When Geopolitics Writes Your Compliance Roadmap
2026/04/17 SecurityBoulevard — サイバー政策は、現実のサイバーに遅れ続けてきた。侵害後に規制が定められ、失敗後にフレームワークが形成され、誰かが大きな損失を被った後に説明責任の構造が具現化してきた。NCC Group の Global Cyber Policy Radar 第 5 版が示唆するのは、ついに、このサイクルが変化し始めたことだ。ただし、政府が賢くなったわけではない。無視できないほど、リスクが拡大したからである。
Continue reading “地政学的分断によるリスク:デジタル主権/AI ガバナンス/取締役会の在り方がカギとなる”Commercial AI Models Show Rapid Gains in Vulnerability Research
2026/04/17 infoSecurity — 非公開の最先端 AI モデルである Anthropic Claude Mythos が、主要なオペレーティング・システムをカバーするかたちで数千件のゼロデイ脆弱性を特定できる能力を示す一方で、一般的な商用モデルにおいてもソフトウェアのバグ発見能力が進展している。Forescout の Verde Labs によると、1 年前には AI モデルの 55% が基本的な脆弱性調査に失敗し、93% がエクスプロイト開発タスクに失敗していた。しかし、その後の進展により、2026年のテスト対象となった全モデルが脆弱性調査タスクを完了し、その半数において、自律的に動作するエクスプロイト生成が可能となっている。
Continue reading “AI の能力による脆弱性発見プロセスの変化:攻撃者の参入障壁が大幅に低下”NIST, Overrun by Massive Numbers of Submitted CVEs, Limits Analysis Work
2026/04/17 SecurityBoulevard — 長年にわたり、ソフトウェアの脆弱性を追跡/分析/カタログ化を行い、その成果を広く公開してきた連邦機関 NIST だが、世界中から報告/提出される膨大な数のセキュリティ欠陥に圧倒され、対応の範囲を縮小するという状況にある。今週に National Institute of Standards and Technology (NIST) が発表したのは、Common Vulnerabilities and Exposures (CVE) に関する詳細情報の付与を、特定条件を満たすものだけに限定するという声明である。
Continue reading “NIST NVD の方針を転換させる CVE の急増:詳細情報の付与を優先対象のみに限定”Windows Snipping Tool Vulnerability Allows Attacker to Perform Spoofing Over a Network
2026/04/17 CyberSecurityNews — Microsoft が公表したのは、Windows Snipping Tool に存在する深刻度 Medium のセキュリティ脆弱性への対処である。このスプーフィングの脆弱性 CVE-2026-33829 を悪用する攻撃者は、ユーザー認証情報を窃取する可能性がある。なお、この脆弱性は、Blackarrow (Tarlogic) のセキュリティ研究者により発見/報告され、2026年04月14日の Patch Tuesday で正式に修正されている。
Continue reading “Windows Snipping Tool の脆弱性 CVE-2026-33829:NTLM リークと PoC の存在”Anthropic Introduces Claude Opus 4.7 for Advanced Problem-Solving
2026/04/17 gbhackers — Anthropic は、Claude Opus 4.7 を正式にリリースした。大規模なアップグレードは、複雑なソフトウェア・エンジニアリングへの対応を目的とするものであり、それと同時に厳格なサイバー・セキュリティ保護機構を導入している。2026年04月16日に公開された新モデルは、開発者のための問題解決能力の強化と、AI に伴う dual-use リスクに対して積極的に対処するものだ。
Continue reading “Claude Opus 4.7:開発者のための問題解決能力の強化と dual-use リスクへの対応”One-Click RCE in Azure Windows Admin Center Allow Attacker to Execute Arbitrary Commands
2026/04/17 CyberSecurityNews — Windows Admin Center はローカルにデプロイされるブラウザ・ベースの管理ツールであり、Windows/サーバ/クライアント/クラスターを管理するための、中央集約型の GUI 環境を提供するものだ。Cymulate Research Labs により発見された、この深刻な脆弱性 CVE-2026-32196 を悪用する攻撃者は、Azure 統合環境およびオンプレミス環境において、認証不要かつワンクリックでのリモートコード実行 (RCE) を可能にする。
Continue reading “Azure WAC の脆弱性 CVE-2026-32196:オンプレミス環境での未認証ワンクリック RCE に注意”Attackers Weaponize CVE-2026-39987 to Spread Blockchain-Based Backdoor Via Hugging Face
2026/04/17 CyberSecurityNews — Marimo Python ノートブック・プラットフォームの深刻な脆弱性が、現在進行形の攻撃で積極的に悪用され、Blockchain ベースのバックドアが開発者のシステムに展開されている。この脆弱性 CVE-2026-39987 により認証不要のリモートコード実行が可能になるため、攻撃者にとって極めて魅力的な侵入ポイントが生じる。この脆弱性を悪用する攻撃者は、偽の Hugging Face Space を通じて NKAbuse マルウェアの新たなバリアントをインストールしている。
Continue reading “Hugging Face から GO バックドアを展開:Marimo の脆弱性 CVE-2026-39987 を武器化”TP-Link Routers Hit by Mirai in CVE-2023-33538 Attacks
2026/04/17 gbhackers — 脆弱な TP-Link 家庭用ルーターを標的とするスキャン活動において、古い脆弱性を悪用する攻撃者が、Mirai 亜種のマルウェアを自動的に配布している。現時点におけるエクスプロイト試行には実装ミスが存在するが、脆弱性 CVE-2023-33538/デフォルト認証情報/EOL ファームウェアの連鎖により、ユーザーは危険な状態に陥ると、Palo Alto Unit 42 の研究者たちが警告している。
Continue reading “TP-Link Router の脆弱性 CVE-2023-33538:EOL 狙いの Mirai 亜種配布を検知”CISA Warns of Apache ActiveMQ Input Validation Vulnerability Exploited in Attacks
2026/04/17 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache ActiveMQ に存在する Critical なセキュリティ欠陥に対して緊急警告を発出した。2026年04月16日に同機関は、脆弱性 CVE-2026-34197 を Known Exploited Vulnerabilities (KEV) カタログへ正式に登録した。
Continue reading “CISA KEV 警告 26/04/16:ActiveMQ の脆弱性 CVE-2026-34197 を KEV に登録”
IoT OT Security News 