Day: April 24, 2026

Google Gemini の方向性は汎用化:Mythos のようなフロンティア・モデルは計画していない

Google Favors General-Purpose Gemini Models Over Cybersecurity‑Specific AI

2026/04/24 InfoSecurity — Google Cloud の運用責任者は、Anthropic の Claude Mythos のようなサイバー・セキュリティに特化したフロンティア・モデルを、別系統でリリースする計画はないと述べている。Google の考え方は、Gemini 3.1 Pro などの高品質な汎用 AI モデルが、すでに十分な性能を持ち、サイバー・セキュリティ要件に対応可能であるというものだ。

Continue reading “Google Gemini の方向性は汎用化:Mythos のようなフロンティア・モデルは計画していない”

Cisco Firepower の脆弱性 CVE-2025-20333/20362:パッチ未適用環境に APT がバックドアを展開

Hackers Exploit Cisco Firepower N-Day Flaws for Unauthorized Access

2026/04/24 gbhackers — Cisco Firepower デバイスにおける既知の脆弱性 CVE-2025-20333/CVE-2025-20362 を積極的に悪用する、国家支援型の脅威アクター UAT-4356 が、高度なカスタム・バックドアを展開している。これらは、Cisco の Firepower eXtensible Operating System (FXOS) に影響する N-Day 脆弱性である。

Continue reading “Cisco Firepower の脆弱性 CVE-2025-20333/20362:パッチ未適用環境に APT がバックドアを展開”

React2Shell CVE-2025-55182 の悪用:シークレット窃取と標的の自動選定を AI で実現

Hackers Track 900+ React2Shell Exploits via Telegram Bots

2026/04/24 gbhackers — Telegram ボットと AI のツール化を組み合わる攻撃者が、深刻な脆弱性 (CVE-2025-55182) を悪用することで、大規模かつ構造化された攻撃キャンペーンを展開し、900 件以上を侵害している。調査により発見されたのは、悪意のプラットフォーム Bissa Scanner に関連する公開サーバである。このプラットフォームは、単にデータ収集するものではなく、多数の被害者に対してエクスプロイト/ステージング/検証を行うために悪用されている。

Continue reading “React2Shell CVE-2025-55182 の悪用:シークレット窃取と標的の自動選定を AI で実現”

Hugging Face を介したマルウェア配信:悪意の npm パッケージ “js-logger-pack” とは?

Malicious npm Package Turns Hugging Face Into Malware CDN and Exfiltration Backend

2026/04/23 CyberSecurityNews — “js-logger-pack” と名付けられた不正な npm パッケージにより、広く信頼される AI モデル・ホスティング・プラットフォーム Hugging Face が悪用され、マルウェア配布ネットワークやデータ窃取の基盤として機能していることが判明した。このキャンペーンが示すのは、攻撃者が正規クラウドサービスを悪用しながら検知を回避する、サプライチェーン攻撃手法の変化である。

Continue reading “Hugging Face を介したマルウェア配信:悪意の npm パッケージ “js-logger-pack” とは?”

Ollama の脆弱性 CVE-2026-5757: GGUF ファイル処理とメモリ破壊

Hackers Exploit Ollama Model Uploads to Leak Server Data

2026/04/24 gbhackers — ローカル環境で LLM を実行するオープンソース・プラットフォーム Ollama の、量子化エンジン・モデルに存在する深刻な脆弱性 CVE-2026-5757 が、セキュリティ研究者により発見された。悪意を持って細工された AI モデル・ファイルをアップロードする攻撃者は、認証を必要とせず、サーバ上の機密データの窃取を可能にする。

Continue reading “Ollama の脆弱性 CVE-2026-5757: GGUF ファイル処理とメモリ破壊”

Bitwarden CLI 2026.4.0 侵害を検出:認証情報の窃取および CI/CD パイプライン侵入のリスク

Bitwarden CLI Compromised in Supply Chain Attack via GitHub Actions

2026/04/24 CyberSecurityNews — Checkmarx が追跡するサプライチェーン・キャンペーンの一環として、Bitwarden CLI バージョン 2026.4.0 が侵害されたことを、Socket が確認した。このインシデントにより、膨大な数のユーザーと企業が、認証情報の窃取および CI/CD パイプライン侵入のリスクに晒されている。

Continue reading “Bitwarden CLI 2026.4.0 侵害を検出:認証情報の窃取および CI/CD パイプライン侵入のリスク”

Python asyncio モジュールの脆弱性 CVE-2026-3298 が FIX:Windows 環境におけるメモリ破壊

Python Vulnerability Enables Out-of-Bounds Write on Windows

2026/04/24 gbhackers — Python の “asyncio” モジュールに存在する、深刻なセキュリティ脆弱性 CVE-2026-3298 が発見された。この不備を突く攻撃者は、割り当てられたメモリバッファ境界を超えてデータを書き込む可能性がある。この脆弱性は、2026年04月21日に 公式 Python Security アナウンス・メーリングリストで、Python のセキュリティ開発者 Seth Larson により公開された。

Continue reading “Python asyncio モジュールの脆弱性 CVE-2026-3298 が FIX:Windows 環境におけるメモリ破壊”