私たちのブログへようこそ。

Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に

Shai-Huludが復活したのか？ 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

Mailcow に複数のクロスサイトスクリプティング（XSS）の脆弱性が確認されました

AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。

Axios CVE-2026-40175：重大なバグだが……悪用は不可能

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある

AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。

Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見

Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。

Glasswormが人気のReact Native電話番号パッケージを攻撃

2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。

セキュリティチームはいかにAIを活用したハッカーに反撃するか

一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略（プレイブック）を必要としています。

トランプ政権の2026年サイバーセキュリティ戦略：コンプライアンスから結果へ

AIペンテストはコンプライアンスとどのように連携しますか？

AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。

Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE

Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。