April 1, 2026 – IoT OT Security News

Anthropic からリークした 512,000 行のClaude AI コード：技術的な先進性が X 上で拡散

Anthropic Leaks 512,000 Lines of Claude AI Code in Major Blunder

2026/04/01 hackread — 高収益のコード生成ツール Claude Code の機密情報を誤って流出させた Anthropic は、戦略に影響を及ぼす重大な打撃を被っている。通常のアップデート時の単純なミスにより、同社の最重要テクノロジーの内部動作を示す設計図が競合他社へ流出した。この問題は 2026年3月31日に発生した。公開 npm レジストリにおけるバージョン 2.1.88 の通常リリース時、59.8MB のソースマップファイルが誤って含まれていた。このファイルは、開発者が理解可能な平易な形式へと、複雑なコードを変換するものである。

CrewAI に４件の深刻な脆弱性：連鎖的な悪用を阻止するための応急処置とは？

CrewAI Hit by Critical Vulnerabilities Enabling Sandbox Escape and Host Compromise

2026/04/01 gbhackers — マルチエージェント AI システムのオーケストレーションに使用される主要ツール CrewAI に、複数の重大なセキュリティ欠陥の連鎖による危険な状況が生じている。AI エージェントを操作する攻撃者は、直接／間接プロンプト・インジェクションを介してサンドボックス・エスケープを引き起こし、ホストマシンの侵害を可能にする。

CISO が懸念する AI の脅威：リスクの認識と攻撃阻止の能力は同義ではない

Survey Surfaces Greater CISO Appreciation for Scope of AI Threat

2026/04/01 SecurityBoulevard — 500人の CISO を対象とした調査により判明したのは、従業員数 500 人以上の米国組織の 31% において、SaaS アプリケーションと AI ツール／プラットフォーム間で未承認のデータ流出が、すでに発生していると認識されていることだ。この調査は、データセキュリティ・プラットフォームを提供する Vorlon が、マーケット・リサーチ企業 Censuswide に委託して実施されたものである。その結果として明らかになったのは、AI ツールと SaaS アプリケーション間でのデータ交換について可視化できていないと、87% が回答していることだ。

Magecart 攻撃の進化：100+ のドメインで持続しながらチェックアウト・ページの出現を待機

Magecart Hackers Uses 100+ Domains to Hijack eStores Checkouts and Steal Card Data

2026/04/01 CyberSecurityNews — 24ヶ月以上にわたり継続する高度な Magecart キャンペーンが静かに活動し、100 以上の悪意ドメインを介して少なくとも 12 カ国の e コマース Web サイトに感染し、決済カードデータをリアルタイムで窃取している。この結果として、最も大きな経済的な損失を、加盟店ではなく銀行側が負担するという状況にある。

Chrome のゼロデイ CVE-2026-5281 が FIX：実環境でのアクティブな悪用を確認

New Chrome Zero-Day Vulnerability Actively Exploited in Attacks — Patch Now

2026/04/01 CyberSecurityNews — Google が公開した Chrome ブラウザの緊急セキュリティ・アップデートは、すでに実環境でのアクティブな悪用が確認されているゼロデイ脆弱性に対応するものだ。Windows／Mac 向けのバージョン 146.0.7680.177／178 と、Linux 向けの 146.0.7680.177 が、Stable チャネルで提供されている。このアップデートは、今後の数日から数週間をかけて、すべてのユーザーへ展開される予定である。

nginx-ui の脆弱性 CVE-2026-33026 が FIX：PoC エクスプロイト・コードも登場

PoC Exploit Code Published for nginx-ui Backup Restore Security Flaw

2026/04/01 gbhackers — nginx-ui のバックアップ復元メカニズムに存在する、深刻なセキュリティ欠陥 CVE-2026-33026 (CVSS：9.4) を悪用する攻撃者は、暗号化バックアップの改竄と任意のコマンド実行を可能にし得る。すでに Proof-of-Concept (PoC) エクスプロイト・コードが公開されているため、バージョン 2.3.4 への即時アップデートが管理者にとって必要となっている。

npm 上の悪意の undicy-http パッケージに注意：RAT とネイティブ・マルウェアを注入

New npm Supply Chain Attack Uses undicy-http to Deploy Screen-Streaming RAT and Browser Injector

2026/04/01 CyberSecurityNews — Node.js 開発者コミュニティ内で確認されたのは、悪意の npm パッケージ undicy-http をインストールした開発者のマシンを密かに侵害していくインシデントの発生である。このパッケージは、毎週数百万回のダウンロードを処理する Node.js に同梱される、公式 HTTP クライアント・ライブラリ undici を装っているが、HTTP クライアント機能は一切含まれていない。

Mercor AI を標的とする大規模侵害：Lapsus$ の 4TB データ窃取主張を受けデータ侵害を認める

Mercor AI Confirms Data Breach Following Lapsus$ Claims of 4TB Data Theft

2026/04/01 CyberSecurityNews — Mercor AI が深刻なデータ侵害の発生を公式に認めたのは、悪名高いハッキング集団 Lapsus$ による 4 TB の機密データの窃取という主張を受けてのことである。このインシデントは、オープン・ソース LiteLLM プロジェクトに対する最近のサプライ・チェーン攻撃に起因するものであり、独自開発のソースコード／内部データベース／大量のユーザー本人確認データなどを露出するものだ。

Oracle WebLogic 脆弱性 CVE-2026-21962 (CVSS 10.0)：実環境での継続的な悪用を確認

Hackers Actively Exploit Critical WebLogic RCE Vulnerabilities in Ongoing Attacks

2026/04/01 gbhackers — Oracle WebLogic Server に存在する、リモート・コード実行 (RCE) 脆弱性 CVE-2026-21962 (CVSS：10.0) が、実環境の未認証の攻撃者により積極的に悪用されている。最新のハニーポット調査によると、2026年1月22日に GitHub 上でエクスプロイト・コードが公開された当日に、この脆弱性の悪用が開始されている。

AI 駆動型のフィッシング攻撃に対抗：米国の金融グループが安全な ID のための政策を提言

Financial groups lay out a plan to fight AI identity attacks

2026/04/01 HelpNetSecurity — GenAI 系ツールによりディープフェイク生成コストが大幅に低下したことで、金融機関を攻撃するサイバー犯罪者や国家支援アクターが日常的に使用する状況となっている。この問題の規模を提示する American Bankers Association／Better Identity Coalition／Financial Services Sector Coordinating Council は共同報告書を取りまとめ、連邦政府と州政府の政策立案者に対して複数の領域での対応を求めている。