#セキュリティ

AIエージェントのローカル隔離実行、macOS sandbox-execとWindowsサンドボックスで何が違うか

AIコーディングエージェントのローカル隔離実行を実現する2つのアプローチ。macOSはAgent SafehouseがOSネイティブのsandbox-execでカーネルレベル制限、WindowsはCodexがVMベースのWindowsサンドボックスを活用する。

CyberStrikeAI FortiGate侵害600台、Cloudflare WAF常時検知、RFC 9849 ECH標準化、VMware Aria KEV登録

AI攻撃ツールCyberStrikeAIによるFortiGate 600台侵害、CloudflareのWAF検知・遮断分離アーキテクチャ、TLS Encrypted Client Hello標準化、VMware Aria OperationsのCISA KEV追加。2026年3月初旬のインフラセキュリティ4件。

AWSのデータセンターがドローンで燃えた。SLAは助けてくれない

2026年3月、イランの報復攻撃でAWSバーレーン・UAEリージョンが物理的に破壊された。force majeure条項により補償はゼロ。止まっているのにRIは課金され続ける。クラウドの物理リスクとDR戦略を考える。

Webコンポーネント vs ReactとDependabot vs govulncheckで開発スタックを問い直す

「本当にReactが要るのか」というWebコンポーネント再評価論と、「DependabotをオフにしてGo脆弱性チェックに切り替える」という主張。どちらも長年の標準とされてきたツール選択を、技術的根拠をもとに問い直している。

AIで侵害し、AIで守り、人間が穴を開ける（2026年2月セキュリティまとめ）

DeepSeekとClaudeを駆使して106カ国のFortiGateを自動スキャンしたキャンペーン、MFAを無効化するリバースプロキシ型PhaaS Starkiller、AnthropicのClaude Code Securityが本番OSSで500件超の脆弱性を発見、そしてPayPalがコードミスで6ヶ月間SSNを露出していた事実。

CISA KEV追加の重大脆弱性4件（ChromiumゼロデイからデフォルトRCEまで）

同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。

Googleエンジニア起訴とMuMuプレイヤーの偵察コマンド問題

元Googleエンジニア3名がイランへの機密転送で起訴された事件と、NetEase製MuMu PlayerがmacOSで30分ごとに17種のシステム偵察コマンドを実行していた問題。ソフトウェアと人への信頼が揺らいだ週の記録。

Chrome・VS Code・Copilotのセキュリティ問題まとめ

Chrome Zero-dayのUAF脆弱性、VS Code拡張機能4つの重大脆弱性、Microsoft Copilotの機密メール漏洩バグ。開発者の日常ツールに潜むセキュリティリスクを整理する。

CISAがアクティブ悪用中の脆弱性4件をKEVカタログに追加

CISAが2026年2月のKEVカタログ更新で、Google ChromeのUAF（CVE-2026-2441）を含む4件の脆弱性を追加。17年前のMicrosoft脆弱性も再浮上した。

Dell RecoverPointのゼロデイCVE-2026-22769、中国系APTが2024年半ばから悪用

Dell RecoverPoint for VMsのCVSS 10.0脆弱性が、中国関連の脅威グループUNC6201によって1年半以上にわたり悪用されていたことが判明した。

CVE-2026-21509: Microsoft Officeのゼロデイ脆弱性、緊急パッチ公開

Microsoft OfficeのOLE緩和策をバイパスするゼロデイ脆弱性が実際に悪用されており、緊急パッチがリリースされた。

Notepad++の公式アップデート機構がハイジャックされていた

Notepad++のアップデーター（WinGUp）がホスティングプロバイダの侵害を通じてハイジャックされ、特定ユーザーに悪意あるバイナリが配布されていた事件の解説。