ClickUp’s Hardcoded API Key Exposes 959 Emails from Fortune 500 Giants
2026/04/27 CyberSecurityNews — ClickUp のホームページ上で公開されている JavaScript ファイルから、Home Depot/Fortinet/Autodesk/Tenable/Rakuten/Mayo Clinic/Permira/Akin Gump や米国州政府などにおける 1,000件弱のメールアドレスが漏洩していたことが判明した。この問題は、ハードコードされたサードパーティ API キーを介して発生しており、2025年1月に初めて報告されたが、2026年4月現在も更新されていない。
Continue reading “ClickUp のハードコードされた API Key:Fortune 500 企業のメールアドレス 959 件が漏洩”82 Chrome Extensions Found Selling User Data, 6.5 Million Users Affected
2026/04/29 hackread — 多くのユーザーに見られる傾向として、ブラウザ・エクステンションの安易なインストールが挙げられる。最近のインシデントが示すとおり、LayerX Security の新たな調査結果である Enterprise Browser Extension Security Report 2026 が指摘するのは、多数のエクステンションが個人データを収集し、第三者へ販売しているという事実である。
Continue reading “Chrome エクステンション 82 件で確認された情報収集モデル:QVI という名で650 万ユーザーに影響”Microsoft Releases Enterprise Policy Option to Disable Windows 11 Copilot
2026/04/27 gbhackers — Microsoft が導入した新たなエンタープライズ・ポリシー設定により、管理対象 Windows 11 デバイスからの Microsoft Copilot アプリのサイレント・アンインストールが可能になった。この 2026年4月23日付けのアナウンスメントにより、組織全体で AI ツール配備を制御する方法に大きな変化が生じている。新しい RemoveMicrosoftCopilotApp ポリシー設定は、2026年4月 Patch Tuesday セキュリティ 更新後に利用可能となっている。
Continue reading “Microsoft の Copilot 縮小:新たなエンタープライズ・ポリシー によりアンインストールに対応”Notepad++ Vulnerability Allows Attackers to Crash Application, Leak Memory Data
2026/04/27 CyberSecurityNews — 開発者および IT 担当者たちに広く使用されるオープンソース・テキストエディター Notepad++ において、セキュリティ脆弱性 CVE-2026-3008 が確認された。この脆弱性を悪用するリモート攻撃者は、アプリケーション・クラッシュを引き起こし、対象システムから機密性の高いメモリアドレス情報を窃取する可能性がある。
Continue reading “Notepad++ の脆弱性 CVE-2026-3008 が FIX:FindInFiles 機能の不備によるクラッシュと情報漏洩”BlackFile Group Targets Retail and Hospitality with Vishing Attacks
2026/04/27 InfoSecurity — 2026年2月以降において、小売/ホスピタリティ業界を標的として活動する新たな恐喝グループの詳細が、セキュリティ研究者たちにより明らかにされた。Palo Alto Networks の Unit 42 は、RH-ISAC (Retail and Hospitality Information Security and Analysis Center) と共同で、2026年4月23日に “Extortion in the Enterprise: Defending Against BlackFile Attacks” を公開した。
Continue reading “BlackFile 恐喝グループの多層的な攻撃手法:小売/ホスピタリティ業界に対する vishing 攻撃”Critical Gemini CLI Flaw Raises Supply Chain Security Concerns
2026/04/27 gbhackers — Google が公開したのは、Gemini CLI と関連する GitHub Actions における、深刻な脆弱性へ対処するための緊急のセキュリティ更新である。この脆弱性 GHSA-wpqr-6v78-jr5g (CVSS 10.0) により、CI/CD (Continuous Integration and Continuous Deployment) パイプラインがリモート・コード実行 (RCE) 攻撃の危険にさらされる。この問題は、ワークスペースの信頼設定およびツール許可リスト処理の不備に起因し、自動化ワークフローの侵害を可能とするものである。それにより、サプライチェーン・セキュリティに関する深刻な懸念が引き起こされる。
Continue reading “Google Gemini CLI の RCE 脆弱性 CVE-N/A が FIX:サプライチェーン・セキュリティに懸念”Nessus Agent Vulnerability on Windows Enables Arbitrary Code Execution with SYSTEM Privileges
2026/04/27 CyberSecurityNews — Tenable が公表したのは、Nessus Agent for Windows の脆弱性 CVE-2026-33694 を悪用する攻撃者に対して、最高権限である SYSTEM レベルでの不正なコード実行を許す恐れがあることだ。この脆弱性評価プラットフォームは広く導入されているため、多くの企業のセキュリティ・チームにとって深刻な懸念事項となっている。
Continue reading “Nessus Agent の脆弱性 CVE-2026-33694 が FIX:Windows Junction の悪用と SYSTEM 権限取得”Metabase Enterprise RCE Flaw Now Has Public Proof-of-Concept Exploit
2026/04/27 gbhackers — Metabase Enterprise の深刻な脆弱性 CVE-2026-33725 に対して、動作が確認済みの PoC エクスプロイトが公開された。 この脆弱性を悪用する攻撃者は、標的システム上でリモート・コード実行 (RCE) を実現し、任意ファイルの読み取りを引き起こす恐れがある。公開されたエクスプロイト・スクリプトの存在により、パッチ未適用のインスタンスを運用する組織のリスクが大幅に増大している。
Continue reading “Metabase Enterprise の脆弱性 CVE-2026-33725 が FIX:PoC エクスプロイト公開でリスク急増”OpenClaw Flaws Expose Systems to Policy Bypass Attacks
2026/04/27 gbhackers — オープンソースの自律型 AI エージェント・フレームワーク OpenClaw は、3 件の Medium レベルの脆弱性に対応するための重要なセキュリティ更新を公開した。これらの不備は npm パッケージのバージョン 2026.4.20 未満に存在し、ポリシー回避/不正なローカル・コンフィグ変更/API 資格情報漏洩といった深刻なリスクを引き起こす。IT 管理者およびセキュリティ担当者は、最新の 2026.4.20 へと速やかにアップデートし、エージェント環境を保護すべきである。
Continue reading “OpenClaw の 3件の脆弱性 CVE-N/A が FIX:ポリシー回避/コンフィグ変更などの対応”
IoT OT Security News 