概要 JPCERT/CCは2026年4月10日、同組織が提供するEmotet感染確認ツール「EmoCheck」にDLL読み込みに関する脆弱性（CVE-2026-28704、JVN#00263243）が存在することを公表した。CVSS v4.0の基本値は8.4、CVSS v3.0では7.8と評価されており、深刻度の高い脆弱性として分類される。影響を受けるのはEmoCheckのすべてのバージョンである。 あわせてJPCERT/CCは、Emotetの脅威が収束したことを理由にEmoCheckの配布を正式に終了し、現在も利用中のユーザーに対して直ちに使用を停止するよう呼びかけている。 脆弱性の技術的詳細 脆弱性の種類はファイル検索パスの制御不備（CWE-427）に分類される。EmoCheckはDLLを読み込む際の検索パスに問題があり、EmoCheckの実行ファイルと同じディレクトリに攻撃者が用意した悪意のあるDLLが配置されている場合、そのDLLを意図せず読み込んでしまう可能性がある。 攻撃が成立するシナリオは次のとおりだ。ユーザーが意図せず悪意のあるDLLをダウンロードし、EmoCheckの実行ファイルと同じディレクトリに配置された状態でEmoCheckを起動した場合、攻撃者はEmoCheckのプロセス権限で任意のコードを実行できる。本脆弱性はPowder Keg Technologies株式会社の島田凌氏によって報告された。 背景と対応 EmoCheckはEmotetマルウェアの感染確認を目的としてJPCERT/CCが開発・配布してきたツールである。Emotetは長期にわたり猛威を振るったが、近年は脅威が大幅に収束しており、JPCERT/CCはこのタイミングでツールの提供を終了する判断を下した。 対策としては「製品の使用を停止する」以外に有効な手段はなく、修正バージョンのリリース予定もない。JPCERT/CCは今後もインターネット上の脅威を低減するためのツールを公開していく予定であるとしている。EmoCheckを業務環境等で継続利用しているユーザーは、速やかに削除・使用停止の対応を取ることが強く推奨される。

概要 欧州連合（EU）は2024年初頭以降、Google・Apple・Meta・Xなど米国テック大手に対して合計60億ユーロ（約70億ドル超）の制裁金を課してきた。これらはいずれもEUの独占禁止法、デジタル市場法（DMA）、デジタルサービス法（DSA）に基づく違反を理由としており、対象企業はすべて不服申し立てを行っているため、現時点では実際の徴収には至っていない。この動きを受け、トランプ政権は「米国企業への差別的な規制」と強く反発しており、米欧間の通商摩擦の新たな火種となっている。 主な制裁金の内訳 2024年以降に課された主な制裁金は以下の通りだ。 Apple（2024年3月）：18億4,000万ユーロ — App Storeにおけるアンチステアリング規定違反（音楽ストリーミングアプリ） Meta（2024年11月）：7億9,700万ユーロ — Facebookマーケットプレイスにおける反競争的行為 Apple（2025年4月）：5億ユーロ — DMAに基づくアンチステアリング義務の不履行 Meta（2025年4月）：2億ユーロ — DMAに基づくデータ同意違反 Google（2025年9月）：約29億5,000万ユーロ — 広告技術市場における自己優遇行為と利益相反 X（旧Twitter）（2025年12月）：1億2,000万ユーロ — DSAに基づく違反 合計は63億5,000万ユーロを超え、米欧の過去20年間の累計で見ると250億ドル以上が課されてきたとも米当局者は指摘する。 米欧間の政治的摩擦 トランプ政権は2025年2月に行政覚書を発令し、外国による「デジタルサービス税、制裁金、慣行」が米国企業を標的にする場合、報復関税を検討するよう各省庁に指示した。EU駐在の米国大使アンドリュー・パズダー氏は「規制を過剰に課し、ルールをコロコロ変えて巨額の制裁金を科すことはできない」と批判。商務長官ハワード・ラトニック氏はEUとの係争案件の「和解」を求めている。 これに対しEU欧州委員会は「EUで事業を行う企業はすべてEU市民を保護するルールを尊重すべきだ」と反論しており、米国のテック企業のみを狙い撃ちにしているとの見方を否定する。Metaのジョエル・カプラン氏は制裁金について「事実上、Metaへの数十億ドルの関税であり、劣ったサービスの提供を余儀なくされる」と批判している。 今後の展望 現在すべての制裁金はEU裁判所で争われており、実際の徴収はされていないが、企業の行動変容には一定の効果が出ている。AppleはDMAの要件に従い競合デバイスとの相互運用性を一部修正し、MetaはデータポリシーをDMAに合わせて調整した。一方でEUはMetaのWhatsApp AIに関する調査やSnapchatの子どもの安全対応についての調査を継続しており、追加制裁金の可能性が残る。GoogleもGoogle PlayのDMA遵守に関して2026年第1四半期に追加制裁を受けるリスクを抱えている。米欧間のデジタル規制をめぐる対立は、より広範な貿易交渉とも絡み合いながら、今後も緊張が続く見通しだ。

概要 IntelはオープンソースのAI推論フレームワーク「OpenVINO」のバージョン2026.1を正式リリースした。今リリースの最大の目玉は、llama.cppのOpenVINOバックエンドのプレビュー追加だ。これにより、llama.cppユーザーがIntel CPU・GPU・NPU上でGGUF形式のモデルを最適化した形で実行できるようになる。検証済みのGGUFモデルには、Llama-3.2-1B-Instruct-GGUF、Phi-3-mini-4k-instruct-gguf、Qwen2.5-1.5B-Instruct-GGUF、Mistral-7B-Instruct-v0.3が含まれる。 新たなモデルサポートとして、CPU・GPU両方でQwen3 VL（ビジョン言語モデル）への対応が追加された。また、GPT-OSS 120BのCPU推論サポートも導入され、Qwen3-VL、Qwen2.5-VL、LLaVa-NeXT-Videoを統合的に切り替えられるVLMチャットボット用ノートブックも提供されている。 技術的な詳細 ハードウェアサポートの面では、Intel Core Series 3プロセッサーおよびArc Pro B70グラフィックス（32GBメモリ搭載）への対応が追加された。これにより、シングルGPUで20〜30Bパラメーター規模のLLMを推論できるようになる。 パフォーマンス最適化として、Prompt Lookup DecodingがビジョンLMパイプラインにも拡張された。また、LTX-Videoの動画生成においてRMSNormとRoPEオペレーターの融合によるエンドツーエンドの高速化が実現されている。さらに、TaylorSeer Liteキャッシュ機構がFlux、SD3、LTX-Videoといった拡散トランスフォーマー推論パイプラインを加速する。 非推奨・廃止事項 今リリースでは、非推奨だったopenvino.runtime名前空間が正式に削除された。また、CPUの最小要件がAVX2命令セットへと引き上げられ、SSE命令セットのサポートが廃止された。古いハードウェアを利用しているユーザーは移行の要否を確認する必要がある。

概要 オープンソースのPythonリアクティブノートブック「Marimo」に、認証なしでリモートコード実行（RCE）が可能な重大脆弱性（CVE-2026-39987、CVSS 4.0スコア: 9.3）が発見された。影響を受けるのはバージョン0.20.4以前（0.23.0未満）の全バージョンで、脆弱性アドバイザリ（GHSA-2679-6mx9-h9xc）が公開された2026年4月8日21:50 UTCからわずか9時間41分後の4月9日07:31 UTCに、実際の攻撃が観測されている。Sysdigの脅威研究チームは、公開されたPoC（概念実証コード）が存在しない段階での攻撃であることを確認しており、攻撃者はアドバイザリのテキストのみから機能するエクスプロイトを構築したと指摘している。 技術的な詳細 脆弱性の根本原因は、WebSocketエンドポイント間での認証実装の非対称性にある。通常のWebSocketエンドポイント /ws は WebSocketConnectionValidator.validate_auth() を呼び出して適切に認証を行っていたが、ターミナル機能のエンドポイント /terminal/ws は実行モードとプラットフォームサポートのチェックのみを行い、認証検証を完全にスキップしていた。攻撃者はこのエンドポイントへWebSocket接続を確立するだけでPTY（疑似端末）とシェルを取得でき、Marimoプロセスの権限で任意のコマンドをインタラクティブに実行できる状態だった。Endor Labsはこれを「1リクエストでroot権限を取得」と表現している。 実際の攻撃観測 Sysdigが観測した攻撃は人間主導の手動偵察スタイルで進行した。攻撃者（IP: 49.207.56.74）は90分以内に4回接続し、最初のセッションで動作確認（id コマンド実行など）を行い、3回目のセッションではわずか3分でディレクトリ列挙、.env ファイルからのAWSアクセスキー抽出、SSHキーの探索を完了させている。Endor Labsが調査したサンプルでは、インターネット上でアクセス可能な186インスタンスのうち16%（約30件）が未認証WebSocketアップグレードに応答しており、パッチ未適用のまま残存するインスタンスは数十〜数百件に上る可能性があるとしている。 修正と対策 修正はバージョン0.23.0（PR #9098）で提供されており、pip install --upgrade "marimo>=0.23.0" による即時アップグレードが強く推奨される。加えて、VPNやプライベートネットワーク、認証プロキシによるMarimoの編集モード保護、公開インスタンス上の環境変数・.env ファイルの監査と認証情報のローテーション、/terminal/ws への予期しない接続のモニタリングといった多層防御も推奨されている。Sysdigは「攻撃者が広く普及したプラットフォームのみを狙うという前提は誤りであり、人気度に関わらず重大なアドバイザリが公開されたインターネット公開アプリケーションはすべてターゲットになる」と警鐘を鳴らしており、セキュリティ侵害の時間枠が「日単位」から「時間単位」に圧縮されていることを改めて示す事例となった。

概要 Microsoftは2026年5月1日より、Windows 365クラウドPCの価格を中小企業向けに20%引き下げると発表した。新価格はBusinessティアで、Basic（2 vCPU・4GB RAM・128GBストレージ）が月額31ドル、Standard（8GB RAM）が月額41ドル、Premium（4 vCPU・16GB RAM）が月額66ドルとなる。Enterpriseプランも同スペックで無制限ユーザー数に対応し、同様の値下げが適用される。 この価格引き下げは、メモリ不足や地政学的緊張を背景とした物理PCの価格上昇が続くなか、クラウドデスクトップへの注目が高まっているタイミングと重なる。Gartnerは2027年までに全労働者の約20%がクラウドデスクトップを主要ワークステーションとして使用するようになると予測しており、2019年時点の10%から倍増する見通しだ。 仕様変更とトレードオフ 値下げには仕様変更が伴う。クラウドPCはサインアウト後1時間が経過するとハイバネーション状態に移行するようになり、次回接続時にシステムの再開を待つ必要が生じる。Microsoftはこれを「オンデマンドスタートエクスペリエンス」と位置づけ、コスト削減と引き換えに生じる接続レイテンシとして説明している。機能面での制限はなく、ハイバネーションから復帰後は通常どおり利用できるとしている。 戦略的背景 Microsoftは、クラウドPCの総保有コスト（TCO）がアナリストの試算において従来の物理ラップトップを下回るようになってきたと訴求しており、コスト増に悩む中小企業をターゲットに市場拡大を図る戦略だ。クラウドデスクトップ市場での競争力を高めるとともに、Windows 365の普及加速を目指すものとみられる。

概要 MicrosoftはMSVC Build Tools 14.51 Previewにおいて、C++23言語機能のサポートを大幅に拡充した。現時点では/std:c++23previewおよび/std:c++latestスイッチで有効化できる。C++23の完全対応に向けて残り2機能（P2564R3とP0533R9）はバージョン14.52で追加予定であり、Visual Studio 2026 Insidersリリースに合わせて/std:c++23として正式サポートが開始される見通しだ。 追加された言語機能 14.51で実装された言語機能は多岐にわたる。コンパイル時評価の分野では、constexpr関数内でのstatic constexpr変数の許可（P2647R1）や、constexpr関数の制約緩和（P2448R2）が追加された。後者はコンパイル時実行が不可能な操作を含んでいてもconstexprとして宣言できるようにするもので、コードの表現力が向上する。 Unicodeサポートも強化され、数値・名前付きユニバーサル文字エスケープシーケンス（P2029R4、P2071R2）や文字セット・エンコーディング処理の改善（P2314R4）が加わった。そのほか、ポータブルなアサンプション（P1774R8）、複合文末尾でのラベル（P2324R2）、継承コンストラクタからのCTAD（P2582R1）、意味のあるエクスポート（P2615R1）なども実装されている。また、合計22件のCore Working Group（CWG）課題も解決された。 標準ライブラリの強化 標準ライブラリ（STL）面では特に注目すべき改善が多い。新たに<flat_map>（P0429R9）と<flat_set>（P1222R4）が実装された。これらはソート済み配列ベースのコンテナで、キャッシュ効率の高いデータ構造を標準で利用できるようになる。 型特性の分野では、一時的な参照バインディングを検出する型特性（P2255R2）とis_implicit_lifetime型特性（P2674R1）、明示的なライフタイム管理（P2590R2）が追加された。さらに<regex>の大規模なオーバーホールが行われ、20年来のスタックオーバーフロー問題を含む長年の正確性・パフォーマンス上の問題が解消されている。SIMDベクトル化アルゴリズムの対応プラットフォームも拡張され、既存のSSE4.2・AVX2に加え、新たにARM64 NEONがサポートされたことでARM64/ARM64ECプラットフォームでもSTLアルゴリズムのSIMD最適化が有効になる。Library Working Group（LWG）課題も18件解決された。 今後のロードマップ C++23の完全サポートまでに残る2機能は、constevalの伝播（P2564R3）と<cmath>のconstexpr対応（P0533R9）だ。いずれも14.52 Previewで追加される予定であり、その後Visual Studio 2026 Insidersリリースで14.52がデフォルトになった時点で/std:c++23スイッチが有効化される。C++23はモジュール・constexprの大幅強化・Unicodeサポートなど多くの改善を含む重要なバージョンであり、MSVCの完全対応によってエコシステム全体の採用が加速することが期待される。

概要 オープンソースのワークフロー自動化プラットフォームであるn8nが立て続けに新バージョンをリリースした。今回のリリースでは、AIエージェントとの統合を深めるMCP（Model Context Protocol）ワークフローツールのサポートを筆頭に、セキュリティ強化、外部サービス連携の拡充、新ノードの追加など幅広い改善が行われている。特にエンタープライズ利用を意識したシークレット管理の強化や、セキュリティ上の懸念であったSSRF（Server-Side Request Forgery）対策の実装が注目される。 MCPワークフローツール対応 最大のハイライトはMCP（Model Context Protocol）へのワークフローツール統合だ。n8nはAIエージェントがワークフローを直接操作・実行できるように、MCPインターフェース経由でのワークフロー管理機能を追加した。具体的には、ワークフローの検索・検証・実行テストをMCP経由で行えるようになり、プロジェクトやフォルダの検索ツール（search_projects、search_folders）も実装された。さらにデータテーブル用のMCPツールも追加され、AIエージェントがn8nのデータを直接参照・操作できる範囲が大幅に拡大している。この対応により、Claude等のAIアシスタントをn8nのフロントエンドとして活用するユースケースが現実的なものになりつつある。 セキュリティ強化：SSRF保護と脆弱性対応 セキュリティ面では、SSRF攻撃への対策が実装された。SSRF（Server-Side Request Forgery）はサーバーを経由して内部ネットワークへの不正アクセスを試みる攻撃手法で、ワークフロー自動化ツールは外部URLへのリクエストを多数扱う性質上、特に注意が必要な脆弱性だ。今回のリリースではSSRF保護の設定オプション（Add SSRF protection config）が追加されるとともに、リクエストヘルパー全体にSSRF保護が統合された。また、jsonpathライブラリの脆弱性対応としてjsonpath-plusへの置き換えや、mailparser・mysql2等を含む複数の依存ライブラリのセキュリティ修正も実施された。 外部サービス連携と新ノードの追加 外部サービス連携の面では、1Passwordの外部シークレットプロバイダーとしての統合が追加された。これによりエンタープライズ環境でn8nを運用する際に、1Passwordのボルトに保存されたシークレット（APIキー等）を直接参照できるようになり、認証情報管理が一元化できる。複数のボルトを単一のシークレットプロバイダーとして接続する機能や、シークレット名への特殊文字サポートも含まれている。 新ノードとしては、Alibaba Cloud Chat ModelやDatabricksが追加された。Alibaba Cloud Chat Modelノードは、OpenAIやAnthropicに加えてAlibaba CloudのLLMサービスをn8nのAIワークフローで直接利用できるようにするもので、中国系クラウドサービスとの連携を強化する。 その他の改善とパフォーマンス向上 エディター面では、ログビューへのキーボードショートカット追加、サブワークフロー実行のログビュー表示、ノード挿入位置の最適化が行われた。パフォーマンス面では、実行結果データの深い監視を回避することでエディターのレスポンスが改善されたほか、VM式エンジンのアイソレートプーリング最適化や大規模実行データに対するストリーミングJSONパースの導入により、高負荷環境での処理スループットが向上している。Azure OpenAI連携においては、Entra ID認証の簡素化とトークン自動更新の改善も含まれた。公開APIにはワークフロー変数を更新する新エンドポイントが追加されており、外部システムからのn8n管理自動化が容易になっている。

概要 Visual Studio Code 1.115 が2026年4月8日にリリースされた。今回の最大のハイライトは、エージェントネイティブ開発に特化したコンパニオンアプリ「VS Code Agents」のプレビュー公開だ。このアプリにより、複数リポジトリにまたがる並列エージェントタスクの起動・監視が可能となり、各セッションの進捗確認やインラインdiff表示にも対応する。VS Code InsidersにはすでにAgentsアプリが組み込まれており、追加インストールは不要。カスタム命令・プロンプトファイル・MCPサーバー・フック・プラグイン・テーマとの完全互換性も維持されている。 ターミナルとエージェント連携の強化 ターミナル周りの機能強化も目立つ。新たに追加された send_to_terminal ツールにより、エージェントがバックグラウンドターミナルへコマンドを直接送信できるようになった。従来のターミナルツールは読み取り専用だったが、この変更によってSSHセッションのタイムアウト時の再接続など、より能動的な操作が可能となる。あわせて実験的設定 chat.tools.terminal.backgroundNotifications を有効にすると、エージェントがターミナルの状態変化を自動検知し、手動ポーリングが不要になる。 統合ブラウザ（Playwright連携）では、5秒を超える長時間スクリプトに対してエージェントがポーリング可能なディファードレスポンスを返す仕組みが導入され、タイムアウトによる失敗が減少する。macOS環境ではピンチズームで最大3倍まで拡大できるようになり、視覚的な確認作業がより快適になった。 UI改善とその他の変更点 開発体験を向上させる細かなUI改善も多数盛り込まれた。ターミナルへの画像ファイルの貼り付け（Ctrl+Vまたはドラッグ&ドロップ）、テストカバレッジのミニマップ表示、ファイルクイックピックへのファビコン表示などが追加された。リモートSSH環境では、CLIの自動インストールとエージェントホストモードでの自動起動が可能となり、手動セットアップが不要となった。GitHub Copilotの使用量をチャットセッション内でリアルタイムに確認できる機能も追加されている。 なお、v1.110から非推奨となっていたEdit Modeは、v1.125で完全に削除される予定であることが改めて告知された。v1.111（3月9日）以降の週次リリースサイクルに沿った今回のv1.115は、AIエージェントとの統合を軸に据えた開発環境の進化を象徴するアップデートとなっている。

概要 2026年4月7日、WordPressおよびJoomla向け人気スライダープラグイン「Smart Slider 3 Pro」を開発・配布するNextend社のアップデートサーバーが攻撃者に侵害された。その結果、バックドアを埋め込んだ悪意あるバージョン3.5.1.35が約6時間にわたり正規のアップデートとして配布された。Smart Slider 3（無料版・Pro版合計）は世界で80万〜90万以上のサイトで利用されており、今回の侵害はサプライチェーン攻撃として深刻な影響を及ぼす可能性がある。無料版は今回の攻撃を受けておらず、影響を受けるのはPro版のバージョン3.5.1.35のみとされている。 技術的な詳細 埋め込まれたバックドアは多層的な永続化機構を備えた高度なマルウェアであった。攻撃者は独自のHTTPカスタムヘッダー（X-Cache-StatusやX-Cache-Keyなど）を通じて認証不要のリモートコード実行（RCE）を可能にし、PHPのeval関数やOSコマンド実行関数を悪用した。 永続化の手口としては、以下の5つの独立した手法が確認されている。 ランダムな名前（例：「wpsvc_a3f1」）を持つ隠し管理者アカウントの作成（フィルタ操作によりユーザー一覧から非表示化） キャッシュコンポーネントに偽装したMust-useプラグイン（mu-pluginsディレクトリ）の設置 テーマのfunctions.phpへの悪意あるコードの注入 WordPressのコアクラスを模倣したバックドアファイルのwp-includesディレクトリへの設置 .cache_keyファイルによる認証キーの隠蔽保存 さらに、侵害されたサイトのURL・ホスト名・管理者メールアドレス・データベース名・管理者認証情報・WordPressやPHPのバージョン情報がC2（コマンド＆コントロール）サーバー「wpjs1[.]com」へ自動送信される機能も含まれていた。 影響範囲と推奨対処法 影響を受けるのはバージョン3.5.1.35のみであり、3.5.1.34以前のバージョンおよび3.5.1.36以降は安全とされている。該当バージョンをインストールしたサイト管理者は、以下の対応を速やかに実施することが推奨されている。 即時対応：バージョン3.5.1.35を完全に削除し、3.5.1.36以降をインストールする 不正要素の除去：不審な管理者アカウント、_wpc_ak・_wpc_uid・_wpc_uinfoなどの悪意あるデータベースエントリ、mu-pluginsやテーマディレクトリに追加された不正ファイルを削除する 認証情報のリセット：WordPressの管理者パスワード、データベースパスワード、FTP/SSHのパスワード、ホスティングアカウントのパスワードをすべて変更する 強化策の実施：管理者アカウントへの二要素認証（2FA）の有効化、WordPressのセキュリティキーの再生成、管理画面へのIPアクセス制限の設定 侵害の可能性がある場合は、4月5日以前のバックアップからの復元も検討すべきとされている。セキュリティ企業PatchStackによる詳細な侵害痕跡（IoC）の分析も公開されており、サイト調査の際に参照が推奨されている。

概要 深セン拠点のAIデータセンター企業、Sharetronic Data Technology（协创数据技术股份有限公司）が、中国政府機関への届け出において、NvidiaのH100およびH200チップを搭載したサーバー群を保有していることが明らかになった。Bloombergの調査によれば、開示された請求書には276台のSuper Microサーバーおよび32台のDell PowerEdge XE9680サーバーが記載されており、総額は約9200万ドル（約6億3200万元、約138億円相当）に上る。請求書の日付は昨年5月・6月であり、Sharetronicが自社子会社に販売する形式での取引が確認されている。 H100・H200チップは2022年から米国政府の承認なしに中国への販売が禁じられており、今回の発覚は米国の半導体輸出規制の実効性に対する根本的な疑問を提起する事態となった。Sharetronic社は「すべての機器は合法かつ準拠したチャンネルを通じて調達した」と声明を出しているものの、具体的な調達先については「顧客の機密保持」を理由に詳細を開示していない。SuperMicroとDellはいずれもSharetronicへの販売を否定している。 背景：Nvidiaクラウドパートナーという立場 Sharetronicの合弁会社であるGuangzhou Fcloud Technologyは、中国において正式なNvidiaクラウドパートナーに指定された8社のうちの1社であり、Nvidiaが「AI業務に向けた安全なインフラを提供できる」と評価した企業に与えられる認定を持つ。こうした公式の協力関係と、禁輸チップ保有との間の矛盾が、業界関係者の注目を集めている。 また、この発覚は、SuperMicro共同創業者が中国へのチップ密輸を手助けしたとして米国当局に訴追されたタイミングとほぼ重なっており、サプライチェーン全体での監視の甘さが浮き彫りになっている。 市場への影響と政策的含意 この報道を受け、Sharetronicの株価は深セン市場でほぼ10%下落し、ストップ安に近い水準となった。Nvidiaも「すべての規制を遵守しており、SuperMicroとの取引関係はない」とのコメントを発表したが、市場への影響は避けられなかった。 今回の事態は、米国が中国のAI開発能力を制限するために講じてきた輸出規制の抜け穴を改めて可視化するものとなった。サーバーの最終的な調達ルートが請求書から特定できないという点は、規制当局がサプライチェーンの透明性をどう確保するかという課題を突き付けており、今後の米中技術デカップリング政策の実効性をめぐる議論が一層加速するとみられる。