#ゼロデイ

GTIGが初観測したAI生成ゼロデイ、OSSウェブ管理ツールの2FAをLLMが見つけたセマンティック欠陥でバイパス

2026年5月11日にGoogle GTIGが公表した、攻撃者がLLMで生成したゼロデイの初確認事例。OSSウェブ系管理ツールの2FAバイパスを「ハードコードされた信頼仮定」のセマンティック欠陥として発見、Pythonエクスプロイトに残ったハルシネートCVSSスコアと教科書的構造が手がかりだった。APT45・UNC2814の周辺動向まで整理

Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布（CVE-2026-34621 / APSB26-43）

2025年12月から悪用が続いていたAdobe Acrobat ReaderのプロトタイプPollution RCEに、2026年4月11日にパッチが配布された。CVSS 8.6、Priority 1。72時間以内の適用が推奨される。

Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立

2025年11月から活発に悪用されているAdobe Reader/Acrobatのゼロデイ。サンドボックスバイパスとRCEを2バグの組み合わせで実現し、最新版を含む全バージョンが影響を受ける。パッチ未提供。

Claude Mythos Previewが掘り当てた数千のゼロデイとProject Glasswingの防御網

Anthropicが非公開モデルClaude Mythos PreviewでOpenBSD 27年もの・FFmpeg 16年もの・FreeBSD 17年ものを含む数千件のゼロデイを発見。危険すぎて一般公開できないと判断し、Project Glasswingとして12社のパートナーに限定提供する。

Chrome 146のDawnにuse-after-free、2026年4件目のゼロデイが実環境悪用

WebGPU実装DawnのUAF脆弱性CVE-2026-5281がin-the-wildで悪用確認。Chrome 146.0.7680.177/178へのアップデートが必要。

Cisco FMC CVSS 10.0ゼロデイ CVE-2026-20131をInterlockランサムウェアが36日間悪用

Cisco Secure FMCの未認証RCE脆弱性CVE-2026-20131（CVSS 10.0）をInterlockランサムウェアグループがCisco公表の36日前から悪用。Amazon Threat Intelligenceが詳細なツールキットを解析した。

Chrome 146のゼロデイ2件、SkiaとV8で実環境悪用を確認

GoogleがChrome 146.0.7680.75で修正した2件のゼロデイ脆弱性。Skia（CVSS 8.8）とV8（CVSS 8.8）への攻撃が実環境で確認されており、2026年に入って3件目のChrome緊急パッチとなった。

CISA KEV追加の重大脆弱性4件（ChromiumゼロデイからデフォルトRCEまで）

同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。

Dell RecoverPointのゼロデイCVE-2026-22769、中国系APTが2024年半ばから悪用

Dell RecoverPoint for VMsのCVSS 10.0脆弱性が、中国関連の脅威グループUNC6201によって1年半以上にわたり悪用されていたことが判明した。

CVE-2026-21509: Microsoft Officeのゼロデイ脆弱性、緊急パッチ公開

Microsoft OfficeのOLE緩和策をバイパスするゼロデイ脆弱性が実際に悪用されており、緊急パッチがリリースされた。