2026-05-17

セキュリティ対策、何からはじめる？ CloudNative環境の脅威モデリングとリスク評価実践入門 #cloudnativekaigi - Speaker Deck＠脅威モデリング分析の手順。わかりやすい！

セキュリティ対策、何からはじめる？ CloudNative環境の脅威モデリングとリスク評価実践入門 #cloudnativekaigi - Speaker Deck

Step 1. DFDを描いてみる
Step 2. 信頼境界を引いて STRIDE を1周する
Step 3. リスク値で並べて、上位を対策する
セキュリティ対策、何からはじめる？ CloudNative環境の脅威モデリングとリスク評価実践入門 #cloudnativekaigi - Speaker Deck

2026-05-17

［復旧済み］［誤警告情報］検出名Trojan.MSIL.FRS.VSNW0CC26の誤警告事象について：サポート情報 : トレンドマイクロ＠ FanSpeedSetting.exeをトロイと誤検知

IT トレンドマイクロ

［復旧済み］［誤警告情報］検出名Trojan.MSIL.FRS.VSNW0CC26の誤警告事象について：サポート情報 : トレンドマイクロ

■障害発生日時
2026年3月12日午後7時00分～ 2026年3月13日午後2時30分
■障害内容
現時点で、確認している事象は下記の通りです。
スマートスキャンをご利用の環境にて以下検出名での誤警告が発生しております。
・検出名
　Trojan.MSIL.FRS.VSNW0CC26
・ファイル名
　FanSpeedSetting.exe
・SHA1
　74d9769a3f07a69add0d2176382b37726eed2291
■対応状況
弊社クラウド側のパターンに起因して問題が発生しており、弊社クラウド側のパターンを修正することによって問題を解決しております。
お客様側での追加の対応は不要です。
■復旧方法
該当ファイルが製品によって削除されてしまった場合には、OS側で作成または手動管理されているバックアップファイルからの復元をご検討下さい。
または当該ソフトウェアを再インストールするなどの方法をご確認下さい。
該当ファイルが隔離されている場合は、以下の製品Q&Aを参考に、隔離されたファイルを元の場所に戻すことが可能です。
［復旧済み］［誤警告情報］検出名Trojan.MSIL.FRS.VSNW0CC26の誤警告事象について：サポート情報 : トレンドマイクロ

2026-05-17

製品情報：TippingPoint Security Management SystemがTrend Vision Oneの接続に使用する証明書更新のお知らせ：サポート情報 : トレンドマイクロ＠ TippingPointとVisionOneの連携で使う証明書が更新されたそうなので、アップデートが必須みたい。

IT トレンドマイクロ

製品情報：TippingPoint Security Management SystemがTrend Vision Oneの接続に使用する証明書更新のお知らせ：サポート情報 : トレンドマイクロ

■対象製品
Trend Micro TippingPoint Security Management System(以下、SMS)
■対応が必要なバージョン
SMS 6.2.0 Patch3、SMS v6.3.0 Patch2、および SMS v6.4.0以降以外のバージョン
※Trend Vision Oneと接続できないバージョンについては除く
■変更内容
SMS と Trend Vision Oneとの連携に使用する証明書について、Trend Vision One側の証明書が9月25日に更新されました。
■影響
上記以外の古いバージョンのSMSを利用している場合、Trend Vision Oneと連携できなくなる事象が確認されています。
事象を回避するため、SMSを SMS 6.2.0 Patch3、SMS v6.3.0 Patch2、および SMS v6.4.0以降　のバージョンへアップグレードください。
■アップグレード方法
以下FAQをご確認ください。
製品情報：TippingPoint Security Management SystemがTrend Vision Oneの接続に使用する証明書更新のお知らせ：サポート情報 : トレンドマイクロ

2026-05-17

［更新］［製品情報：Red Hat Enterprise Linux 9、10でのRPMの更新によるDSAの起動失敗についてのお知らせ］(2025年11月28日)：サポート情報 : トレンドマイクロ＠ Redhat環境で、Agentアップデート後に、Agentが起動できなくなる問題でアップデートが公開停止して再リリース。OpenSSLのアップデートがパッケージが原因

IT トレンドマイクロ

［更新］［製品情報：Red Hat Enterprise Linux 9、10でのRPMの更新によるDSAの起動失敗についてのお知らせ］(2025年11月28日)：サポート情報 : トレンドマイクロ

Trend Micro Deep Security、Trend Cloud One - Endpoint and Workload Security、Trend Vision One - Server & Workload Protectionにおいて、以下の障害を確認いたしましたのでご連絡いたします。
■対象製品・サービス
Trend Micro Deep Security
Trend Cloud One - Endpoint and Workload Security
Trend Vision One - Server & Workload Protection

■障害内容
Red Hat Enterprise Linux (RHEL) 9、10 のシステムパッケージRPMをrpm-4.16.1.3-39.el9.x86_64/rpm-4.19.1.1-20.el10.x86_64以降にアップデートした後、Trend Micro Deep Security、Trend Cloud One - Endpoint and Workload Security、 Trend Vision One - Server & Workload Protection の各Agentが起動できなくなる問題が発生しております。

■対応状況
(2025/12/24更新）本事象とDSA 20.0.2-29760で発生していたアプリケーションコントロール機能が正しく動作しない問題を修正したDSA 20.0.2-29810が公開されました。
(2025/12/22更新）DSA 20.0.2-29760につきましては、Trend Vision One Server & Workload Protection, Trend Cloud One Workload Security, and Trend Micro Deep Security Application Control may fail to save the inventory when updating rulesに記載の通り、公開停止となりました。
2025/12/24に修正ビルド:DSA 20.0.2-29810をリリースいたしました。
DSA 20.0.2-29810へのアップグレードをお願いいたします。
すでにDSA 20.0.2-29760は非公開となりましたので、弊社としましては、DSA 20.0.2-29760をご利用の場合は、DSA 20.0.2-29810へのアップグレードを推奨いたします。
DSA 20.0.2-29760を引き続きご利用いただくことも可能ですが、公開停止ビルドが原因となって何らかの問題が発生した場合は、調査が行えず、DSAのロールバックのみのご案内となる可能性があることを予めご了承ください。

■原因
RHEL9、10環境に対して行われた11月のシステムアップデートパッチで、OpenSSLパッケージがバージョン3.5にアップグレードされたことが原因です。
詳細については　Unable to start Trend Micro Deep Security Agent (DSA) and Trend Vision One XDR for Endpoints after updating Red Hat Enterprise Linux (RHEL) version 9 or 10 system package　をご確認ください。

■回避策
上記記載の通り、DSA 20.0.2-29810へのアップグレードをお願いいたします。
アップグレードが困難である場合、下記にてご対応をお願いいたします。
なお、下記は回避策であり、恒久対策はDSA 20.0.2-29810へのアップグレードのみとなります。
DSA 20.0.2-29810以外をご利用いただく際の回避策は下記となります。
・RPMを更新しない。
・既にrpm-4.16.1.3-39.el9.x86_64、または、rpm-4.19.1.1-20.el10.x86_64以降にアップデートした場合はロールバックする。
DSA 20.0.2-29810につきましては、Trend Vision One Server & Workload Protection, Trend Cloud One Workload Security, and Trend Micro Deep Security Application Control may fail to save the inventory when updating rulesに記載がございます通り、アプリケーションコントロール機能が正しく動作しない問題を修正し、12/24に公開した修正ビルドとなります。
［更新］［製品情報：Red Hat Enterprise Linux 9、10でのRPMの更新によるDSAの起動失敗についてのお知らせ］(2025年11月28日)：サポート情報 : トレンドマイクロ

2026-05-17

［復旧済み］［誤警告情報］検出名 TROJ.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ＠ ControlCenter30.exeをトロイと誤検知

IT トレンドマイクロ

［復旧済み］［誤警告情報］検出名 TROJ.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ

検出名：TROJ.Win32.TRX.XXPE50F13033 で特定ファイルの誤警告を確認いたしましたのでご連絡いたします。
※誤警告とは
弊社製品において、正常なファイルを検出する事象です。
■障害発生日時
2026年3月12日午後6時頃～ 2026年3月16日午後2時30分頃
■障害内容
現時点で、確認している事象は下記の通りです。
機械学習型検索をご利用の環境にて以下の検出名およびファイルでの誤警告が発生しております。
検出名：TROJ.Win32.TRX.XXPE50F13033
ファイル名：ControlCenter30.exe
SHA1：b850e3f295a4b871c2e030906b1a9ec3891ee99d
　
■対応状況
弊社クラウド側のモデルに起因して問題が発生しており、弊社クラウド側のデータベースへ本ファイルを安全なファイルとして登録することで問題を解決しております。
お客様側での追加の対応は不要です。
■復旧方法
該当ファイルが製品によって削除されてしまった場合には、OS側で作成または手動管理されているバックアップファイルからの復元をご検討下さい。
または当該ソフトウェアを再インストールするなどの方法をご確認下さい。
該当ファイルが隔離/駆除されている場合は、以下の製品Q&Aを参考に、ファイルを復元することが可能です。
［復旧済み］［誤警告情報］検出名 TROJ.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ

2026-05-16

Trend Micro Apex One (Mac) Patch 18 公開のお知らせ：サポート情報 : トレンドマイクロ＠ macOS 26 Tahoe 対応かな。

IT トレンドマイクロ

Trend Micro Apex One (Mac) Patch 18 公開のお知らせ：サポート情報 : トレンドマイクロ

Trend Micro Apex One (Mac) Patch 18 を下記日程にて公開いたします。

■公開開始日
2025年11月27日(木)

■修正内容・新機能
修正内容・新機能につきましては最新版ダウンロードページに掲載のドキュメントをご確認ください。

■入手方法
本モジュールは弊社Active Updateサーバから配信されます。

■導入方法
以下製品Q&Aにて適用方法を公開しておりますので、ぜひご確認ください。
製品Q&A:Trend Micro Apex One (Mac) Patch 18 の概要および適用方法
Trend Micro Apex One (Mac) Patch 18 公開のお知らせ：サポート情報 : トレンドマイクロ

2. 新機能
本リリースには、以下の機能強化が組み込まれています。

補正1: このHotfixにより、製品のセキュリティを強化するため、Trend Micro Apex One (Mac) セキュリティエージェントのiCoreモジュールがアップデートされます。
補正2: このHotfixにより、製品のセキュリティを強化するため、Trend Micro Apex One (Mac) のBoost C++ライブラリがバージョン1.88.0にアップデートされます。
補正3: このHotfixにより、製品のセキュリティを強化するため、Trend Micro Apex One (Mac) セキュリティエージェントの複数のサードパーティライブラリがアップデートされます。
補正4: このHotfixにより、macOS 26 (Tahoe) を実行しているエンドポイントでのTrend Micro Apex One (Mac) セキュリティエージェントのインストールがサポートされます。
補正5: このHotfixにより、2025年11月以降、Trend Micro Apex One (Mac) のmacOS 11 (Big Sur) のサポートが削除されます。

|機能/強化点|説明|
|プラットフォームのサポート|Trend Micro Apex One (Mac) セキュリティエージェントをmacOS 26 Tahoe エンドポイントにインストールできるようになりました。|
|セキュリティモジュールの強化|Trend Micro Apex One (Mac)の本リリースでは、iCoreモジュールがアップデートされ、製品のセキュリティが強化されます。|

関連URL

Trend Micro Apex One (Mac) Patch 18 の概要および適用方法

2026-05-16

［復旧］［誤警告情報］Trojan.Win32.FRS.VSNW19K25の誤警告事象について：サポート情報 : トレンドマイクロ＠ service-worker.jsをトロイの木馬と誤検出。

トレンドマイクロ IT

［復旧］［誤警告情報］Trojan.Win32.FRS.VSNW19K25の誤警告事象について：サポート情報 : トレンドマイクロ

検出名：Trojan.Win32.FRS.VSNW19K25での誤警告を確認いたしましたのでご連絡いたします。
※誤警告とは
弊社製品において、正常なファイルを検出する事象です。
■発生日時
2025/11/25 10:00頃～2025/11/25 15:00頃
■影響範囲
現時点で、確認している事象は下記の通りです。
以下ファイルをスマートスキャンが検知しています。
ファイル名：service-worker.js
SHA1：ec7b21e80a75aae4d9d2631f5f11dc59b03ef265
現時点では、スマートスキャンを有効化している環境で本事象を確認しております。
当該ファイル検知の前後で本検出に起因してダメージクリンナップサービスによって
関連するレジストリの検知が発生することがございます。
■対応状況
弊社クラウド側のパターンに起因して問題が発生しており、弊社クラウド側のパターンを修正することによって問題を解決しております。
お客様側での追加の対応は不要です。

■復旧方法
該当ファイルが製品によって削除されてしまった場合には、OS側で作成しているバックアップファイルやお手元のバックアップファイルから復元してください。
または、当該ソフトウェアを再インストールするなどにより復旧してください。
該当ファイルが隔離されている場合は、以下の製品Q&Aを参考に、隔離されたファイルを元の場所に戻すことができます。
・ApexOne,ApexOne SaaS,VisionOne Endpoint Security - Standard Endpoint Protection
◆隔離ファイルの復元
ダメージクリーンナップサービスによって処理が行われた場合は以下の手順で復元することが可能です。
1. 検出された端末にログオンします。
2. コマンドプロンプトを管理者権限で起動します。
3. 「TSC.exe」または「TSC64.exe」が存在するフォルダへ移動します。
　※コマンド実行例
　cd "C:\Program Files (x86)\Trend Micro\Security Agent"
4. 次のコマンドを実行してリストアします。（※32bit 環境の場合は TSC.exe をご利用ください。）
　TSC64.exe /restore=<バックアップファイルの絶対パス>
※絶対パスの一例
バックアップファイル名の「yyyy」、「mm」、「dd」、「xx」の部分は実際のファイル名に置き換えてください
"C:\Program Files (x86)\Trend Micro\Security Agent\Backup\<検出名>.DCT_yyyy_mm_dd_xx_xx_xx_xxx_xxx.DAT"
本件の検出名は「Trojan.Win32.FRS.VSNW19K25」です
ダメージクリーンナップサービスによって、駆除/隔離されたファイルの保存場所については
下記ページの「クライアント側から取得する方法」をご参照ください。
◆駆除/隔離されたファイルの保存場所
ファイルは以下のフォーマットで保存されています。 <検出名>.DCT_yyyy_mm_dd_xx_xx_xx_xxx_xxx.DAT
［復旧］［誤警告情報］Trojan.Win32.FRS.VSNW19K25の誤警告事象について：サポート情報 : トレンドマイクロ

2026-05-16

［復旧］障害情報：ウイルスバスタービジネスセキュリティサービス障害のお知らせ：サポート情報 : トレンドマイクロ＠管理コンソールへのログインできない不具合が出てたらしい

IT トレンドマイクロ

［復旧］障害情報：ウイルスバスタービジネスセキュリティサービス障害のお知らせ：サポート情報 : トレンドマイクロ

ウイルスバスタービジネスセキュリティサービスにおいて、以下の障害が発生しておりましたが、
現在は復旧していることを確認いたしましたのでご連絡いたします。

■対象サービス
ウイルスバスタービジネスセキュリティサービス（以下、VBBSS）

■事象発生日時
2025年11月18日（火）午前10時50分～午後0時16分

■障害内容
VBBSS管理コンソールにログインできない事象が発生しておりました。

■対応状況
現在は復旧していることを確認しております。

■原因
バックエンド側の障害によって発生しておりました。

本事象により、お客様にご迷惑をおかけしましたことをお詫び申し上げます。
［復旧］障害情報：ウイルスバスタービジネスセキュリティサービス障害のお知らせ：サポート情報 : トレンドマイクロ

2026-05-16

［復旧済み］［誤警告情報］検出名 Ransom.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ＠ FanSpeedSetting.exeをランサムウエアと誤検出

IT トレンドマイクロ

［復旧済み］［誤警告情報］検出名 Ransom.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ

検出名：Ransom.Win32.TRX.XXPE50F13033 で特定ファイルの誤警告を確認いたしましたのでご連絡いたします。
※誤警告とは
弊社製品において、正常なファイルを検出する事象です。
■障害発生日時
2026年3月18日午後3時頃～ 2026年3月23日午後1時頃
■障害内容
現時点で、確認している事象は下記の通りです。
機械学習型検索をご利用の環境にて以下の検出名およびファイルでの誤警告が発生しております。
検出名:Ransom.Win32.TRX.XXPE50F13033
ファイル名:FanSpeedSetting.exe
SHA1:0F526CF3A06A8F82B5407945C38A66E2C2E41793
■対応状況
弊社クラウド側のモデルに起因して問題が発生しており、弊社クラウド側のデータベースへ本ファイルを安全なファイルとして登録することで問題を解決しております。
お客様側での追加の対応は不要です。
■復旧方法
該当ファイルが製品によって削除されてしまった場合には、OS側で作成または手動管理されているバックアップファイルからの復元をご検討下さい。
または当該ソフトウェアを再インストールするなどの方法をご確認下さい。
該当ファイルが隔離/駆除されている場合は、以下の製品Q&Aを参考に、ファイルを復元することが可能です。
・Deep Security
◆検出した不正プログラムの確認と復元
・Trend Cloud One - Endpoint and Workload Security
◆検出した不正プログラムの確認と復元
・TrendAI Vision One™Endpoint Security - Server & Workload Protection
◆検出ファイルを復元する
・ApexOne,ApexOne SaaS
◆隔離ファイルの復元
・ウイルスバスタービジネスセキュリティサービス
◆ツール：暗号化された隔離ファイルを元に戻す方法
［復旧済み］［誤警告情報］検出名 Ransom.Win32.TRX.XXPE50F13033 による特定のファイルの誤警告事象について：サポート情報 : トレンドマイクロ

2026-05-16

興味を持った記事(2026年05月16日)

IT セキュリティ

セキュリティ

Microsoft / Windows

Microsoft、5月のセキュリティ更新を公開　認証不要の深刻な脆弱性4件に警戒：セキュリティニュースアラート - ITmedia エンタープライズ

BitLockerすり抜ける「YellowKey」脆弱性。発見者曰く「意図的なバックドア」 - PC Watch

Windows BitLocker 0-Day Vulnerability Enables Access to Encrypted Drives

ハッカーがOAuthデバイス認証フローを悪用し、Microsoft 365トークンを盗み出す

【セキュリティニュース】スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ（1ページ目 / 全1ページ）：Security NEXT

「Windows Update」の規模は増加傾向…… AIで激増する脆弱性報告にMicrosoftがコメント - やじうまの杜 - 窓の杜

Apple / macOS

【セキュリティニュース】Apple、「macOS Tahoe 26.5」を公開 - 脆弱性79件を修正（1ページ目 / 全1ページ）：Security NEXT

AppleがiOS 26.5公開　カーネルやWebKitなど多数の脆弱性を修正、早期更新を：セキュリティニュースアラート - ITmedia エンタープライズ

Apple、古いMac向けに複数の脆弱性を修正した「macOS 15.7.7 Sequoia」と「macOS 14.8.7 Sonoma」、「Safari v26.5」をリリース。 | AAPL Ch.

First public macOS kernel memory corruption exploit on Apple M5

【すごい】Claude ミュトス、Appleが5年かけたMacメモリ保護を5日で突破！研究者と共に - すまほん!!

Fortinet

【セキュリティニュース】「FortiOS」にFortinet製ネットワーク機器から悪用可能な脆弱性（1ページ目 / 全1ページ）：Security NEXT

Zoom

【セキュリティニュース】ビデオ会議ツール「Zoom」のWindows版などに脆弱性（1ページ目 / 全1ページ）：Security NEXT

Adobe

【セキュリティニュース】Adobe、「Adobe Commerce」など10製品に向けてアップデート（1ページ目 / 全2ページ）：Security NEXT

SAP

【セキュリティニュース】SAP、5月の定例アップデート15件を公開 - 2件は「クリティカル」（1ページ目 / 全2ページ）：Security NEXT

Intel

インテルがセキュリティ情報を公開～Intel Graphicsに深刻度CRITICALの脆弱性 - 窓の杜

プリンタ / 複合機

【セキュリティニュース】キヤノン製プリンタ、複合機に情報取得の脆弱性 - 162モデルに影響（1ページ目 / 全1ページ）：Security NEXT

ランサムウェア / 攻撃手法

ファイルを書き換えずにランサムウェアのような攻撃を行う手法が発見される。概念実証の「GhostLock」をセキュリティ研究者が発表 - INTERNET Watch

フィッシング / 詐欺

「【機密】昇進リスト先行公開、VPNでアクセスを」巧妙な詐欺メールが拡散中　「給与改定」「交通費改定」版も - ITmedia NEWS

PayPay / 金融不正

「朝起きたら、個人の銀行口座から200万円が無くなっていました」PayPayアカウントに不正アクセスされ、200万円をチケットの不正購入などに使われた話 - Togetter

マルウェア

New Malware Framework Enables Screen Control, Browser Artifact Access, and UAC Bypass

APT / 国家支援型攻撃

Chinese APT Hackers Exploit Microsoft Exchange to Breach Energy Sector Network

Sandworm Hackers Pivot From Compromised IT Systems Toward Critical OT Assets

AIセキュリティ

警視庁、「シャドーAI」に注意喚起　リスクをゆるめの図で解説 - ITmedia AI＋

「AIがシステムに侵入して自己複製する」というシナリオはもはやSFではなく現実になりつつある - GIGAZINE

金融システム / サイバーリスク

3メガ銀のミュトス活用、官民でリスク対策　システム止め改修も視野 - 日本経済新聞

VMware

【セキュリティニュース】「VMware Fusion」に権限昇格の脆弱性 - 修正版を公開（1ページ目 / 全1ページ）：Security NEXT

VMware Fusion Vulnerability Let Attackers Escalate Privilege to Root

[High] VMSA-2026-0003: VMware Fusion updates address privilege escalation vulnerability (CVE-2026-41702)：VMware Security Advisories

Exchange

CISA Adds One Known Exploited Vulnerability to Catalog | CISA

【セキュリティニュース】「Exchange Server」に脆弱性 - すでに悪用を確認、パッチは準備中（1ページ目 / 全2ページ）：Security NEXT

Critical Microsoft Exchange Server Vulnerability Actively Exploited in Attacks

Chrome

79 Chrome Vulnerabilities Patched, Including 14 Critical One’s - Update Now!

【セキュリティニュース】「Chrome」で脆弱性79件を修正 - 14件が「クリティカル」（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome 148」に79件の脆弱性、うち14件は深刻度最高の「Critical」 - 窓の杜

NGINX

NGINXのrewrite脆弱性 CVE-2026-42945 「NGINX Rift」は何を確認すべきか | ワルブリックス株式会社

Critical 18-Year-Old NGINX Vulnerability Enables Remote Code Execution Attacks

【セキュリティニュース】ウェブサーバ「nginx」に複数脆弱性 - 「クリティカル」も（1ページ目 / 全2ページ）：Security NEXT

NGINXのrewrite機能に「緊急」の脆弱性　“見落とし設定”がRCEの入り口に：「HTTPリクエスト1発」で悪用可能 - ＠IT

nginxに18年前から存在する重大な脆弱性が発見される | gihyo.jp

Palo Alto Networks

Palo Alto PAN-OS 0-Day Exploited to Execute Arbitrary Code With Root Privileges on Firewalls - Cyber Security News

[Medium] CVE-2026-0240 Trust Protection Foundation: Sensitive Information Disclosure Vulnerability：Palo Alto Security Advisory

[Medium] CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities：Palo Alto Security Advisory

[Low] CVE-2026-0264 PAN-OS: Heap-Based Buffer Overflow in DNS Proxy and DNS Server Allows Unauthenticated Remote Code Execution：Palo Alto Security Advisory

[High] CVE-2026-0265 PAN-OS: Authentication Bypass with Cloud Authentication Service (CAS) enabled：Palo Alto Security Advisory

[High] CVE-2026-0263 PAN-OS: Remote Code Execution (RCE) in IKEv2 Processing：Palo Alto Security Advisory

[Medium] CVE-2026-0261 PAN-OS: Authenticated Admin Command Injection Vulnerability：Palo Alto Security Advisory

[Medium] CVE-2026-0259 WildFire WF-500 and WF-500-B: Arbitrary File Read and Delete Vulnerability in WildFire Appliance (WF-500, WF-500-B)：Palo Alto Security Advisory

[Medium] CVE-2026-0244 Prisma SD-WAN: Improper Certificate Validation Vulnerability：Palo Alto Security Advisory

[Medium] CVE-2026-0249 GlobalProtect App: Certificate Validation Bypass Vulnerabilities：Palo Alto Security Advisory

[Medium] CVE-2026-0262 PAN-OS: Denial of Service Vulnerabilities in Network Traffic Parsing：Palo Alto Security Advisory

[Medium] CVE-2026-0243 Prisma SD-WAN: Denial of Service (DoS) Vulnerability Through IPv6 Crafted Packet：Palo Alto Security Advisory

Cisco

【セキュリティニュース】米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「Cisco Catalyst SD-WAN」に脆弱性、悪用も - 証跡保全と侵害調査を（1ページ目 / 全2ページ）：Security NEXT

Cisco Catalyst SD-WAN Controller 0-Day Actively Exploited to Gain Admin Access - Cyber Security News

[High] Cisco Unity Connection Remote Code Execution and Server-Side Request Forgery Vulnerabilities：Cisco Security Advisory

[Critical] Cisco Catalyst SD-WAN Manager Vulnerabilities：Cisco Security Advisory

イベント等

せきゅぽろ SNR vol.5 no.5 - connpass

宇宙

鉄

IT

AIに「無視」されるブランドは消滅する　Adobe幹部が語る、マーケティングプロセスの劇的転換：Adobe Summit 2026（1/3 ページ） - ITmedia ビジネスオンライン

その他

2026-05-14

興味を持った記事(2026年05月14日)

IT セキュリティ

セキュリティ

Microsoft / Windows

(1) マイクロソフトセキュリティチーム on X: "2026 年 5 月のマイクロソフト月例セキュリティ更新プログラムを公開しました。既定では自動で更新されます。更新管理を行っている組織向けに、概要をブログで公開しています。ご参照の上、早期に更新の展開をお願いします。 https://t.co/BYRm7B308V #セキュリティ #更新プログラム #マイクロソフト https://t.co/weBuvYDLyy" / X

2026 年 5 月のセキュリティ更新プログラム (月例)

Microsoft May 2026 Patch Tuesday - SANS Internet Storm Center

2026年5月セキュリティアップデート解説：Microsoft社は138件、Adobe社は52件の脆弱性に対応 | トレンドマイクロ (JP)

【セキュリティニュース】MS、5月の月例セキュリティ更新をリリース - 脆弱性118件に対応（1ページ目 / 全3ページ）：Security NEXT

Microsoft、2026年5月の「Windows Update」を実施～138件中30件は“緊急”の脆弱性 - 窓の杜

Microsoft Releases Cumulative Update for Windows 11, Version 25H2 and 24H2

Microsoft Patch Tuesday May 2026 - 120 Vulnerabilities Fixed, Including 29 Critical RCE Flaws

New BitUnlocker Downgrade Attack on Windows 11 Allows Access to Encrypted Disks in 5 Minutes

2026年4月のWindowsセキュリティパッチで特定ドライバーをブロック、Microsoftが告知 - 窓の杜

A note on patch Tuesday

Apple

iOS 26.5・iPadOS 26.5がリリース、iPhoneとAndroidスマホで暗号化されたRCSメッセージの送受信が可能に - GIGAZINE

iOS 26.5 Brings End-to-end Encrypted RCS Messaging Between iPhone and Android

【セキュリティニュース】Apple、「iOS 26.5」「iPadOS 26.5」で多数脆弱性を修正 - 旧端末向け更新も（1ページ目 / 全1ページ）：Security NEXT

Apple、「macOS」や古い「iOS」でもセキュリティアップデートを実施、iPhone 6s～8世代や初代iPhone SEも対象 - 窓の杜

Apple、Macの機能強化とバグ、70件以上の脆弱性を修正した「macOS Tahoe 26.5」を正式にリリース。 | AAPL Ch.

Apple、古いiPhone/iPadデバイス向けに削除対象の通知が予期せずデバイス上に残ってしまう脆弱性を修正した「iPadOS 17.7.11」、「iOS/iPadOS 16.7.16」、「iOS/iPadOS 15.8.8」をリリース。 | AAPL Ch.

Apple、iPhone XS/XRやiPad(第7世代)向けに40件以上の脆弱性を修正した「iOS/iPadOS 18.7.9」をリリース。 | AAPL Ch.

Apple、エンドツーエンド暗号化されたRCSメッセージをBetaサポートし、不具合や60件以上の脆弱性を修正した「iOS/iPadOS 26.5」を正式にリリース。 | AAPL Ch.

Apple、「iOS 26.5」「iPadOS 26.5」を公開～若干の新機能、61件の脆弱性を修正 - 窓の杜

エンドツーエンドで暗号化されたRCSメッセージング、本日よりベータ版で提供開始 - Apple (日本)

macOS Tahoeの見えない防御機能が想像以上に重要だった理由 - iPhone Mania

macOSアップデート後にGatekeeperによるアプリの検証が実行され、5月8日に失効した古いOpenAIの証明書を持ったChatGPTやCodex、Altブラウザにマルウェアが含まれているとしてゴミ箱に移動させられる問題が発生しているので注意を。 | AAPL Ch.

Apple Patches Everything - SANS Internet Storm Center

About the security content of iOS 26.5 and iPadOS 26.5 - Apple Support

About the security content of iOS 18.7.9 and iPadOS 18.7.9 - Apple Support

About the security content of iPadOS 17.7.11 - Apple Support

About the security content of iOS 16.7.16 and iPadOS 16.7.16 - Apple Support

About the security content of iOS 15.8.8 and iPadOS 15.8.8 - Apple Support

About the security content of macOS Tahoe 26.5 - Apple Support

About the security content of macOS Sequoia 15.7.7 - Apple Support

About the security content of macOS Sonoma 14.8.7 - Apple Support

About the security content of tvOS 26.5 - Apple Support

About the security content of watchOS 26.5 - Apple Support

About the security content of visionOS 26.5 - Apple Support

Zoom

Zoomがセキュリティ情報を発表～最大深刻度はHigh - 窓の杜

Zoom Rooms and Workplace Vulnerabilities Allow Attackers to Escalate Privileges

Zoom Rooms and Workplace Flaws Expose Users to Elevated Access Attacks

[High] Zoom Rooms for Windows - Untrusted Search Path：Zoom Security Bulletin

[High] Zoom Workplace VDI Plugin for Windows - External Control of File Name or Path：Zoom Security Bulletin

[Low] Zoom Workplace for iOS - Protection Mechanism Failure：Zoom Security Bulletin

Fortinet

【セキュリティニュース】「FortiAuthenticator」に深刻な脆弱性 - 認証なしでコード実行のおそれ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Fortinetのサンドボックス製品に深刻なRCE脆弱性 - 修正版へ更新を（1ページ目 / 全1ページ）：Security NEXT

Critical Fortinet FortiSandbox Vulnerability Enables Code Execution Attacks

Fortinet Patches Five Vulnerabilities Across FortiAP, FortiOS, and Enterprise Products

[Medium] User controlled SQL commands：PSIRT

[Medium] SQL command injection in administrative portal：PSIRT

[High] Out-of-bounds access in CAPWAP daemon：PSIRT

[Medium] OTP Disclosure via Exported TokenContentProvider：PSIRT

[Medium] OS command injection in CLI：PSIRT

[Critical] Incorrect global authorization：PSIRT

[Critical] Improper access control on API endpoints：PSIRT

[Low] Hardcoded Encryption Key Used for VPN Saved Passwords：PSIRT

[Medium] DoS due to unsafe function in signal handler：PSIRT

[Medium] Command injection in CLI：PSIRT

[Medium] Arbitrary log file read in administrative interface：PSIRT

[High] Linux Kernel Vulnerability copy.fail - CVE-2026-31431：PSIRT

Drupal

Node View Permissions - Moderately critical - Access bypass - SA-CONTRIB-2026-034 | Drupal.org

Translate Drupal with GTranslate - Less critical - DOM clobbering / link manipulation - SA-CONTRIB-2026-035 | Drupal.org

Colorbox Inline - Moderately critical - Cross-site scripting - SA-CONTRIB-2026-036 | Drupal.org

Date iCal - Critical - Information disclosure - SA-CONTRIB-2026-037 | Drupal.org

Linux / カーネル脆弱性

「Linux」に新たな脆弱性「Dirty Frag」が見つかる--攻撃も確認 - ZDNET Japan

Dirty Frag (CVE-2026-43284/43500) — Copy Failの暫定策が効かない理由と未パッチ期の管理者対応

【セキュリティニュース】「Linuxカーネル」の暗号通信処理にLoP脆弱性「Dirty Frag」（1ページ目 / 全2ページ）：Security NEXT

CVEもパッチも存在しない状態でエクスプロイト公開。Linuxの新たなLPE「Dirty Frag」の詳細 | XenoSpectrum

Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail) | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

WSL2+Docker環境における、CVE-2026-31431 (Copy Fail) への対策メモ

Linux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500) - SIOS SECURITY BLOG

DirtyFrag: Linuxカーネルのローカル権限昇格脆弱性について現時点で分かっていること | ワルブリックス株式会社

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

Chrome / Chromium / Edge 系

【セキュリティニュース】「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数（1ページ目 / 全2ページ）：Security NEXT

「Google Chrome 148」では127件もの脆弱性修正も～深刻度最高評価の致命的なものは3件 - 窓の杜

「Microsoft Edge」v147.0.3912.98が公開～3件のCriticalを含む27件の脆弱性を修正 - 窓の杜

「Microsoft Edge 148」が公開～新しいAI設定ページを導入、致命的な脆弱性も修正 - 窓の杜

「Microsoft Edge」がパスワードを平文でメモリーに格納する理由 - ZDNET Japan

Edge、保存済みパスワードをメモリ内に平文保持していると判明：Microsoftは「仕様」と回答 - ＠IT

「重大な脅威」グーグルがセキュリティ上の失態、30億のGmail利用者が危険に | Forbes JAPAN 公式サイト（フォーブスジャパン）

Firefox / Thunderbird

無料メーラー「Thunderbird」に致命的な脆弱性～修正版のv150.0.1がリリース - 窓の杜

「Firefox 150.0.2」が公開～特定操作でクラッシュする問題などに対処 - 窓の杜

Firefoxの脆弱性271件をClaude Mythos Previewで発見したシステムについてMozillaが解説 - GIGAZINE

「Claude Mythos」が15年前のバグも発掘、Firefoxの修正数が一挙に15倍超に - ITmedia AI＋

「Firefox 150.0.3」が公開～ハッカーが報告した任意コード実行の脆弱性に緊急対処 - 窓の杜

【セキュリティニュース】Mozilla、「Firefox 150.0.3」を公開 - 脆弱性5件を修正（1ページ目 / 全1ページ）：Security NEXT

無料メールソフト「Thunderbird」がセキュリティアップデート～3件の脆弱性を修正 - 窓の杜

【セキュリティニュース】複数脆弱性を修正した「Firefox 150.0.2」をリリース - Mozilla（1ページ目 / 全1ページ）：Security NEXT

Android

Androidに致命的な任意コード実行の脆弱性～2026年5月セキュリティ更新 - 窓の杜

【セキュリティニュース】「Android」に近接ネットワーク経由のRCE脆弱性 - PoC公開も（1ページ目 / 全2ページ）：Security NEXT

ネットワーク / 解析ツール

フリーのネットワークプロトコルアナライザー「Wireshark 4.6.5」、43件の脆弱性を修正 - 窓の杜

ホスティング / Web管理

【セキュリティニュース】「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を（1ページ目 / 全2ページ）：Security NEXT

Ivanti

【セキュリティニュース】「Ivanti EPMM」に複数脆弱性 - ゼロデイ攻撃も発生（1ページ目 / 全2ページ）：Security NEXT

May 2026 EPMM Security Update | Ivanti

May 2026 Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (Multiple CVEs)

Ivanti Patches Multiple Vulnerabilities in Secure Access, Xtraction, vTM and Endpoint Manager

May 2026 Security Update | Ivanti

【セキュリティニュース】米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を（1ページ目 / 全1ページ）：Security NEXT

AIセキュリティ

AIエージェントを会社で使いたい！→「え、セキュリティどうするの？」　企業導入への技術的アプローチ #Security - Qiita

Anthropic Cybersecurity Skills — 734+ AI-Ready Skills for Claude Code & More | Mahipal

Claude Mythosがもたらすセキュリティビジネス激変の可能性　二極化していく“業界のこれから”（1/5 ページ） - ITmedia NEWS

セキュリティ診断AIツールTakumiを使った、脆弱性診断の現状 — HACK The Nikkei

Claude Mythosの「脆弱性発見能力が高い」というのは誇大宣伝だとcURL開発者が指摘 - GIGAZINE

90日間の脆弱性開示ポリシーはもはや意味をなさないという指摘、AIがバグ発見とエクスプロイト開発を爆速に - GIGAZINE

二要素認証を回避するゼロデイ攻撃も。Googleが“産業化”したAI悪用攻撃に警鐘 - PC Watch

サイバー犯罪グループがAIを使って2要素認証を回避できるゼロデイ脆弱性を発見していたとGoogleが報告 - GIGAZINE

未知の脆弱性をAIが暴き出す　Googleが警告する「完全自律型サイバー攻撃時代」の幕開け - ＠IT

「AI製ゼロデイ攻撃」ついに出現か　Google、攻撃者による生成AI悪用の新局面を報告 - ITmedia AI＋

AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変：この頃、セキュリティ界隈で - ITmedia NEWS

Micro Hardening v3参加レポート：AIでセキュリティ、始まったな！～Hardening 2026 First Attack!～｜野溝のみぞう

Claude Codeでの個人開発とセキュリティ管理

セキュア開発

セキュリティを後付けにしないための実践ガイド #Security - Qiita

【徹底解説】セキュリティスペシャリストが教える、セキュアプログラミングの教科書 #AWS - Qiita

認証 / メールセキュリティ

NTTドコモが BIMI 対応 | ScanNetSecurity

ゼロトラスト / セキュリティ戦略

「入り口をふさぐ」だけではもう古い　企業の心臓を死守する「逆算型セキュリティ」の本質：「チェックリストの丸付け」は“戦略”ではない - ＠IT

サプライチェーン攻撃 / ソフトウェア汚染

老舗仮想ドライブソフト「DAEMON Tools」にマルウェア混入、1カ月近く気づかれず公式配布されていたと判明 - GIGAZINE

【セキュリティニュース】「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ（1ページ目 / 全2ページ）：Security NEXT

TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud...

毎週数百万回ダウンロードされる人気JavaScriptライブラリ群「TanStack」にサプライチェーン攻撃、問題のあるバージョンをインストールした開発環境では認証情報流出の恐れ - GIGAZINE

バグハンター視点によるソフトウェアサプライチェーン入門 - blog of morioka12

Apple製品の組み立てパートナーで世界最大級の電子機器受託製造企業でもあるFoxconnがハッカーの攻撃により1100万件以上のファイルを含む8TBのデータを盗まれる - GIGAZINE

Foxconn Confirms Cyberattack After Nitrogen Ransomware Gang Claim

日本へのサイバー攻撃、春節期に7割減　米社調査「ハッカーも休暇」 - 日本経済新聞

EDR / Windows防御回避

EDRを無効化するBYOVDについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社

Windowsマルウェア

Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性 - PC Watch

GitHub / 認証情報漏洩

マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる | ScanNetSecurity

セキュリティ人材 / 教育

IPA「令和7年度セキュリティ人材活用環境整備に係る業務」公表 | ScanNetSecurity

静岡県サイバーセキュリティ戦略本部が情報セキュリティをテーマにポスターを募集 | 日刊警察

サイバー政策 / 官公庁

総務省｜報道資料｜「巧妙化・複雑化するサイバー攻撃への対策の在り方に関する検討会」の開催

サイバー攻撃による大規模インフラ障害に備え非常用電源確保を政府 | NHKニュース | サイバー攻撃、交通・インフラ、停電

フィッシング / 詐欺メール

総務省｜個人住民税の納税を騙ったメールに対する注意喚起

How SOCs and MSSPs Stop Missed Phishing Attacks

DeNAアカウント、メールの乗っ取りに注意喚起　登録情報の書き替えやDeNA Payで金銭被害のおそれも - ITmedia NEWS

わずか3タップで残高が消える？　PayPay「送金詐欺」に要注意、送金は補償の対象外で取り戻せず - ITmedia Mobile

「住民税の納付」装う詐欺メール拡散　PayPayで送金迫る手口、フィッシング対策協議会が警戒呼び掛け - ITmedia NEWS

住民税の催促を装いQRコード決済から送金させる詐欺に、総務省や自治体が注意喚起 - INTERNET Watch

【注意喚起】PayPayでの送金へ誘導するなどのなりすましメールにご注意ください - Yahoo!メール新着情報

Windowsログ / フォレンジック

君たちはどうWindowsイベントログを調査するか | SIPDEP

情報漏洩 / DLP

Microsoft Purviewを本気で使うための記事①ー情報漏洩防止編（1/3） #Security - Qiita

SAP

SAP Patches Critical SQL injection Vulnerability in SAP S/4HANA

SNS / 内部情報漏洩

「親しい人だけ」のはずが…… なぜBeRealから社内情報は流出するのか - Impress Watch

Adobe

Adobe、2025年5月のセキュリティ情報～「Illustrator」「Premiere Pro」など10製品に致命的問題 - 窓の杜

APSB26-46 : Security Updates Available for Adobe Premiere Pro：Adobe Security Bulletin

APSB26-47 : Security Updates Available for Adobe Media Encoder：Adobe Security Bulletin

APSB26-48 : Security Updates Available for Adobe After Effects：Adobe Security Bulletin

APSB26-49 : Security Updates Available for Adobe Commerce：Adobe Security Bulletin

APSB26-50 : Security updates available for Adobe Connect：Adobe Security Bulletin

APSB26-42 : Security Updates Available for Adobe Illustrator：Adobe Security Bulletin

APSB26-52 : Security updates available for Adobe Substance3D Designer：Adobe Security Bulletin

APSB26-53 : Security updates available for Adobe CAI Content Credentials：Adobe Security Bulletin

APSB26-54 : Security updates available for Adobe Substance 3D - Sampler：Adobe Security Bulletin

APSB26-55 : Security updates available for Adobe Substance 3D - Painter：Adobe Security Bulletin

VMware

[High] Tanzu Security Advisory CVE-2026-341431：VMware Security Advisories

[High] VMSA-2026-0001: VMware Aria Operations updates address multiple vulnerabilities (CVE-2026-22719, CVE-2026-22720 and CVE-2026-22721)：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu GemFire Management Console 1.4.4：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Text 4.0.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Command Center 6.17.0 and 7.7.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Data Copy Utility 2.9.3：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Streaming Server For Kubernetes 1.3.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Streaming Server 2.3.0：VMware Security Advisories

[High] Product Release Advisory - VMware Tanzu Greenplum on Kubernetes 1.1.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu for Valkey on Kubernetes 3.3.4：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu for Valkey on Kubernetes 3.4.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu for MySQL on Kubernetes 2.0.3：VMware Security Advisories

[Low] Product Release Advisory - VMware Tanzu Data Flow on Kubernetes 2.1.0：VMware Security Advisories

[Medium] Product Release Advisory - VMware Tanzu GemFire Vector Database 1.2.2：VMware Security Advisories

[High] Product Release Advisory - VMware Tanzu Greenplum Backup and Restore 1.33.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Platform Extension Framework 8.0.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum Upgrade 2.0.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum 6.33.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu Greenplum 7.8.0：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu GemFire 10.2.3：VMware Security Advisories

[Critical] Product Release Advisory - VMware Tanzu RabbitMQ on Kubernetes 4.3.0, 4.2.6, 4.1.11, 4.0.20, 3.13.15：VMware Security Advisories

Apache

【セキュリティニュース】「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ（1ページ目 / 全2ページ）：Security NEXT

「Apache HTTP Server」にセキュリティ修正～リモートコード実行の恐れがある脆弱性 - 窓の杜

Apache HTTP Server 2.4 に複数の脆弱性 | ScanNetSecurity

Changes with Apache 2.4.67

*) SECURITY: CVE-2026-34059: Apache HTTP Server: mod_proxy_ajp:
Heap Over-Read and memory disclosure in ajp_parse_data()
(cve.mitre.org)
Buffer Over-read vulnerability in Apache HTTP Server.
This issue affects Apache HTTP Server: through 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Elhanan Haenel
*) SECURITY: CVE-2026-34032: Apache HTTP Server: mod_proxy_ajp:
Heap Buffer Over-Read Due to Missing Null-Termination Check
(ajp_msg_get_string) (cve.mitre.org)
Improper Null Termination, Out-of-bounds Read vulnerability in
Apache HTTP Server.
This issue affects Apache HTTP Server: through 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Tianshuo Han ()
*) SECURITY: CVE-2026-33857: Apache HTTP Server: Off-by-one OOB
reads in AJP getter functions (cve.mitre.org)
Out-of-bounds Read vulnerability in mod_proxy_ajp of
Apache HTTP Server.
This issue affects Apache HTTP Server: through 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Elhanan Haenel
*) SECURITY: CVE-2026-33523: Apache HTTP Server: multiple modules:
HTTP response splitting forwarding malicious status line
(cve.mitre.org)
HTTP response splitting vulnerability in multiple Apache HTTP
Server modules with untrusted or compromised backend servers.
This issue affects Apache HTTP Server: from through 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Haruki Oyama (Waseda University)
*) SECURITY: CVE-2026-33007: Apache HTTP Server: mod_authn_socache
crash (cve.mitre.org)
A NULL pointer dereference in the mod_authn_socache in Apache
HTTP Server 2.4.66 and earlier allows an unauthenticated remote
user to crash a child process in a caching forward proxy
configuration.
Users are recommended to upgrade to version 2.4.67, which fixes
this issue.
Credits: Pavel Kohout, Aisle Research, Aisle.com
*) SECURITY: CVE-2026-33006: Apache HTTP Server: mod_auth_digest
timing attack (cve.mitre.org)
A timing attack against mod_auth_digest in Apache HTTP Server
2.4.66 allows a bypass of Digest authentication by a remote
attacker.
Users are recommended to upgrade to version 2.4.67, which fixes
this issue.
Credits: Nitescu Lucian
*) SECURITY: CVE-2026-29169: Apache HTTP Server: mod_dav_lock
indirect lock crash (cve.mitre.org)
A NULL pointer dereference in mod_dav_lock in Apache HTTP Server
2.4.66 and earlier may allow an attacker to crash the server
with a malicious request.mod_dav_lock is not used internally by
mod_dav or mod_dav_fs.
The only known use-case for mod_dav_lock was mod_dav_svn from
Apache Subversion earlier than version 1.2.0.
Users are recommended to upgrade to version 2.4.66, which fixes
this issue, or remove mod_dav_lock.
Credits: Pavel Kohout, Aisle Research, Aisle.com
*) SECURITY: CVE-2026-29168: Apache HTTP Server: mod_md
unrestricted OCSP response (cve.mitre.org)
Allocation of Resources Without Limits or Throttling
vulnerability in Apache HTTP Server's mod_md via OCSP response
data.
This issue affects Apache HTTP Server: from 2.4.30 through
2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Pavel Kohout, Aisle Research, Aisle.com
*) SECURITY: CVE-2026-28780: Apache HTTP Server: buffer overflow in
mod_proxy_ajp via ajp_msg_check_header() (cve.mitre.org)
Heap-based Buffer Overflow vulnerability in mod_proxy_ajp of
Apache HTTP Server.
If mod_proxy_ajp connects to a malicious AJP server this AJP
server can send a malicious AJP message back to mod_proxy_ajp
and cause it to write 4 attacker controlled bytes after the end
of a heap based buffer.
This issue affects Apache HTTP Server: through 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Andrew Lacambra
*) SECURITY: CVE-2026-24072: Apache HTTP Server: mod_rewrite
elevation of privileges via ap_expr (cve.mitre.org)
An escalation of privilege bug in various modules in Apache HTTP
2.4.66 and earlier allows local .htaccess authors to read files
with the privileges of the httpd user.
Users are recommended to upgrade to version 2.4.67, which fixes
this issue.
Credits: y7syeu
*) SECURITY: CVE-2026-23918: Apache HTTP Server: http2: double free
and possible RCE on early reset (cve.mitre.org)
Double Free and possible RCE vulnerability in Apache HTTP Server
with the HTTP/2 protocol.
This issue affects Apache HTTP Server: 2.4.66.
Users are recommended to upgrade to version 2.4.67, which fixes
the issue.
Credits: Bartlomiej Dmitruk, striga.ai

Cisco

[Informational] Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense：Cisco Security Advisory

[Medium] Cisco Enterprise Chat and Email Lite Agent File Upload Vulnerability：Cisco Security Advisory

[High] Cisco IoT Field Network Director Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Identity Services Engine Authentication Bypass Vulnerabilities：Cisco Security Advisory

[High] Cisco Crosswork Network Controller and Cisco Network Services Orchestrator Connection Exhaustion Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Prime Infrastructure Information Disclosure Vulnerability：Cisco Security Advisory

[High] Cisco SG350 and SG350X Series Managed Switches SNMP Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Slido Insecure Direct Object Reference Vulnerability：Cisco Security Advisory

Palo Alto Networks

Palo Alto Networks 製 PAN-OS にバッファオーバーフローの脆弱性 | ScanNetSecurity

CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID™ Authentication Portal

【セキュリティニュース】Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も（1ページ目 / 全2ページ）：Security NEXT

CISA Adds One Known Exploited Vulnerability to Catalog | CISA

マネーフォワード

マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか

マネーフォワード、GitHubへの不正アクセスにより個人情報流出の可能性。銀行口座連携機能を一時停止 - INTERNET Watch

Microsoft Edge

Microsoft Edge、全パスワードを平文でメモリ上に展開。セキュリティに懸念。MSの回答は | ニッチなPCゲーマーの環境構築Z

Micrsoft Edgeがパスワードをメモリ上に平文で保持しているという指摘 - GIGAZINE

【やじうまPC Watch】Edgeは全パスワードをメモリ上に平文保持。研究者の指摘にMicrosoftは「仕様」 - PC Watch

イベント等

アルティメットサイバーセキュリティクイズ2026 | Peatix

総関西サイバーセキュリティＬＴ大会（第56回） - connpass

mini Security-JAWS［第46回］初心者向けウェビナー会 2026年5月30日(土) - connpass

ひよこまめ教習所 #9 - 仙台 - connpass

OSINT.JP Conference 2026

第1回みんなのセキュリティ勉強会 - connpass

GMO IERAE HackNight #4 AI時代のセキュリティ攻防戦 - connpass

学術デジタル・クレデンシャル円卓会議2026 - connpass

宇宙

鉄

IT

AI

日本の「安全なＡＩ」、新興国や途上国に…デジタル庁が行政用独自システムを開発 : 読売新聞

【申込者数2,000名突破】AI開発・運用拡大の2大障壁は「ガバナンス対応」と「技術スピードの追従」ーー「AI Engineering Summit Tokyo 2026」参加者受付中！ | ファインディ株式会社のプレスリリース

「Claude Codeに全部やらせる時代が来た」のか検証してみた

大規模言語モデル（LLM）のローカル実行ツール「Ollama」に脆弱性、パッチはまだなし - 窓の杜

無料で使えるAI｢ローカルLLM｣の進化がすごいよって話 | ギズモード・ジャパン

AIミュトスのアクセス権、三菱UFJ銀行など3メガバンクが入手へ - 日本経済新聞

Apple / iOS

iOS 27の写真編集、ついにAIが本気出す？ 3つの機能追加の噂 | ギズモード・ジャパン

AWS

大幅に進化したAWS Security Hub(Advanced)の紹介 – TechHarmony

技術・開発

高校生がサイゼリヤをCLIから注文できるようにした件 ─ 技術・法律・倫理を多角的に考える

サイゼリヤを自作した非公式クライアントからの注文に成功した高校生が現れたが「天才か？」「技術者倫理に違反してないか」などと賛否分かれる - Togetter

その他

行政 / 紛失事故

原子力規制庁の「業務用スマホ」紛失、1年間で少なくとも6件…ホテル周辺、路上、移動中　開示文書で判明 - 弁護士ドットコム

2026-05-07

興味を持った記事(2026年05月07日)

IT セキュリティ

セキュリティ

Wordpress

WordPress 6.9.4 Release – WordPress News

Version 6.9.4 – Documentation – WordPress.org

【セキュリティニュース】「WordPress 6.9.2」が公開 - 複数の脆弱性を解消（1ページ目 / 全1ページ）：Security NEXT

WordPress 6.9.3 and 7.0 beta 4 – WordPress News

WordPress 6.9.2 Release – WordPress News

WordPress 6.9.3 and 7.0 beta 4 – WordPress News

Cisco

[Medium] Cisco Webex Services Cross-Site Scripting Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Lua Code Injection Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software OSPF Protocol Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software SAML Reflected Cross-Site Scripting Vulnerability：Cisco Security Advisory

[High] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access SSL VPN Denial of Service Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Services Cross-Site Scripting Vulnerability：Cisco Security Advisory

[Medium] ClamAV Cascading Style Sheets Image Parsing Error Handling Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Management Center Software Command Injection Vulnerability：Cisco Security Advisory

[Critical] Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability：Cisco Security Advisory

[High] Cisco Secure Firewall Management Center Software SQL Injection Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Authenticated Command Injection Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Secure Firewall Threat Defense Software SSL Decryption Policy Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Threat Defense Software Snort Deep Inspection Bypass Vulnerability：Cisco Security Advisory

[Medium] Multiple Cisco Products Snort 3 Visual Basic for Applications Denial of Service Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Secure Firewall Threat Defense Software Snort 3 SSL Memory Management Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Threat Defense Software TLS with Snort 3 Detection Engine Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Secure Firewall Management Center and Secure Firewall Threat Defense Software Path Traversal Vulnerability：Cisco Security Advisory

[Critical] Cisco Secure Firewall Management Center Software Authentication Bypass Vulnerability：Cisco Security Advisory

[Medium] Multiple Cisco Products Snort 3 Denial of Service Vulnerabilities：Cisco Security Advisory

[High] Cisco IOS XR Egress Packet Network Interface Aligner Interrupt Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance, and Secure Firewall Threat Defense Software IKEv2 Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco IOS XE Software for Catalyst 9000 Series Switches DHCP Snooping Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco IOS Software and IOS XE Software Release 3E HTTP Server Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco IOS XE Software Lobby Ambassador Privilege Escalation Vulnerability：Cisco Security Advisory

[Medium] Cisco IOS XE Software Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco IOS XE Software TLS Memory Exhaustion Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco IOS XE Software Secure Channel for Meraki Information Disclosure Vulnerability：Cisco Security Advisory

[Medium] Cisco IOx Application Hosting Environment Carriage Return Line Feed Injection Vulnerability：Cisco Security Advisory

[Medium] Cisco IOx Application Hosting Environment Stored Cross-Site Scripting Vulnerability：Cisco Security Advisory

[Medium] Cisco IOS XE Software Secure Copy Protocol Server Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Cisco Catalyst SD-WAN Manager Cross-Site Scripting Vulnerability：Cisco Security Advisory

[High] Cisco IOS XE Wireless Controller Software for the Catalyst CW9800 Family CAPWAP Denial of Service Vulnerability：Cisco Security Advisory

[Medium] Multiple Cisco Contact Center Products Cross-Site Scripting Vulnerabilities：Cisco Security Advisory

[High] Cisco IOS XR Software CLI Privilege Escalation Vulnerabilities：Cisco Security Advisory

[High] Cisco IOS XR Software Multi-Instance Intermediate System-to-Intermediate System Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco IOS XE Software for Cisco Catalyst and Rugged Series Switches Secure Boot Bypass Vulnerability：Cisco Security Advisory

[High] Cisco Integrated Management Controller Command Injection and Remote Code Execution Vulnerabilities：Cisco Security Advisory

[High] Cisco Smart Software Manager On-Prem Privilege Escalation Vulnerability：Cisco Security Advisory

[High] Cisco Evolved Programmable Network Manager Improper Authorization Vulnerability：Cisco Security Advisory

[Medium] Cisco Nexus Dashboard Configuration Backup REST API Unauthorized Access Vulnerability：Cisco Security Advisory

[Medium] Cisco Nexus Dashboard and Nexus Dashboard Insights Server-Side Request Forgery Vulnerability：Cisco Security Advisory

[Medium] Cisco Nexus Dashboard Insights Arbitrary File Write Vulnerability：Cisco Security Advisory

[Medium] Cisco Application Policy Infrastructure Controller Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco NX-OS Software Link Layer Discovery Protocol Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco Nexus 9000 Series Fabric Switches in ACI Mode Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco Nexus 9000 Series Fabric Switches in ACI Mode SNMP Denial of Service Vulnerability：Cisco Security Advisory

[High] Cisco Nexus 3600 and 9500-R Series Switching Platforms Layer 2 Loop Denial of Service Vulnerability：Cisco Security Advisory

[Critical] Cisco Catalyst SD-WAN Vulnerabilities：Cisco Security Advisory

[Critical] Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability：Cisco Security Advisory

[Medium] Cisco FXOS and UCS Manager Software Command Injection Vulnerability：Cisco Security Advisory

[Medium] Cisco FXOS and UCS Manager Software Stored Cross-Site Scripting Vulnerability：Cisco Security Advisory

[Medium] Cisco UCS Manager Software Privilege Escalation Vulnerability：Cisco Security Advisory

[Critical] Cisco Smart Software Manager On-Prem Arbitrary Command Execution Vulnerability：Cisco Security Advisory

[Medium] Cisco Identity Services Engine Authenticated Privilege Escalation Vulnerability：Cisco Security Advisory

[Critical] Cisco Identity Services Engine Remote Code Execution Vulnerabilities：Cisco Security Advisory

[Medium] Cisco Unity Connection Arbitrary File Download Vulnerabilities：Cisco Security Advisory

[Critical] Cisco Webex Services Certificate Validation Vulnerability：Cisco Security Advisory

[Medium] Cisco Webex Contact Center Cross-Site Scripting Vulnerability：Cisco Security Advisory

【セキュリティニュース】「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「Cisco SSM」に深刻な脆弱性 - API経由でコマンド実行のおそれ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】米当局、「Cisco SD-WAN」攻撃対応の緊急指令を更新（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】3月初旬修正の「Cisco Secure FMC」脆弱性が攻撃対象に（1ページ目 / 全1ページ）：Security NEXT

Cisco UCS Manager Software Command Injection Vulnerability

【セキュリティニュース】「Cisco Catalyst SD-WAN」に深刻な脆弱性 - すでに悪用も（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令（1ページ目 / 全2ページ）：Security NEXT

Cisco FMCにCVSS10.0の脆弱性　回避策はないため迅速なアップデートを推奨：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局（1ページ目 / 全1ページ）：Security NEXT

CISA and Partners Release Guidance for Ongoing Global Exploitation of Cisco SD-WAN Systems | CISA

Fortigate

「AIがVPN不正アクセスを自動化」　脆弱性が「0」でも600台超のFortiGateが陥落：低スキル攻撃者の脅威 - ＠IT

[Medium] unauthorized backup file access：PSIRT

[Critical] Unauthenticated Authentication bypass and Privilege escalation in FortiSandbox：PSIRT

[Medium] Stored Cross Site Scripting (XSS) in Reports View page：PSIRT

[Medium] SSRF via Report template and scheduling：PSIRT

[Medium] SQL Injection via JSON RPC API：PSIRT

[High] SQL Injection via API：PSIRT

[Medium] Reflected XSS in Operation Center：PSIRT

[Medium] Path Traversal on File Content Extraction connector：PSIRT

[Medium] Path Traversal in CLI：PSIRT

[Medium] Path Traversal in CLI：PSIRT

[Low] Open Redirection via Import CSV option：PSIRT

[Critical] OS Command Injection through API endpoint：PSIRT

[Medium] Multiple Stored XSS：PSIRT

Axios npm Package Compromised：PSIRT

[High] Multiple SQL Injections：PSIRT

[Medium] Multiple Path traversals in CLI：PSIRT

[Medium] Missing Authentication for critical function in CAPWAP daemon：PSIRT

[Medium] Integer Overflow Denial of Service in administrative interface：PSIRT

[High] Heap-based buffer overflow in oftpd daemon：PSIRT

[Medium] Hardcoded symmetric encryption key for Postgresql：PSIRT

[Low] Credential disclosure in LDAP configuration web page.：PSIRT

[Medium] Cleartext Credentials in response for API endpoints：PSIRT

[Medium] Clear-text credentials retrievable with IP modification for connectors：PSIRT

[Medium] Clear-text credentials retrievable with IP modification for LDAP：PSIRT

[Medium] Arbitrary directory delete on vmimages delete feature：PSIRT

[Medium] 2FA request can be replayed without a valid token after one successful request：PSIRT

[Critical] API authentication and authorization bypass：PSIRT

[Medium] shell command limitation bypass by SSH local config overriding：PSIRT

[Medium] XSS in LDAP server option：PSIRT

[Medium] Stack-based Buffer Overflow in API protection：PSIRT

[Medium] Stack buffer overflow in API：PSIRT

[Medium] SQL injection in jsonrpc api：PSIRT

[Medium] Reflected Cross Site Scripting (XSS) in error page：PSIRT

[Medium] Protected hostname bypass：PSIRT

[Medium] Privilege escalation using undocumented CLI command：PSIRT

[Medium] Path traversal vulnerability in FortiSOAR Agent Connector Bridge server：PSIRT

[Medium] OS command injection on vmimages update feature：PSIRT

[Medium] OS Command injection in FortiWeb API：PSIRT

[Low] Null Pointer Dereference in Anti-Defacement feature：PSIRT

[Medium] MFA Bypass in GUI：PSIRT

[High] Local privilege escalation via improper symlink following：PSIRT

[Medium] Lack of TLS Certificate Validation during initial SSO Authentication：PSIRT

[Low] Insecure Exposure of Plaintext Passwords in Debug Logs：PSIRT

[Medium] Format string vulnerability in fazsvcd：PSIRT

[High] Buffer overflow via fgtupdates service：PSIRT

[High] Buffer Overflow in LLDP OUI field：PSIRT

[High] Authentication rate-limit bypass permits to brute force admin logins：PSIRT

[Low] Authentication Lockout Bypass via Race Condition：PSIRT

[Medium] Arbitrary file deletion in administrative interface：PSIRT

Adobe

Adobe ColdFusion 脆弱性

Adobe Acrobat/Reader 再更新

「Adobe Acrobat Reader」に緊急のセキュリティ更新、一刻も早いアップデートを - 窓の杜

「Adobe Acrobat Reader」に緊急のセキュリティ更新、一刻も早いアップデートを - 窓の杜

Adobe Acrobat および Reader の脆弱性対策について(2026年4月) | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

「PDFを開くだけで情報が盗まれる」　Adobe Acrobat／Readerにゼロデイ脆弱性：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】「Adobe Acrobat／Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を（1ページ目 / 全1ページ）：Security NEXT

Adobe CCがhostsファイルを無断で変更か。批判の声相次ぐ - PC Watch

メモリ高騰でRaspberry Piが再値上げ／Adobe CCがユーザーに無断でhostsファイルを書き換え？：週末の「気になるニュース」一気読み！（1/3 ページ） - ITmedia PC USER

2026年3月セキュリティアップデート解説：Microsoft社は93件、Adobe社は80件の脆弱性に対応 | トレンドマイクロ (JP)

Adobe Acrobat および Reader に脆弱性 | ScanNetSecurity

【セキュリティニュース】Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開（1ページ目 / 全1ページ）：Security NEXT

「Adobe Illustrator」や「Adobe Acrobat Reader」などに致命的な脆弱性 - 窓の杜

2026年2月セキュリティアップデート解説：Microsoft社は61件、Adobe社は44件の脆弱性に対応 | トレンドマイクロ (JP)

2026年1月セキュリティアップデート解説：Microsoft社は115件、Adobe社は25件の脆弱性に対応 | トレンドマイクロ (JP)

APSB26-05 : Security Updates Available for Adobe Commerce：Adobe Security Bulletin

APSB26-18 : Security Updates Available for Adobe Illustrator：Adobe Security Bulletin

APSB26-25 : Security updates available for Adobe Substance 3D - Painter：Adobe Security Bulletin

APSB26-26 : Prenotification Security Advisory for Adobe Acrobat and Reader：Adobe Security Bulletin

APSB26-28 : Security Updates Available for Adobe Premiere Pro：Adobe Security Bulletin

APSB26-24 : Security updates available for Adobe Experience Manager：Adobe Security Bulletin

APSB26-29 : Security updates available for Adobe Substance 3D Stager：Adobe Security Bulletin

APSB26-30 : Security update available for Adobe DNG Software Development Kit (SDK)：Adobe Security Bulletin

APSB26-43 : Prenotification Security Advisory for Adobe Acrobat and Reader：Adobe Security Bulletin

APSB26-44 : Prenotification Security Advisory for Adobe Acrobat and Reader：Adobe Security Bulletin

APSB26-32 : Security Update Available for Adobe InDesign：Adobe Security Bulletin

APSB26-33 : Security Update Available for Adobe InCopy：Adobe Security Bulletin

APSB26-34 : Security updates available for Adobe Experience Manager Screens：Adobe Security Bulletin

APSB26-36 : Security Updates Available for Adobe Framemaker：Adobe Security Bulletin

APSB2 : Security updates available for Adobe Connect：Adobe Security Bulletin

APSB26-38 : Security updates available for Adobe ColdFusion：Adobe Security Bulletin

APSB26-39 : Security Updates Available for Adobe Bridge：Adobe Security Bulletin

APSB26-40 : Security updates available for Adobe Photoshop：Adobe Security Bulletin

APSB26-41 : Security update available for Adobe DNG Software Development Kit (SDK)：Adobe Security Bulletin

APSB26-42 : Security Updates Available for Adobe Illustrator：Adobe Security Bulletin

APSB26-43 : Prenotification Security Advisory for Adobe Acrobat and Reader：Adobe Security Bulletin

APSB26-05 : Security Updates Available for Adobe Commerce：Adobe Security Bulletin

APSB26-18 : Security Updates Available for Adobe Illustrator：Adobe Security Bulletin

APSB26-25 : Security updates available for Adobe Substance 3D - Painter：Adobe Security Bulletin

APSB26-26 : Prenotification Security Advisory for Adobe Acrobat and Reader：Adobe Security Bulletin

APSB26-28 : Security Updates Available for Adobe Premiere Pro：Adobe Security Bulletin

APSB26-24 : Security updates available for Adobe Experience Manager：Adobe Security Bulletin

APSB26-29 : Security updates available for Adobe Substance 3D Stager：Adobe Security Bulletin

APSB26-30 : Security update available for Adobe DNG Software Development Kit (SDK)：Adobe Security Bulletin

Splunk

[High] Third-Party Package Updates in Splunk Universal Forwarder - March 2026：Splunk Vulnerability Disclosure

[Medium] Stored Cross-Site Scripting (XSS) through Path Traversal in Splunk Enterprise：Splunk Vulnerability Disclosure

[High] Remote Command Execution (RCE) through the '/splunkd/__upload/indexing/preview' REST endpoint in Splunk Enterprise：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure through Improper Access Control in Splunk Enterprise：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure in MongoClient logging channel in Splunk Enterprise：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure in Discover Splunk Observability Cloud app for Splunk Enterprise：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk Enterprise - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics On-Premises Enterprise Console - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics Machine Agent - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics Private Synthetic Agent - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics Java Agent - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics NodeJS Agent - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics Database Agent - March 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk AppDynamics Analytics Agent - March 2026：Splunk Vulnerability Disclosure

[Low] Risky Commands Safeguards Bypass through preloaded Data Models due to Path Traversal vulnerability in Splunk Enterprise：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure in：Splunk Vulnerability Disclosure

[Medium] Client-Side Denial of Service (DoS) through ''/splunkd/__raw/services/authentication/users/username'' REST API endpoint in Splunk Enterprise：Splunk Vulnerability Disclosure

[High] Local Privilege Escalation (LPE) in Splunk Enterprise for Windows through DLL Search‑Order Hijacking：Splunk Vulnerability Disclosure

[Medium] Improper Access Control in Splunk Monitoring Console App：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure in：Splunk Vulnerability Disclosure

[High] Local Privilege Escalation in Splunk Enterprise for Windows through Python Module Search Path：Splunk Vulnerability Disclosure

[Medium] Sensitive Information Disclosure in ''_internal'' index in Splunk Enterprise：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk Universal Forwarder - February 2026：Splunk Vulnerability Disclosure

[High] Third-Party Package Updates in Splunk Enterprise - February 2026：Splunk Vulnerability Disclosure

[Low] Third-Party Package Updates in Splunk DB Connect - February 2026：Splunk Vulnerability Disclosure

Paloalto

[Medium] CVE-2026-0230 Cortex XDR Agent: Local Administrator can disable the agent on macOS：Palo Alto Security Advisory

[Medium] PAN-SA-2026-0003 Chromium: Monthly Vulnerability Update (March 2026)：Palo Alto Security Advisory

[Medium] CVE-2026-0231 Cortex XDR Broker VM: Sensitive Information Disclosure Vulnerability：Palo Alto Security Advisory

[High] CVE-2026-0234 Cortex XSOAR: Improper Verification of Cryptographic Signature in Microsoft Teams integration：Palo Alto Security Advisory

[Medium] CVE-2026-0233 Autonomous Digital Experience Manager: Improper validation of ADEM certificate：Palo Alto Security Advisory

[Low] PAN-SA-2026-0005 Informational Bulletin: Precautionary Fixes for Non-Exploitable OSS CVEs in PAN-OS：Palo Alto Security Advisory

[Medium] CVE-2026-0232 Cortex XDR Agent: Local Administrator can disable the agent on Windows：Palo Alto Security Advisory

[Medium] PAN-SA-2026-0004 Chromium: Monthly Vulnerability Update (April 2026)：Palo Alto Security Advisory

[Low] PAN-SA-2026-0006 Informational Bulletin: Impact assessment of OSS CVEs in PAN-OS：Palo Alto Security Advisory

Zoom

[Critical] Zoom Workplace for Windows - External Control of File Name or Path：Zoom Security Bulletin

[High] Zoom Clients for Windows - Improper Privilege Management：Zoom Security Bulletin

[High] Zoom Rooms for Windows - Improper Input Validation：Zoom Security Bulletin

[High] Zoom Workplace Clients for Windows - Improper Check：Zoom Security Bulletin

【セキュリティニュース】会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性 - 窓の杜

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性 - 窓の杜

Apple / iOS / macOS

Macを49.7日連続稼働させるとネットワークに接続できなくなるバグ見つかる。ユーザーへの影響は？【やじうまWatch】 - INTERNET Watch

iPhoneの「衛星経由のSOS」って誰が使えるの？（1/2 ページ） - ITmedia Mobile

Apple、「iOS 26.4.1」「macOS Tahoe 26.4.1」などをリリース - 窓の杜

Apple、iOS 26にアップグレードしていないiPhone向けにiOS 18アップデートを公開へ　 - こぼねみ

Apple、すべてのiPhoneにiOS 18の最新アップデートをリリース - こぼねみ

Apple、iPhone XR/XSからiPhone 16e、iPad (第7世代-A16)などiOS 18のシステム要件を満たす全てのデバイスへDarkSword攻撃の対策を行ったセキュリティアップデート「iOS/iPadOS 18.7.7」をリリース。 | AAPL Ch.

Apple、「iOS 18.7.7」「iPadOS 18.7.7」の対応機種を拡大、「DarkSword」攻撃から保護 - 窓の杜

Apple iOS/iPadOS 26.4.2 脆弱性修正

Apple iOS修正詳細

iOS通知脆弱性修正

【セキュリティニュース】Apple、「iOS 18.7.7」「iPadOS 18.7.7」の対象デバイスを拡大（1ページ目 / 全1ページ）：Security NEXT

Apple、「iOS 26.4」「iPadOS 26.4」を公開～AirPods Max 2、8個の新しい絵文字に対応 - 窓の杜

Apple、AirPods Max 2や新しい絵文字をサポートし、ミュージックやアクセシビリティ機能をアップデートした「iOS/iPadOS 26.4」を正式にリリース。 | AAPL Ch.

結局、Appleも邪悪だった » p2ptk[.]org

Appleがメールアドレスを非公開にしたままメールできる「メールを非公開」機能で隠されているはずのユーザーのメールアドレス＆実名をFBIに提供していたことが明らかに - GIGAZINE

iPhoneの“壊れ気味だったキーボード”が改善されてました【iOS 26.4】 | ギズモード・ジャパン

Apple、古いiOSを狙ったWebベースの攻撃が確認されたとしてアップデートするよう案内 | サポート | Mac OTAKARA

iOS26.4「盗難デバイスの保護」が強制有効化！自宅でロックされる懸念も - iPhone Mania

Apple、8個の新しい絵文字をサポートし複数の脆弱性と不具合を修正した「macOS Tahoe 26.4」を正式にリリース。 | AAPL Ch.

iPhone/iPad/Macに脆弱性、Appleが「バックグラウンドセキュリティ改善」を実施 - 窓の杜

Apple、MacやiPhone/iPad向けにWebKitの脆弱性を修正したバックグラウンドセキュリティ改善「macOS 26.3.1/.2(a), iOS/iPadOS 26.3.1(a)」をリリース。適用には再起動が必要なので注意を。 | AAPL Ch.

Apple、iOS 26.3.1 (a)／iPadOS 26.3.1 (a)／macOS 26.3.1 (a)／macOS 26.3.2 (a) バックグラウンドセキュリティ改善をリリース - こぼねみ

【セキュリティニュース】Apple、iOSやmacOS向けにセキュリティアップデートをリリース（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Apple、iOSやmacOS向けにセキュリティアップデートをリリース（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消（1ページ目 / 全1ページ）：Security NEXT

iPhone/iPad/Macに脆弱性、Appleが「バックグラウンドセキュリティ改善」を実施 - 窓の杜

Apple、古いiOS/iPadOSにパッチ～ハッキングツール「Coruna」で悪用の脆弱性に対処 - 窓の杜

外部ディスプレイ対応を拡充した「iOS 26.3.1」など、AppleがOSを一斉アップデート - 窓の杜

No published CVE entries in iOS 26.3.1 and iPadOS 26.3.1 - Apple Support

No published CVE entries in macOS Tahoe 26.3.1 - Apple Support

No published CVE entries in iOS 18.7.6 - Apple Support

「iOS 26.4」Beta 1に追加された多数の新機能や変更を確認 - こぼねみ

Apple Patches Exploited Notification Flaw - SANS ISC

Microsoft / Windows

Microsoft、2026年3月の「Windows Update」を実施～84件の脆弱性に対処 - 窓の杜

Microsoft Patch Tuesday March 2026 - SANS Internet Storm Center

Microsoft Build 2026、今年はサンフランシスコで2日間の開催に - ITmedia NEWS

Axios / サプライチェーン攻撃

ダウンロード数1億超、人気ライブラリ「Axios」を襲ったサプライチェーン攻撃　発端は巧妙なアカウント乗っ取り：この頃、セキュリティ界隈で - ITmedia NEWS

Axios NPMパッケージ侵害：週1億以上のダウンロードを誇るJavaScript HTTPクライアントにサプライチェーン攻撃 | トレンドマイクロ (JP)

North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack | Google Cloud Blog

Axiosサプライチェーン攻撃の手口をPostmortemで読んだら、まるでルパン三世だった #Security - Qiita

APT / 国家支援型攻撃

ロシアのサイバー攻撃グループ「APT28」が、古いルーターの脆弱性を悪用したDNSハイジャック攻撃。米英機関が情報公開 - INTERNET Watch

イランのハッカー、米インフラへの攻撃を激化　水道やエネルギーを標的に - CNET Japan

イランの攻撃でAWSのドバイとバーレーンのリージョンが「完全にダウン」状態、Amazonは長期間にわたって利用不可になるとの見通しを示す - GIGAZINE

北朝鮮の偽IT技術者だと正体がバレた面接の映像が話題に、なぜ北朝鮮の工作員と判明したのか？ - GIGAZINE

北朝鮮IT労働者は「世界中の会社に」　組織の実態をハッカーが調査 [AIの時代]：朝日新聞

北朝鮮のハッカー「UNC1069」がオープンソースのAxiosに対するサプライチェーン攻撃の犯人だとGoogleが指摘 - GIGAZINE

イラン、米テック大手の拠点を｢標的｣にすると警告 | ギズモード・ジャパン

OWASP / 開発セキュリティ

【徳丸本まとめ】Webアプリの脆弱性と対策を一気に整理する #JavaScript - Qiita

セキュリティエンジニアはこう見る。開発時に認可制御不備を怪しむべき実装パターン10選 - GMO Flatt Security Blog

2026-04-06 AIソムリエ: OWASP チートシートで Claude Code のセキュリティを点検してみた

【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話 #初心者 - Qiita

Claude CodeもCodex Securityも見落とした、CSRFトークン漏洩の脆弱性 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

フィッシング / 詐欺

「あなたの口座からカンボジアへ送金がありました」と詐欺電話が来たので遊ぶつもりで「はい、私の送金ですよ」と返したら掛け子が動揺してた、台本から外れると弱くなる - Togetter

「トロイの木馬除去費用」セブンイレブンのこれ何？→持っていったら店員さんが優しく諭してくれます - Togetter

PayPayを悪用した架空請求詐欺に注意！ SMSのリンクは開かずに、公式サイトで確認しよう【読めば身に付くネットリテラシー】 - INTERNET Watch

【注意喚起】生成AIを使用した巧妙な詐欺の電話に引っかかってしまったので交番で話したら「こいつら悪すぎる」「こんなの俺も騙される」と警察官も驚いていた - Togetter

東京都の再委託事業者がサイバー攻撃被害、最大１３万世帯の情報漏えい恐れ…水道使用者名や使用水量 : 読売新聞

「引っかかる自信しかない」「『はい合ってます』と即答しちゃあかんやつ...」ニセ警察官からの詐欺電話、最新の手口が怖すぎる - Togetter

「QRコード詐欺」の被害が拡大中！引っ掛からないために、さまざまな手口を知っておこう【読めば身に付くネットリテラシー】 - INTERNET Watch

詐欺師がうっかりミス？　“詐欺メールのデザイン”のポイントを誤表記　あるフィッシングメールが話題に - ITmedia NEWS

NTTタウンページ、詐欺の電話番号を警告する無料アプリ - Impress Watch

「この電話、詐欺かも」警告　NTTタウンページが無料アプリ公開 - ITmedia NEWS

CTF / コミュニティ

SECCON 14 電脳会議にて学生向けCTFを開催: NECセキュリティブログ | NEC

インターンシップから入社、Black Hat Europe登壇までの道のり - NTT docomo Business Engineers' Blog

AWS / クラウドセキュリティ

Amazon S3侵害から「わずか8分」――LLMによる自動化で“AWS管理者権限”を奪取：Sysdigが分析、その攻撃工程とは - ＠IT

米AWSの中東リージョン、「革命防衛隊によるドローン攻撃の標的」とイラン国営メディア - ITmedia NEWS

AWS、中東でデータセンター施設がドローンの直接攻撃を受けたことを公表。3つのアベイラビリティゾーンのうち2つが著しく損傷－ Publickey

AWSのドバイ拠点に「物体が衝突」し火災発生か　一部のアベイラビリティゾーンに影響　 - ITmedia NEWS

AWSの中東リージョンの障害は「ドローン攻撃による物理的な影響」 - ITmedia NEWS

企業・組織セキュリティ

組織が「内部脅威管理チーム」を編成するときのポイントは？米CISAのインフォグラフィックを解説ほか【海の向こうの“セキュリティ”】 - INTERNET Watch

45％が「週6日相当勤務」　セキュリティ責任者のやる気を削がない組織運用とは？：セキュリティニュースアラート - ITmedia エンタープライズ

緊迫化するイラン情勢で関連ハクティビストの活動が激化　どう備える？：セキュリティニュースアラート - ITmedia エンタープライズ

従来防御の限界を超えろ　奥村組土木興業がトレンドマイクロのEPP／EDRとCREMを導入：セキュリティソリューション - ITmedia エンタープライズ

JSAC2026 開催レポート～Workshop／Lightning Talk Session／Panel Discussion～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

AIを活用したフィッシングサイト判定: NECセキュリティブログ | NEC

Goに脆弱性報告した話 | Wantedly Engineer Blog

dalisec.io

【重要】弊社製品のセキュリティ調査に関するお知らせとご報告 – Alldocube Japan

1つのアカウントからドメイン全体を掌握！ Active Directoryハッキングの全手順を再現してみた

上場企業のメールセキュリティを調べてみた – DMARC・SPF設定の実態

「生成AIは専門家の知識を代替しない」　任せるべきセキュリティ領域とは？：セキュリティニュースアラート - ITmedia エンタープライズ

Guard機能 - Takumi byGMO | GMO Flatt Security

職場メールをGMAILに転送して読んでいる人、結構な数で見かけるけど、確実にgoogleを経由して、geminiに学習されているから、個人的には、特に重要な職務に就いている人は止めた方がいいんじゃないかという話 - posfie

AI / LLMセキュリティ

Claude Codeの重大な脆弱性を分析　開発者への3つの影響とは？：セキュリティニュースアラート - ITmedia エンタープライズ

OWASP「Secure MCP Server Development」完全解説 ― AI Agent時代の実行基盤セキュリティ設計 #Security - Qiita

【セキュリティニュース】AIエージェント「MS-Agent」にプロンプトインジェクションの脆弱性（1ページ目 / 全1ページ）：Security NEXT

入社前から自分の仕事を奪うセキュリティレビューAIエージェントを作った - Sansan Tech Blog

身元不明のハッカー、Claude悪用してメキシコ政府にサイバー攻撃　膨大な個人情報を窃取　海外報道 - ITmedia AI＋

イベント等

フロントエンド・PHPカンファレンス北海道2026で学生・U25旅費支援施策を行います！｜ことみん

そのISMS対策、現場を疲弊させていませんか？～委託先リスクと開発リスクを『仕組み』で攻略～ - connpass

TMC Tokyo: 脅威モデリングナイト #16 - connpass

TMC Tokyo Local Meetup: 脅威モデリングナイト #16 徳島サテライト - connpass

FortiGateにおけるSSL-VPN機能の廃止について - connpass

Security Days Spring 2026（セキュリティデイズ）｜公式サイト　セキュリティ課題を解決する展示会&セミナーイベント

せきゅぽろ SNR vol.5 no.3 - connpass

デジタルアイデンティティ人材育成推進WGフェーズ２：活動報告会 - connpass

総関西サイバーセキュリティＬＴ大会（第54回） - connpass

[初学者歓迎!!] ネットワークゆるLT大会 in 京都〜ピザもあるで〜 - connpass

Monthly Microsoft Intune Briefing Call Japan #14 - connpass

第18回脆弱性対応勉強会（JNSA新ゲーム CoRepo お披露目会） - connpass

AIはトップCTFプレイヤーを超えるか？ AIによるサイバーセキュリティの攻防の最前線とこれから - connpass

【Global Azure】第3回 JAZUG Fukuoka - connpass

AIはトップCTFプレイヤーを超えるか？ AIによるサイバーセキュリティの攻防の最前線とこれから - connpass

第5回セキュリティ若手の会（LT&交流会） - connpass

第54回CITPコミュニティ定例会 - CITP×JISTA 合同交流イベント - - connpass

mini Security-JAWS[第42回]もくもく会 2026年3月28日(土) - connpass

mini Security-JAWS[第43回]初心者向けウェビナー会 2026年4月4日(土) - connpass

【2時間で学ぶAI基礎講座】NotebookLMによるPowerPoint資料の自動作成 - connpass

第２回関西インターネット老人会+東海 - connpass

38th Annual FIRST Conference: DENVER (US), June 14-19, 2026

mini Security-JAWS[第44回]初心者向けウェビナー会 2026年4月18日(土) - connpass

Fukuoka Tech Lab Meetup #1 〜福岡から挑むモビリティ開発の裏側〜 - connpass

第18回脆弱性対応勉強会（JNSA新ゲーム CoRepo お披露目会） - connpass

GREEN×EXPO 2027 アテンダントスタッフ・ボランティア公式ユニフォームを公開 | 株式会社ピエクレックスのプレスリリース

Windows Cloud Community Meetup #05 - connpass

dev_night Tokyo #5 - connpass

Cyber-sec+ College vol.3 - connpass

TOKUSHIMA Security - DFIR Training (2026/04/26) - connpass

TOKUSHIMA Security - DFIR Training (2026/04/05) - connpass

M365セキュリティ&ゼロトラスト勉強会 36 - connpass

Security.any #10 愛（AI）したセキュリティLT - connpass

2026 春のLT大会～釜山さん関西歓送会 - connpass

コミュニティイベント『セキュアスカイ What’s Up』#6「ばりかた文系専門セキュリティ勉強会」と福岡で初コラボ開催 - セキュアスカイプラス

BSides Tokyo 2026 | Peatix

2026年第26回研究大会の日程及び開催場所について – 情報ネットワーク法学会ホームページ

mini Security-JAWS[第45回]アップデートチェック会 2026年5月9日(土) - connpass

第02回shirosec デジタルアイデンティティ編 - connpass

Mecha Ghidraを使ったAI-driven Reverse Engineering - connpass

ssmonline #51 - connpass

ISC2 Japan Chapter - 202603

Ivanti

March 2026 Security Update | Ivanti

April 2026 Security Update | Ivanti

【セキュリティニュース】米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「Ivanti DSM」に権限昇格の脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT

Drupal

Automated Logout - Moderately critical - Cross-site request forgery - SA-CONTRIB-2026-030 | Drupal.org

AI (Artificial Intelligence) - Moderately critical - Information Disclosure - SA-CONTRIB-2026-028 | Drupal.org

Unpublished Node Permissions - Critical - Access bypass - SA-CONTRIB-2026-029 | Drupal.org

File Access Fix (deprecated) - Moderately critical - Access bypass - SA-CONTRIB-2026-020 | Drupal.org

File Access Fix (deprecated) - Moderately critical - Access bypass - SA-CONTRIB-2026-021 | Drupal.org

AJAX Dashboard - Critical - Access bypass - SA-CONTRIB-2026-022 | Drupal.org

Calculation Fields - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-023 | Drupal.org

Google Analytics GA4 - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-024 | Drupal.org

OpenID Connect / OAuth client - Moderately critical - Server-side request forgery, Information disclosure - SA-CONTRIB-2026-025 | Drupal.org

OpenID Connect / OAuth client - Moderately critical - Access bypass - SA-CONTRIB-2026-026 | Drupal.org

OpenID Connect / OAuth client - Less critical - Access bypass - SA-CONTRIB-2026-027 | Drupal.org

Material Icons - Moderately critical - Access bypass - SA-CONTRIB-2026-011 | Drupal.org

Theme Negotiation by Rules - Moderately critical - Cross-site request forgery - SA-CONTRIB-2026-012 | Drupal.org

Tagify - Moderately critical - Cross-site scripting - SA-CONTRIB-2026-013 | Drupal.org

Anti-Spam by CleanTalk - Moderately critical - Cross-site scripting - SA-CONTRIB-2026-014 | Drupal.org

CAPTCHA - Moderately critical - Access bypass - SA-CONTRIB-2026-015 | Drupal.org

Islandora - Moderately critical - Arbitrary file upload, Cross-site scripting - SA-CONTRIB-2026-016 | Drupal.org

Drupal Canvas - Moderately critical - Server-side request forgery, Information disclosure - SA-CONTRIB-2026-017 | Drupal.org

SAML SSO - Service Provider - Critical - Cross-site scripting - SA-CONTRIB-2026-018 | Drupal.org

Responsive Favicons - Moderately critical - Cross-site scripting - SA-CONTRIB-2026-019 | Drupal.org

宇宙

アルテミスII / NASA

アルテミスII、地球帰還の一部始終　YouTubeでは320万人超が見守る - ITmedia NEWS

宇宙でも｢iPhoneで撮影｣。アルテミスIIから自撮りカメラで撮った地球の写真が届く | ギズモード・ジャパン

サンセットならぬ「アースセット」に巨大皆既日食　アルテミスIIの写真をNASAのスタッフが解説すると…… - ITmedia NEWS

約50年ぶりに人類が見た地球。アルテミスIIから写真が届いたよ | ギズモード・ジャパン

約半世紀ぶりに有人で月へ　NASA、オリオン宇宙船の打ち上げ成功　「アルテミスII」 - ITmedia NEWS

アルテミス計画に黄色信号。NASAの月着陸船が｢月で詰む｣可能性あり | ギズモード・ジャパン

NASAがアルテミス計画を大幅に変更。人類の月面着陸は2028年に持ち越し | ギズモード・ジャパン

アルテミス3計画をめぐってイーロンとベゾスが白熱レースを展開中 | ギズモード・ジャパン

鉄

IT

LINE

LINE Yahoo システム分離完了

LINE Yahoo NAVER分離

AI

GPT-5.5発表

中国AIエージェント拡大

Google AIモード注意喚起

Google、「バックボタンハイジャッキング」をスパムポリシー違反に追加。2026年6月15日からペナルティの対象に

Geminiに特定の漢字を繰り返し出力させると暴走、無関係な文章を出力する現象が話題に【やじうまWatch】 - INTERNET Watch

4日間ChatGPT禁止──息をするようにAIを使う知的労働者10人の“LLM絶ち”実録日記：Innovative Tech - ITmedia NEWS

OpenAI、「GPT-5.4 mini」「GPT-5.4 nano」を発表～応答性と効率性を追求した小型モデル - 窓の杜

中国当局、AIエージェント「OpenClaw」急拡大で注意呼びかけ - 日本経済新聞

経産省が開発資金を拠出した国産楽天AIは盗聴、世論誘導入りのdeepseek（中国）疑惑 - 社内SEゆうきの徒然日記

生成AIは量子コンピュータの前提を根底から覆した──量子ベンチャーの“苦渋の決断” - ITmedia NEWS

エンジニア歴20年の私が、素人バイブコーディング勢に物申す #AI - Qiita

dockerfile-pin: DockerfileやComposeのイメージをSHA256でピン留めするCLIツールを作った | Web Scratch

WordPressはもうやめよう。CloudflareのEmDashが来た

Claude Codeのセキュリティ設定を本気で固めた話【2026年版】

Claude Code の流出したソースコードを GitHub に公開した人が著作権違反を回避した方法がヤバすぎ #AI - Qiita

OpenAIが新AIモデル｢GPT-5.4｣をリリース、性能は“大幅に”向上。ChatGPTにもくるよ | ギズモード・ジャパン

生成AIで「想像通り」の画像が作れない！　簡単に修正の精度を高める2つのテクニック：その悩み、生成AIが解決（1/3 ページ） - ITmedia ビジネスオンライン

「シャドーAI」は誰の責任？　従業員の5割以上が“会社に黙って”AIを使っているワケ：古田拓也「今更聞けないお金とビジネス」（1/2 ページ） - ITmedia ビジネスオンライン

Claude Codeに重大な脆弱性　設定ファイル経由でRCEやAPIキー窃取の恐れ：セキュリティニュースアラート - ITmedia エンタープライズ

AI に 24 時間セキュリティ監視を任せてみた — ホームラボで SOC を構築した話 #Security - Qiita

米軍のイラン攻撃に「Claude」が使われたことが判明　トランプ大統領による「使用停止命令」後 - ITmedia NEWS

Claude Code Securityが発表され、セキュリティ株が暴落。AIが数十年見逃されたバグ500件を発見した #ClaudeCode - Qiita

生成AIを悪用か　世界55カ国で600台超のFortiGate侵害が発生：セキュリティニュースアラート - ITmedia エンタープライズ

「Claude Code Security」が登場、コード内の脆弱性をスキャンして修正提案もしてくれる - GIGAZINE

iPhoneが「NATOの機密情報を扱えるデバイス」の認証を民生用デバイスとして初めて取得 - GIGAZINE

Appleのサブスク「Apple Creator Studio」登場　Adobe、Affinityとの「使い分け」の最適解は？：その悩み、生成AIが解決（1/2 ページ） - ITmedia ビジネスオンライン

iOS26で純正パスワード管理が大幅進化！有料アプリは不要になるか - iPhone Mania

Anker初のAIボイスレコーダー、議事録作成を｢秒｣で終わらせにきたぞ | ギズモード・ジャパン

生成AIで「想像通り」の画像が作れない！　簡単に修正の精度を高める2つのテクニック：その悩み、生成AIが解決（1/3 ページ） - ITmedia ビジネスオンライン

「Copilot」、他のマイクロソフト製品からひそかにユーザーデータを収集 - ZDNET Japan

AIの普及でOSSプロジェクトへの低品質なコード提出が増加、Ghostty開発者による「貢献者の信頼度を管理するシステム」も登場 - GIGAZINE

企業向け「Microsoft 365 Copilot」、DLP設定無視で機密メール内容を要約　修正プログラム展開中 - ITmedia NEWS

Copilotに機密メールを要約する「バグ」があるとMicrosoftが認める - GIGAZINE

Okta、シャドーAIエージェントを検知・管理する「Agent Discovery」を発表 - クラウド Watch

【緊急】AIエージェントの12%がマルウェアだった。OpenClaw史上最悪のサプライチェーン攻撃の全貌 #Security - Qiita

AIがペネトレーションテストを自動化する時代が来た——2026年の主要ツールまとめ

AnkerからAIボイスレコーダー「Soundcore Work」が発売、世界最小でAI文字起こしや要約 - ケータイ Watch

Mac版Google日本語入力が（やっと）Apple Siliconに対応しました | ギズモード・ジャパン

“あいまい”検索システム「SoftMatcha 2」　東大や京大、Sakana AIなどが開発　巨大化するAI学習データを高速検索：Innovative Tech（AI+） - ITmedia AI＋

「Rufus」をMicrosoftがブロック？ WindowsのISOイメージダウンロード機能でエラーが - やじうまの杜 - 窓の杜

進化を止めない車載ネットワーク、第3世代CANが登場し車載SerDesは12Gbpsへ：オートモーティブワールド2026レポート（1/3 ページ） - MONOist

AIコーディングが隆盛する一方でマネジメントが辛い件

社会・事件・インフラ

スマホ農場とSNS閲覧数操作

銀行員SNS漏洩問題

教育現場BeReal問題

病院サイバー攻撃疑い（未被害）

裁判官のドラレコ解析事件

TechFeed - エンジニアのための技術情報収集＆共有プラットフォーム

全国で自治体などのホームページに障害、「閲覧できない」状態に　原因を調査中 - ITmedia NEWS

自治体ホームページの障害、「データセンター事業者の不具合」か - ITmedia NEWS

Windows / Linux

フランス政府がWindows搭載の政府用コンピュータをLinuxに移行する計画を発表、アメリカ製技術への依存をさらに軽減するため - GIGAZINE

ASCII.jp：Windows 11、コントロールパネル廃止へ　設定アプリに完全移行

【やじうまPC Watch】いいですか、コントロールパネルはまだ廃止されないと思います - PC Watch

Windows Updateの強制再起動が廃止へ。一時停止は無期限延期が可能に - ギャズログ

クラシック版「Outlook」でマウスカーソルが消失する不具合／MicrosoftがWindows Server 2016など3製品に「ESU」を提供：週末の「気になるニュース」一気読み！（1/3 ページ） - ITmedia PC USER

GUI登場以来のUI変更？　「チャット」から「自律実行」へ　Windowsを“エージェントOS”に変える「Copilot Tasks」の波紋：Windowsフロントライン（1/2 ページ） - ITmedia PC USER

Android

Android「らしさ」失われる？ 2026年9月から「開発者認証」完全義務化 | gihyo.jp

致命的な脆弱性に対処したAndroid OSの2026年4月セキュリティ更新が発表 - 窓の杜

クラウド / インフラ

海底ケーブルは破壊工作の脅威にさらされており、ケーブルを保護するため新技術や新たなルートの開拓が必要な事態に突入 - GIGAZINE

数千人のユーザーがOneDriveの止められないスパムの影響を受ける - GIGAZINE

「Google ドライブ」でランサムウェアの検出およびファイルの復旧機能が一般提供開始 - 窓の杜

Cloudflare無料プランの「Basic Features」ボタン一発で有効になる11機能を全解説

Cloudflare無料プランだけで個人サイトのセキュリティが完結した話

AWSのドバイ拠点に「物体が衝突」し火災発生か　一部のアベイラビリティゾーンに影響　 - ITmedia NEWS

AWSの中東リージョンの障害は「ドローン攻撃による物理的な影響」 - ITmedia NEWS

LINEヤフー / パスキー

Yahoo! JAPAN ID、安全性・利便性向上を目的としてログイン方法を「パスキー」に一本化へ｜LINEヤフー株式会社

消そうと思ったアプリが「パスキー」対応　“たまに使うサービス”にこそ有効な理由：半径300メートルのIT - ITmedia エンタープライズ

警察 / 行政

園芸博の警備完遂へ　神奈川県警が警備対策室を設置 | 日刊警察

埼玉県警がデザインコンクール　経済安全保障対策で大学生らからポスター募る | 日刊警察

SNS / 話題

「情報漏洩する危険人物」として20代で人生終了…「仕事中にスマホで撮影→SNS投稿」のあまりに重い代償（プレジデントオンライン） - Yahoo!ニュース

8歳の次男が「にゃんこ大戦争」に90万課金してた - Togetter

某保険会社で何度か「満額出せません。社内規定です」と言われたことがあるが、「約款のどこに書いてます？そこにライン引いて送って下さい」と言ったら毎度満額出てくる - Togetter

反AIのXアカウント（フォロワー数1.1万人）、9万円で売れる──SNSアカウント譲渡サイトでの取引が話題に - ITmedia NEWS

「不満と復讐心」勤務先に強制シャットダウンのプログラム仕込む、元IT会社員を逮捕 - 産経ニュース

「不満と復讐心」勤務先に強制シャットダウンのプログラム仕込む、元IT会社員を逮捕　被害額は約2000万円 - ITmedia NEWS

「偽情報の源はテレビ」は本当か？　批判の根拠となった調査を実施した小笠原教授とデータを読み解く【ファクトチェック解説】

Instagram、10代が自殺関連ワードを検索すると保護者に通知 | ギズモード・ジャパン

Discord、ユーザーの反発を受け年齢確認の導入を延期 | ギズモード・ジャパン

スクエニ、「ネトゲ速報」管理者を開示請求→サイト閉鎖＆解決金の支払いで和解　「FF14」スタッフへの誹謗中傷などで - ITmedia NEWS

その他

EXPO・イベント

報道発表資料：GREEN×EXPO 2027　日本政府苑ウェブサイトを開設しました
～開幕１年前を契機に情報発信を加速化～ - 国土交通省

報道発表資料：開幕１年前に横浜グリーンエクスポの準備状況を報告！
～2027年国際園芸博覧会関係閣僚会議（第４回）が開催されました～ - 国土交通省

国際園芸博覧会の通称「横浜グリーンエクスポ」に決まる２７年に開催 | カナロコ by 神奈川新聞

ずっと真夜中でいいのに。、＜EXPO2025 大阪・関西万博＞で開催した単独公演を無料公開決定 | BARKS

大阪・関西万博を360度の映像で再体験できる「いつでもどこでも大阪・関西万博 “360° View” 」を公開！ | EXPO 2025　大阪・関西万博公式Webサイト

大阪・関西万博「EXPO 2025 バーチャル万博～空飛ぶ夢洲～」がギネス世界記録™「最大のバーチャルリアリティー万博」に認定 | EXPO 2025　大阪・関西万博公式Webサイト

大阪・関西万博1周年メモリアルイベント「EXPO2025 Futures」の実施が決定！第一弾として2026年4月に万博記念公園と夢洲駅、2つの会場を舞台にイベントを開催！ | EXPO 2025　大阪・関西万博公式Webサイト

大阪万博:ミャクミャク公式グッズの販売期間は２年間延長、出展者や協賛者以外にも有償でキャラ使用許可…「こみゃく」もＳＮＳ投稿可能に : 読売新聞

一般社団法人　社会基盤情報流通推進協議会$都市局$2025年大阪・関西万博会場　3D都市モデル（Project PLATEAU）$データセット

大阪万博会場の3Dデータ無償公開　「大屋根リング」や各種パビリオンも　国交省 - ITmedia NEWS

デジタル空間上に再現した大阪・関西万博会場の三次元データを国土交通省が3月6日より公開～会場の3D都市モデルをデジタルアーカイブとして提供～ | EXPO 2025　大阪・関西万博公式Webサイト

報道発表資料：大阪・関西万博のレガシーをProject PLATEAU において整備
～会場の3D 都市モデルをデジタルアーカイブとして提供します～ - 国土交通省

HIS、横浜市で開催される「GREEN×EXPO 2027」入場チケットを販売開始　 - 日本経済新聞

2026-02-14

興味を持った記事(2026年02月14日)

IT セキュリティ

セキュリティ

NAS / 暗号化**

I-O DATA HDL-TA/HDL-TA2 の暗号化アーキテクチャ解析 - データ復旧・RAID復元なら自社ラボ完備のデータサルベージ｜重度障害も全国対応

AWS / クラウドセキュリティ**

AWSにおけるアウトバウンドセキュリティの基礎 - 電通総研テックブログ

AWSセキュリティトレーニングコンテンツ : flAWSのWrite-up: NECセキュリティブログ | NEC

AWS で発生したら最悪なセキュリティインシデントを考えてみよう - サーバーワークスエンジニアブログ

ScanNetSecurity / 業界動向**

GMOサイバーセキュリティ byイエラエ「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」に対応する包括的支援を開始 | ScanNetSecurity

個人情報漏えいが発生したら「企業の対応を見て判断」が 50.5 ％、求めたい取り組み最多は「迅速で誠実な対応」66.1 ％ | ScanNetSecurity

ガートナー、2026 年のサイバーセキュリティトップ・トレンド発表 | ScanNetSecurity

人間にパッチをあてることはできないが行動変容は促せる～プルーフポイントフィッシングメール対策カンファレンス | ScanNetSecurity

復号できない。作った本人ですら～ランサムウェア組織壮大なオウンゴール | ScanNetSecurity

エレコムの一部ネットワーク製品に新たな脆弱性、使用を中止し代替製品への切り替えを検討するよう呼びかけ | ScanNetSecurity

HENNGE が EDR/MDR サービス開始～ VPN機器等の管理不備を指摘する診断機能も | ScanNetSecurity

日本プルーフポイントと NTTセキュリティ・ジャパンが共同で経営層向けセキュリティ情報サイトを開設 | ScanNetSecurity

三菱小容量 UPS 用シャットダウンソフトウェア FREQSHIP-mini for Windows にインストール時の不適切なファイルアクセス権設定の脆弱性 | ScanNetSecurity

GMOサイバー攻撃ネットde診断 ASM が「FortiSIEM」に存在する深刻な脆弱性「CVE-2025-64155」の検知に対応 | ScanNetSecurity

総理大臣が多要素認証ほかを呼びかけ | ScanNetSecurity

長年使っていない Facebook アカウントが乗っ取り→パスワード変更しようとするも WhatsApp 認証に変わっていて→自分に認証コードが届かない | ScanNetSecurity

ゼロデイ脆弱性 3 件発見、160 万円獲得～ GMOサイバーセキュリティ byイエラエ古川和祈氏「Pwn2Own Automotive 2026」出場 | ScanNetSecurity

マイクロソフト、世界的サイバー犯罪型サブスクリプションサービス RedVDS のマーケットプレイスを停止 | ScanNetSecurity

Okta Japan、国内の Auth0 開発者コミュニティ支援プログラム「Auth0 Heroes Program」開始 | ScanNetSecurity

正しいメールなのに正しく届かない！当たり前のようで知られていないその理由とは？ JPAAWG 8th General Meeting レポート #03 | ScanNetSecurity

「GMOサイバーセキュリティ WAFエイド」に脆弱性診断機能を組み込んだ「スタンダードプラン」提供開始 | ScanNetSecurity

サポート終了の NETGEAR 製品にマニュアルにはない「TelnetEnable」機能 | ScanNetSecurity

Apache Tomcat の RewriteValve での処理の不備に起因するパストラバーサルの脆弱性（Scan Tech Report） | ScanNetSecurity

“我々はもはやサイバーセキュリティの仕事をしているのではない” | ScanNetSecurity

JPCERT / 公的機関**

Windowsのイベントログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

React2Shellを悪用する複数の攻撃アクターによる侵害事例 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

それ詐欺かも！そのお金戻ってこないかもしれません [ニセ警察、SNS型投資・ロマンス詐欺の注意喚起] | お知らせ | NEWS | 一般財団法人日本サイバー犯罪対策センター（JC3）

総務省｜報道資料｜大洋州島しょ国・地域向けサイバーセキュリティ能力構築演習（令和7年度第2回）の実施

情報セキュリティ10大脅威 2026 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

「そのお金戻ってこないかもしれません」、SNSで横行する詐欺の啓発資料を警察庁・LINEヤフー・JC3が公開 - INTERNET Watch

脆弱性 / マルウェア / インシデント**

複数のインテル製品に脆弱性～QuickAssistテクノロジーやTDXモジュールなどに影響 - 窓の杜

【セキュリティニュース】「GitLab」にアップデート - 脆弱性15件を修正（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】沖電気製プリンタや複合機のWindows向けユーティリティに脆弱性（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「Django」にセキュリティ更新 - SQLiやDoSなど脆弱性6件を解消（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ（1ページ目 / 全1ページ）：Security NEXT

PDFファイルを開くとマルウェア感染の恐れ、新たな攻撃に注意 | TECH+（テックプラス）

3800超のWordPressサイトを改ざん　大規模マルウェア配布基盤が82カ国で暗躍：セキュリティニュースアラート - ITmedia エンタープライズ

アドイン経由で「Outlook」から機密メールを盗む「Exfil Out&Look」攻撃 - 窓の杜

【セキュリティニュース】NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Kubernetes向け「Rancher Local Path Provisioner」に深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】IBMの暗号基盤「CCA」に脆弱性 - 任意コマンド実行のおそれ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】脆弱性管理ツール「Rapid7 InsightVM」に脆弱性 - 認証回避のおそれ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「Apache Hadoop HDFS」に脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件（1ページ目 / 全2ページ）：Security NEXT

正規ドメインを装い、内部メールに見せかけるフィッシングが急増　Microsoftが警鐘：人事やパスワード切れの連絡に注意 - ＠IT

7-Zipの偽Webサイトに注意　PCをプロキシノード化するマルウェア拡散：セキュリティニュースアラート - ITmedia エンタープライズ

「NICTER観測レポート2025」公開。ダークネットの観測パケット数は過去最多、“Miraiの特徴を持たない”IoTマルウェアが増加 - INTERNET Watch

アスクル、ランサム攻撃で66億円の赤字に　30日から復活セール - Impress Watch

解説 / 教育 / 考察**

わずか45秒で巨大電力会社の中枢が乗っ取られる…「セキュリティがガバガバ」すぎる日本企業の根本問題（プレジデントオンライン） - Yahoo!ニュース

「セキュリティリスク＝影響度☓発生確率」をやめよう #Security - Qiita

Webのしないといけないセキュリティ対策 #Python - Qiita

Microsoft Teams を悪用したCEO詐欺（ビジネスチャット詐欺）について #Security - Qiita

そのバックアップでは会社を守れない　「3-2-1ルール」を過去にする“新常識”：ランサムウェア時代の新基準「3-2-1-1-0」とは - TechTargetジャパンシステム運用管理

グーグルがパスキーを「最も簡単で安全」と言い切る根拠、パスワードとの差 | 日経クロステック（xTECH）

AIが脆弱性を96%見つける時代に、僕らがセキュリティを学ぶ意味はあるのか

一気読み推奨　セキュリティの専門家が推す信頼の公開資料2選：半径300メートルのIT - ITmedia エンタープライズ

「ダークWebで個人情報を検出しました」　アカウント“流出”の原因と、その予防策：ESETが解説 - ＠IT

セキュリティを大幅強化、驚きを隠せない次期「Ubuntu 26.04」の全容 - ZDNET Japan

自分のコードをAIに攻撃させたら"守り"が全部ザルだった

2025年、話題となったセキュリティ事故12社の事例に見る「致命的なミス」とは？：キーマンズネット　まとめ読みeBook - ITmedia エンタープライズ

許可を得て裁判所にピッキングを行い逮捕されたセキュリティ専門家が9000万円の和解金を勝ち取る - GIGAZINE

ランサムウェア対策としてのリスク分析アプローチ

IPAが10大脅威2026年版を発表　行間から見えた“日本企業の弱点”：半径300メートルのIT - ITmedia エンタープライズ

米CISAの「分野横断サイバーセキュリティパフォーマンス目標 2.0」では“ガバナンス”に着目。新たに追加された項目を読む【海の向こうの“セキュリティ”】 - INTERNET Watch

タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】 - INTERNET Watch

「情報セキュリティ10大脅威 2026」公開　新たに登場した"ある脅威"とは？：セキュリティニュースアラート - ITmedia エンタープライズ

オープンソースＬＬＭのコンピューターは悪用が容易、研究者が警鐘 | ロイター

セキュリティカンファレンス「JSAC2026」に登壇してきた話 - NTT docomo Business Engineers' Blog

音声によるフィッシング攻撃者の台本に合わせて進化するフィッシングキットの台頭 | Okta

2026年開催、LAC特別技能CTFチャレンジ！セキュリティに興味がある、若き才能の挑戦をお待ちしています | LAC WATCH

日本の選挙介入の拠点の一部となっていた中華ボットネット群、Googleさんに潰される | 山本一郎（やまもといちろう） / マイノート by 夜間飛行

「第３回フィッシングサイト撲滅チャレンジカップ」大会結果発表 | お知らせ | NEWS | 一般財団法人日本サイバー犯罪対策センター（JC3）

【表彰団体・表彰者】
（1）団体部門
1位　愛知県警察チーム名「アピっと」
2位　京都府警察　チーム名「京都府警察ネット安心アドバイザー」
3位　和歌山県警察　チーム名「Phish Hunter Duck」
（2）個人部門
1位　愛知県警察　「アピっと」　user#257f24 様
2位　京都府警察　「京都府警察ネット安心アドバイザー」　user#96ad321 様
3位　和歌山県警察　「Phish Hunter Duck」　user#1400ef 様
（3）新人部門
1位　愛知県警察　「アピっと」　user#257f24 様
2位　和歌山県警察　「Phish Hunter Duck」　user#1400ef 様
3位　愛知県警察　「アピっと」　Karotte-23 様

「Google Chrome 145」安定版が公開～「分割ビュー」をサポート - 窓の杜

【セキュリティニュース】Google、「Chrome 145」をリリース - 複数脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome」に2件の脆弱性、「libvpx」「V8」の欠陥を修正 - 窓の杜

【セキュリティニュース】「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome 145」安定版が公開～「分割ビュー」をサポート - 窓の杜

February 2026 Security Update | Ivanti

【セキュリティニュース】「Ivanti EPM」に複数脆弱性 - 過去公表脆弱性とあわせて解消（1ページ目 / 全1ページ）：Security NEXT

January 2026 EPMM Security Update | Ivanti

【セキュリティニュース】「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を（1ページ目 / 全2ページ）：Security NEXT

アサヒグループHD ビールや飲料などの物流正常化を発表 | NHKニュース | 企業・経営、物流、サイバー攻撃

人気の無償マインドマップツール「XMind」にゼロデイ脆弱性～報告後も対処されず - 窓の杜
- ZDI-26-069 | Zero Day Initiative

Movable Typeに複数の脆弱性 | ScanNetSecurity

【セキュリティニュース】「Movable Type」にXSSや数式インジェクションなど複数の脆弱性（1ページ目 / 全1ページ）：Security NEXT

MovableType.org – News:[Security Update] Movable Type 9.0.6, 8.8.2 and 8.0.9 Released

JVN#45405689: Movable Typeにおける複数の脆弱性

［重要］ Movable Type 9.1.0 / 9.0.6 / 8.8.2 / 8.0.9、Movable Type Premium 9.1.0 / 9.0.6 / 2.14 の提供を開始（セキュリティアップデート） | Movable Type ニュース

【セキュリティニュース】ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「ServiceNow」に深刻な脆弱性 - 2025年10月更新で修正済み（1ページ目 / 全1ページ）：Security NEXT
- ［Security Advisory］ CVE-2025-12420 - Privilege Escalation in ServiceNow AI Platform - Security

「OpenSSL」にリモートコード実行などの恐れ～修正版がリリース - 窓の杜

OpenSSLに複数の脆弱性　悪用によって任意コード実行が可能に：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT

Third-Party Package Update in Splunk Enterprise - MongoDB CVE-2025-14847：SVD-2026-0101 | Splunk Vulnerability Disclosure

Third-Party Package Updates in Splunk SOAR - February 2026：SVD-2026-0201 | Splunk Vulnerability Disclosure

[Medium]Cisco Secure Web Appliance Real-Time Scanning Archive File Bypass Vulnerability : Cisco Security Advisory

[Critical]Cisco Unified Communications Products Remote Code Execution Vulnerability : Cisco Security Advisory

[High]Cisco Meeting Management Arbitrary File Upload Vulnerability : Cisco Security Advisory

[Medium]Cisco Evolved Programmable Network Manager and Cisco Prime Infrastructure Open Redirect Vulnerability : Cisco Security Advisory

[Medium]Cisco Prime Infrastructure Stored Cross-Site Scripting Vulnerability : Cisco Security Advisory

[High]Cisco TelePresence Collaboration Endpoint Software and RoomOS Software Denial of Service Vulnerability : Cisco Security Advisory

Login Disable - Less critical - Access bypass - SA-CONTRIB-2026-008 | Drupal.org

Quick Edit - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-009 | Drupal.org

UI Icons - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-010 | Drupal.org

Paloalto

PAN-SA-2026-0002 Chromium: Monthly Vulnerability Update (February 2026)

CVE-2026-0228 PAN-OS: Improper Validation of Terminal Server Agent Certificate

CVE-2026-0229 PAN-OS: Denial of Service in Advanced DNS Security Feature

Microsoft

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS

Microsoft Patch Tuesday - February 2026 - SANS ISC

Microsoft、2026年2月の「Windows Update」を実施～Word、Windows シェル、IEコンポで攻撃を確認 - 窓の杜

2026年6月に迫る「Windows 11起動不能リスク」対策への準備も　2月の月例更新「KB5077181」リリース：Tech News - ＠IT

【セキュリティニュース】米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加（1ページ目 / 全1ページ）：Security NEXT

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS

【セキュリティニュース】2月のMS月例パッチが公開 - ゼロデイ脆弱性6件含む55件に対処（1ページ目 / 全2ページ）：Security NEXT

Windowsの「メモ帳」にまさかの脆弱性。定例パッチ適用を - PC Watch

なぜ？　Windows標準の「メモ帳」に脆弱性が見つかる #エキスパートトピ（山口健太） - エキスパート - Yahoo!ニュース

Windowsのセキュアブート証明書、2026年6月に更新期日　未対応環境は将来リスクも | マイナビニュース

Microsoft、2026年2月の「Windows Update」を実施～Word、Windows シェル、IEコンポで攻撃を確認 - 窓の杜

【セキュリティニュース】「MS Edge」にアップデート - 脆弱性2件を解消（1ページ目 / 全1ページ）：Security NEXT

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS

Microsoft Patch Tuesday - February 2026 - SANS ISC

Microsoft、2026年2月の「Windows Update」を実施～Word、Windows シェル、IEコンポで攻撃を確認 - 窓の杜

2026年6月に迫る「Windows 11起動不能リスク」対策への準備も　2月の月例更新「KB5077181」リリース：Tech News - ＠IT

【セキュリティニュース】米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加（1ページ目 / 全1ページ）：Security NEXT

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS

【セキュリティニュース】2月のMS月例パッチが公開 - ゼロデイ脆弱性6件含む55件に対処（1ページ目 / 全2ページ）：Security NEXT

Windowsの「メモ帳」にまさかの脆弱性。定例パッチ適用を - PC Watch

なぜ？　Windows標準の「メモ帳」に脆弱性が見つかる #エキスパートトピ（山口健太） - エキスパート - Yahoo!ニュース

Windowsのセキュアブート証明書、2026年6月に更新期日　未対応環境は将来リスクも | マイナビニュース

Microsoft、2026年2月の「Windows Update」を実施～Word、Windows シェル、IEコンポで攻撃を確認 - 窓の杜

【セキュリティニュース】「MS Edge」にアップデート - 脆弱性2件を解消（1ページ目 / 全1ページ）：Security NEXT

複数の Microsoft Office 製品に信頼できない検索パスの脆弱性 | ScanNetSecurity

「NTLM」は既定で無効に～Microsoftが3ステップにわたる移行フェイズを開始 - 窓の杜

「Microsoft Edge」にもセキュリティ更新、v144.0.3719.104が安定チャネルでリリース - 窓の杜

「Microsoft Edge」にセキュリティ更新～デスクトップ版に加え、Android版にも - 窓の杜

Apple

Apple Patches Everything: February 2026 - SANS ISC

「iOS 26.3」に追加された新機能や変更を確認 - こぼねみ

【セキュリティニュース】「iOS/iPadOS 26.3」を公開 - ゼロデイ含む複数脆弱性を解消（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】Apple、「macOS」向けにセキュリティアップデートを公開（1ページ目 / 全1ページ）：Security NEXT

Apple、Mac向けに悪意のあるアプリにroot権限を取得される/HIDデバイスによりプロセスがクラッシュさせられるなどの脆弱性を修正した「macOS 15.7.4 Sequoia」と「macOS 14.8.4 Sonoma」、「Safari 26.3」をリリース。 | AAPL Ch.

「iOS 26.3」「iPadOS 26.3」が公開～攻撃が確認されているゼロデイ脆弱性に対処 - 窓の杜

Apple、iPhone XS/XRやiPad (第7世代)向けにバグ修正とセキュリティアップデートを含んだ「iOS/iPadOS 18.7.5」をリリース。 | AAPL Ch.

About the security content of iOS 26.3 and iPadOS 26.3 - Apple Support

About the security content of iOS 18.7.5 and iPadOS 18.7.5 - Apple Support

About the security content of macOS Tahoe 26.3 - Apple Support

About the security content of macOS Sequoia 15.7.4 - Apple Support

About the security content of macOS Sonoma 14.8.4 - Apple Support

About the security content of tvOS 26.3 - Apple Support

About the security content of watchOS 26.3 - Apple Support

About the security content of visionOS 26.3 - Apple Support

About the security content of Safari 26.3 - Apple Support

Fortinet

Fortinet Releases Guidance to Address Ongoing Exploitation of Authentication Bypass Vulnerability CVE-2026-24858 | CISA

【セキュリティニュース】「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ（1ページ目 / 全2ページ）：Security NEXT

XSS via back button：PSIRT | FortiGuard Labs

SSL-VPN Symlink Persistence Patch Bypass：PSIRT | FortiGuard Labs

Request smuggling attack in FortiOS GUI：PSIRT | FortiGuard Labs

Missing authorization on CSV user import：PSIRT | FortiGuard Labs

LDAP authentication bypass in Agentless VPN and FSSO：PSIRT | FortiGuard Labs

Format String Vulnerability in CAPWAP fast-failover mode：PSIRT | FortiGuard Labs

Firewall policy bypass in FSSO Terminal Services Agent：PSIRT | FortiGuard Labs

Arbitrary XML file write in FCConfig：PSIRT | FortiGuard Labs

PSIRT | FortiGuard Labs

Adobe

「After Effects」「Lightroom Classic」などに致命的な脆弱性～2026年2月のAdobeセキュリティ情報 - 窓の杜

【セキュリティニュース】Adobe、InDesignやLightroomなど9製品にアップデート（1ページ目 / 全1ページ）：Security NEXT

Security update available for Adobe DNG Software Development Kit (SDK) | APSB26-23：Adobe Security Bulletin

Security Updates Available for Adobe Audition | APSB26-14：Adobe Security Bulletin

Security Updates Available for Adobe After Effects | APSB26-15：Adobe Security Bulletin

Security Update Available for Adobe InDesign | APSB26-17：Adobe Security Bulletin

Security updates available for Substance 3D Designer | APSB26-19：Adobe Security Bulletin

Security updates available for Substance 3D Stager | APSB26-20：Adobe Security Bulletin

Security Updates Available for Adobe Bridge | APSB26-21：Adobe Security Bulletin

Security updates available for Substance 3D Modeler | APSB26-22：Adobe Security Bulletin

Security Updates Available for Adobe Lightroom Classic | APSB26-06：Adobe Security Bulletin

Notepad++

Notepad++ Official Update Mechanism Hijacked to Deliver Malware to Select Users

Notepad++ Hijacked by State-Sponsored Hackers | Notepad++

「Notepad++」の自動更新で不正ファイルがDLされる問題、開発チームが調査結果を公表 - 窓の杜

テキストエディタ「Notepad++」のアップデートツールが乗っ取り被害　バックドアの配信に悪用　中国APT集団が関与か：この頃、セキュリティ界隈で - ITmedia NEWS

Notepad++ supply chain attack breakdown | Securelist

Notepad++が国家支援ハッカーにハイジャックされマルウェア入りインストーラーを配布していたことが判明 - GIGAZINE

イベント等

Security-JAWS【第41回】~Day2~ 2026年05月17日(日) - connpass

Security-JAWS【第41回】~Day1~ 2026年05月16日(土) - connpass

M365セキュリティ&ゼロトラスト勉強会 35 - connpass

M365セキュリティ&ゼロトラスト勉強会 34 - connpass

「8割解けるCTF」をSECCON14で開催! - connpass

Active Directory 勉強会第 7 回目 - connpass

mini Security-JAWS[第41回]アップデートチェック会 2026年3月14日(土) - connpass

mini Security-JAWS[第40回]ゆる～くハンズオン会 2026年2月28日(土) - connpass

総関西サイバーセキュリティＬＴ大会（第53回） - connpass

2026年2月6日開催『セキュリティフォーラム2026』 | JSSEC

【現地orオンライン】第 10 回 JAZUG for Women - connpass

Monthly Microsoft Intune Briefing Call Japan #13 - connpass

ひよこまめ教習所 #特別回 - SECCON電脳会議 - connpass

[ランチ] TOKUSHIMA Security ｰ脅威モデリングワークショップ - connpass

meetup app osaka@10 - connpass

mini Security-JAWS[第39回]もくもく会 2026年2月14日(土) - connpass

Security.any #09 卒業したいセキュリティLT - connpass

OWASP Nagoya Chapter ミーティング第42回 - connpass

第54回CITPコミュニティ定例会 - CITP×JISTA 合同交流イベント - - connpass

情報セキュリティをテーマに多様な競技等を開催する情報セキュリティイベント「SECCON 14」電脳会議／SECCON CTF 14 決勝見学の事前登録受付中 | 特定非営利活動法人日本ネットワークセキュリティ協会のプレスリリース

総務省｜北海道総合通信局｜「HAISLサイバーセキュリティセミナー」を開催

Tech Challenge Party

【事前登録受付中！】ITトレンドEXPO2026 Spring│法人向けオンライン展示会

Cyber-sec+ Meetup vol.8 - connpass

宇宙

鉄

JR東の喜勢社長、相次ぐ「運行トラブル」巡り謝罪　ドローン点検や技術人材の採用強化で対策へ - ITmedia NEWS

IT

ソフトウェア / OS / ブラウザ**

「WinRAR 7.20」「RAR 7.20」がリリース～“ソリッドな”書庫の部分削除が高速化 - 窓の杜

Mozilla、「Firefox 147.0.3」を公開～CSSアンカーやナビゲーションのAPI互換性を改善 - 窓の杜

無料メールソフト「Thunderbird 147.0.1」が公開～検索でクラッシュする不具合を修正 - 窓の杜

WordPress 6.9.1 Maintenance Release – WordPress News

AI / デジタル社会**

OpenClawのビジネス向け環境構築で考える、AIエージェントの倫理とセキュリティ。そしてクローズドループへ | DevelopersIO

悪意持つAI集団が“人間のふり”で大量に会話→偽世論で情報操作　次世代プロパガンダの脅威、国際チームが警告：Innovative Tech（AI+） - ITmedia AI＋

Ollama 17万台が（あぶねーすね）だそうな #初心者 - Qiita

C# 難読化２０２６年版

その他

2026-02-02

興味を持った記事(2026年02月02日)

IT セキュリティ

セキュリティ

Security Bulletin - January 20 2026 | Atlassian Support | Atlassian Documentation

【セキュリティニュース】Atlassian、前月のアップデートで脆弱性のべ34件に対処（1ページ目 / 全1ページ）：Security NEXT

「不正決済に気を付けて」──PayPayが注意喚起　SIMを乗っ取りSMS認証突破 - ITmedia Mobile

PayPayが「SIMスワップ」に注意喚起、スマホが突然通信できなくなったら要注意 - ケータイ Watch

無料のブータブルUSB作成ツール「Rufus」に脆弱性、管理者権限で任意コード実行のおそれ - 窓の杜

USB作成ツール「Rufus」に重大な脆弱性　ローカルで管理者権限を実行可能に：セキュリティニュースアラート - ITmedia エンタープライズ

「My SoftBank」で他人の氏名や住所見えた　MMS送信元入れ替わりも……プロキシサーバソフトの不具合 - ITmedia NEWS

ソフトバンク “個人情報最大8000件余が漏えいの可能性”発表 | NHKニュース | 通信、IT・ネット

プロキシーサーバーの不具合による事象の発生について | 企業・IR | ソフトバンク

ソフトバンクで個人情報誤表示　プロキシ不具合で他人の契約内容が閲覧可能に：セキュリティニュースアラート - ITmedia エンタープライズ

Fortinet

【セキュリティニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を（1ページ目 / 全3ページ）：Security NEXT

Administrative FortiCloud SSO authentication bypass：PSIRT | FortiGuard Labs

vCenter

【セキュリティニュース】「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起（1ページ目 / 全2ページ）：Security NEXT

VMSA-2024-0012:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-37079, CVE-2024-37080, CVE-2024-37081)：Support Content Notification - Support Portal - Broadcom support portal

2026-01-23 VMSA-2024-0012.1

Updated security advisory to add notes for 3a "Broadcom has information to suggest that exploitation of CVE-2024-37079 has occurred in the wild."

SNS型ロマンス詐欺に注意を　宮崎県警の依頼で大学生が啓発動画を制作 | 日刊警察

宮崎公立大学生制作「SNS型ロマンス詐欺に注意！（基本バージョン）」 - YouTube

宮崎公立大学生制作「SNS型ロマンス詐欺に注意！（病院バージョン）」 - YouTube

MAFF

農水省職員や家族など4500人余の個人情報外部漏えい正式発表 | NHKニュース | 農林水産省、マイナンバー、IT・ネット

BIND

（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2025-13878） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -

【セキュリティニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響（1ページ目 / 全2ページ）：Security NEXT

ISC BIND にサービス運用妨害（DoS）につながる脆弱性 | ScanNetSecurity

Oracle

Oracle Critical Patch Update Advisory - January 2026

Oracle、2026年最初の定例セキュリティ更新を実施～Java、MySQLなどで337件の脆弱性を修正 - 窓の杜

【セキュリティニュース】Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「Java SE」にアップデート - 脆弱性11件に対処（1ページ目 / 全1ページ）：Security NEXT

【速報】日本国内でロシア人“スパイ”に機密情報渡したか　日本人元社員を書類送検　「道聞くふり」で接触→親密に　警視庁公安部（2026年1月20日掲載）｜日テレNEWS NNN

「道を教えてほしい」日本人会社員の男がスパイに機密情報を渡し書類送検された事件、接近したロシア人はウクライナ人と偽ってターゲットと会っていた - Togetter

Zoom

【セキュリティニュース】ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性（1ページ目 / 全1ページ）：Security NEXT

Zoom Node Deployments - Command Injection：ZSB-26001 | Zoom

第22回情報セキュリティ文化賞実施要領: ニュース 2026.01.20 | 情報セキュリティ大学院大学

6. 第22回情報セキュリティ文化賞受賞者　5名（五十音順）

伊東寛（いとうひろし）氏

［国立研究開発法人情報通信研究機構（NICT）主席研究員］

垣内由梨香（かきうちゆりか）氏

［日本マイクロソフト株式会社カスタマープロテクションチームリスクマネージャー］

古川佳和（ふるかわよしかず）氏

［大阪商工会議所経営情報センター次長（所内情報化担当兼経営情報担当）］

古田朋司（ふるたともじ）氏

［一般社団法人　日本自動車工業会総合政策委員会 ICT部会サイバーセキュリティ分科会長 / トヨタ自動車株式会社　情報セキュリティ・トラスト部主査　セキュリティエバンジェリスト］

森達哉（もりたつや）氏

［早稲田大学理工学術院教授］

第22回記念「情報セキュリティ文化賞特別賞」受賞者

村井純（むらいじゅん）氏

［慶應義塾大学特別特区特任教授／慶應義塾大学名誉教授］

Cisco

【セキュリティニュース】Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認（1ページ目 / 全2ページ）：Security NEXT

[Critical]Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager : Cisco Security Advisory

[Medium]Cisco Packaged Contact Center Enterprise and Cisco Unified Contact Center Enterprise Cross-Site Scripting Vulnerabilities : Cisco Security Advisory

[Medium]Cisco Intersight Virtual Appliance Privilege Escalation Vulnerability : Cisco Security Advisory

[Medium]Cisco IEC6400 Wireless Backhaul Edge Compute Software SSH Denial of Service Vulnerability : Cisco Security Advisory

[Medium]Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability : Cisco Security Advisory

LAC / 情報リテラシー**

新たな時代のネットトラブルに備え、「情報リテラシー啓発のための羅針盤」第3.0版を公開 | LAC WATCH

LAC Security & AI Day 2026｜株式会社ラック

ラック、生成AIの活用を追加した「情報リテラシー啓発のための羅針盤（コンパス）」第3.0版を公開（2026年1月26日）| 株式会社ラック

OpenSSL**

OpenSSL Security Advisory [27th January 2026] Improper validation of PBMAC1 parameters in PKCS#12 MAC verification (CVE-2025-11187)

「OpenSSL」にリモートコード実行などの恐れ～修正版がリリース - 窓の杜

Microsoft / Windows / Office**

Microsoft Office Zero-Day (CVE-2026-21509) - Emergency Patch Issued

「MS Office」にゼロデイ脆弱性、すでに悪用も

CVE-2026-21509 - Microsoft Office のセキュリティ機能のバイパス

Microsoft Edgeにセキュリティ更新

Windows 11 KB5074109で起動不能

修正プログラム適用はわずか　放置されるWindowsの深刻な脆弱性に注意：セキュリティニュースアラート - ITmedia エンタープライズ

悪用を確認～Microsoft、「Office」のセキュリティ機能バイパスに緊急パッチ - 窓の杜

CVE-2026-21509 - セキュリティ更新プログラムガイド - Microsoft - Microsoft Office のセキュリティ機能のバイパスの脆弱性

Windows 11 KB5074109で起動不可能になる不具合が発生中。修復方法を解説 - ギャズログ | GAZ:Log

悪用を確認～Microsoft、「Office」のセキュリティ機能バイパスに緊急パッチ - 窓の杜

【セキュリティニュース】「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開（1ページ目 / 全1ページ）：Security NEXT

Microsoft Office Zero-Day (CVE-2026-21509) - Emergency Patch Issued for Active Exploitation

7-Zip**

「7-Zip」の非公式サイトに注意喚起

「7-Zip」非公式サイトに偽インストーラ

圧縮解凍ソフト「7-Zip」の、検索で見つかる非公式サイトにIIJが注意喚起。悪意あるファイルを配布か - INTERNET Watch

非公式7-Zip Webサイトにて公開されているインストーラによる不審なファイルの展開 – wizSafe Security Signal -安心・安全への道標- IIJ

「7-Zip」を非公式サイトからダウンロードするな！　危険だぞ～IIJが注意喚起 - やじうまの杜 - 窓の杜

非公式 7-Zip のインストーラによる不審なファイルの展開について解説 | ScanNetSecurity

ブラウザ

「Firefox 147.0.2」が公開～「Safe Browsing」の誤検知に対処、2件の脆弱性修正 - 窓の杜

「Google Chrome」のBackground Fetch APIに脆弱性、修正更新が展開中 - 窓の杜

OSSの公式Webサイトを見分けるのは難しい（PuTTY例）

【セキュリティニュース】ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome」にセキュリティアップデート、スクリプトエンジン「V8」に欠陥 - 窓の杜

「Microsoft Edge」にセキュリティ更新、スクリプトエンジン「V8」の競合問題に対処 - 窓の杜

ChromeとSafariに警告、iPhoneやAndroidで「これ」を見たらハッキングされる（Forbes JAPAN） - Yahoo!ニュース

【セキュリティニュース】セキュリティアップデート「Firefox 147.0.2」が公開（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「Chrome」にアップデート - 実装不備の脆弱性1件を修正（1ページ目 / 全1ページ）：Security NEXT

インシデント / 攻撃動向**

ランサム被害のアスクル、特損52億円

Pwn2Ownで76件のゼロデイ

2025年に最も読まれたセキュリティ事件ベスト10

ランサムウェアの侵入経路はVPNだけではない、LockBit流出データから攻撃・交渉の手口が明らかに | TECH+（テックプラス）

EmEditorのユーザを狙って情報窃取型マルウェアを送り込む「水飲み場型攻撃」を分析 | トレンドマイクロ (JP)

認証・ID**

認証・認可・SSO・OAuth/OIDC/SAMLの地図

パスワード不要「マジックリンク認証」に潜む危険　“業者側の不備”でアカウント乗っ取りの恐れも：この頃、セキュリティ界隈で - ITmedia NEWS

Apple**

iOS 12.5.8をiPhone 5sなどに配布

Apple security releases - Apple Support

「AirTag 2」に対応したiOS 26.2.1公開

iPhone 5sなど13年前モデル延命

Appleの｢AirTag｣が“第2世代”に進化、50%見つけやすく。ロストバゲージ対策の新機能も | ギズモード・ジャパン

アップル、新しい「AirTag」第2世代を発表 - ケータイ Watch

Apple、重要なバグを修正した「iPadOS 15.8.6」を配布開始 - エキサイトニュース

ASCII.jp：アップル「iPhone 5s」などにアップデート提供　13年前のモデルが異例の延命

「AirTag 2」に対応した「iOS 26.2.1」など、AppleがOSを一斉アップデート - 窓の杜

イベント等

Fin-JAWS 第42回 re:Invent2025 〜re:Cap〜 - connpass

第12回ばりかた文系専門セキュリティ勉強会参加申込

OpenID BizDay #19 ~ KYCWG活動報告会 - connpass

【同時通訳とお弁当付き】分散データ時代の金融データ準備と設計（フィンテック養成勉強会#62） - connpass

Privacy by Design Conference 2026 | Peatix

Developers Summit 2026・Dev x PM Day（2026.02.18-20）

せきゅぽろ SNR vol.5 no.2 - connpass

AWS で実践するAI・セキュリティ・o11y - connpass

DFIR Training (using HTB) (2026/02/22) ｰ Lunch LT - connpass

DFIR Training (using HTB) (2026/02/22) - connpass

NTTデータグループセキュリティ DAY 2026

『ハッカーズ・ナイト in 大阪～作家2人が語る「愉しいハッキングの世界」スペシャルトーク』 - LOFT PROJECT

BOXIL EXPO（ボクシルエキスポ）情シス・セキュリティ展 2026 春｜オンライン展示会｜

DMM×freee登壇、開発主導のセキュリティ対策とセキュリティ業務におけるAI活用業務効率化 - connpass

Microsoft Japan Security Forum 2026 Online Series

AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催 | ScanNetSecurity

宇宙

鉄

IT

IIJmio:NTTドコモ 3G（FOMA）サービス終了に伴う一部Apple社製端末への影響について

NTTドコモの3G停波でiPhoneの通信に影響が出る可能性。IIJ発表 - PC Watch

AI / 開発**

Qwen3-TTS音声クローン解説

【Python】クラス全員を救うために「実験レポート爆速生成ツール」を作って配布した話 #個人開発 - Qiita

Qwen3-TTSってなんだ？〜3秒の音声でボイスクローンできる最新AIを日本語環境で完全攻略〜 #Python - Qiita

サービス**

「@niftyニュース」サービス終了

LINEの日本語フォントをGoogle Fontsで公開

その他

2026-01-20

興味を持った記事(2026年01月20日)

IT セキュリティ

セキュリティ

Cisco

[Medium]Multiple Cisco Products Snort 3 Distributed Computing Environment/Remote Procedure Call Vulnerabilities : Cisco Security Advisory

[Medium]Cisco Evolved Programmable Network Manager and Cisco Prime Infrastructure Stored Cross-Site Scripting Vulnerability : Cisco Security Advisory

[Medium]Cisco Identity Services Engine Cross-Site Scripting Vulnerability : Cisco Security Advisory

[Critical]Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager : Cisco Security Advisory

[Medium]Cisco Identity Services Engine XML External Entity Processing Information Disclosure Vulnerability : Cisco Security Advisory

Node.js

【セキュリティニュース】「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応（1ページ目 / 全2ページ）：Security NEXT

Node.js — Mitigating Denial-of-Service Vulnerability from Unrecoverable Stack Space Exhaustion for React, Next.js, and APM Users

「Node.js」のセキュリティリリースが年をまたいでようやく公開 - 窓の杜

【セキュリティニュース】「Node.js」のセキュリティ更新、現地時間1月13日にリリース予定（1ページ目 / 全1ページ）：Security NEXT

「Node.js」のセキュリティリリースがまた延期、新たな目標リリース日は1月13日 - 窓の杜

【セキュリティニュース】Node.js環境向けPDF生成ライブラリに脆弱性 - 情報漏洩のおそれ（1ページ目 / 全1ページ）：Security NEXT

【2025年総括】Microsoft脆弱性3500件の衝撃。企業のIT部門が直面する「パッチ適用のジレンマ」：Tech Report - ＠IT

いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン：6つの脅威と対策を解説 - ＠IT

Copilotは果たしてセキュアなのか～管理者目線・ユーザー目線からまとめてみた～ #生成AI - Qiita

MicrosoftのAI「Copilot」にURLを1回クリックするだけでさまざまな機密データが盗まれる脆弱性があると判明 - GIGAZINE

ChatGPTの会話を盗む悪質Chrome拡張機能　約90万人がダウンロード済み：セキュリティニュースアラート - ITmedia エンタープライズ

チャットAIとの会話内容を盗む「Chrome」拡張機能が発見～しかもGoogleのお墨付き - 窓の杜

ICT-ISAC、NOTICE 取り組み拡大のため ISP 向け説明会 1 / 29 オンライン開催 | ScanNetSecurity

攻撃元の無害化措置10月開始　政府の能動的サイバー防御 - 日本経済新聞

Trend Micro Apex Centralに重大な脆弱性　修正パッチを公開のため急ぎ適用を：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】「Trend Micro Apex Central」にクリティカル脆弱性 - アップデートを公開（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「n8n」に今月2件目の「クリティカル」脆弱性 - 旧版に影響（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み（1ページ目 / 全1ページ）：Security NEXT

Fortinet

FortiSIEMなどFortinetの複数製品に重大な脆弱性　急ぎアップデート推奨：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

PSIRT | FortiGuard Labs

【セキュリティニュース】「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ（1ページ目 / 全1ページ）：Security NEXT

Unauthenticated remote command injection：PSIRT | FortiGuard Labs

Unauthenticated access to local configuration：PSIRT | FortiGuard Labs

SSRF in GUI console：PSIRT | FortiGuard Labs

Heap-based buffer overflow in cw_acd daemon：PSIRT | FortiGuard Labs

Authenticated SQL injection in API endpoint：PSIRT | FortiGuard Labs

Arbitrary file deletion in administrative interface：PSIRT | FortiGuard Labs

5年半放置されたFortinetの脆弱性が悪用進行中　1万台以上のFWがパッチ未適用：セキュリティニュースアラート - ITmedia エンタープライズ

複数の Fortinet 製品に暗号署名の不適切な検証の脆弱性 | ScanNetSecurity

Paloalto

【セキュリティニュース】Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性（1ページ目 / 全1ページ）：Security NEXT

CVE-2026-0227 PAN-OS: Firewall Denial of Service (DoS) in GlobalProtect Gateway and Portal

PAN-SA-2026-0001 Chromium: Monthly Vulnerability Update (January 2026)

PAN-OSにDoS攻撃を可能とする脆弱性　回避策や緩和策はなし：セキュリティニュースアラート - ITmedia エンタープライズ

Firefox/Thunderbird

「Firefox 147」が正式版に～Apple Silicon搭載MacでWebGPUが有効化、AMD GPUの動画再生もIntel/NVIDIA並みに - 窓の杜

【セキュリティニュース】「Firefox 147」を公開、脆弱性16件を修正 - 「クリティカル」も（1ページ目 / 全2ページ）：Security NEXT

リリースされたばかりの「Firefox 147」で「ChatGPT」などが動作しない問題、修正版が公開 - 窓の杜

無料のメーラー「Thunderbird」v147.0がリリース～コンパクトビューの利便性を向上 - 窓の杜

EmEditor

【重要】EmEditor ホームページに関する不正リンク（マルウェア）について（続報） – EmEditor (テキストエディタ)

「EmEditor」公式サイトに再びセキュリティインシデント、偽インストーラーが配信される - 窓の杜

テキストエディタ「EmEditor」日本語版サイト改ざん、偽インストーラーからマルウェア感染の可能性 - ITmedia NEWS

EmEditorの公式サイトがまたしても改ざんの被害を受ける - GIGAZINE

EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる | ScanNetSecurity

「攻撃者の高い執念が感じられ」る日本語版 EmEditor Web サイトのリンク改変 | ScanNetSecurity

「EmEditor」のMSIインストーラーが「Microsoft Store」で公開、2度のセキュリティインシデントを踏まえた改善 - 窓の杜

Drupal

Group invite - Moderately critical - Access bypass - SA-CONTRIB-2026-001 | Drupal.org

Role Delegation - Moderately critical - Access bypass - SA-CONTRIB-2026-002 | Drupal.org

AT Internet SmartTag - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-003 | Drupal.org

AT Internet Piano Analytics - Moderately critical - Cross-site Scripting - SA-CONTRIB-2026-004 | Drupal.org

Microsoft Entra ID SSO Login - Critical - Access bypass - SA-CONTRIB-2026-005 | Drupal.org

セミナー等

オープンセミナー2026@広島 − 事業を進めるコーポレートIT - connpass

mini Security-JAWS[第38回]もくもく会 2026年1月31日(土) - connpass

せきゅぽろ SNR vol.5 no.1 - connpass

SOC2ゆるミートアップ#2 - SOC2取得対応経験者LT会 - - connpass

【ハンズオン】立命館大学IoTセキュリティ研究センター x OWASP Kansai - OWASP Kansai | Doorkeeper

dev_night Tokyo #4 - connpass

Security-JAWS【第40回】勉強会 2026年2月12日(木) - connpass

M365セキュリティ&ゼロトラスト勉強会 34 - connpass

お嬢シスLT会:(株)出前館/(株)zooba/bgrass(株)(WAKE Career) - connpass

2025年度「関東サイバーセキュリティセミナー」のご案内 | 一般社団法人テレコムサービス協会

M365セキュリティ&ゼロトラスト勉強会 33 - connpass

OWASP Saitama MTG #30 - connpass

Monthly Microsoft Intune Briefing Call Japan #12 - connpass

総関西サイバーセキュリティＬＴ大会（第53回） - connpass

「2025年度関東サイバーセキュリティセミナー」1 / 29 開催、テーマは「多角的視点で考える中小企業のセキュリティ対策」 | ScanNetSecurity

React Router

React Routerに「緊急」の脆弱性　悪用の難易度も低いため要注意：セキュリティニュースアラート - ITmedia エンタープライズ

React Routerに緊急脆弱性 | ITmedia

Critical React Router Vulnerability

ASCII.jp：Androidに重大な脆弱性

Android OSの2026年1月のセキュリティ情報が公開　～DD+に関する重大な問題を修正 - 窓の杜

Adobe

【セキュリティニュース】「Adobe ColdFusion」に緊急性高いRCE脆弱性 - 依存関係に起因（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正（1ページ目 / 全1ページ）：Security NEXT

「Illustrator」などに致命的な脆弱性、2026年1月のAdobeセキュリティ情報 - 窓の杜

Security update available for Adobe Dreamweaver | APSB26-01：Adobe Security Bulletin

Security Update Available for Adobe InDesign | APSB26-02：Adobe Security Bulletin

Security Updates Available for Adobe Illustrator | APSB26-03：Adobe Security Bulletin

Security Update Available for Adobe InCopy | APSB26-04：Adobe Security Bulletin

Security Updates Available for Adobe Bridge | APSB26-07：Adobe Security Bulletin

Security updates available for Substance 3D Modeler | APSB26-08：Adobe Security Bulletin

Security updates available for Substance 3D Stager | APSB26-09：Adobe Security Bulletin

Security updates available for Substance 3D Painter | APSB26-10：Adobe Security Bulletin

Security updates available for Substance 3D Sampler | APSB25-78：Adobe Security Bulletin

Security updates available for Adobe ColdFusion | APSB26-12：Adobe Security Bulletin

Security updates available for Substance 3D Designer | APSB26-13：Adobe Security Bulletin

Microsoft

【セキュリティニュース】2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応（1ページ目 / 全2ページ）：Security NEXT

Microsoft、2026年最初の「Windows Update」を実施～OS、Word、Excelなどに致命的な脆弱性 - 窓の杜

Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消：Tech News - ＠IT

2026年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

2026 年 1 月のセキュリティ更新プログラム (月例)

Windowsに「帯域外更新」　Microsoft純正仮想デスクトップにサインインできない不具合などを解消 - ITmedia PC USER

悪用の事実を確認済みの脆弱性が 1 件～マイクロソフト 1 月のセキュリティ情報公開 | ScanNetSecurity

Microsoft Copilot Personalに脆弱性　1クリックで機密情報窃取が可能：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティニュース】米当局、悪用が確認されたWindows「DWM」の脆弱性に注意喚起（1ページ目 / 全1ページ）：Security NEXT

Chrome/Edge

【セキュリティニュース】Google、「Chrome 144」をリリース - 脆弱性10件を解消（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome 144」安定版が公開～「プライバシーサンドボックス」の削除を開始 - 窓の杜

「Microsoft Edge」にも今年初めてのセキュリティアップデート - 窓の杜

【セキュリティニュース】「Chrome」にセキュリティアップデート - 脆弱性1件を修正（1ページ目 / 全1ページ）：Security NEXT

「Google Chrome」に今年初めてのセキュリティアップデート - 窓の杜

【セキュリティニュース】「MS Edge」にアップデート、脆弱性11件を解消 - 独自修正も（1ページ目 / 全2ページ）：Security NEXT

「Microsoft Edge 144」が公開、WebGLの処理を刷新し、GPU無しでの性能が向上、「Copilot」アイコンも隠せるように - 窓の杜

イラン政府、インターネットを遮断か　対抗してイーロン・マスク氏がスターリンクを無料開放？ - ITmedia NEWS

「史上初の事態」、インターネット遮断のイランが、Starlinkの通信も妨害か【やじうまWatch】 - INTERNET Watch

イラン、ネット不要の連絡アプリ利用15倍に急増　デモを組織化 - 日本経済新聞

イラン、史上初の衛星インターネット遮断　スターリンクに「キルスイッチ」発動 | Forbes JAPAN 公式サイト（フォーブスジャパン）

iptablesを入れてもIPv6で直接アクセスされていた話

Cloudflare導入後も素通り攻撃が多かった話

Cloudflare、イタリア規制当局から制裁金の可能性 | GIGAZINE

Cloudflareが政府認定クラウド入り | ITmedia

Let’s Encrypt、IPアドレス証明書を開始

Let’s Encrypt IP証明書を試す

Let's Encrypt、IPアドレス証明書を一般公開　有効期間は約6日：セキュリティニュースアラート - ITmedia エンタープライズ

政府・制度・政策

自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定【海の向こうの“セキュリティ”】【INTERNET Watch】

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」を公表、意見募集 | ScanNetSecurity

内閣府、サイバー対処能力強化法の施行等に関する有識者会議第4回会合資料を公開 | ScanNetSecurity

2 / 6 まで受付「サイバーセキュリティに関する総務大臣奨励賞」募集開始 | ScanNetSecurity

「サイバーセキュリティに関する総務大臣奨励賞」の募集開始 | 総務省

東京都、中小企業向けにサイバーセキュリティ対策ガイドブック最新版を無料配布中 | INTERNET Watch

国家サイバー統括室「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0公開 | ScanNetSecurity

脆弱性・アドバイザリ

「Apache Struts」にXXE脆弱性 | Security NEXT

家庭用Wi-Fi中継機に深刻な脆弱性（CVSS 9.8） | ITmedia

「Gogs」の脆弱性悪用に注意喚起 | Security NEXT

Fujitsu AuthConductor Clientに脆弱性 | ScanNetSecurity

富士通製PC同梱認証ソフトに脆弱性 | Security NEXT

D-Link製ルータに緊急脆弱性 | TECH+

Linuxを狙う高度マルウェアの仕組み | ASCII

zlib「untgz」に深刻な脆弱性 | Security NEXT

HPE OneView／PowerPoint脆弱性悪用に注意 | Security NEXT

GitLab セキュリティアップデート | Security NEXT

IoTゲートウェイ「OpenBlocks」に脆弱性 | Security NEXT

Veeamバックアップ製品に深刻な脆弱性 | Security NEXT

MongoBleed悪用被害に要警戒 | Security NEXT

net-snmpに深刻な脆弱性 | Security NEXT

RustFSに認証回避の深刻な脆弱性 | Security NEXT

英当局、情報漏えい企業に巨額制裁金 | ScanNetSecurity

SAP、クリティカル含むアドバイザリ17件公開 | Security NEXT

Hikvisionアクセス制御製品に重要な脆弱性 | ITmedia

サイバー犯罪・攻撃動向

社長を装う詐欺メール被害が全国で相次ぐ | 読売新聞

警視庁捜査二課を名乗る詐欺電話の体験談 | Togetter

Instagramから1750万人分の個人情報流出 | GIGAZINE

偽ブルースクリーン型マルウェアに注意 | ZDNET

ベネズエラ停電とBGP異常 | GIGAZINE

台湾、中国から1日263万回のサイバー攻撃 | GIGAZINE

「LINEグループに招待して」詐欺急増 | PC Watch

Instagram偽パスワードリセットメール流通 | ITmedia

OWASP・標準・啓発

OWASP Top 10: 2025

Secure by Design 原則日本語訳

ファイルアップロードのセキュリティリスク | Speaker Deck

セキュリティエンジニアにおすすめの本（2026）

宇宙

鉄

IT

その他

Ankerの充電式スピーカーで発火事故　異物混入で自主回収中の製品　消費者庁「直ちに使用を中止して」 - ITmedia NEWS

Ankerの充電式スピーカーで発火事故　異物混入で自主回収中の製品　消費者庁「直ちに使用を中止して」 - ITmedia NEWS