技術 2026年4月14日(火) 約6分 ShowDocのファイルアップロードRCE(CVE-2025-0520)が5年越しで実攻撃に 2020年に公開されたShowDocのCVSS9.4ファイルアップロード脆弱性が、2026年4月にVulnCheck Canariesのハニーポットで初の実悪用を確認。2,000以上の露出インスタンスが中国を中心に残存する。 セキュリティ CVE RCE ShowDoc 脆弱性
技術 2026年4月13日(月) 約5分 axiosがprototype pollutionのgadgetとしてHTTPヘッダ注入を許していた CVE-2026-40175 CVE-2026-40175: 3月のサプライチェーン侵害とは別件。axiosの設定マージがprototype pollution経由の汚染値をHTTPヘッダに流し、CRLF注入からSSRFまで連鎖する。1.15.0で修正済み。 セキュリティ npm Node.js CVE
技術 2026年4月12日(日) 約5分 Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43) 2025年12月から悪用が続いていたAdobe Acrobat ReaderのプロトタイプPollution RCEに、2026年4月11日にパッチが配布された。CVSS 8.6、Priority 1。72時間以内の適用が推奨される。 セキュリティ Adobe 脆弱性 RCE PDF ゼロデイ パッチ
技術 2026年4月12日(日) 約7分 AIエージェントベンチマーク8本を「1問も解かず」ほぼ満点にした手口の全容 UC BerkeleyのRDIチームがSWE-benchやWebArenaなど主要8ベンチマークを、タスクを一切解かずにほぼ満点まで操作できることを実証。7つの脆弱性パターンと自動攻撃ツールBenchJackも公開された。 AI AIエージェント ベンチマーク セキュリティ
技術 2026年4月11日(土) 約7分 Chrome 146のDBSCがセッションクッキー窃取をTPMで無効化する仕組み GoogleがChrome 146のWindows版でDevice Bound Session Credentials(DBSC)を正式リリース。TPMに秘密鍵を封じ込め、情報窃取マルウェアが盗んだクッキーを別デバイスで使えなくする仕組みを解説する。 Chrome セキュリティ 認証 TPM Web
技術 2026年4月11日(土) 約9分 GlassWormがZigコンパイルのネイティブドロッパーで全IDEに感染する新手口 GlassWormキャンペーンの最新波がZig言語でコンパイルしたネイティブバイナリをVS Code拡張機能に同梱し、マシン上のVS Code・Cursor・Windsurf・VSCodium・Positron全てに第2段ペイロードをサイレントインストールする。 セキュリティ サプライチェーン VS Code マルウェア Zig
技術 2026年4月10日(金) 約15分 GeminiのSynthID透かしをスペクトル分析でリバースエンジニアリング、90%検出・91%除去に成功 Google DeepMindのAI画像透かしSynthIDを、FFTベースのスペクトル分析で逆解析した研究。V3バイパスでSSIM 0.997を維持しつつ91%の位相除去を達成。不可視の透かしを除去する行為は著作権侵害になるのか、DMCA・EU AI Act・不正競争防止法の観点から検討する。 AI Gemini SynthID セキュリティ 電子透かし 信号処理
技術 2026年4月10日(金) 約8分 ロシアGRU APT28がTP-Linkルーターを乗っ取りMicrosoft 365の認証情報を窃取していた FBIとNCSCが公表したOperation Masqueradeの全容。APT28がSOHOルーターのDNSを改ざんし、Outlook認証トークンを傍受していた手口と対策。 セキュリティ CVE ネットワーク
技術 2026年4月10日(金) 約5分 Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立 2025年11月から活発に悪用されているAdobe Reader/Acrobatのゼロデイ。サンドボックスバイパスとRCEを2バグの組み合わせで実現し、最新版を含む全バージョンが影響を受ける。パッチ未提供。 セキュリティ Adobe 脆弱性 ゼロデイ PDF RCE
技術 2026年4月8日(水) 約12分 Claude Mythos Previewが掘り当てた数千のゼロデイとProject Glasswingの防御網 Anthropicが非公開モデルClaude Mythos PreviewでOpenBSD 27年もの・FFmpeg 16年もの・FreeBSD 17年ものを含む数千件のゼロデイを発見。危険すぎて一般公開できないと判断し、Project Glasswingとして12社のパートナーに限定提供する。 Anthropic Claude セキュリティ ゼロデイ Project Glasswing Red Team
技術 2026年4月8日(水) 約6分 Docker Engine AuthZプラグインバイパスの不完全修正が再び悪用可能に(CVE-2026-34040) CVE-2024-41110の修正が1MBを超えるリクエストボディの上限側を見落としていた。Docker Engine 29.3.1未満が影響を受ける。 セキュリティ CVE Docker コンテナ
技術 2026年4月7日(火) 約6分 FlowiseのCustomMCPノードにCVSS 10.0のRCE脆弱性、12,000超のインスタンスが攻撃にさらされている AIエージェントビルダーFlowiseのCustomMCPノードにFunction()コンストラクタ経由の任意コード実行脆弱性CVE-2025-59528が見つかり、実際に悪用されている。12,000以上のインスタンスがインターネットに露出中。 セキュリティ CVE Flowise MCP RCE
