概要 Appleは2026年4月30日、2026年度第2四半期（2026年1〜3月期）の決算を発表した。売上高は1,112億ドルで前年同期比17%増（前年同期は954億ドル）、純利益は296億ドルで同19%増を達成した。希薄化後EPSは2.01ドルと前年同期の1.65ドルから22%増加し、売上総利益率は49.3%（前年47.1%）へと改善した。Tim Cook CEOは「iPhone 17ラインアップへの並外れた需要」を主要な牽引役として挙げ、全主要製品カテゴリおよび全地域でアクティブデバイス基盤が過去最高を記録したと述べた。 製品カテゴリ別業績 主力のiPhoneは570億ドル（前年比+21.7%）を売り上げ、3月四半期として過去最高を更新した。iPhone 17eの投入も販売拡大に寄与したとみられる。サービス部門は310億ドル（+16.3%）と過去最高を塗り替え、App Store・Apple Music・iCloudなどのサブスクリプション事業が引き続き安定的に収益を押し上げた。その他のカテゴリはMacが84億ドル（+5.7%）、iPadが69億ドル（+8.0%）、Wearables/Home/Accessoriesが79億ドル（+5.0%）となった。新製品としてはM4搭載iPad AirとMacBook Neoも当四半期に投入されている。 地域別業績と株主還元 地域別では5地域すべてがプラス成長を達成し、中国本土・香港・台湾を含む「Greater China」が前年比28.1%増と特に力強い伸びを示した。「その他アジア太平洋」セグメントも+25.3%と高い成長率を示した。欧州（+14.7%）、日本（+15.1%）、アメリカズ（+11.9%）も堅調だった。株主還元については取締役会が最大1,000億ドルの自社株買いプログラムを新たに承認し、1株あたり配当を0.26ドルから0.27ドルへ約4%引き上げた。当四半期に株主へ還元した総額は150億ドルに上る。 Tim Cook退任とリーダーシップ交代 今回の決算発表で注目を集めたのが経営トップの交代だ。Tim Cook CEOは2026年9月1日付でExecutive Chairman（取締役会長）へ移行し、現ハードウェアエンジニアリング担当SVPのJohn Ternusが新CEOに就任する。CookはTernusについて「このAppleをリードすることを私が最も信頼できる人物だ」と述べた。2011年よりCEOを務めてきたCookの退任は業界に大きなインパクトを与えており、引き続き注目される。 次四半期ガイダンス 第3四半期（2026年4〜6月期）の見通しとして、売上高成長率は前年比14〜17%、売上総利益率は47.5〜48.5%を見込む。一方、メモリコストの著しい上昇が利益率に圧力をかける可能性を示唆しており、半導体市況や地政学リスクを含めた外部環境の変化への対応が引き続き課題となる。

概要 セキュリティ企業Guardio Labsは2026年4月、ベトナム系の脅威アクターによるフィッシングキャンペーン「AccountDumpling」を公表した。このキャンペーンではGoogleのノーコード開発プラットフォーム「AppSheet」が踏み台として悪用され、約3万件のFacebookビジネスアカウントが侵害された。被害は米国（全体の約68%）を筆頭に、イタリア、カナダ、フィリピン、インド、スペイン、オーストラリア、英国、ブラジル、メキシコなど世界10カ国以上に広がっている。 攻撃の起点となるフィッシングメールは「アカウントが永久停止される」と警告するMeta Supportを装ったもので、送信元アドレスにはnoreply@appsheet.comやappsheet.bounces.google.comが使われる。正規のGoogleインフラ経由であるため、SPF・DKIM・DMARCの認証チェックを通過してしまい、スパムフィルターによる検知が著しく困難になっているのが特徴だ。 4つの攻撃クラスターと技術的手法 Guardio Labsの分析によると、AccountDumplingは用途の異なる4つの攻撃クラスターで構成されている。 クラスター1（認証情報収集）: Netlify上にホストされた偽のFacebook Help Centerページへ誘導し、ログイン情報や政府発行IDを窃取する。被害者ごとに固有のサブドメインを生成することでブロックリストへの登録を回避している。 クラスター2（インセンティブ型）: Vercel上にホストされた偽の「セキュリティチェック」ページへ誘導し、青いバッジ（認証バッジ）の付与を餌にしてパスワードと2FAコードをリアルタイムで収集する。Unicodeの難読化と多段階のフローを組み合わせることで解析を妨害している。 クラスター3（インタラクティブフィッシング）: Google DriveにホストされたCanva製PDFを利用し、WebSocketで接続された攻撃者操作パネルへ被害者を誘導する。リアルタイムで攻撃者が被害者とやり取りできる高度な仕組みが実装されている。 クラスター4（ソーシャルエンジニアリング）: Meta・WhatsApp・Apple・Adobeの採用担当者を装い、会話を攻撃者が管理するプラットフォームへ移行させた後に情報を詐取する。 帰属と収益化スキーム 攻撃者の帰属を示す手がかりはCanva PDFのメタデータに残されていた。ファイル作成者として記録されていたベトナム語名「Phạm Tài Tân」を手がかりにOSINT調査を行ったところ、デジタルマーケティングサービスを宣伝するウェブサイト（phamtaitan[.]vn）と結びついたことが確認された。コード中のベトナム語コメントやボットの命名規則からも、複数のアクターが関与するモジュール式のエコシステムが示唆されている。 窃取したアカウントは不正な販売ネットワークを通じて転売されるほか、被害者に「アカウント復旧サービス」として売り戻す二重の収益化スキームも確認されており、研究者はこれを「犯罪的な商業ループ」と表現している。 対策と教訓 今回の攻撃が示す最大の教訓は、正規の大手クラウドサービスを踏み台にすることで従来のメール認証機構を無力化できるという点にある。ユーザーへの推奨対策としては、緊急を煽るメール内のリンクを不用意にクリックしない、2要素認証を有効にする、不審なアカウントアクティビティを継続的に監視するなどが挙げられる。企業・組織側にはAppSheetをはじめとするノーコードプラットフォームの送信メールポリシーの見直しや、従業員向けフィッシング訓練の強化が求められる。

概要 プライベートエクイティ大手のKKRは、AIインフラに特化した新会社「Helix Digital Infrastructure」を100億ドル（約1兆5,000億円）超の資金を元に設立したと発表した。同社のCEO兼会長には、元AWS（Amazon Web Services）CEOのAdam Selipsky氏が就任する。Selipsky氏はAWSのトップを務めた期間に同事業を倍増させ、年間収益を1,000億ドル超へと押し上げた実績を持つ。急拡大するAI需要に対応するインフラの整備が追いつかない中、大規模な資本と豊富な業界経験を持つチームによる専業プレイヤーの参入として業界から注目を集めている。 事業内容とビジネスモデル Helixはデータセンターの設計・建設・運営にとどまらず、電力の発電・送電、ネットワーク接続、冷却システムまでをワンストップで提供する「フルスタック型インフラパートナー」として機能する。ハイパースケーラー（大手クラウド事業者）が自前でインフラを所有・構築する代わりに、Helixが長期のキャパシティ契約を通じて安定的にリソースを供給する仕組みだ。これにより、顧客側はバランスシートへの負担を抑えながら、インフラの展開を加速できる。Alphabet、Amazon、Meta、Microsoftなどの大手テック企業が年間約7,000億ドルものインフラ投資を計画しているとされる中、Helixはこの巨大な需要を長期安定収益に転換する事業モデルを描いている。 市場背景と設立意図 AI向けコンピューティング需要は爆発的に拡大しているが、データセンター用地の確保、電力の供給不足、許認可の遅延などがインフラ整備のボトルネックとなっており、リソース競争から取り残されるスタートアップも少なくない。アナリストはAIインフラへの累積投資が「今十年の終わりまでに1兆ドルを超える」と予測しており、投資家の注目はAIモデルの開発企業からインフラ資産へとシフトしつつある。KKRによるHelixの設立は、AIインフラをかつての公益事業（ユーティリティ）に近い安定的な長期リターン資産として位置づける戦略的な動きであり、プライベートキャピタルがAIエコシステムの物理的な基盤層を担う流れを象徴している。 展望 AIの普及が進むにつれ、モデルの性能向上と並行してインフラ側の制約が競争上の優位を左右する時代に入っている。Helixのような専業インフラ企業が大規模資本と経営人材を集中投下することで、電力調達から施設運営まで一貫した効率化が期待される。Selipsky氏の豊富なクラウドインフラ経験と、KKRの資本力・ネットワークが組み合わさることで、ハイパースケーラーや企業顧客のインフラ調達を加速させるプレイヤーとしての地位を確立できるかが今後の焦点となる。

概要 セキュリティ研究者は2026年4月29日、Linuxカーネルのローカル特権昇格脆弱性「Copy Fail」（CVE-2026-31431）を公開した。CVSSスコアは7.8（High）であり、2017年以降にリリースされたほぼすべてのLinuxカーネルバージョンが影響を受ける。攻撃者は非特権ユーザーとしてコードを実行できる環境さえあれば、わずか732バイトのPythonスクリプトを用いて確実にroot権限を取得できる。セキュリティ企業Theoriが開発したこの概念実証コードは、競合状態（レースコンディション）に依存せず100%の信頼性で動作することが報告されており、同種の脆弱性である「Dirty Pipe」（CVE-2022-0847）と比較しても実用性・移植性が高いとされている。 技術的な詳細 本脆弱性はLinuxカーネルの暗号化サブシステム、特にAF_ALG（ユーザー空間向け暗号化API）のalgif_aead モジュールに存在する。2017年、開発者が暗号化処理の高速化を目的として入力・出力バッファを同一領域で再利用する「インプレース最適化」を導入した際に、認証付き暗号化テンプレートに論理エラーが生じた。 この欠陥を悪用すると、攻撃者はAF_ALGソケットインターフェースとsplice()システムコールを組み合わせることで、カーネルのページキャッシュ上にある任意の読み取り可能ファイルに対して制御された4バイトの書き込みを実行できる。特にsetuid-rootバイナリのページキャッシュを書き換えることで、権限昇格を引き起こすことが可能となる。 影響範囲とリスク 影響を受ける主なディストリビューションは以下の通り。 Ubuntu 24.04 LTS Amazon Linux 2023 Red Hat Enterprise Linux（RHEL）10.1 SUSE 16 Debian、Fedora、Arch Linux コンテナ環境やクラウド基盤においてもリスクが指摘されており、コンテナブレイクアウトやクラウドのマルチテナント環境における横断的な侵害につながる可能性がある。MicrosoftはAzure上でのLinuxワークロードへの影響を分析し、自社のセキュリティブログで警戒を呼び掛けた。また本脆弱性はCISAの「Known Exploited Vulnerabilities（KEV）カタログ」にも追加されており、限定的な実際の悪用が観測されているほか、より広範な攻撃への拡大が懸念されている。 Microsoft Defenderでは以下の検出シグネチャが対応済みとなっている。 Exploit:Linux/CopyFailExpDl.A Exploit:Python/CopyFail.A Behavior:Linux/CVE-2026-31431 パッチと対策 タイムラインは以下の通り。 2026年3月23日：Linuxカーネルセキュリティチームへ報告 2026年4月1日：修正パッチリリース 2026年4月29日：一般公開（ディスクロージャ） 修正済みアップストリームバージョン：6.18.22、6.19.12、7.0 各ディストリビューションベンダーがパッチを提供しており、即時のカーネル更新が強く推奨される。即時適用が困難な場合の暫定緩和策としては、脆弱なAF_ALGインターフェースを無効化する方法が有効であり、/etc/modprobe.d/disable-algif.conf に適切な設定を追加するか、algif_aead モジュールを削除することで攻撃面を排除できる。

概要 Qualcomm（NASDAQ: QCOM）は2026年5月1日、大手ハイパースケーラーとのカスタムプロセッサ供給契約を発表し、株価が一時20%近く上昇、終値では前日比15.1%高の179.58ドルで引けた。CEOのクリスティアーノ・アモン氏は同日の決算発表において、データセンター向け「エージェント型AI体験専用CPU」の開発および「エージェント型スマートフォン」という新コンセプトを明らかにし、同社がモバイルチップベンダーからデータセンター向けAIシリコンプロバイダーへと本格的に転換する姿勢を示した。 データセンター戦略：カスタムASICと専用CPU Qualcommは2025年に買収したAlphawaveの技術を活用し、カスタムASIC製造事業に参入している。今回の発表では、名称非公表の大手ハイパースケーラーとの契約を確保し、出荷は2026年第4四半期を予定しているとした。この案件はデータセンター向けCPUと高性能AIインファレンスアクセラレータを含む複数世代にわたる取り組みとして位置付けられている。 アモン氏は、AIがトレーニングやインファレンス段階を超えてエージェント的な動作へと進化するにつれ、トークン生成を担うCPUの役割が不可欠になると説明した。このエージェント型AI専用CPUはその需要を直接狙ったものだ。 エージェント型スマートフォンへの展開 Qualcommはスマートフォン市場においても「エージェント型スマートフォン」という将来像を提示した。アモン氏は中国の先行事例として、ByteDanceのAIアシスタント「Doubao」を搭載したZTE端末や、ユーザーの意図を解釈してサードパーティアプリを自動操作するOS統合型AIツール「miClaw」を組み込んだXiaomi端末を挙げ、AI統合が端末体験の中核となる方向性を示した。こうしたエージェント機能を支えるため、次世代Snapdragonプロセッサはさらなる高性能化が必要とされる。 財務実績と自動車事業の躍進 2026年度第2四半期の売上高は106億ドル（前年同期比3%減）だった一方、純利益は73.7億ドルと前年同期比162%増となった。また自動車事業では年換算売上高が初めて50億ドルを突破し、2026年度末には60億ドルを超える水準での着地を見込んでいる。第5世代Snapdragon Digital Chassisプラットフォームは、CPU処理能力3倍、GPU性能3倍、NPU性能12倍の改善を実現しており、自律走行や車載AIエージェントを支える基盤として期待されている。

Ubuntu 26.04 LTSとZed 1.0——4月の二大メジャーリリース 2026年4月、Linux・OSSコミュニティにとって特に注目度の高いリリースが相次いだ。まずUbuntu 26.04 LTS（コードネーム：Resolute Raccoon）が正式リリースされ、通常の5年間の長期サポート（LTS）が提供される。LTSリリースは企業や安定運用を重視するユーザーに広く採用されており、次の大きな移行サイクルの基盤となるバージョンとして注目されている。 もう一つの大きなトピックが、RustベースのオープンソースIDEである「Zed」のバージョン1.0正式リリースだ。Zedは高速なパフォーマンスとモダンな設計で注目を集めてきたエディタであり、今回の1.0リリースではAI・エージェント機能が強化された。具体的にはDeepSeekのAIモデルへの対応が追加され、セッションをまたいで保持されるブックマーク機能、Git統合の改善なども盛り込まれた。一方でpreferred_line_length設定が廃止され、ソフトラップのバウンド制御方式に移行するなど、設定周りの整理も行われている。 4月の主要OSSアップデート一覧 4月はZedとUbuntu以外にも多くの注目リリースが揃った。動画編集ソフトのKdenlive 26.04では、マルチディスプレイ環境向けのモニターミラーリング、トランジションのアニメーションプレビュー、自動トランジション長調整、複数クリップ同時速度変更といった機能が追加された。 Firefox 150はLinux向けにGTK絵文字ピッカーのサポートを導入し、スプリットタブ機能も改善された。仮想化プラットフォームVirtualBox 7.2.8はLinuxカーネル7.0をホスト環境でサポートし、Linuxホスト上でのCPU使用率をより正確に報告するゲスト時間アカウンティング機能が加わった。動画編集ツールShotcut 26.4はSpeech to TextモジュールにVulkan GPUアクセラレーションを導入し、処理速度を大幅に向上させた。 アーカイブマネージャのPeaZip 11.0は大規模コレクションのプリパース処理を最大94%高速化し、ダークモードのHiDPI表示を改善した。システムクリーナーのBleachBit 6.0は選択的Cookieマネージャ、ChromiumベースブラウザのFlatpakサポート、LibreOfficeの最近のドキュメント履歴削除などを追加。デスクトップパブリッシングのScribus 1.7.3ではライブスペルチェックのスレッド分離と、高度なフィルタリングを備えた検索・置換機能の再実装が行われた。 まとめと今後の展望 2026年4月は、長期的な安定基盤となるUbuntu 26.04 LTSと、AIネイティブな開発体験を目指すZed 1.0という二つの象徴的なリリースを軸に、幅広いOSSプロジェクトのアップデートが集中した月となった。Zedが1.0に到達したことで今後さらなるエコシステムの拡大が期待され、Ubuntu 26.04 LTSはエンタープライズ・個人ユーザー双方の標準環境として普及していくとみられる。

概要 Trend Microのセキュリティ研究者Daniel LunghiとLucas Silvaが報告した調査によると、中国との関連が疑われる脅威クラスター「SHADOW-EARTH-053」が2024年12月以降、アジア各国の政府・防衛機関を中心に広範なサイバースパイ活動を実施している。標的はパキスタン・タイ・マレーシア・インド・ミャンマー・スリランカ・台湾に及び、さらにNATO加盟国であるポーランドも含まれる。このクラスターはCL-STA-0049、Earth Alux、REF7707といった既知のグループとネットワーク上の重複が確認されており、中国国家と連携した組織的なスパイ活動の一環と見られている。 また、同時期に活動する別の中国系クラスター「GLITTER CARP」および「SEQUIN CARP」は、2025年4月から6月にかけて初めて検出され、国際調査報道ジャーナリスト連合（ICIJ）をはじめ、ウイグル・チベット・台湾・香港のディアスポラ問題に関わる市民社会団体を標的とするフィッシングキャンペーンを展開している。 攻撃手法とマルウェア SHADOW-EARTH-053はインターネットに公開されたMicrosoft ExchangeおよびIISサーバーの既知脆弱性（ProxyLogonチェーン等のNデイ脆弱性）を悪用することで初期侵入を果たす。その後、「Godzilla」ウェブシェルを展開して持続的なアクセスを確保し、DLLサイドローディングを通じてShadowPadバックドアを標的システムに植え付ける。ラテラルムーブメントや情報収集には、IOX・GO Simple Tunnel（GOST）・Wstunnelといったトンネリングツールに加え、悪性バイナリのパックと検出回避に用いるRingQ、さらにMimikatz・Sharp-SMBExec・カスタムRDPランチャーが使用される。マルウェアとしてはGodzilla（ウェブシェル）、ShadowPad（バックドア）が用いられ、LinuxターゲットにはNoodle RAT/ANGRYREBELが確認されている。なお、別の中国系グループUNK_DropPitchは標的組織への同時攻撃でHealthKickを配信している。 一方、GLITTER CARPとSEQUIN CARPは1×1ピクセルのトラッキングピクセルを埋め込んだフィッシングメールを使い、AiTM（Adversary-in-the-Middle）キットによる認証情報の窃取やOAuthトークンの抽出を行う手口を採る。 帰属と背景 Citizen Labは、GLITTER CARPおよびSEQUIN CARPの両クラスターについて「中国国家に雇われた民間企業が背後にいた可能性について中程度の確信がある」と評価している。SHADOW-EARTH-053が複数の既知中国系グループと技術的・インフラ的な重複を持つことも、国家支援の組織的活動である可能性を裏付けている。こうした標的の選定——アジア各国の政府・防衛機関、NATO加盟国、ディアスポラ関連の人権活動家——は、中国の地政学的・外交的利益に沿った情報収集活動であることを示している。 推奨される対策 Trend Microは、組織に対してMicrosoftのセキュリティ更新プログラムを優先的に適用し、既知のCVEに対するバーチャルパッチを含むIPS/WAFソリューションを導入するよう呼びかけている。公開サーバーの定期的な脆弱性スキャンと、ウェブシェル検出のための継続的な監視体制の整備が重要となる。

概要 米国防総省は2026年5月、Amazon Web Services、Google、Microsoft、NVIDIA、OpenAI、SpaceX、Reflection、Oracleの8社に対し、機密ネットワーク（Impact Level 6およびIL7）へのAI展開を承認したと発表した。ペンタゴンのCTO、エミル・マイケル氏は「単一パートナーへの依存は無責任だ」と述べ、複数ベンダーを確保することでシステムの堅牢性と継続性を高める方針を強調した。配備の目的として、データ統合の合理化、状況認識の向上、複雑な作戦環境での意思決定支援が挙げられている。なお、具体的な配備時期や支払い条件は非公開となっており、一部企業はすでに契約済みで残りは詳細協議中とのことだ。 AnthropicとGoogleの対照的な立場 注目すべきは、AI企業のAnthropicが展開条件を拒否したことだ。これを受けてペンタゴンはAnthropicを「国家安全保障サプライチェーンリスク」に指定した。同ラベルはこれまで外国の敵対勢力に対して使われてきたもので、民間企業への適用は異例であり、事実上の圧力として機能している。NSAはAnthropicの非公開モデル「Mythos」を独自に使用しているとの報道もある。一方、Googleは2018年に従業員の抗議を受けてプロジェクト・メイブン（Project Maven）から撤退した経緯があるが、今回はGeminiを機密ネットワークへ展開することに合意した。Geminiはこれまで非機密システムでの利用に限定されていた。ペンタゴンではAIがドローン映像分析、情報分析、ターゲティング支援などの用途に活用されてきたが、Geminiの具体的な用途は現時点で明らかになっていない。 安全性への懸念と業界への構造的影響 安全性の観点では、協定には「適切な人間の監視なしに自律型兵器（ターゲット選択を含む）を可能にしてはならない」という条件が盛り込まれている。しかし、セキュリティ専門家のジェイコブ・クレル氏（Suzu Labs）は「これは公関向けの文言に過ぎず、実際の運用上の制御ではない」と批判する。機密ネットワーク上でペンタゴンが安全フィルターの修正を要求できる仕組みであり、Googleを含む提供企業が実際の使われ方を把握できない点が懸念されている。Xcapeのジョン・カーベリー氏は今回の動きを「Googleが完成品のベンダーから軍の生インフラのプロバイダーへ移行するという根本的なシフト」と評した。AI業界全体としても、防衛契約への参加か、連邦調達機会からの完全排除かという二択を迫られる構造が浮き彫りになっている。

概要 RustベースのAIターミナル「Warp」が、クライアントコードをGitHub（warpdotdev/warp）でオープンソース公開した。ライセンスはデュアル構成で、UIフレームワーク部分（warpui_coreおよびwarpuiクレート）にはMITライセンス、残りのコードベースにはAGPL-3.0が適用される。現在70万人以上のアクティブ開発者を持つWarpにとって、これは単なるコード公開にとどまらず、競合他社に対抗するための戦略的な事業転換として位置づけられている。OpenAIが創設スポンサーとして参加しており、同社のThibault Sottiaux氏は「オープンソースは開発者が学び、ものを作り、分野を前進させる方法の中心にあり続けてきた」とコメントしている。 AIエージェント主導の新しい貢献モデル Warpが今回打ち出した最大の特徴は、従来のオープンソースとは異なる「エージェントファースト」な開発貢献モデルだ。同社のクラウドエージェントオーケストレーション基盤「Oz」を活用し、コードの実装・テスト・PRの作成といった実務作業をAIエージェントが担う一方、人間のコントリビューターはアイデア出し・仕様策定・レビューへの集中を期待されている。CEO Zach Lloyd氏は「現時点での開発のボトルネックはコードを書くことではなく、人間主導のタスクにある」と説明する。GitHubのIssueが公式の機能要望・ロードマップ管理の場となり、技術的な議論もオープンに行われる予定だ。 同時発表された機能強化 オープンソース化と同時に、3つの機能強化も発表された。まず、Kimi・MiniMax・Qwenといったオープンソースモデルのサポートが拡充され、タスクに応じた自動モデルルーティングが可能になった。次に、アーキテクチャの柔軟性が向上し、シンプルなターミナルとして使うか、一部のエージェント機能を有効にするか、あるいはフル機能の開発環境として活用するかをユーザーが選択できるようになった。さらに、新しい設定ファイルによってプログラマブルなカスタマイズとマシン間の設定ポータビリティが実現した。対応プラットフォームはLinux・Windows・macOSの3つ。 戦略的背景と競争環境 Zach Lloyd CEOはオープンソース化の動機として、資金力のある閉鎖的な競合製品の台頭を挙げている。価格競争や利用料の補助ではなく、活発なコミュニティとエージェントオーケストレーションの組み合わせにより、内部チーム単独では不可能なスピードで機能リリースを加速できるとの見方を示している。開発者ツール市場において、透明性と外部コントリビューションによる競争優位の確立を目指すこの賭けは、AIエージェント活用を前提とした次世代のオープンソース開発モデルの試金石としても注目を集めている。

概要 米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Microsoft Defenderに存在する高深刻度の権限昇格ゼロデイ脆弱性「BlueHammer」（CVE-2026-33825）を既知悪用脆弱性（KEV）カタログに追加した。これに伴い、連邦民間行政機関（FCEB）に対して2026年5月7日までのパッチ適用を命令した。Microsoftはすでに2026年4月14日の月例パッチ（Patch Tuesday）でこの脆弱性を修正済みだが、実際の攻撃での悪用が確認されていることから、CISAが迅速な対応を求めた形となる。 脆弱性の詳細とPoC公開の経緯 CVE-2026-33825は、Microsoft Defenderに存在する権限昇格の脆弱性で、低権限のローカルユーザーがSYSTEM権限を取得できる。脆弱性のPoCコードは、セキュリティ研究者「Chaotic Eclipse」がMicrosoft Security Response Center（MSRC）の対応に不満を示し、4月7日に意図的に公開したものだ。このPoC公開と同時に、「RedSun」および「UnDefend」という2件の追加脆弱性も開示されている。MSRCの対応への抗議という形でのPoC公開は、研究者コミュニティとベンダー間の情報開示をめぐる緊張関係を改めて浮き彫りにした。 攻撃の実態と影響範囲 実際の攻撃では「hands-on-keyboard」型のアクターによる活動が報告されており、ロシアからのFortiGate SSL VPNアクセスを含む、より広範なシステム侵害の一部としてこの脆弱性が悪用されている。ローカル権限昇格として分類されるものの、既存の侵害経路と組み合わせることで攻撃者がシステム全体の制御を奪う手段となっており、実害の深刻さはCVSSスコアが示す以上に大きい。連邦機関に限らず、Windows環境を持つ民間組織も早急なパッチ適用が推奨される。 対応策 Microsoftは2026年4月14日のPatch Tuesdayで修正パッチをリリース済みであるため、Windows Updateを通じて最新の更新プログラムを適用することで対処できる。CISAのKEVカタログへの追加は連邦機関への法的拘束力を伴う指令であるが、民間企業に対してもパッチ適用の優先度を高める指針となる。組織のセキュリティチームは、パッチ状況の確認とともに、ネットワーク上での不審な権限昇格の痕跡がないかログを精査することが推奨される。