ニュース
NSAの解析ツールGhidraに脆弱性4件、ファイルを開くだけで乗っ取りも CVE-2026-52751ほか、12.1.2へ更新を
セキュリティ開発
NSAの無料解析ツールGhidraに深刻な脆弱性4件(CVE-2026-52751/49498/52754/52758、いずれもCVSS 8.8)。最も危険なCVE-2026-52751は認証不要で、細工されたプロジェクトファイルを開くだけで任意コード実行。残り3本はGhidra Serverのデータベース乗っ取り・なりすまし。12.1.2へ即更新を。
2026.06.1125 views
コラム 昨日更新
価格.comがAIで全システムを刷新。71体のAIエージェントに任せて大丈夫か
開発AI国内企業
価格.comが約960万行・752リポジトリの30年もののコードを、AIエージェント71体で全面刷新している。DBは現行維持、言語はPython+FastAPI。採用技術には同意しつつ、同点だった候補はなぜ選ばれなかったのか、AIに任せすぎたとき何が起きるのかを現場目線で考えた。
2026.06.10353 views
ニュース
Claude Fable 5公開、最強AIにエンジニアが沸いた理由と火種
海外企業AI
Anthropicが6月9日、4月に『危険すぎる』と封印され各国政府や日本の国会まで巻き込んできた最強モデル『Mythos』の安全版『Claude Fable 5』を一般公開した。SWE-Bench Pro 80.3%にエンジニアは沸いたが、性能を黙って落とす規約や過剰な検閲には批判が噴出。何が起きたのかを反応の側から整理する。
2026.06.1017 views
ニュース
Cisco SD-WAN管理ソフトに悪用中のCVE-2026-20245、最高権限奪取の恐れ
インフラセキュリティ海外企業
企業のネットワークをまとめて管理するCisco Catalyst SD-WAN Manager(旧vManage)に、すでに悪用が確認された欠陥(CVE-2026-20245)が見つかりました。攻撃が成立すると装置の最高権限を奪われ、配下の機器へ不正な設定変更を流し込まれる恐れがあります。Ciscoは修正版20.18.3.1を公開済みで回避策はなく、更新が必要です。影響範囲と今すべきことを整理します。
2026.06.1021 views
ニュース
Chrome/EdgeのゼロデイCVE-2026-11645が悪用中、Chromium全体に影響
海外企業モバイルセキュリティ
世界で最も使われているブラウザGoogle Chromeに、すでに攻撃へ使われている深刻な欠陥(CVE-2026-11645)が見つかり、緊急の修正版が公開されました。罠サイトを開くだけで端末を乗っ取られる恐れがあり、今年これで5件目の悪用例です。全Chrome利用者が対象で、EdgeやBraveも同様。今すぐ最新版149.0.7827.103へ更新を。確認方法と対象を整理します。
2026.06.1081 views
ニュース
Ivanti Sentryの脆弱性CVE-2026-10520|パスワード不要で遠隔乗っ取り、対象バージョンと対処法
モバイルインフラセキュリティ
会社員のスマートフォンと社内メールをつなぐ門番『Ivanti Sentry』に、パスワードなしで遠隔から乗っ取れる最も危険な欠陥(CVE-2026-10520、危険度10.0)が見つかりました。管理者を勝手に作れる別の欠陥(CVE-2026-10523)と合わせ、修正版R10.5.2/R10.6.2/R10.7.1への更新が必要です。同製品は過去にも繰り返し攻撃されてきました。対象バージョンと今すべきことを整理します。
2026.06.1075 views
ニュース
AIが発見『HTTP/2 Bomb』CVE-2026-49975、Webサーバを数秒で停止
AIインフラセキュリティ
自宅のパソコン1台でも、Apacheなど世界の主要Webサーバを数秒で停止させられる弱点『HTTP/2 Bomb』(CVE-2026-49975)が見つかりました。OpenAIのAI『Codex』が人より先に発見し、攻撃の実証コードも公開済み。Shodanでは88万台超が露出。Apacheは6月8日公開の2.4.68で修正しました。対象バージョンと今すべき更新を整理します。
2026.06.09104 views
ニュース
Check Point製VPNに認証回避、CVE-2026-50751をランサム集団が悪用中
海外企業インフラセキュリティ
会社の在宅勤務などで使う「Check Point」製VPN機器に、正しいパスワードがなくても社内ネットに入り込める欠陥CVE-2026-50751が見つかり、すでにランサムウェア集団による攻撃が確認されています。古い接続方式(IKEv1)を使う設定が対象で、メーカーは緊急修正を公開。対象機器は今すぐ修正の適用と侵害点検が必要です。
2026.06.0978 views
ニュース
AIをまとめる『LiteLLM』乗っ取りの穴 CVE-2026-42271、悪用確認で更新を
セキュリティAI開発
100種類以上のAIサービスをまとめて扱える人気ツール『LiteLLM』に、サーバーを乗っ取られる欠陥CVE-2026-42271が見つかりました。本来はログインが必要ですが、別の欠陥と組み合わせると認証なしで侵入され、APIキーや社内データを丸ごと奪われます。対象は1.74.2〜1.83.6で、1.83.7への更新が必要です。
2026.06.0935 views
ニュース
AI部品Guardrails AIに毒入りパッケージ混入 CVE-2026-45758、TeamPCP連続攻撃の新標的
AIセキュリティ
LLMの入出力を検証する人気OSS部品Guardrails AIのPyPI配布物に、認証情報を盗む毒入り版0.10.1が混入しました。CVE-2026-45758でCVSSは9.6。攻撃グループTeamPCPがTanStackやMistral AIなど170超のパッケージに400以上の毒入り版をばらまいた連続サプライチェーン攻撃の一部で、標的がAI開発に拡大。安全な版と確認・対処手順をまとめます。
2026.06.0613 views
ニュース
Markdown Preview Enhancedに脆弱性 CVE-2026-49492ほか、0.8.30へ更新を
開発セキュリティ
約950万インストールの人気VS Code拡張Markdown Preview Enhancedに、悪意あるMarkdownファイルを開いてプレビューするだけでパソコンを乗っ取られる脆弱性が3件見つかりました。CVE-2026-49492/49493/50733でCVSSは各8.8。図や数式を描く処理が文章をコードとして実行する欠陥で、3件は0.8.28で修正、その後0.8.29・0.8.30でも別の弱点が修正されました。対象バージョンと最新版への更新手順をまとめます。
2026.06.06196 views
ニュース
SolarWinds Serv-Uに外部からサービス停止の脆弱性 CVE-2026-28318、悪用確認で即更新を
セキュリティインフラ
企業のファイル転送サーバーSolarWinds Serv-Uに、認証なしで細工した通信を送るだけでサービスを停止させられる脆弱性が見つかりました。CVE-2026-28318でCVSSは7.5。米CISAが2026年6月5日に実際に悪用されているとしてKEVに登録し、連邦機関に6月19日までの対処を命じました。対象バージョンと修正版15.5.4-hotfix-1、いますべきことをまとめます。
2026.06.0624 views