2026年– date –
-
Trivy 侵害から始まったサプライチェーン攻撃|CI/CD の防御策と SHA ピン留め
はじめに 2026 年 3 月、オープンソースのコンテナセキュリティスキャナである Trivy の開発環境が侵害され、悪意のあるコードが混入されたバージョンが配布されるという重大なサプライチェーン攻撃(CVE-2026-33634)が発生しました。 最近、npm パッケー... -
【Node.js】深刻な DoS 脆弱性(2026年3月)の影響と安全なアップデート手順
はじめに 2026 年 3 月 24 日、Node.js プロジェクトは複数のセキュリティ脆弱性を修正するための重要なアップデートを公開しました。 今回のリリースには、プロセスをクラッシュさせてシステムを停止に追い込む 2 件の深刻な DoS(サービス拒否)脆弱性が... -
【Langflow】深刻な RCE 脆弱性(CVE-2026-33017)の脅威とパッチ適用手順
はじめに AI エージェントや RAG(検索拡張生成)パイプラインの構築に広く利用されているオープンソースフレームワークの Langflow において、深刻なリモートコード実行(RCE)の脆弱性(CVE-2026-33017)が公開されました。 この脆弱性は認証を必要とせ... -
【Microsoft 365】デバイスコードフィッシングの脅威と OAuth 悪用対策
はじめに 2026 年 2 月以降、アメリカやドイツなど 5 カ国の 340 以上の組織において、Microsoft 365 アカウントを標的とした大規模なデバイスコードフィッシング(Device Code Phishing)キャンペーンが確認されています。 この攻撃は、OAuth のデバイス... -
【Azure】SQL Managed Instance 向け CES(変更イベントストリーミング)の概要と CDC との比較
はじめに 既存のビジネスアプリケーションを Azure へ移行する際、「アプリケーション自体を改修せずに、データベースの変更を他のシステムへリアルタイムに連携したい」という課題に直面するケースは少なくありません。 これまで、Azure 環境における代表... -
【FortiGate】Huawei ドライバ悪用による EDR 無効化(BYOVD)と多層防御
はじめに 2026 年 1 月以降、税務関連の文書を検索するユーザーを標的とした大規模な不正広告(マルバタイジング)キャンペーンが確認されています。 この攻撃は、Google 広告を悪用して正規の遠隔操作ツールである ScreenConnect の不正なインストーラー... -
【AWS】Bedrock 環境を狙う 8 つの攻撃ベクトルと実践的セキュリティ対策
はじめに AWS Bedrock は、エンタープライズ企業が生成 AI アプリケーションを構築するための強力なプラットフォームです。しかし、基盤モデルを社内のデータベースや SaaS システムと直接連携させるその利便性が、新たなセキュリティリスクを生み出してい... -
litellm 1.82.7 / 1.82.8 のマルウェア混入と検出・修復の手順
はじめに 2026 年 3 月 24 日、Python の人気パッケージ「litellm」のバージョン 1.82.7 および 1.82.8 に、認証情報窃取とバックドア機能を持つマルウェアが混入した状態で PyPI に公開されました。攻撃者は脅威アクターである TeamPCP で、5 日前に発生... -
【Oracle】CVE-2026-21992 | Fusion Middleware の RCE 脆弱性と対策
はじめに Oracle は、Fusion Middleware 製品群に含まれる Oracle Identity Manager および Oracle Web Services Manager に影響を与える深刻な脆弱性(CVE-2026-21992)に関するセキュリティアラートを公開しました。 本脆弱性は、攻撃者がネットワーク経... -
【Azure】Azure Managed Grafana 12 の新機能とネイティブ連携・移行シナリオ
はじめに Microsoft は 2026 年 3 月に、データ可視化のフルマネージドサービスである Azure Managed Grafana 12 をリリースしました。 本リリースでは、よりセキュアな認証方式の導入、ログおよびメトリクス解析の高速化、データベース向けダッシュボード...
