trivy Scanner Vulnerability to KEV Catalog

2026/03/27 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Aqua Security の Trivy スキャナに影響を及ぼす深刻な脆弱性 CVE-2026-33634 を、Known Exploited Vulnerabilities (KEV) カタログへ緊急追加した。この脆弱性は、CI/CD (Continuous Integration/Continuous Deployment) 環境を標的とする埋め込み型 (エンベッド型) のマルウェア・コードに関係するものだ。

Continue reading “CISA KEV 警告 26/03/26:Trivy Scanner の脆弱性 CVE-2026-33634 を登録”

Claude Chrome エクステンションの脆弱性が FIX:信頼境界の拡大とプロンプト・インジェクション攻撃

Claude Chrome Extension 0-Click Vulnerability Enables Silent Prompt Injection Attacks

2026/03/27 CyberSecurityNews — Anthropic の Claude Chrome エクステンションに存在していた深刻なゼロクリックの脆弱性により、300万人以上のユーザーがサイレント・プロンプト・インジェクション攻撃に晒されていたことが判明した。この脆弱性は修正済みであるが、攻撃が発生した場合に可能だったのは、ユーザー操作を必要としない AI アシスタントの乗っ取りである。具体的には、Gmail アクセストークンの窃取/Google Drive ファイルの読み取り/チャット履歴のエクスポート/メール送信などが、ユーザーには不可視な状況で実行された可能性がある。

Continue reading “Claude Chrome エクステンションの脆弱性が FIX:信頼境界の拡大とプロンプト・インジェクション攻撃”

Kea DHCP の脆弱性 CVE-2026-3608 が FIX:完全なサービス拒否 (DoS) に至る恐れ

ISC Issues Critical Warning Over Kea DHCP Vulnerability That Could Remotely Crash Services

2026/03/27 gbhackers — Internet Systems Consortium (ISC) が公開したのは、Kea DHCP サーバ・ソフトウェアに存在する深刻な脆弱性 CVE-2026-3608 に対処するセキュリティ・アドバイザリである。現代的で高性能な Kea DHCP サーバは、ネットワーク IP 割り当てを管理するために、エンタープライズ・ネットワークおよびインターネット・サービス・プロバイダで広く利用されている。

Continue reading “Kea DHCP の脆弱性 CVE-2026-3608 が FIX:完全なサービス拒否 (DoS) に至る恐れ”