109 Fake GitHub Repos Spread SmartLoader, StealC Malware
2026/04/22 gbhackers — 偽の GitHub リポジトリを用いる連携型のマルウェア・オペレーションが、 LuaJIT ベースの SmartLoader と後続の StealC Infostealer を配布していることが確認された。悪意のリポジトリは 109 件であり、そのオペレーションに用いられるアカウントは 103 件である。このキャンペーンのコア要素は、オープンソース・コードのクローン/難読化された Lua ステージ/ブロックチェーン・ベースの C2 解決の組み合わせであり、検知回避とインフラの機動性を維持している。
Continue reading “偽の GitHub リポジトリを連携させるマルウェア・オペレーション:SmartLoader/StealC Malware を配布”Claude Mythos AI Model Uncovers 271 Zero-Day Vulnerabilities in Firefox
2026/04/22 CyberSecurityNews — Anthropic の最新フロンティア AI モデルである Claude Mythos Preview は、Mozilla Firefox において 271 件のゼロデイ脆弱性を特定し、AI 駆動のサイバー・セキュリティ防御における大きな転換点を示した。そこで発見された一連の脆弱性は、ブラウザ史上最大の規模のセキュリティ修正として対応され、Firefox 150 に反映された。
Continue reading “Claude Mythos が証明した脆弱性発見能力:Firefox の 271 件のゼロデイを単一の評価で検出”Critical Spring Authorization Server Issue Exposes Systems to XSS and SSRF Attacks
2026/04/22 gbhackers — Spring Security Authorization Server に存在する、深刻な脆弱性 CVE-2026-22752 が 2026年4月21日に公開された。この脆弱性は、Dynamic Client Registration エンドポイントを実装/運用している組織に影響を及ぼす。この脆弱性を悪用する攻撃者は、悪質なクライアント・メタデータの注入が可能となり、保存型クロスサイト・スクリプティング (XSS)/権限昇格/サーバサイド・リクエスト・フォージェリ (SSRF) を引き起こす可能性がある。この問題は、セキュリティ研究者 Kelvin Mbogo により責任ある形で報告された。
Continue reading “Spring Security Authorization Server の脆弱性 CVE-2026-22752 が FIX:XSS/SSRF/権限昇格のリスク”Critical Atlassian Bamboo Data Center and Server Flaw Enables Command Injection Attacks
2026/04/22 CyberSecurityNews — Atlassian が公開したのは、Bamboo Data Center/Server 製品に影響を及ぼす、2 件の深刻なセキュリティ脆弱性 CVE-2026-21571/CVE-2026-33871 に関する情報である。そこに含まれるのは、深刻度 Critical の OS コマンド・インジェクションの脆弱性と、サードパーティの依存関係に関連する深刻度 High のサービス拒否 (DoS) の脆弱性である。影響を受けるバージョンを運用する組織に対して強く推奨されるのは、直ちにパッチを適用することである。
Continue reading “Atlassian Bamboo の脆弱性 CVE-2026-21571/33871 が FIX:リモート・コマンド・インジェクションの恐れ”1,370+ Microsoft SharePoint Servers at Risk of Spoofing Attacks Found Exposed Online
2026/04/22 gbhackers — Microsoft SharePoint のスプーフィングの脆弱性 CVE-2026-32201 が、現在も実環境で積極的に悪用されている。それにより、インターネットに公開される 1,370台以上のサーバを介して、無数の企業ネットワークに深刻なリスクがもたらされていると、 Shadowserver Foundation の研究者たちが指摘している。これらの未パッチ・システムを突く攻撃者たちは、セキュリティ制御/セキュリティ・プロトコルを回避し、ネットワークの完全性を侵害する高度な攻撃を引き起こせる。
Continue reading “Microsoft SharePoint のスプーフィング脆弱性 CVE-2026-32201:1,370 台以上のサーバがインターネットに露出”Microsoft Emergency .NET 10.0.7 Update to Patch Elevation of Privilege Vulnerability
2026/04/22 CyberSecurityNews — 2026年04月21日に、Microsoft は .NET 10 のバージョン 10.0.7 をリリースし、Microsoft.AspNetCore.DataProtection NuGet パッケージに存在する、深刻な脆弱性に対処した。この脆弱性を悪用する攻撃者により、重大な特権昇格が生じる恐れがある。今回の OOB リリースの背景にあるのは、通常の Patch Tuesday における .NET 10.0.6 アップデート適用後の、ASP.NET Core アプリケーションにおいて復号失敗が発生したという顧客からの報告である。
Continue reading “Microsoft が .NET 10.0.7 を緊急リリース:深刻な権限昇格の脆弱性 CVE-2026-40372 に対応”Amazon, Anthropic Expand Alliance With 5GW Compute Push to Power Claude
2026/04/22 gbhackers — Amazon と Anthropic が発表したのは、戦略的な提携の大幅な拡張である。そこで締結された契約の内容は、Claude AI モデルの学習および展開のために、最大 5 ギガワット (GW) のコンピューティング容量を新たに確保するというものだ。この積極的な取り組みは、急速に進化する GenAI テクノロジーを安全かつ効率的に支えるために必要とされる、インフラの規模の大きさを示している。需要の急増に対応するために、Anthropic は今後の 10 年間で、AWS テクノロジーに対して $100 billion 以上を投資する方針であるという。
Continue reading “Amazon と Anthropic が締結した契約:Claude のための 5GW コンピューティング容量と AWS への統合”CrowdStrike LogScale Vulnerability Allows Remote Attackers to Read Arbitrary Files from Server
2026/04/22 CyberSecurityNews — CrowdStrike が発表したのは、LogScale プラットフォームに影響を及ぼす深刻な脆弱性 CVE-2026-40050 (CVSS v3.1:9.8) に関する緊急セキュリティ・アドバイザリである。このパス・トラバーサルの欠陥を突く未認証のリモート攻撃者は、サーバのファイル・システムから任意ファイルを読み取ることが可能になる。
Continue reading “CrowdStrike LogScale の脆弱性 CVE-2026-40050 が FIX:システム・ファイルへの不正アクセスの恐れ”Unauthorized Group Gains Access to Anthropic’s Exclusive Cyber Tool Mythos
2026/04/22 CyberSecurityNews — 未承認のユーザー・グループが、厳重管理される Anthropic の強力な AI 駆動サイバー・セキュリティ・ツール Claude Mythos Preview の、アクセス制御を突破したと報告されている。それにより、サードパーティに与えられている高度な攻撃型 AI 能力が、脅威アクターたちの手に渡るという懸念が生じている。
Continue reading “Anthropic Claude Mythos Preview への不正アクセス:未承認のユーザー・グループが制限を突破”
IoT OT Security News 