それ以前 緊急 BleepingComputer · 2026-06-10 英語
Microsoft 2026年6月パッチチューズデー:6件のゼロデイを含む208件の脆弱性を修正 ①Microsoftが2026年6月パッチチューズデーで208件のCVEを修正。うち6件がゼロデイで、CVE-2026-41091(Defender特権昇格、CVSS 7.8)が野外で悪用確認済み。
②過去最大規模のパッチ数で、Critical CVEが33件。うちRCEが28件を占め、Windows全バージョンが対象。
③Windows UpdateまたはWSUS/Intuneで速やかにパッチを適用。CVE-2026-41091を優先してデプロイする。
④セキュリティ製品(Defender等)自身が脆弱性の標的になり得る。セキュリティ製品の更新も通常アプリと同様に優先すべき教訓。
自分のサービスへの教訓
開発マシンのWindows/Defenderを即時アップデート。Supabaseへの接続キーやVercelトークンを格納したローカル環境が踏み台にされるため、OSレベルのパッチを後回しにしない。
重要 BleepingComputer · 2026-06-10 英語
AIノーコード開発プラットフォーム Langflow に未認証RCE脆弱性(CVE-2026-5027)—約7000インスタンスが露出 ①LangflowのファイルアップロードAPI(POST /api/v2/files)にパストラバーサル脆弱性(CVE-2026-5027、CVSS 8.8)があり、未認証で任意パスへ書き込みRCEが可能。VulnCheckが6月8日にKEVへ追加。
②デフォルトで自動ログインが有効なため認証なしに単一リクエストでセッション取得可能。Censysでは約7000インスタンスがインターネット公開中。
③Langflow 1.9.0(4月15日リリース)へ即時アップグレードし、インスタンスをインターネット直接公開しない。
④AIワークフロービルダーも通常Webアプリと同様の脆弱性を持つ。デフォルトの自動ログイン設定が攻撃面を大幅に広げるという教訓。
自分のサービスへの教訓
LangflowなどAIワークフロービルダーをVercel/自サーバーで動かす場合は即時アップデートと認証有効化を確認。Next.jsのAPIルートでAIサービスを呼ぶ際も認証ミドルウェアを省略しないこと。
#脆弱性 #AI #パストラバーサル #認証 #KEV
原文 重要 TechCrunch · 2026-06-10 英語
ServiceNow未認証APIバグで顧客データがインターネットに露出——requires_authentication=false の設定不備が原因 ①ServiceNowのAPIエンドポイント(/api/now/related_list_edit/create)が認証なしでアクセス可能な設定になっており、顧客インスタンスのデータが外部から照会された。
②ITチケット・従業員情報・内部文書など機密情報を格納するSaaS基盤での未認証アクセスは、コンプライアンス違反やインシデント対応コストに直結する。
③ServiceNowは6月5日までに影響顧客のホスト環境にパッチを適用済み。対象顧客にはサポートケースが作成されており確認が必要。
④「SaaSのAPIはデフォルトで認証必須」という設計原則を、自社プロダクトのAPI設計時にも徹底することが教訓。
自分のサービスへの教訓
Supabase APIのRow Level SecurityとAnon Keyのアクセスポリシーを定期的に見直し、認証なしでアクセスできるエンドポイントが意図せず公開されていないか確認する
#設定ミス #認証 #API #SaaS #データ漏洩
原文 緊急 Help Net Security · 2026-06-09 英語
Chrome V8ゼロデイ CVE-2026-11645 が野外で悪用中—CISA KEV追加、即時アップデートを ①ChromeのV8エンジンに境界外メモリ読み書き脆弱性(CVE-2026-11645、CVSS 8.8)が発見され、野外で積極的に悪用中。Googleが緊急修正版を公開しCISA KEVカタログにも追加。
②細工したHTMLページを開くだけでサンドボックス内でRCEが可能。2026年で5番目のChromeゼロデイ。
③Chrome 149.0.7827.102/103(Windows/macOS)またはLinux版.102に即時アップデートし、自動更新を有効化する。
④ブラウザのゼロデイは一般ユーザーPCへの侵入起点として多用される。自動更新の有効化が最低限かつ最も効果的な対策。
自分のサービスへの教訓
VercelダッシュボードやSupabase管理画面をChromeで使っている場合、即時ブラウザ更新が必須。セッションクッキー奪取からSupabaseの管理者権限侵害につながるため、MFAも必ず有効化する。
緊急 Security Affairs · 2026-06-09 英語
Microsoft 2026年6月パッチチュースデー——過去最多208件、HTTP.sys CVSS9.8含む未認証RCEが集中 ①Microsoftが2026年6月9日に過去最多208件のCVEにパッチを適用。うち39件がCritical評価。
②IIS/WinRMの基盤HTTP.sysのRCE脆弱性CVE-2026-47291(CVSS 9.8)とWindows DHCPクライアントのRCE脆弱性CVE-2026-44815(CVSS 9.8)はいずれも認証不要で遠隔から任意コードを実行可能。
③WindowsUpdateを即時適用。暫定策として、HTTP.sysのMaxRequestBytes設定を65,534バイト以下に設定することで一部の影響を緩和できる。
④パッチ適用の組織的な遅延が続く現状において、CVSS9.8クラスの未認証RCEは公開直後からPoC探索・悪用が始まるため「翌日中の適用」が標準対応となりつつある。
自分のサービスへの教訓
Vercelホスト型のため直接影響は低いが、Windows系の開発端末・ビルドサーバが社内にある場合は最優先でWindows Updateを適用する
重要 CISA · 2026-06-09 英語
CISA KEV追加:Google Chrome V8メモリ破壊(CVE-2026-11645)・Arista EOS・Cisco SD-WANの3脆弱性が悪用確認済み ①CISAが2026年6月9日にKEVカタログへ3件追加:Google Chromium V8の境界外読み書き(CVE-2026-11645)、Arista EOSの不完全比較(CVE-2026-7473)、Cisco Catalyst SD-WAN ManagerのOutput Escaping不備(CVE-2026-20245)。
②Chrome V8のOOBはWebブラウジングだけでトリガーされる典型的ブラウザRCEで、エンタープライズ・個人を問わず影響ユーザーが非常に広い。
③Chromeを最新版へ即時更新し、Arista EOS・Cisco SD-WANは各ベンダーのセキュリティアドバイザリに従ってパッチを適用する。
④KEV登録は「攻撃者が実際に悪用中」を意味し、「様子見」が許されないカテゴリであることを全社で共有する。
自分のサービスへの教訓
開発・テスト環境を含む全端末のChrome/Edge/Braveを最新版に維持する習慣をつける。ブラウザ更新はセキュリティ対策の中で最もコストが低く効果が高い。
#脆弱性 #ブラウザ #KEV #パッチ #ネットワーク機器
原文 緊急 The Hacker News · 2026-06-08 英語
Check Point VPN認証バイパスのゼロデイ(CVE-2026-50751 / CVSS9.3)をQilinランサムウェアが積極悪用 ①Check Point Security GatewayのIKEv1 VPN認証を完全にバイパスできるCVSS 9.3のゼロデイ(CVE-2026-50751)をQilinランサムウェアのアフィリエイトが積極的に悪用している。
②証明書検証処理をスキップしてVPNセッションを確立できるため、認証なしで企業内部ネットワークへ侵入しランサムウェアを展開できる。
③Check Pointが提供するホットフィックスを即時適用するか、IKEv1機能を無効化してIKEv2へ移行する。CISAが2026年6月8日にKEVカタログへ登録済み。
④VPNゲートウェイのゼロデイはランサムウェアの初期侵入経路として最頻出であり、パッチ適用速度が被害分岐点になることを再認識する。
自分のサービスへの教訓
Vercel/Supabase構成では直接影響しないが、社内VPNやリモートアクセス環境にCheck Point製品を使っている場合は最優先でホットフィックスを確認する
#脆弱性 #VPN #ランサム #KEV #認証バイパス
原文 緊急 The Hacker News · 2026-06-05 英語
Cisco SD-WAN CVE-2026-20245: パッチ未公開のゼロデイがroot権限昇格に悪用中 Cisco Catalyst SD-WAN Managerにゼロデイ脆弱性CVE-2026-20245(CVSS 7.8)が確認された。認証済みのnetadmin権限を持つ攻撃者が細工ファイルをアップロードすることでrootとして任意コマンドを実行でき、エッジデバイスへの不正設定変更が実際に確認されている。
2026年中で7番目のSD-WAN系悪用確認脆弱性であり、オンプレ・クラウドを含む全SD-WAN展開形態に影響する。パッチは現時点で提供されていない。
暫定策として不審なファイルアップロードのログ監視・netadmin権限の最小化・ネットワーク分離を実施する。ベンダーアドバイザリを定期確認してパッチ公開を待つ。
パッチ未提供のまま悪用が続くゼロデイが2026年だけで7件目というペースは、探知と封じ込めを組み合わせた多層防御の必要性を示している。
自分のサービスへの教訓
個人開発でCisco SD-WANを直接使う場面は少ないが、VercelやSupabaseが経由するクラウドインフラの侵害が波及するリスクもある。Vercel status pageとSupabaseのインシデントページをRSSや通知で購読し、インフラ障害・侵害情報を早期キャッチする習慣をつけること。
#脆弱性 #ゼロデイ #悪用確認済み #ネットワーク機器
原文 重要 TechTimes · 2026-06-04 英語
Infosecurity Europe 2026: 無料LLMが自律ワームを駆動—企業模擬ネットの73.8%を侵害 Infosecurity Europe 2026でトロント大学の研究者が、無料オープンウェイトLLMを使って企業模擬ネットワークの73.8%を侵害する自律型AIワームを実証した。またSysdigは5月10日にLLMエージェントが初期侵入からDB全抽出まで1時間以内・4ネットワークピボットで完遂した世界初の実世界攻撃を報告した。
人間がステップを指示しなくても自律的に多段攻撃チェーンを実行できるエージェンティックAIが実用化レベルに達しており、攻撃の速度と深度が従来比で格段に増している。
OWASP新設「Agentic Research Council」が示す通り、AIエージェントのサンドボックス化・最小権限・コンテキスト境界設計を今すぐ実装することが重要。
生成AI機能をサービスに組み込む際、エージェントに与えるツールと権限を最小化しないとプロンプトインジェクション経由で攻撃の踏み台になるリスクがある。
自分のサービスへの教訓
Next.jsアプリにAIチャットやエージェント機能を統合する場合、SupabaseのDB操作権限をLLMに直接渡さず、最小スコープのサービスアカウントとRow Level Securityで権限を厳格に制限すること。
#AI #LLM #エージェンティックAI #プロンプトインジェクション
原文 重要 The Hacker News · 2026-06-02 英語
Google Androidの124脆弱性を修正—CVE-2025-48595がKEV登録・限定悪用中 Googleが2026年6月のAndroidセキュリティアップデートを公開し124件の脆弱性を修正した。CVE-2025-48595(Androidフレームワークの整数オーバーフロー)が限定的に悪用されており、CISAがKEVカタログに追加し6月5日までの修正期限をFCEB機関に通告した。
本脆弱性はユーザー操作不要でローカルから権限昇格が可能でAndroid 14〜16全バージョンが対象。商業スパイウェアや国家系脅威アクターによる標的型攻撃への悪用が疑われる。
対策はAndroid端末を最新セキュリティパッチへアップデートすること。自動更新が無効な端末は手動確認が必須。
「ユーザー操作不要」の悪用は検出が困難であり、組織端末のパッチ管理ポリシー整備と悪意あるアプリのサイドローディング防止が重要となる。
自分のサービスへの教訓
Vercelデプロイのフロントエンドから呼び出すSupabase APIはAndroid端末からもアクセスされる。端末側の権限昇格で認証トークンが窃取されるリスクがあるため、JWTの短命化とリフレッシュトークンのローテーション設定を確認すること。
緊急 BleepingComputer · 2026-06-02 英語
WordPress Kirki CVE-2026-8206: CVSS9.8の認証バイパスが50万超サイトで即日悪用 WordPress用プラグインKirkiのバージョン6.0.0〜6.0.6に未認証で管理者アカウントを乗っ取れるCVE-2026-8206(CVSS 9.8)が確認された。パスワードリセット機構の欠陥を突き、攻撃者が管理するメールアドレスで管理者パスワードをリセットできる。
50万超のサイトが影響範囲となり、Wordfenceが公開24時間以内に222件以上のブロックを記録するなど即日から積極的に悪用されている。
修正済みのバージョン6.0.7へ直ちにアップデートし、不審なパスワードリセットのログを確認することが対策。
CVE公開と同時に悪用が始まる即日攻撃が常態化しており、プラグインやOSSの更新遅延が即座にリスクになることを示す。
自分のサービスへの教訓
Next.jsでは直接WordPressは使わないが、同様のパスワードリセット欠陥(トークン検証不備・メールアドレス差し替え可能)はSupabase Authのカスタムフローにも実装ミスとして生じうる。Supabaseのemail確認フローとリセットトークンの有効期限・リセット先検証を自前でテストすること。
#脆弱性 #悪用確認済み #認証 #パスワードリセット
原文 緊急 The Hacker News · 2026-05-22 英語
CISAがAIプラットフォーム「Langflow」の任意コード実行脆弱性(CVE-2025-34291, CVSS 9.4)をKEVに追加 AIエージェント・ワークフロー基盤「Langflow」に過剰なCORS設定とSameSite=NoneのRefreshトークンを悪用した認証バイパス→任意コード実行脆弱性(CVE-2025-34291、CVSS 9.4)が確認され、2026年5月21日にCISA KEVへ追加された。
未認証の攻撃者がブラウザセキュリティを回避してシステム全体を乗っ取れるため、LLMパイプラインやAIオートメーション基盤が侵害対象になる。米連邦機関は2026年6月4日までにパッチ適用が必須。
Langflowを最新のFixedリリースに更新し、外部公開インスタンスへの接続元IPを制限する。AIパイプラインに渡すAPIキー・トークンの権限を最小化する。
AIインフラのセキュリティはLLM自体だけでなく基盤フレームワークの脆弱性にも依存する。AIツール導入時は通常Webアプリ同等のセキュリティ評価が不可欠。
自分のサービスへの教訓
SupabaseやVercel上のAIパイプラインでLangflow類似OSSを使う場合、APIキーを環境変数で管理しネットワーク制限をかけ、定期的にバージョンアップする習慣をつける。
緊急 The Hacker News · 2026-05-21 英語
悪意あるNx Console VSCode拡張機能経由でGitHub内部リポジトリ3,800件が流出 TanStackのnpmパッケージ42個が侵害された連鎖的なサプライチェーン攻撃により、VSCode拡張機能「Nx Console」v18.95.0が改ざんされ、GitHubの内部リポジトリ約3,800件とOpenAI・Grafana Labsも被害を受けた。
CI/CDパイプラインの認証情報が盗まれてコードリポジトリが漏洩し、自己増殖型ワーム「Mini Shai-Hulud」により被害が連鎖的に拡大した。
VSCode拡張機能のバージョンを固定・監査し、npmパッケージの整合性検証(npm audit/Dependabot)を導入する。CI/CDシークレットは最小権限で管理し定期的にローテーションする。
開発ツール自体がサプライチェーン攻撃のベクターになりうる。信頼できるツールを無条件に信頼しないゼロトラストの徹底が急務。
自分のサービスへの教訓
VercelのデプロイパイプラインにつながるGitHub Actionsシークレットとnpm依存パッケージのバージョン固定を見直し、DependabotとDep審査でサプライチェーン改ざんを検知できるようにする。
#サプライチェーン #認証 #開発者ツール #npm
原文 重要 The Hacker News · 2026-05-21 英語
Microsoft Defenderのゼロデイ2件(CVE-2026-41091権限昇格/CVE-2026-45498 DoS)が悪用確認、CISA KEV追加 Microsoft Defenderに権限昇格(CVE-2026-41091、CVSS 7.8)とDoS(CVE-2026-45498、CVSS 4.0)のゼロデイ悪用が確認され、2026年5月20日にCISA KEVへ追加された。連邦機関の修正期限は2026年6月3日。
CVE-2026-41091はローカルユーザーがSYSTEM権限を取得できるため、初期侵入後のランサムウェア展開や横展開に悪用される。DoS脆弱性と組み合わせてDefenderを無効化するシナリオが特に危険。
Windows Updateを速やかに適用し、Microsoft Defender Antimalware Platformをバージョン1.1.26040.8/4.18.26040.7以降に更新する。
セキュリティ製品自体が攻撃対象になり得る。多層防御と最小権限の徹底、EDR監視が重要。
自分のサービスへの教訓
Windows端末で開発している場合はWindows Updateを即時適用し、Defender Antimalware Platformの自動更新が有効になっているか確認する。
重要 CISA · 2026-05-20 英語
Microsoft Defender 0-day 2件(CVE-2026-41091/CVE-2026-45498)をCISAがKEV追加—連邦機関に6月3日期限 Microsoft Defenderに特権昇格(CVE-2026-41091, CVSS 7.8)とDoS(CVE-2026-45498, CVSS 4.0)の2つのゼロデイ脆弱性がCISAのKEVカタログに追加され、野生環境での悪用が確認された。
特権昇格でSYSTEM権限取得後にDoSでDefenderの保護を無効化する組み合わせ攻撃で、エンドポイント防御が盲点化した隙にマルウェア展開や横断侵害が実行される。
修正済みのDefender Antimalwareプラットフォームバージョン1.1.26040.8/4.18.26040.7へのWindows Update適用が必要で、連邦機関の修正期限は2026年6月3日。
セキュリティツール自身が攻撃経路となることで従来のエンドポイント防御モデルが崩れることを示し、セキュリティソフトウェア自体の脆弱性管理の重要性が改めて問われた。
自分のサービスへの教訓
開発用Windowsマシン上でWindows Updateを遅延なく適用すること。開発機にはSupabaseサービスキーやVercel APIトークン等の機密情報が多く存在し、エンドポイント侵害は即座に本番環境リスクに直結する。
#脆弱性 #Windows #Defender #KEV #特権昇格 #パッチ
原文 情報 日本経済新聞 · 2026-05-19 日本語
G7財務相、先端AIのサイバーリスクで協調対応に合意(6月に具体策) ①G7財務相会合(パリ)で先端AIへの協調対応に合意、6月のサミットまでに具体策を策定。
②新型AIがもたらすサイバーリスクを共有し、専門家連携で対策を進める方針。
③金融当局が起点のため、規制は金融経由で取引先・委託先へ波及する見込み。
④「セキュリティ対応の証明」を企業が求められる流れの起点になり得る。
自分のサービスへの教訓
個人開発でも「どんな基準で・誰が作り・どう守っているか」を説明できる準備を今から。まずIPA SECURITY ACTIONの自己宣言と、セキュリティ方針の一枚文書化が低コストな第一歩。
緊急 The Hacker News · 2026-05-18 英語
NGINX Riftヒープバッファオーバーフロー(CVE-2026-42945, CVSS 9.2)が野良悪用、RCEの可能性 NGINXのngx_http_rewrite_moduleにヒープバッファオーバーフロー(CVE-2026-42945、CVSS 9.2)が発見され、PoC公開から3日後の2026年5月16日より実際の悪用が観測された(バージョン0.6.27〜1.30.0が対象)。
細工したHTTPリクエスト1つでデフォルト設定のサーバーにDoSが引き起こせ、ASLR無効環境では認証不要のRCEが成立するため、公開中のWebサーバーが広く危険に晒されている。
NGINX 1.30.1以降に更新し、即時適用が困難な場合はrewriteディレクティブの無名キャプチャ($1,$2)を名前付きキャプチャに置換する。
PoC公開後3日での悪用は今や標準的。パッチサイクルを短縮し、WAFとインフラ管理の自動化・監視を急ぐべき。
自分のサービスへの教訓
Vercel自体はNGINXを管理しないが、開発・ステージング環境でNGINXをDockerやVPSで動かしている場合は即座にバージョンを確認し1.30.1以降に更新する。
重要 The Hacker News / CISA · 2026-05-15 英語
Microsoft Exchange の脆弱性(CVE-2026-42897)がCISA KEVに追加 ①オンプレExchange ServerのRCE級脆弱性(CVE-2026-42897, CVSS8.1)がCISAの「悪用既知(KEV)」カタログに追加。
②細工したメールで悪用され、米政府機関に5/29までの対応期限が設定された。
③該当パッチを適用し、オンプレメール基盤のインターネット露出を減らす。
④KEVカタログは「今まさに狙われている脆弱性」一覧。パッチ優先順位の判断に使える。
自分のサービスへの教訓
自分が使う製品・OSSがKEVに載ったら最優先で対応。KEVを定期チェックする習慣が、限られた時間でのパッチ優先順位付けの近道になる。
緊急 The Hacker News · 2026-05-15 英語
Cisco Catalyst SD-WAN コントローラーの認証バイパス脆弱性(CVE-2026-20182 / CVSS 10.0)がゼロデイとして実際に悪用 ①CiscoのCatalyst SD-WAN ControllerにCVSS 10.0の認証バイパス脆弱性(CVE-2026-20182)が発見され、国家レベルの脅威アクター(UAT-8616)による限定的な実攻撃が確認されCISA KEVに登録された。②攻撃者は認証なしでリモートから管理者権限を取得でき、NETCONFを通じてSD-WANファブリック全体のネットワーク設定を操作・改ざんできる最大深刻度の欠陥だ。③Ciscoは修正済みバージョンへのアップグレード以外に回避策はないと明言しており、連邦機関には2026年5月17日までの対応が義務付けられた。④ネットワーク機器のゼロデイは発見即悪用のパターンが多く、重要インフラ機器のパッチ管理を最優先する運用文化の構築が急務だ。
自分のサービスへの教訓
個人開発でも利用するVercel・Supabase等のSaaSが依拠するネットワーク機器の侵害は自分のサービスにも波及しうる。依存SaaSのセキュリティインシデント通知メール購読を徹底し、不審なAPIアクセスをSupabaseのログで定期確認する習慣を持とう。
#脆弱性 #認証 #ゼロデイ #ネットワーク機器 #KEV
原文 重要 Palo Alto Networks · 2026-05-13 英語
Palo Alto PAN-OSに認証バイパス脆弱性(CVE-2026-0265)、CAS有効時にGlobalProtect VPNへ不正アクセスの恐れ ①Palo Alto Networks PAN-OSにクラウド認証サービス(CAS)有効時に認証をバイパスできる脆弱性(CVE-2026-0265)が発見され、研究者が複数企業のGlobalProtectポータルで実証に成功した。②攻撃者はVPN認証をバイパスして企業内ネットワークへの不正アクセスを確立できるため、ラテラルムーブメントや機密データ窃取の入口になりうる重大な欠陥だ。③CASが有効な環境では早急なパッチ適用が必要で、特に管理インターフェースへのCAS適用はリスクが最も高く、JPCERT/CCも5月22日に注意喚起を公開した。④ベンダーが当初CVSSを7.2と低く評価しても研究者が現場で高い影響を実証するケースがあり、セキュリティ情報は複数ソースで重大度を再評価する重要性を示している。
自分のサービスへの教訓
個人開発のWebサービスにはVPN管理は不要だが、VercelダッシュボードやSupabase管理コンソール、GitHubへのアクセスは必ずMFAを有効化し、管理インターフェースへの認証を多層化する。認証の単一障害点を作らないことが最大の防衛策。
重要 eSecurity Planet · 2026-05-12 英語
教育プラットフォームCanvasへのデータ恐喝、2.75億人分を盾に脅迫 ①教育プラットフォームCanvasが大規模なデータ恐喝攻撃を受け、全米で授業に支障。
②約9,000校・2.75億人分の学生/教職員データ流出を盾に脅迫しているとされる。
③特定SaaSへの集中が単一障害点となり、被害が広範囲に波及した。
④学習サービスはまさに同種の標的。保持データの最小化が最大の防御になる。
自分のサービスへの教訓
namiflowも学習サービス。個人情報は「持たない」が最強の対策(現状シングルユーザー・認証なしは結果的に低リスク)。将来ユーザーを持つなら、保持データの最小化とバックアップ/復旧計画を最初から設計する。
緊急 The Hacker News · 2026-05-12 英語
Microsoft 2026年5月パッチ: 138件修正、ワーム化懸念のNetlogon RCE(CVE-2026-41089 / CVSS 9.8)含む ①Microsoftは2026年5月のパッチチューズデーで138件の脆弱性を修正し、中にはCVSS 9.8のNetlogon RCE(CVE-2026-41089)とWindows DNSクライアントRCE(CVE-2026-41096)が含まれる。②Netlogon RCEは認証不要でドメインコントローラーにSYSTEM権限でコード実行でき、Zerologon(2020年)と同様のワーム化が懸念される極めて危険な欠陥だ。③即時のWindowsUpdateが必要で、Active Directory環境ではドメインコントローラーを最優先に、すべての窓口をインターネットに露出しないようファイアウォールで制限する。④毎月のパッチチューズデーを自動確認・適用する運用フローのない組織は、公開直後に悪用が始まる前にパッチを当てるプロセスを今すぐ整備すべき段階に来ている。
自分のサービスへの教訓
自分のサービス(Next.js + Vercel)はWindows非依存だが、バックオフィスや開発PCにWindowsを使う場合は今すぐWindows Updateを確認する。Supabase管理コンソールへのアクセスにWindowsを使うならNetlogon修正パッチの優先適用を。
#脆弱性 #パッチ #Windows #RCE #ドメイン
原文 重要 The Hacker News · 2026-05-12 英語
Canvas LMS二度侵害: ShinyHuntersが2.75億件を窃取、Instructureが身代金支払いで漏洩阻止 Canvas LMSを運営するInstructureがShinyHuntersに二度侵害され、8,800以上の大学・教育機関から約2億7500万件のレコード(メール・コース情報・メッセージ等)計3.65TBが窃取された。
同社は最初の侵害を封じ込めたと発表した翌日に再侵害を受け、ログインページをランサムウェアメッセージに差し替えられた。初回対応の不完全さが二次侵害を招いた典型例。
インシデント後は全環境の侵害状況を横断調査し攻撃者の横移動経路を完全遮断してから封じ込め完了を宣言すること。外部フォレンジックチームの介入が必須。
データを扱うSaaSは「一度封じた」と油断せず継続監視と二重確認体制が最小限の安全策となる。
自分のサービスへの教訓
Supabaseにユーザーデータを格納している場合、インシデント後に「封じ込め完了」と判断しても二次侵入を想定した継続監視が必要。Supabase Logsの異常検知アラートを整備し、APIキーとJWTシークレットはインシデント後に必ず全ローテーションすること。
#ランサム #データ侵害 #インシデントレスポンス #教育
原文 重要 The Register · 2026-05-12 英語
ShinyHuntersがCanvas LMSに2度侵入し275百万件・9000校のデータ盗取—史上最大の教育データ侵害 ①ランサムウェアグループShinyHuntersがCanvas LMS(Instructure)に4月25日と5月7日の2度侵入。275百万件・8809機関のデータ(3.65TB)を窃取し史上最大の教育データ侵害となった。
②名前・メールアドレス・学生ID・メッセージが流出。5月11日にInstructureはランサムを支払ったが、データ完全破棄の保証はない。
③依存するSaaSサービスのPII保存量を最小化し、第三者サービスのインシデント通知条項を事前確認する。
④ランサム支払いは根本対策にならない。初期侵入防止とゼロトラスト設計、最小権限原則が本質的な防御策という教訓。
自分のサービスへの教訓
SupabaseやAuth.jsに保存するユーザーPIIを最小化し、サービスが侵害された際の通知義務と対応フローを事前に整備する。個人開発でも数千ユーザーを超えれば漏洩責任が問われる可能性がある。
#ランサム #データ侵害 #サプライチェーン #教育
原文 重要 The Hacker News · 2026-05-11 英語
攻撃者がAIを使い史上初の2FAバイパスゼロデイを開発・大規模悪用(Google GTIG報告) Google Threat Intelligence Groupが、攻撃者がAIモデルを用いて人気OSSのWebシステム管理ツールの2FAバイパスゼロデイエクスプロイトを開発・展開した、初の確認事例を公表した。
LLMはハードコードされた信頼前提などセマンティックレベルの論理欠陥発見を得意とするため、AI活用により脆弱性発見→武器化→悪用サイクルが急加速し「2FAさえあれば安全」という前提が崩れつつある。
管理ツールへのアクセスをIP制限・VPN経由に限定し、2FAをFIDO2/パスキーに移行する。ベンダーの責任ある開示後に速やかにパッチを適用する。
AIが攻撃コストを劇的に下げた世界では認証の多層化と攻撃面の継続的な縮小・監視が不可欠になる。
自分のサービスへの教訓
SupabaseダッシュボードやVercel管理画面のMFAをパスキー/FIDO2に移行し、管理ポータルへのアクセスをIP制限して攻撃面を最小化する。
注意 SecurityWeek · 2026-05-08 英語
Grafana LabsのGitHub環境が侵害、ソースコードが影響範囲 ①Grafana LabsがGitHub環境への侵害を公表、ソースコードリポジトリが影響範囲。
②調査では顧客の本番システムへの影響は確認されなかった。
③ソースコードの流出自体が攻撃者にとっての「地図」になり得る。
④GitHubはコードだけでなく鍵やトークンの置き場所になりがちで、狙われやすい。
自分のサービスへの教訓
あなたの「SUPABASE_SERVICE_ROLE_KEYを絶対コミットしない」運用はまさにこの対策。加えてGitHubの2FA必須化、シークレットスキャン有効化、最小権限トークンの徹底を。
重要 Microsoft Security Blog · 2026-05-08 英語
LinuxカーネルLPE「Dirty Frag」(CVE-2026-31431)が野生悪用—CISAのKEVに追加 Linuxカーネルのネットワーク処理(esp4/esp6/rxrpc)に存在するローカル特権昇格脆弱性「Dirty Frag」(CVE-2026-31431, CVSS 7.8)が実際の攻撃で悪用され、CISAのKEVカタログに追加された。
未特権ユーザーがroot権限を取得できるため、Ubuntu/RHEL/Fedora等の主要ディストリビューション全般に影響し、コンテナ環境からのブレイクアウトにも利用される。
各ディストリビューターが修正カーネルをリリース済みで、apt upgrade / yum update等による即時適用が必要。
Dirty CowやDirty Pipeの系譜を引く複数経路LPEの再発は、カーネル更新の自動化と定期確認が不可欠であることを改めて示した。
自分のサービスへの教訓
SupabaseをVPSやEC2等の自己ホスト環境で運用している場合は即刻カーネル更新を実施し、Dockerコンテナ利用時もホストカーネルのパッチ状況を確認すること。
#脆弱性 #Linuxカーネル #特権昇格 #KEV #パッチ
原文 緊急 The Hacker News · 2026-05-06 英語
NGINX rewriteモジュールのヒープオーバーフロー(CVE-2026-42945)が実環境で悪用 ①NGINXのrewriteモジュールにヒープバッファオーバーフロー(CVE-2026-42945, CVSS9.2)。
②公開からわずか数日で実環境での悪用が確認。世界中で使われるWebサーバなので影響範囲が広い。
③NGINX 1.30.0以前は早急に最新版へアップデート。
④自分が運用するサーバ/リバースプロキシのNGINXバージョンを今すぐ確認する。
自分のサービスへの教訓
namiflowはVercel(マネージド)なので自前のNGINX運用はないが、教訓は「依存コンポーネントの既知脆弱性を放置しない」。使っているライブラリやベースイメージのパッチ追従を仕組み化すること。
重要 The Hacker News · 2026-05-05 英語
Linuxカーネルの特権昇格脆弱性「Copy Fail」(CVE-2026-31431)がKEV登録、クラウド・Kubernetes環境で実悪用 ①LinuxカーネルのAF_ALGソケットとsplice()システムコールの相互作用を悪用し、非特権ユーザーがrootへ権限昇格できるCVE-2026-31431(CVSS 7.8、通称Copy Fail)がCISA KEVに追加され実際の攻撃への悪用が確認された。②クラウドLinuxワークロードの大部分と数百万のKubernetesクラスターに影響し、コンテナ化環境でもホストカーネルを通じた逃脱・クラスター全体侵害につながりうる。③Linuxカーネル6.18.22・6.19.12・7.0以降へのアップデートで修正されており、クラウド事業者はホストOSのパッチ状況確認とノード再起動計画が必要だ。④コンテナ分離はあくまでカーネル共有前提であり、ホストOSのパッチ適用遅延が全テナントへのリスクに直結することを再認識すべき事案だ。
自分のサービスへの教訓
VercelのサーバーレスFunctionはVercel管理のため直接影響は低いが、Supabaseをセルフホストするか、DockerやCI(GitHub Actions等)でLinuxを使う場合はカーネルバージョンを確認し6.18.22以降に更新する。ローカル開発環境のLinuxも対象になりうる。
#脆弱性 #Linux #権限昇格 #クラウド #KEV #コンテナ
原文 緊急 TechCrunch · 2026-05-05 英語
教育LMS大手Instructure(Canvas)がランサムウェア侵害、ShinyHuntersが2億7500万件の学生データを窃取 ①ランサムウェアグループShinyHuntersがCanvas LMSを運営するInstructureに侵入し、世界8,809機関・2億7500万人分の学生・教員データを窃取して身代金を要求、Instructureは最終的に支払いに応じた。②メールアドレス・学籍番号・プライベートメッセージ等の機微データが含まれ、フィッシングや身元詐称攻撃への悪用が強く懸念される過去最大規模の教育分野侵害だ。③影響機関はユーザーへの速やかな通知と認証情報リセットが必要であり、身代金支払いはデータ破壊の保証にならない点に注意が必要だ。④外部SaaSへのデータ預託はセキュリティ責任の転嫁ではなく、サービス選定時にベンダーのセキュリティ実績・通知ポリシー・インシデント対応能力を評価する必要性を示す典型事例だ。
自分のサービスへの教訓
Supabaseにユーザーの個人情報を保存しているなら、Supabase自体が侵害された場合の対応フロー(ユーザーへのメール通知、セッション全無効化、パスワードリセット強制)を今のうちに文書化しRunbookとして準備しておく。
#ランサム #情報漏洩 #教育 #サードパーティ #サプライチェーン
原文 緊急 Cyera Research · 2026-05-02 英語
Ollamaに認証不要のメモリリーク「Bleeding Llama」(CVE-2026-7482, CVSS 9.1)—30万台超のサーバーが影響 自己ホスト型LLM実行環境「Ollama」のGGUFテンソルパーサーに境界チェック欠如(CVE-2026-7482, CVSS 9.1)が発見され、インターネット公開中の30万台超のサーバーが影響を受ける。
未認証攻撃者がわずか3つのAPIコールでサーバープロセスのヒープメモリを外部に送出でき、システムプロンプト・会話履歴・環境変数内のAPIキーやDBパスワードが丸ごと窃取される。
Ollama 0.17.1に修正済みパッチが含まれており、加えてOllamaのポート(デフォルト11434)をファイアウォール内に閉じインターネット非公開にすることが強く推奨される。
AI推論サーバーが秘密情報の保管場所になっている認識が薄く、認証なしで公開している実例が多い問題が浮き彫りとなり、AI基盤のセキュリティ基線策定が急務である。
自分のサービスへの教訓
OllamaをNext.jsバックエンドとして利用する場合は0.17.1以上に必ず更新し、ポート11434は絶対に外部公開しないこと。Ollamaプロセスの環境変数にSupabaseサービスキーやAPIトークンを置かないよう構成を見直すこと。
#脆弱性 #AI #Ollama #メモリリーク #シークレット管理 #認証なし公開
原文