White House Pushes Back Against Anthropic’s Mythos Expansion
2026/04/30 SecurityBoulevard — 最先端 AI モデルの配布方法を巡って、Anthropic Mythos へのアクセス拡大計画に反対するホワイトハウスと主要 AI ベンダーとの間で高リスクな対立が生じている。2026年4月7日に Mythos を公開した Anthropic は、Amazon/Microsoft/Google/NVIDIA などの限定的な企業に対してのみアクセスを許可した。このモデルは、ソフトウェア脆弱性の特定/悪用の能力が極めて高い。
Continue reading “Anthropic と米政府:Mythos の能力と拡大を巡る新たな対立構造とは?”Critical Wireshark Vulnerabilities Let Attackers Execute Arbitrary Code Via Malformed Packets
2026/04/30 CyberSecurityNews — Wireshark が公開したのは、40 件以上の脆弱性に対処する大規模なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、細工されたパケット注入や悪意のキャプチャ・ファイルにより、任意のコード実行を可能にする。世界で最も広く使用されるオープンソースのネットワーク・プロトコル・アナライザー Wireshark を用いて、ネットワーク監視/フォレンジック/トラフィック分析を実践している組織/個人は、Wireshark 4.6.5 へと速やかにアップデートする必要がある。
Continue reading “Wireshark の脆弱性 40件以上が FIX:プロトコル・モジュールにおける欠陥を AI が解析”Misconfigured Server Run by Hackers Leaks 345,000 Stolen Credit Cards
2026/04/30 hackread — あるハッカー集団が放置していた、ミスコンフィグによりセキュリティ保護が欠落したサーバが、研究者たちにより発見された。2026年4月16日に発見されたサーバは、Jerry’s Store と呼ばれるオンライン・ショップとリンクしていた。この悪意のサイトは、盗難クレジット・カードの有効性を確認するカーディング・マーケットとして機能している。さらに調査を進めた結果、AI コードエディタ操作のミスにより、ハッカーのデータベースが漏洩したことが判明した。
Continue reading “Cursor を愛用するハッカーが情報を漏洩:盗んだクレカ 345,000 件の有効性を判別する手法とは?”PoC Disclosed for Critical Root ASUSTOR ADM RCE Flaw
2026/04/30 gbhackers — ASUSTOR の ADM (ASUSTOR Data Master) オペレーティング・システムの PPTP VPN Client 機能内に存在する、深刻な OS コマンドインジェクションの脆弱性 CVE-2026-6644 (CVSS v4.0:9.4) が明らかにされた。この脆弱性を悪用する認証済み管理者は、root 権限での任意のコマンド実行を可能にする。すでに ASUSTOR は、ADM バージョン 5.1.3.RGO1 をリリースし、この問題に対処している。
Continue reading “ASUSTOR ADM の 脆弱性 CVE-2026-6644 が FIX:root 権限での RCE と PoC のリリース”Popular Python Package lightning Hacked in Supply Chain Attack
2026/04/30 CyberSecurityNews — AI 製品のトレーニング/デプロイ/提供に使用される人気の PyPI パッケージ Lightning が、現在進行中のサプライチェーン攻撃により侵害された。具体的には、PyTorch Lightning フレームワークにおけるインポート時に、認証情報窃取マルウェアが自動実行されるという問題が発生し、GitHub メンテナ・アカウントの侵害も確認されている。
Continue reading “PyTorch Lightning にサプライチェーン攻撃:GitHub アカウント侵害の可能性”Jenkins Plugin Updates Fix Path Traversal and Stored XSS Bugs
2026/04/30 gbhackers — Jenkins プロジェクトが公開したのは、複数のプラグインに存在する 7 件の脆弱性に対処する重大なセキュリティ・アドバイザリである。それらの脆弱性には、深刻なパス・トラバーサルおよび蓄積型クロスサイト・スクリプティング (XSS) が含まれており、攻撃者により悪用されると、任意のコード実行やユーザー・セッションの乗っ取りに至る恐れがある。
Continue reading “Jenkins プラグインの 7 件の脆弱性が FIX:パス・トラバーサルや蓄積型 XSS の不具合を修正”ProFTPD SQL Injection Flaw Opens Door To Remote Code Execution Attack
2026/04/30 gbhackers — ProFTPD が公開した新たな脆弱性が注目を集めている。この脆弱性により、単純な SQL インジェクションのバグから、認証バイパスや権限昇格が発生し、一部環境ではリモート・コード実行 (RCE) へと至る可能性がある。ProFTPD の mod_sql モジュールの脆弱性 CVE-2026-42167 は、MITRE により CVSS v3 スコア 8.1 (High) と評価されている。
Continue reading “ProFTPD の脆弱性 CVE-2026-42167 が FIX:SQL インジェクションによる RCE”SonicWall SonicOS Vulnerabilities Allow Attackers to Bypass Access Controls and Crash Firewall
2026/04/30 CyberSecurityNews — SonicWall が公開したのは、SonicOS ソフトウェアに存在する 3 件の脆弱性 CVE-2026-0204/0205/0206 に対処するセキュリティ・アドバイザリの情報である。これらの脆弱性を悪用する攻撃者は、アクセス制御のバイパスや制限されたサービスへのアクセスを行い、さらにファイアウォールをクラッシュさせることで、サービス拒否状態を引き起こす恐れがある。そのため、管理者に強く推奨されるのは、最新ファームウェアの更新を直ちに適用し、これらの脆弱性からネットワークを保護することだ。なお、一連の脆弱性は、CrowdStrike Advanced Research Team により発見された。
Continue reading “SonicOS の脆弱性 CVE-2026-0204/0205/0206 が FIX:アクセス制御回避と DoS の恐れ”Compromised SAP npm Packages Found Harvesting Developer and CI/CD Secrets
2026/04/30 gbhackers — SAP 開発者エコシステムを標的とする深刻なサプライチェーン攻撃を、セキュリティ研究者たちが特定した。TeamPCP と識別される脅威グループは、“Mini Shai Hulud” と名付けられた新たなキャンペーンにおいて、複数の正規 SAP npm パッケージを侵害した。この攻撃は、依存関係インストール時にサイレントに実行される、悪意のプレインストール・スクリプトの注入から始まる。
Continue reading “SAP npm パッケージの汚染:依存関係インストール時にサイレント実行される悪意”Linux Kernel 0-Day “Copy Fail” Roots Every Major Distribution Since 2017
2026/04/30 CyberSecurityNews — 2017年以降に出荷された、大半の主要 Linux ディストリビューションのカーネルに、深刻なゼロデイ脆弱性が存在することが判明した。この脆弱性 CVE-2026-31431 を悪用する非特権ローカル・ユーザーは、root 権限の取得が可能になる。この脆弱性は、Theori の研究者 Taeyang Lee により発見され、Copy Fail と命名された。その後に、Xint Code Research Team が、AI 支援される解析を行ったことで完全なエクスプロイト・チェーンへと拡張された。
Continue reading “Copy Fail という Linux Kernel ゼロデイの正体:2017年以降の全ディストロで root 昇格を許す”
IoT OT Security News 