Hackers Abuse GitHub and Jira Notifications to Deliver Phishing Through Trusted SaaS Channels
2026/04/13 CyberSecurityNews — いまのサイバー犯罪者たちは、開発者や IT チームが最も信頼しているツール自体を武器化している。GitHub と Jira に組み込まれた自動通知機能を悪用する攻撃者たちは、それらプラットフォーム自身のサーバから発信されるメッセージとして、説得力の高いフィッシングメールを配信している。その単純さに、このキャンペーンの危険性が潜んでいる。従来のフィッシングは、送信元アドレスを操作するために偽装などを行うが、セキュリティ・ツールによる検知が可能な場合が多い。
Continue reading “GitHub/Jira の偽公式通知に御用心:シンプルな手口でセキュリティ・ゲートウェイを回避”Ransomware Lives On, Blending Hacktivism and Crime, Fueled by AI
2026/04/13 SecurityBoulevard — 現在のランサムウェア・グループが好んで用いる二重恐喝が、深刻な被害をもたらしているが、新たに登場した四重恐喝により、標的組織における被害緩和と対応が複雑化し、恐喝支払い金にエスカレーションが生じると懸念されている。しかし、この状況は、法執行機関による大規模な摘発が行われたにもかかわらず、ランサムウェアが進化し続けていることを示す氷山の一角に過ぎない。
Continue reading “ランサムウェアの現実:金銭目的とハクティビズムと AI 駆動がブレンドされている”Mozilla Criticizes Microsoft for Installing Copilot on Windows Without User Consent
2026/04/13 CyberSecurityNews — Mozilla が Microsoft を公に批判した理由は、ユーザーの同意なしに AI アシスタント Copilot を Windows システムへ展開した点にある。Firefox の開発元が指摘するのは、ユーザーの権利よりも企業の収益を優先する Microsoft の姿勢だ。Mozilla は “Old Habits Die Hard” (習慣はなかなか変えられない) というブログ投稿で、自動インストール/ハードウェアデフォルト設定/欺瞞的 UI デザインを用いて、Windows エコシステム全体へと Copilot を 積極的に展開していると非難している。
Continue reading “Mozilla が Microsoft を公に批判:Windows への Copilot の強引な展開を巡って”Critical Axios Vulnerability Enables Remote Code Execution, PoC Released
2026/04/13 gbhackers — 広く利用される HTTP クライアント・ライブラリ Axios で深刻なセキュリティ脆弱性が発見され、リモートコード実行 (RCE) およびクラウド・インフラ全体への侵害の恐れが生じている。脆弱性 CVE-2026-40175 (CVSS3.1:9.9:Critical) を悪用する攻撃者は、AWS IMDSv2 の保護を回避し、機密クラウド・メタデータを窃取可能となる。この問題は研究者 raulvdv により発見され、jasonsaayman により公表され、すでに Proof of Concept (PoC) も公開されている。
Continue reading “Axios の RCE 脆弱性 CVE-2026-40175 が FIX:AWS IMDSv2 保護の回避と PoC のリリース”Nginx 1.29.8 and FreeNginx Released With Critical Security Updates
2026/04/13 CyberSecurityNews — Nginx.org が公表したのは、Nginx 1.29.8/FreeNginx における重要なセキュリティ・アップデートの正式リリースである。2026年4月7日に公開された一連のバージョンで導入されたのは、堅牢なサーバ・パフォーマンスを確保し、最新のサイバー脅威から防御するために設計された、重要なセキュリティ機能/強化された暗号化互換性/重要なバグ修正などである。Web サーバ管理者にとって必要なことは、このインフラの更新を最優先で実施することだ。
Continue reading “Nginx 1.29.8 がリリース:OpenSSL 4.0 対応などでセキュリティを向上”Survey Sees Little Progress Made on Automating Identity Management
2026/04/13 SecurityBoulevard — Cerby の委託により Ponemon Group が実施した、614 名の Security/IT リーダーに対する調査結果 “The Hidden Security Threat of Disconnected Apps” によると、導入済みアプリケーションの 89% が、MFA (Multi-Factor Authentication) プラットフォームで一元管理されていないことが判明した。この調査では、アプリケーションの 70% が、SSO (Single Sign On) に統合されていないことも明らかになった。
Continue reading “Identity 管理の自動化が停滞:導入が遅れる MFA/SSO と変化を招く AI の存在”Apache Tomcat Flaws Enable EncryptInterceptor Bypass
2026/04/13 gbhackers — Apache Software Foundation が公開したのは、Apache Tomcat で新たに発見された 3 件の脆弱性 CVE-2026-29146/34486/34500 に対処するための重要なセキュリティ・アップデートである。Apache Tomcat は、広く導入されているオープンソースの Web サーバ であるため、これらの脆弱性により多くのエンタープライズ環境に深刻なリスクが生じる。
Continue reading “Apache Tomcat の脆弱性 CVE-2026-29146/34486/34500 が FIX:EncryptInterceptor バイパスの可能性”Critical WordPress Plugin Flaw Lets Attackers Bypass Authentication and Gain Admin Access
2026/04/13 CyberSecurityNews — WordPress のプラグイン User Registration & Membership で発見された、深刻なセキュリティ脆弱性 CVE-2026-1492 により、世界中の数千の Web サイトが重大なリスクに直面している。この脆弱性を悪用する攻撃者は、ユーザー名/パスワード/既存アカウントを一切必要とせず、ログイン処理を完全に回避して管理者権限を取得できる。
Continue reading “WordPress Membership プラグインの脆弱性 CVE-2026-1492 が FIX:認証回避と管理者権限窃取”Marimo RCE Vulnerability Exploited Within 10 Hours of Public Disclosure
2026/04/13 gbhackers — オープンソースの Python ノートブック・プラットフォーム Marimo で発見された深刻な脆弱性は、公開から 10時間未満で悪用が確認されている。この脆弱性は GHSA-2679-6mx9-h9xc として公開され、後に CVE-2026-39987 (CVSS 9.3) が採番された。この脆弱性を悪用する未認証の攻撃者は、対象インスタンス上で完全な対話型シェルを取得できる。Sysdig の研究者によると、2026年4月8日の公開から、わずか 9時間41 分で実環境における攻撃が観測されたという。
Continue reading “Marimo の RCE 脆弱性 CVE-2026-39987 が FIX:短時間での悪用が示唆する AI の悪用”Elon Musk Announces to Launch XChat With Self-Destruct Message Features
2026/04/13 CyberSecurityNews — Elon Musk が正式に公開した XChat は、 X プラットフォームのダイレクトメッセージのセキュリティ基盤を大規模に刷新するものだ。Signal や Telegram のようなセキュア・メッセンジャーとの競合を目的とする XChat は、強力なプライバシー機能を X エコシステム内へ直接統合するものだ。新たな自己消去メッセージに加えて、End-to-End Encryption (E2E) と分散型アイデンティティ・メカニズムの導入が特に注目されている。
Continue reading “Elon Musk が XChat を公表:自己消去メッセージと End-to-End 暗号化を導入”Adobe Fixes Actively Exploited Zero-Day in Acrobat Reader
2026/04/13 gbhackers — Adobe が公開したのは、Windows/macOS 向けの Acrobat/Reader に存在する深刻なゼロデイ脆弱性に対処する緊急セキュリティ・アップデートである。Adobe のアドバイザリ APSB26-43 によると、この脆弱性は既に実環境で悪用されており、Priority 1 として扱われている。この脆弱性 CVE-2026-34621 (CVSS 8.6) は、オブジェクト・プロトタイプ属性の不適切な変更制御 (Prototype Pollution ) に分類される (CWE-1321)。
Continue reading “Adobe Acrobat/Reader の脆弱性 CVE-2026-34621 が FIX:任意のコード実行の恐れ”
IoT OT Security News 