概要 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年3月3日、BroadcomのVMware Aria Operationsに存在するコマンドインジェクション脆弱性（CVE-2026-22719）を、既知の悪用された脆弱性（KEV）カタログに追加した。この脆弱性はCVSSスコア8.1と高い深刻度に分類されており、未認証の攻撃者がサポート支援による製品マイグレーション処理中に任意のコマンドを実行できるというものだ。野外での積極的な悪用が確認されており、連邦文民行政機関（FCEB）には2026年3月24日までにパッチを適用することが義務付けられた。 影響を受ける製品と修正バージョン 影響を受ける製品は、VMware Aria Operations 8.x系、VMware Cloud Foundation 9.x系、およびVMware vSphere Foundation 9.x系の3製品である。それぞれ、Aria Operations 8.18.6、Cloud Foundation 9.0.2.0、vSphere Foundation 9.0.2.0で修正されている。Broadcomは2026年2月下旬にアドバイザリをリリースしており、同時にストアド型クロスサイトスクリプティング脆弱性（CVE-2026-22720）と管理者権限への特権昇格脆弱性（CVE-2026-22721）も修正している。 緩和策と今後の対応 Broadcomは悪用報告について「独自に確認することはできない」としつつも、野外での悪用の可能性を認識していると述べている。即座にパッチを適用できない環境向けには、各Aria Operations仮想アプライアンスノード上でroot権限で実行する回避策シェルスクリプト（aria-ops-rce-workaround.sh）が提供されている。未認証でリモートからコード実行が可能という脆弱性の性質上、該当製品を使用する組織は早急な対応が求められる。

概要 MetaによるAIスタートアップManusの買収をめぐり、中国当局が創業者に出国禁止措置を発動するという異例の事態が発生した。2025年12月にMetaがManusの買収を発表した後、中国商務部は国内法令への適合性を審査するための調査を開始。また、中国当局はManusのCEOであるXiao Hong氏とチーフサイエンティストのJi Yichao氏の2名に対し、審査期間中の出国を禁止する措置を発動した。買収額は20億ドル（約3,000億円）超とされ、MetaのAI能力強化を目的とした大型案件である。 Manusの背景と買収の経緯 Manusは「世界初の完全自律型AI」を標榜し、不動産購入、ビデオゲームのプログラミング、株式分析、旅行計画など多岐にわたるタスクを自律的に処理できるAIエージェントとして注目を集めた。中国発のAI技術としてDeepSeekと並ぶ存在として位置づけられており、その戦略的重要性が中国当局の介入の背景にあるとみられる。CEOのXiao Hong氏は、Metaとの提携により「より強固で持続可能な基盤の上に構築できる」としつつ、運営の自律性と意思決定プロセスは維持されると述べていた。 「シンガポール・ウォッシング」の限界と業界への影響 本件で特に注目されているのは、いわゆる「シンガポール・ウォッシング」（Singapore washing）と呼ばれる手法の限界が露呈した点である。これは中国系テック企業がシンガポールに法人を設立することで、中国の規制や地政学的リスクを回避しようとする戦略を指す。Manusもシンガポール法人化を通じて国際的な事業展開を図っていたとされるが、中国当局は創業者個人に対する出国禁止という手段で実質的にこの回避策を無効化した。この前例は、同様の構造で海外展開を計画している中国系スタートアップや、それらへの投資を検討しているベンチャーキャピタルにとって重大な警鐘となっている。中国当局が戦略的に重要なAI企業の海外移転・売却に対して、個人の移動制限という強力な手段を行使する意思を示したことで、米中間のテック企業M&Aの構図に新たな不確実性が加わった形だ。

概要 欧州連合（EU）の行政執行機関である欧州委員会は2026年3月27日、同委員会のクラウドストレージシステムを標的としたサイバー攻撃を公式に確認した。ハッカーグループが欧州委員会のAWSアカウントから数百ギガバイト規模のデータを窃取したと主張しており、EUの公式ウェブプラットフォームであるEuropa.euにも影響が及んでいるとされる。欧州委員会はハッカー側のデータ侵害の主張を受けて声明を発表し、攻撃の事実を認めた。 攻撃の影響と背景 今回の攻撃は、欧州委員会が利用するAmazon Web Services（AWS）のクラウドインフラストラクチャが標的となった点が特徴的である。EUの主要機関がクラウド環境で大規模なデータ侵害を受けたことは、政府機関のクラウドセキュリティに対する信頼性に重大な疑問を投げかけるものとなる。Europa.euは欧州委員会の公式ウェブプレゼンスとして、政策文書や規制情報など膨大な公的データを扱っており、流出したデータの具体的な内容や機密性の度合いが今後の焦点となる。 今後の見通し 欧州委員会は現在、攻撃の全容解明と被害範囲の特定を進めているとみられる。EU機関を標的とした大規模なサイバー攻撃は、欧州全体のサイバーセキュリティ政策やクラウドインフラの運用方針に影響を与える可能性がある。EUは近年、NIS2指令をはじめとするサイバーセキュリティ規制の強化を推進してきたが、今回の事案は自らの機関におけるセキュリティ対策の実効性を問われる形となった。