Risky Bulletin ニュースレター

2026 年 4 月 17 日

著者：Catalin Cimpanu（編集主幹）

本ニュースレターは Corelight が提供しています。ポッドキャスト検索機能で「Risky Business」と入力するか、こちらの RSS フィードを登録して音声版にご購読いただくことも可能です。また、Google 検索の結果に表示する優先ソースとして「Risky Business ニュースレター」を追加するには、こちらをクリックしてください。

NIST が新たな脆弱性情報データベースポリシーを発表

米国国立標準技術研究所（NIST）は水曜日、米国の国家脆弱性情報データベース（NVD：National Vulnerability Database）に関する新方針を発表しました。同局はこのシステムへ追加されるすべての新しい脆弱性情報の詳細を管理し続けることが困難であることを率直に認めました。これからは NIST は、重要な脆弱性情報のみに対して「エナリッチメント」（情報の付加・整理プロセス）を行うと発表しています。

対象となるのは以下の 3 つタイプのセキュリティ不具合です。同局によると、これらは米国政府ネットワークおよび民間セクターの安全な運用にとって不可欠なものだとしています。

• CISA（米国サイバーセキュリティ庁）KEV 登録にある脆弱性情報の CVE エントリ
• 米国連邦機関で利用されていると既知のソフトウェアにおける CVE
• 同局が「重要度の高いソフトウェア」と分類するものにおける CVE

後者のカテゴリーは restrictive に見えるものの、実際には非常に広く、OS、Web ブラウザ、セキュリティソフト、ファイアウォール、バックアップソフトウェア、VPN など、適切にエナリッチされた CVE を期待されるすべての主要なソフトウェアが含まれます（[PDF ファイル] および以下のリストを参照ください）。

NIST はバグの発見数の急増と費用の高騰に起因して、CVE のエナリッチメントを強化しようとする取り組みを 2 年以上かけて苦戦しています。これに加え、ドナルド・トランプ政権による DHS と CISA の予算削減も事態を悪化させています。問題の発端は 2024 年初めであり、当初は 2,100 件を超える CVE エントリがエナリッチメントされたメタデータなしのまま残されていましたが、年内にはほぼ 3 万件に膨れ上がっていました。NVD に掲載されているすべての CVE の詳細を追加しようという努力にもかかわらず、同局はまだ数万件ものバグに対応できていませんでした。

今回の NIST の発表は実質的な妥協です。予算事情のせいでいつまで経っても追いつけないと認めたものです。情報セキュリティ業界の人々にとってこれは「異端者の言動」のように聞こえますが、現在の下支え状況において NIST が進むべき唯一の道は、重要なバグに焦点を当てて、無数の CVE の雑音（チAFF）を手放することなのです。

毎年、名前も聞いたことがない小さなソフトウェア、GitHub に星がたぶん 100 個もないような微細なライブラリ、IoT ギアやそのファームウェア成分など、多種多様なソフトウエアで数万件の脆弱性が報告されています。

今回の発表は、脆弱性情報管理企業にとって望ましくありませんでした。多くの企業が NVD の出力を独自の脆弱性スキャナー、ダッシュボード、およびレポートツールにパッケージ化 depended していたためです。ある程度の出力が永久に消失するため、データ収集先を探さなければならないか、自らエナリッチメントを行う必要があります。Aikido Security の Sooraj Shah は、この発表が業界にとって何を意味するかについて素晴らしい評論の中で以下のように述べています。

「要約すると、もう『唯一の真実源』は存在しない（もし本当にあったとしても）。NVD が優先順位を下げており、EUVD は萌芽状態ですが同様の方向に進む可能性があり、MITRE など他の CVE プログラムも資金難に陥っています。チームやセキュリティツールとして単一のデータベースに依存することは、カバー範囲と可視性を減少させます。その時代は正式に終わりとなりました。」

サイバーセキュリティ業界はこの事態が起きることを予測していました。1 月の四半期会議で NIST の高官は、ソフトウェア脆弱性の分析における同局の役割を「再考」すると話し、重要なバグのみを取り扱う（トリアージする）計画を示唆していました。

NIST は重要度の高いバグのエナリッチメントに注力するほか、NVD エントリに対して自社の CVSS 重篤度スコアを提供することを停止し、CVE を発行した組織によって当初割り当てられた重篤度スコアを表示すると述べています。これは情報セキュリティ業界内で多くのドラマを招く門を開きます。CVE 番号を発行する一部の組織は報告されたソフトウェアの製造元でもあり、これらの企業は自社のバグを過小評価するため、非常に低い重篤度スコアを出す傾向があります。これらは数十年間続いている問題であり、十分な数の脆弱性情報レポートを読んでいれば、セキュリティ研究者が「企業が CVSS スコアを著しく引き下げており、自社のバグの重大さを過小評価するように意図的にその性質を書き換えている」と繰り返し指摘していることに気づくでしょう。

去年には 48,000 件を超える脆弱性が CVE 番号を取得しました。しかし、NIST は専門家の間でこの数が AI を活用した脆弱性情報発見支援エージェントの普及に伴い爆発的な増加を予期する直前で方針転換しました。AI 脆弱性情報スキャナーの統合によっていくつかの大規模なバグが見つかる可能性はありますが、同時に NIST のどの人間チームも処理しきれない膨大な数の「CVE チAFF」を生み出すことも予想されています。

NIST の新しいエナリッチメントポリシーは本週の水曜日（4 月 15 日）に施行されました。

---

Risky Business ポッドキャスト

メインの Risky Business ポッドキャストは YouTube でも視聴可能となり、最新の回の動画版がアップロードされています。パトとアダムがホストを務める最新週の放送をお楽しみください！

---

ブリーチ、ハッキング事件およびセキュリティインシデント

• ロシア系のハッカーがスウェーデンの熱電プラントを標的： プロ・ロシア系ハックティビストグループが昨年、スウェーデンの熱電力プラントへの妨害を試みました。攻撃は今年春にスウェーデン西部のプラントを対象としていました。しかし、プラント内蔵の安全対策により侵入は阻止されました。スウェーデン当局は同グループをロシアの国家安全保障機関と関連付けました。[EnergyWatch // SVT]
• ロシアがウクライナ検察官をハッキング： ロシア系ハッカーがウクライナの検察官 170 人以上のメールアドレスに侵入しました。このキャンペーンでは調査情報の入手を目指していました。攻撃はロシア軍事諜報機関 GRU 内に所属するサイバーユニット「APT28」と関連付けられました。同キャンペーンではギリシャ、ルーマニア、セルビアの軍も侵害されました。これらのハッキングは、先月 Ctrl-Alt-Intel が検知したキャンペーンの一部です。[Reuters]
• Grinex の運営停止： ロシアの暗号資産取引所 Grinex は先週の窃取事件を受け運営を停止しました。同社は「西洋の諜報機関」がウォレットに侵入して 1,300 万ドル（約 19 億円、10 億ルーブル）相当の資産を盗まれたと主張しています。同取引所は昨年 8 月、ロシアが制裁逃避やランサムウェア決済のマネーロンダリングを手助けしたとの理由で米当局により制裁されています。TRM Labs の報告では、Grinex は以前から同じような問題で制裁されていた旧来のロシア系暗号資産取引所 Garantex のブランド変更であることが判明しました。[Wayback Machine]
• Zerion が北朝鮮を窃取事件の責任者と非難： クリプトウォレット提供者 Zerion は、最近の 10 万ドル規模の窃盗事件を北朝鮮系のハッカーに非難しました。
• Autovista に対するランサムウェア攻撃： ランサムウェアグループが自動車データ分析会社 Autovista を標的にし、欧州とオーストラリアにあるシステムに影響を与えました。
• McGraw Hill ブリーチ： ハッカーが教育プラットフォーム McGraw Hill の利用者 1,350 万人の個人情報を漏洩しました。データは同社の Salesforce アカウントから窃取され、ShinyHunters グループによる強要工作が失敗した後に漏洩しました。内容には本名、自宅住所、メール、電話番号などが含まれます。
• Standard Bank ブリーチ： アフリカ南部最大の銀行 Standard Bank はセキュリティブリーチを公表しました。同社は先週、顧客データを格納する内部ネットワークにハッカーが侵入したと述べています。この事件は今年のアフリカ南部の銀行に対する第 3 のハッキング事件です。[IOL]
• BlueLeaks 2.0 データ販売： ハッカーが P3 Global Intel（米法執行機関向けソフトウェア提供会社）から今年初めに窃取された機密犯罪通報データ 830 万件を 1 万ドルの暗号通貨で販売中です。このハッカーは「Internet Yiff Machine」という名前で呼ばれ、当初特定のジャーナリストや DDoSecrets プロジェクトに対して無料でデータを提供していました。ハッカーは「倫理観は太った者にとってのものであり、残念ながら私は状況が良くない」とコメントしデータ販売を宣言しました。[Straight Arrow News // DataBreaches.net]
• Krybit が 0APT をハッキング： Krybit ランサムウェアグループがライバルであるランサムウェアグループ 0APT のウェブサイトをハッキングしました。この事件は、先週 0APT グループが Krybit メンバーへのドックス（公開身元情報）を威胁したことに起因しています。セキュリティ企業 Barricade によると、0APT は Krybit ランサムウェアバックエンドパネルの平文認証情報、ビットコインアドレス、被害者名などを漏洩しました。これに対する反撃として、Krybit も 0APT の全サーバー内容を漏洩しました。

---

ジェネラルテックとプライバシー

• OpenAI が独自のサイバーモデルを発表： OpenAI はサイバーセキュリティ作業用の大規模言語モデル（LLM）をプライベートテスト環境でリリースしました。数千名の認証済みプロフェッショナルや、重要なソフトウェアを防衛する数百のチームが GPT-5.4-Cyber モデルのテストに招待されました。新しいモデルは逆エンジニアリングや脆弱性情報発見など、サイバーセキュリティ研究に対して緩和された権限を有しています。この制限付きアクセスモデルは、Anthropic の Project Glasswing および Mythos モデルへの対抗措置です。
• Anthropic、Claude ユーザーに KYC 実施： Anthropic は特定の Claude ユーザーに対し、自撮り写真と公的 ID を提供して身元を認証することを求めています。同社は新しい身元確認チェックは「いくつかの使用ケース」のみでの導入になると発表しました。これらのチェックは悪用を防ぎ、法的義務に準拠するために行われます。ID チェックは、Discord がコミュニティからの反発により関係を切らなければならなかったと同じ会社の Persona が担当します。
• BlueSky の大規模障害： ソーシャルメディアネットワーク BlueSky は金曜日に長引く障害が発生し、サーバーステータスページさえダウンしてしまいました（おそらく同インフラ上でホストされていたため）。これは「生きるためには学ぶ必要がある」という教訓です。[News.az]
• Grok が引き続きヌード画像を生成： xAI の Grok は、世界中の当局からの大規模な反発にもかかわらず、依然としてユーザーからのリクエストに応じてヌード画像を生成しています。Elon おじさん、秘密所（シェッド）の裏へ行きましょう。今がタイミングです。[NBC News]
• ヌーディファイアアプリが依然として存在： Apple と Google はどちらも、それぞれのストアにヌーディファイアアプリを掲載しており、広告システムもユーザーを本来禁止されているそのようなアプリへと誘導するためによく利用されています。[Tech Transparency Project]
• ニュースサイトが Internet Archive をブロック： 主要なニュースメディア 23 カ社は、自身のコンテンツのコピーを作成するインターネット・アーカイブの Wayback Machine のアクセスをブロックしています。多くの場合、バックアップされたページが AI のトレーニングデータとして使用されることを恐れていることが理由に挙げられています。[Tom's Hardware]
• IPv6 の到達点： 世界の IPv6 トラフィックは、今月終了時に初めて 50% を超えました。
• IPv8 プロトコル提案案： インターネットエンジニアリングタスクフォース（IETF）によって、新しい IP アドレス解決プロトコルのバージョンである IPv8 の提案が行われました。この新プロトコルは従来の IPv4 アドレスと互換性があるように設計されています。IPv8 アドレスはプレフィックスと旧 IPv4 アドレスを含みます。プレフィックスは各 ASN（ネットワーク事業者）固有のもので、旧 IPv4 アドレスの場合には 0.0.0.0 となります。これにより、旧 IPv4 アドレスを持つデバイスやネットワークがソフトウェア更新を要することなく IPv8 システムに接続できるようになります。
• Chrome がブラウザフィンガープリンティング対策を行わない： Web プライバシー専門家である Alexander Hanff は、オンライントラッカーが使用するさまざまなブラウザフィンガープリンティング手法と、Chrome がそれらをブロックしていない理由について考察しました。
• Android に新しいワンタイムデータ選択機能が追加： 次の Android OS バージョンには、アプリが連絡先や正確な位置情報への継続的なアクセス権を持つ必要なく、一度だけ連絡先を選択したり、正確な位置情報を共有したりするための 2 つの新しいシステムが含まれる予定です。
• Raspberry Pi がパスワードなし sudo を無効化： Raspberry Pi プロジェクトは、その OS での sudo ユーティリティへのパスワード不要アクセス機能を無効化しました。
• 一部の ESU が延長： Microsoft は、Exchange 2016/2019 の Extended Security Updates (ESU) プログラムを今年 10 月まで延長すると発表しました。同プログラムは今月終了しました。Skype for Business の ESU も同様です。
• Windows が RDP 設定ファイルを開く際に警告ポップアップを表示： Windows は今後は、ユーザーが RDP（リモートデスクトッププロトコル）設定ファイルを開くたびにセキュリティ警告ポップアップを表示します。このポップアップは、危険な変更を行って遠隔攻撃者が PC に接続しデータを盗む可能性があることを警告します。いくつかの脅威アクターは、フィッシング操作中に標的となるネットワーク内に足場を得るために悪意のある RDP 設定ファイルを利用したと報告されています。ロシア系グループ ATP29 は、スパイ作戦でこの技術をよく使用していますことが知られています。

---

政府、政治および政策

• FCC が Netgear を外国製ルーター禁止から除外： 米国連邦通信委員会（FCC）はトランプ政権による外国製ルーター禁止命令から Netgear を除外しました。同局は米国戦争省の要請に基づきこの免除措置を認定しました。Netgear は米国企業ですが、そのルーターの大部分が東南アジアで製造されています。
• 新たなサイバー関連 EO（大統領令）が増加： National Cyber Director Sean Cairncross は、ホワイトハウスの新しいサイバーセキュリティ戦略の実施を推進するため、間もなくトランプ政権がより多くのサイバー関連の大統領令に署名・公布すると発表しました。[CyberScoop]
• US Tech Force がサイバースタッフを採用： トランプ政権は、昨年年末に発表された新組織「米国のテックフォース（US Tech Force）」のためにサイバーセキュリティ専門家を募集しています。この計画では、大規模な米企業から約 1,000 名のテクノロジークーラーを招聘し、「現代的化」するとしています。新しい採用プロセスは、トランプ政権が CISA の従業員約三分の一を解雇した後に行われるもので、今後数年間でさらに数百人を雇用する計画もあります。CISA は最近、DHS の資金不足によりサイバー奨学生向けの夏季インターンシップもキャンセルしました。
• ロシアへの外国インターネットトラフィック料金高騰： ロシアの通信事業者は、VPN 使用規制対策の一環として、国境外からのインターネットトラフィックの価格を上げる予定です。[RBC]
• EU が年齢確認アプリをローンチ： EU は独自に開発した年龄确认アプリを立ち上げました。このアプリは暗号学的証明を使用し、ユーザーの個人データを共有せずに年齢を確認します。EU 当局者はオンラインプラットフォームがこのアプリをプロセスに統合するよう求めています。年齢確認は EU の新しいデジタルサービス法において義務付けられています。Android および iOS で利用可能で、将来的にはデスクトップおよび Web バージョンの計画もあります。ソースコードも GitHub で入手可能です。

---

Risky Business スポンサーインタビュー本編

今回のエピソードでは、Corelight の製品管理シニアディレクターである Dave Getman が、James Wilson に Corelight Agentic Triage がどのようにして防衛者が AI 駆動型の攻撃に先立つのに役立つかを解説します。

---

逮捕、サイバー犯罪、および脅威インテリジェンス

• 北朝鮮のラップトップファーム運営で二人が刑： 米国は北朝鮮の遠隔 IT ワーカー向けのラップトップファームを運営した二人に対して懲役刑を言い渡しました。Kejia Wang と Zhenxing Wang はそれぞれ 108 ヶ月と 92 ヶ月の刑に処されました。両名はニュージャージー州在住で、北朝鮮人が米国の IP を使用して米国市民に偽装できるよう、自宅でラップトップを運用していました。当局者はまた、このスキームに参加した 9 名の北朝鮮人を起訴しました。
• 16 歳の学校ハッキング事件で逮捕： 北アイルランド当局は、同国全国学校の IT ネットワークを妨害したサイバー攻撃に関与したと見られる 16 歳を逮捕しました。C2K プラットフォームはこの月初めにサイバー攻撃によりダウンし、少数的な学校を対象とした攻撃で影響を受けました。事件以降、30 万人以上の生徒と 2 万名以上の教師が数日間、試験データ、家庭課題、教材にアクセスできなくなったため、当局はプラットフォームを調査のために閉鎖しました。[BelfastLive]
• 53 の DDoS 有料ドメイン押収： ヨーロッパ警察（Europol）および他の法執行機関は、DDoS 有料サービスを提供していた 53 ドメインを押収しました。さらに家宅捜索 25 件の結果として 4 人の容疑者を逮捕しました。当局者はまた、75,000 人以上のユーザーに DDoS サービスを登録したことを知らせる手紙やメールを送りました。また、Google と協力して DDoS サービスを推奨する広告も削除しました。
• UNC2465 が欧州へ活動移管： Orange のセキュリティチームは、既知のランサムウェアアフィリエイトである UNC2465 が活動を欧州に移したと報告しています。同グループは現在、Qilin ランサムウェア攻撃の初期侵入ポイントとして SmokedHam バックドアを使用しています。
• Black Basta 亜群体が経営層を標的： Black Basta の旧アフィリエイトが、企業ネットワークへの初期アクセスを得るために、自動化されたメールボムと Teams ベースの社会工学的攻撃を実施し、経営層や上位レベルの従業員を標的にしているとの報告です。[ReliaQuest]
• Hazy Hawk が大学サブドメインを乗っ取る： サイバー犯罪グループが、34 の米国の大学や教育機関のサブドメインを乗っ取り、ポルノグラフィ Spam を表示しています。MIT、ハーバード、スタンフォード、ジョンズ・ホプキンスなど、他の大規模な大学でもサブドメインがハッキングされました。この Spam キャンペーンは、昨年 CDC のサブドメインを乗っ取ったグループである Hazy Hawk と関連付けられています。[SH Consulting]
• QEMU が現場で悪用： Sophos は、少なくとも 2 つのサイバー犯罪グループが侵害されたネットワーク上で QEMU 仮想化環境を展開し、マルウェア活動を隠蔽し、後にランサムウェアを展開していると報告しています。
• WordPress スキャン： F5 は、監視していた悪いクラスタが最近、脆弱な WordPress プラグインを実行するサイトへの大規模スキャンを開始したと発表しました。
• FTP エキスポージャーは依然として巨大： Censys によると、プロトコルが創設されてから約 55 年後も、インターネット上で FTP ポートを公開しているエンドポイントが 600 万に達しています。
• ロシア国内の C サーバー： ロシアのウェブホスティング空間に対する大規模な調査により、今年中にロシア内に 1,200 件以上の悪意のあるコマンドおよび制御（C2）サーバーが存在することが判明しました。これらのサーバーの多くは IoT マルウェアボットネット（Keitaro, Hajime, Mozi, Mirai など）用です。[Hunt Intelligence]

マルウェア技術報告

• Rhadamanthys の秘密のバグ： Rhadamanthys インフェステラは、昨年 Europol が取り締まる前数ヶ月間、セキュリティ研究者がその活動を追跡できるように、認証なしの C サーバー API をオンラインに公開しました。[Censys]
• Direct-Sys Loader： Cyderes チームは、実際に流通しているマルウェアローダーとして新たな Direct-Sys Loader を発見しました。
• PowMix ボットネット： Cisco Talos は、チェコ共和国でテスト運用中にある Windows ボットネットマルウェアの新しい変種 PowMix を目撃しました。
• AngrySpark： Gen Digital は、すでに英国の被害者システムで使用されている Windows ルートキットである新たな AngrySpark を発見しました。
• W3LL PhaaS： Group-IB は、当局が先月押収したフィッシングプラットフォーム W3LL に関する報告書を発表しました。
• ATHR プラットフォーム： サイバー犯罪グループは、音声フィッシング攻撃を自動化するプラットフォームを開発・レンタルしています。ATHR プラットフォームは事前設定および多段階のスクリプトを使用して AI エージェントがターゲットを呼びます。ATHR アクセスは 4,000 ドルとキャンペーン収益の 10% で販売されています。AbnormalAI によると、このプラットフォームは主に被害者にオンラインアカウントの認証情報を開示させるために使用されていると報じられています。

---

James Pope（Corelight のテクニカルマーケティングエンジニアリング担当ディレクター）が同社の Open NDR プラットフォームを紹介し、ネットワーク検知を多数の他のデータソースとどう組み合わせるかを示します。

---

APTs、サイバースパイ活動、および情報作戦

• UAC-0247 と AGINGFLY： CERT-UA は、政府機関、病院、緊急サービスに対する新しい波の攻撃を報告しました。この活動は UAC-0247 というクラスタと関連付けられており、最終的なペイロードは新たなインフェステラである AGINGFLY でした。
• Sapphire Sleet が macOS を標的： 北朝鮮系の APT グループ Sapphire Sleet は、Microsoft の新しい報告書によると、macOS 向けに「Zoom 更新をインストールして私と話しましょう」というマルウェア配信技術を変更しました。

---

脆弱性情報、セキュリティ研究、およびバグボニー

セキュリティアップデート

• Apache Tomcat, Cisco, Composer, Dolibarr, Kubernetes, NGINX, Thymeleaf がセキュリティアップデートをリリース。
• PyPI セキュリティ監査完了： Python の PyPI は第 2 のセキュリティ監査を完了しました。
• Zero Day Quest 2026： Microsoft は今年の Zero Day Quest（クラウドと AI ハッキングコンテスト）で、バグボニー賞として 230 万ドルの報酬を発表しました。
• Mythos ガイドライン： Cisco [PDF] および Cloud Security Alliance は、Anthropic の Mythos など、強力な AI 脆弱性情報発見エージェントへの対処ネットワーク保護・防衛に関するガイドラインを发布了。
• Mythos/Glasswing 脆弱性： VulnCheck は膨大な CVE データベースを検索し、Project Glasswing の一部として Anthropic の Mythos エージェントによって発見されたいくつかのバグを追跡したと信じています。Anthropic を言及する CVE は 75 件あり、その中で Anthropic にクレジットされるのは 40 件ですが、Glasswing を特定するものはわずか 1 件です。現在、Mythos で発見されたバグが適切に CVE アサシメントを受けただろうかどうかは明確ではありません。

注目のインシデントおよび POC

• 業界の伝説になることで Claude を欺くことができる： Manifold Security は、有名な開発者の名義で要求を偽装して悪意のあるコードをリポジトリにマージし、Claude の GitHub ボットを欺きました。
• 研究者が新たな Windows ゼロデイを公開： 不満を持ったセキュリティ研究者は、Windows 用ゼロデイの概念実証コード（POC）を公開しました。RedSun ゼロデイは Windows システムレベルアクセス（SYSTEM レベル）への権限昇進に使用できます。この研究者はバグボニープログラムを扱う Microsoft チームとの不和後にパブリックエクスPLOIT をリリースしました。同じ研究者は先月、BlueHammer という名の別の Windows ゼロデイもリリースしました。
• NGINX UI バグが実際に悪用： ハッカーは人気のある NGINX ウェブサーバー管理ダッシュボードのバグを悪用しています。攻撃は上个月開始され、ダッシュボードの MCP エンドポイントを標的にしています。CVE-2026-33032 として追跡されるこのバグは、認証なしで MCP エンドポイントにアクセスし、サーバー設定ファイルを修正することを可能にします。現在、インターネット上に暴露されている NGINX UI ダッシュボードが 2,600 つ以上あります。[Pluto Security]
• RAGFlow がパブリック公開後バグを修正： RAGFlow AI ツールキットは、セキュリティ研究者によって約 1 ヶ月前にパブリックに開示されたリモートコード実行（RCE）バグをソフトウェアで修復しました。プロジェクトは当初レポートを無視し、研究者自身がパッチコードを送信した後にのみ問題を解決しました。
• Dolibarr RCE： Dolibarr CRM および ERP は、eval ベースのリモートコード実行バグ（CVE-2026-22666）を修復しました。Jiva Security を通じて解説記事および POC が利用可能です。
• Thymeleaf RCE： Java テンプレートエンジン Thymeleaf の重大な脆弱性が修復されました。CVE-2026-40478 として追跡されるこのバグは、セキュリティチェックをバイパスし、サーバーページテンプレートに悪意のあるコンテンツを注入することを可能にします。このバグはこれまでリリースされたすべての Thymeleaf バージョンに影響を与え、Thymeleaf が Spring Boot Java フレームワークのデフォルトテンプレートエンジンであるため、広範な影響を持っています。[Endor Labs]
• Codex がスマートテレビをハッキング： セキュリティ企業 Calif は OpenAI の Codex エージェントを使用して Samsung スマートテレビをハッキングしルートアクセスを取得しました。
• Fabricked 攻撃： 学術チームは、AMD のセキュアエンクローブ技術の機密性を破る新たな攻撃を開発しました。Fabricked 攻撃は AMD のセキュリティコプロセッサが SEV-SNP エンクローブを不適切に初期化するようにメモリトランザクションを誘導します。この革新的な手法により、クラウド環境では通常個別顧客のデータが処理される各個人顧客のデータを機密として保持する仮想マシンを制御できるようになります。AMD は今週、Patch Tuesday の一部としてパッチをリリースしました。Frabricked（※原文誤記と思われる）は過去 2 年間に開示された複数の AMD SEV-SNP 攻撃の一つです。その他には RMPocalypse, BadRAM, Ahoi, Heracles, WireTap, BatteringRAM, TEE があります。

---

脅威/トレンドレポート

Check Point, CyberHUB-AM, Google Mandiant, GuidePoint Security, Kaspersky, および Sysdig は、最近様々な脅威と情報セキュリティ業界のトレンドに関するレポートおよびサマリーを出版しました。

新しいツール

• Jaspr： Google は Dart で書かれた新しい Web 開発フレームワーク Jaspr をオープンソース化しました。
• Malfixer： モバイルセキュリティ企業 Cleafy は、変形した Android APK ファイルを検査・回復するためのツールキット Malfixer をオープンソース化しました。
• .NET リバースエンジニアリング自動化のための MCP サーバー RePythonNET-MCP： セキュリティ企業 Sekoia がオープンソース化しました。
• PMG： DevSecOps 企業 SafeDep は、ライブラリが脅威インテリジェンスデータベースとの照会を行うまで npm および Python パッケージのインストールを遅らせるツール PMG をリリースしました。
• HoneyWire： Andrea Termine が公開した HoneyWire は、内部ネットワーク向けに設計された軽量分散デコイエンジンです。
• NetWatch： Westpac の首席エンジニア Matt Hartley が公開した NetWatch は、端末用のリアルタイムネットワーク診断ツールです。

---

Seriously Risky Business ポッドキャスト本編

今回のSeriously Risky Businessでは、Tom Uren と Amberleigh Jack が、モバイルデバイスの識別および追跡を行うための新ツール Webloc に関する Citizen Lab の報告書について議論します。モバイル電話番号の位置情報データの収集と販売が、プライバシーおよび国家安全保障にどのようなリスクをもたらすかを示しています。

---

Risky Business Features エピソード本編

今回のエピソードでは、James Wilson が専門ハッカーである Jamieson O'Reilly とチャットし、Anthropic の Mythos およびそれが攻撃型セキュリティに及ぼす可能性のある影響について話し合います。Jamieson は DVULN の CEO および Aether AI の共同設立者です。