Security

概要 macOSで20年以上の歴史を持つネットワーク監視ツール「Little Snitch」を開発するObjective Developmentが、2026年4月8日にLinux版「Little Snitch for Linux」を初めてリリースした。アプリケーションがどのサーバーと通信しているかをリアルタイムで可視化し、不要な接続をブロックできるツールで、macOS版で培った知見をLinuxプラットフォームへ展開した形となる。 技術的な仕様 技術面では、eBPF（extended Berkeley Packet Filter）を活用してLinuxカーネルのネットワークスタックにフックし、アウトゴーイング接続を監視する設計を採用している。eBPFプログラムが接続を監視してデーモンにデータを渡し、統計を追跡する仕組みだ。実装言語にはRustが使われており、動作にはLinuxカーネル6.12〜6.19.0およびBTF（BPF Type Format）のカーネルサポートが必要となる。 UIはWebインターフェースとして提供されており、http://localhost:3031/ にアクセスすることでプログレッシブウェブアプリ（PWA）として利用できる。機能としては、アプリケーションごとの接続監視とフィルタリング、複数フォーマット（ドメイン、ホスト名、/etc/hosts形式、CIDR範囲）に対応したブロックリストの自動更新、プロセス・ポート・プロトコル単位の細かなカスタムルール設定、時系列でのトラフィック量可視化などが含まれる。 ライセンスとプライバシーの考え方 ライセンス面では、eBPFカーネルプログラムとWeb UIがGNU General Public License v2（GPLv2）でオープンソース公開されており、GitHubでソースコードが入手可能だ。一方、デーモンコンポーネントはプロプライエタリだが、無料で利用・再配布が可能とされている。 開発元はこのツールの目的について「セキュリティではなくプライバシーの保護」を優先すると明言している。eBPFの制約上、高負荷なトラフィック環境ではパケットとプロセスの正確な紐付けが難しくなるため、システム強化よりも監視・把握のための用途に適したツールと位置づけられている。

概要 Googleは2026年4月、Chrome 146のすべてのWindowsユーザーを対象にDevice Bound Session Credentials（DBSC）を一般提供開始した。DBSCはセッションをデバイスのハードウェアに暗号的に紐付ける技術で、LummaやVidar、Atomicといったインフォスティーラーマルウェアが悪用するセッションCookie窃取攻撃を根本から無効化することを目的としている。macOSへの対応は今後のChromeリリースで予定されている。 仕組みと技術的詳細 DBSCはWindows上のTPM（Trusted Platform Module）やmacOS上のSecure Enclaveといったハードウェアセキュリティモジュールを活用し、デバイスごとに固有の公開鍵・秘密鍵ペアを生成する。この秘密鍵はデバイスの外部にエクスポートできないよう設計されており、サーバーがセッション中に短命なCookieを発行する際、ブラウザは対応する秘密鍵の所持を暗号学的に証明しなければならない。その結果、たとえ攻撃者がローカルストレージからCookieを盗み出したとしても、秘密鍵なしには更新できないため、窃取されたCookieはほぼ即座に無効化される。各セッションは独立した暗号鍵を使用するため、クロスサイト追跡やデバイスフィンガープリントのリスクも排除されており、デバイス識別子がサーバーへ送信されることもない。ハードウェアが対応していない環境では、自動的に標準動作へフォールバックする設計になっている。 実績と業界連携 Googleは過去1年間、OktaなどのパートナーとDBSCのテストを進めており、セッション窃取イベントの顕著な減少が観測されたと報告している。また、本技術はMicrosoftとの共同設計によるオープンなWeb標準として開発され、W3CのWeb Application Security Working Groupにも採用されている。バックエンドへの導入には専用の登録エンドポイントと更新エンドポイントの実装が必要だが、既存のフロントエンドとの互換性は維持されており、実装ガイダンスはChrome Developerポータルおよび仕様として参照できる。 今後の展望 現時点ではWindows版Chrome 146への展開が完了しており、macOS対応が次のマイルストーンとなる。DBSCはセッションハイジャック攻撃に対する業界横断的な標準防御レイヤーとして位置づけられており、他のブラウザベンダーや認証プロバイダーへの普及が進めば、Cookie窃取を前提とした攻撃手法の実効性を大幅に低下させる可能性がある。

概要 セキュリティ企業LayerXが発表した最新レポートにより、AIブラウザ拡張機能が企業ネットワークにおける「最大の未管理攻撃面」であることが示された。同レポートによると、企業ユーザーの99%が少なくとも1つのブラウザ拡張機能を利用しており、16%はAI対応拡張機能を使用している。さらに25%以上のユーザーが10個以上の拡張機能をインストールしているという実態も明らかになった。 AI拡張機能は通常の拡張機能と比較して、脆弱性を抱える確率が60%高く、Cookieへのアクセス権を取得する確率が3倍、リモートスクリプトを実行できる確率が2.5倍高いとされる。これらの拡張機能はブラウザ内部から動作し、機密データやユーザー入力、認証済みセッションへの直接アクセスが可能なため、従来のDLPシステムやSaaSログでは検知できない。 リスクを深刻にする要因 レポートが特に警告するのは、権限の動的な変化だ。AI拡張機能は時間の経過とともに権限を変更する可能性が一般の拡張機能の約6倍高く、60%以上のユーザーが過去1年以内にアクセスレベルを変更した拡張機能を少なくとも1つ保有していることが確認されている。静的な承認だけを管理する従来のアプローチでは、このような動的なリスクへの対応に限界がある。 信頼性の問題も深刻で、AI拡張機能の33%はユーザー数が5,000人未満である。また、ブラウザ拡張機能全体では約40%が1年以上更新されていない。こうした拡張機能は未解決の脆弱性や古いコードを含むリスクが高く、企業のセキュリティチームは「どの拡張機能が使われているか」「誰がインストールしたか」「どのような権限を持つか」という基本的な問いに答えられていないのが現状だという。 推奨される対策 LayerXは企業のセキュリティ担当者に対し、以下の対策を推奨している。まず、全ブラウザ・エンドポイントを横断した拡張機能の包括的な監査を実施すること。次に、AI拡張機能に特化したより厳格なガバナンスポリシーを導入すること。静的な承認にとどまらず、動作の変化をリアルタイムで監視する仕組みを整えることも重要だ。さらに、拡張機能の展開にあたって最低限の信頼基準（ユーザー数、更新頻度、権限の範囲など）を明確に設けるべきとしている。 レポートはブラウザ拡張機能が「周辺的な利便ツール」から「中核的な攻撃対象領域」へと移行しつつあると結論付けており、AIの業務利用が拡大する中でこの問題への早急な対処を求めている。

概要 Goチームは2026年4月7日、セキュリティ修正を含むGo 1.26.2およびGo 1.25.9をリリースした。今回のリリースではcrypto/tls、crypto/x509、html/template、archive/tar、cmd/go、cmd/compile、internal/syscall/unixに影響する計10件のCVEが修正されており、インターネット公開サービスを運用している開発者にとっては優先度の高いアップデートとなる。両バージョンは同日に公開されており、それぞれGo 1.26系および1.25系の現在のサポートラインに対応している。 修正された脆弱性の詳細 暗号・TLS関連（4件） crypto/x509では3件の脆弱性が修正された。CVE-2026-32280は、VerifyOptions.Intermediatesに大量の中間証明書が渡された場合にチェーン構築処理が適切に制限されずDoSを引き起こす問題。CVE-2026-32281は、ポリシーマッピングを含む証明書チェーン検証における二乗オーダーの計算量問題であり、悪意ある証明書によってサービス拒否が発生する。CVE-2026-33810は、DNS名制約の検証においてワイルドカードSANの大文字小文字の違いにより制約チェックがバイパスされる問題で、証明書の制約を迂回した不正なTLS接続が成立する恐れがある。 crypto/tlsではCVE-2026-32283が修正された。TLS 1.3接続においてハンドシェイク後に複数のキー更新メッセージが連続して送信されると、リソースの制御されない消費が発生しデッドロック状態に陥るDoS脆弱性で、サーバー側が外部からの接続を受け付けるユースケースでリスクが高い。 コンパイラ関連（2件） CVE-2026-27143はcmd/compileにおける帰納変数の算術演算に対するオーバーフロー・アンダーフローチェックの不備で、ループ内での無効なインデックスアクセスが見逃されることでメモリ破損が生じる可能性がある。CVE-2026-27144も同じくコンパイラの問題で、メモリ移動操作においてポインタの展開処理が失敗し、重複しない移動の判定が誤ることでメモリ破損を引き起こす。いずれもコンパイラレベルの問題であり、特定のコードパターンでビルドされたバイナリが影響を受け得る。 その他の標準ライブラリ（4件） CVE-2026-32289はhtml/templateでのXSS脆弱性。JavaScriptテンプレートリテラル内でコンテキストが正しく追跡されず不正確なエスケープ処理が行われることで、悪意あるスクリプトが注入される恐れがある。CVE-2026-32288はarchive/tarで、旧来のGNUスパース形式で記述された悪意あるアーカイブを読み込む際に無制限のメモリ割り当てが発生するDoS脆弱性。CVE-2026-32282はinternal/syscall/unix（Linux）におけるRoot.Chmodのシンボリックリンクトラバーサル問題で、処理中にターゲットがシンボリックリンクに置き換えられると想定外のパスに対して操作が行われる。CVE-2026-27140はcmd/goにおいてSWIGファイル名にcgoを含む場合にビルド時の信頼層がバイパスされ、任意コードが実行される可能性がある問題だ。 アップデートの優先度と対応方針 今回のリリースにはDoS、メモリ破損、XSS、任意コード実行など多様な種別の脆弱性が含まれており、外部からのリクエストを処理するサービスや信頼できないデータを扱うアプリケーションでは早急なアップデートが推奨される。特にTLS接続を受け付けるサーバー（CVE-2026-32283）やHTMLテンプレートを使用するWebアプリケーション（CVE-2026-32289）、証明書検証を行うサービス（CVE-2026-32280、CVE-2026-32281、CVE-2026-33810）は優先的に対応すべき対象となる。go get go@1.26.2またはgo get go@1.25.9でアップデートが可能で、Go 1.26系を使用するプロジェクトはgo1.26.2に、Go 1.25系はgo1.25.9への更新が推奨される。

概要 村田製作所は2026年4月6日、社内の情報共有システムが第三者による不正アクセスを受け、顧客・取引先に関する情報および従業員の個人情報が不正に取得されていたことを確認したと発表した。同社は2月28日に不正アクセスの可能性を把握し、翌3月1日から外部の専門機関と連携して本格的な調査を開始していた。流出した情報の具体的な件数や詳細は現時点で公表されておらず、影響を受ける可能性のある顧客・取引先・従業員には順次個別に案内するとしている。 影響範囲と事業への影響 侵害されたのは社内の情報共有を主目的とするシステムに限定され、購買・生産・出荷を支える基幹システムや電子メールシステムへの被害は確認されていない。また、社内システムへの外部ファイルのアップロードも確認されなかったとしており、生産・販売活動への直接的な支障はないと報告されている。 対応状況と再発防止策 同社はすでに不正アクセスの経路を遮断し、外部アクセス制限の強化やセキュリティ設定の見直しを実施した。引き続き外部の専門機関と協力して原因究明を進めており、再発防止策の強化に取り組む方針を示している。電子部品大手として多くの企業との取引関係を持つ同社の情報流出は、サプライチェーン全体にわたるセキュリティリスクへの意識向上を改めて促す事例となった。

概要 OpenAIが「Trusted Access for Cyber」プログラムを通じて、サイバーセキュリティ分野向けの新しいプロダクトの限定提供を計画していることが、Axiosのスクープで明らかになった。同社はすでに最も高度なサイバーセキュリティ向けモデルとしてGPT-5.3-Codexをリリースしており、プログラム参加者には1000万ドル相当のAPIクレジットを提供する予定だ。このプログラムは一般公開を避け、防御的なセキュリティ運用に携わる組織に限定して提供されることを明確にしている。 AnthropicのClaude MythosとProject Glasswing OpenAIの動きは、Anthropicが同週に発表した「Claude Mythos」の制限付き展開と軌を一にしている。AnthropicはMythosが主要OSやブラウザのゼロデイ脆弱性を含む「数千件の脆弱性」を発見できるほど強力であると判断し、一般公開を見送って厳選した組織グループのみへのアクセスに限定した。このアクセス管理プログラムはProject Glasswingと呼ばれ、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linuxファンデーション、Microsoft、Nvidia、Palo Alto Networksをはじめとする12の主要パートナーに加え、重要インフラを管理する約40の組織にもアクセス権が付与されている。 Mythos Previewは「非常に自律的」に動作し、シニアセキュリティ研究者に匹敵する推論能力を持つと評されている。また、AI分野でのサイバーリスクを評価するベンチマーク「Cybench」を完全にクリアしたため、Anthropic自身がこのベンチマークは「現在のフロンティアモデルの能力を評価するのに十分ではない」と認めており、実質的に既存の評価基準を陳腐化させてしまったことも注目に値する。 業界の構造変化と今後の展望 フロンティアAIモデルが防御的サイバーセキュリティに革命をもたらす可能性がある一方、悪用リスクへの懸念が高まる中、OpenAIとAnthropicの両社は「制限付き展開」というアプローチを共通戦略として採用しつつある。AnthropicはオープンソースセキュリティコミュニティへのAIクレジット1億ドルと直接寄付400万ドルの提供を約束しているが、OpenAIは同等の取り組みを現時点では発表していない。 なお、Anthropicは監視・自律型兵器へのモデル利用制限の解除を拒否したことで国防総省から「サプライチェーンリスク」と指定され、法的紛争を抱えている。連邦機関が4月初旬よりAI企業の安全プロトコルの審査を強化しており、AI安全性をめぐる政府・企業間の緊張も高まっている。AI大手が高度なセキュリティモデルの制御された展開モデルを確立しようとする中、業界全体でサイバーセキュリティAIの責任ある普及に向けた枠組みづくりが本格的に動き出している。

概要 人気のCPU情報ツール「CPU-Z」およびハードウェア監視ツール「HWMonitor」を開発するCPUIDが、2026年4月9日から10日にかけてサイバー攻撃を受けた。攻撃者は同社のバックエンドAPIを侵害し、公式ウェブサイトのダウンロードリンクをマルウェア入りインストーラーに差し替えた。この状態が約6時間続いたため、正規ソフトウェアを入手しようとしたユーザーが資格情報窃取型マルウェアをダウンロードするリスクに晒された。CPUIDは「メインAPIとは別のサイドAPIが侵害され、ウェブサイトが無作為に悪意あるリンクを表示する状態になった」と説明している。なお、侵害の発覚後はクリーンなインストーラーへの切り替えが完了しており、正規の署名済みファイル自体は汚染されていなかったとされている。 マルウェアの技術的な詳細 配布された悪意あるファイルは「HWiNFO_Monitor_Setup」というファイル名を持ち、セキュリティ製品からはTedy TrojanまたはArtemis Trojanとして検出される。VirusTotalでは20以上のアンチウイルスエンジンによってフラグが立てられた。 このマルウェアはセキュリティ回避に高度な技術を駆使している。偽のCRYPTBASE.dllを用いて正規のWindowsコンポーネントに成りすますほか、PowerShellを利用してほぼ完全にメモリ上で動作するファイルレス型の手法をとる。さらに、.NETアセンブリからNTDLL関数をプロキシ化することでEDRやアンチウイルスの検出を回避する。セキュリティ研究グループvxundergroundは「多段階構成で、侵害されたドメインから配布され、ファイル偽装を行い、ほぼ完全にメモリ内で動作する、非常に高度にトロイ化されたマルウェアだ」と評している。最終的なペイロードはGoogle ChromeのIElevation COMインターフェースを悪用してブラウザに保存された認証情報を復号・窃取する機能を持っており、ユーザーのアカウント情報が広範に危険にさらされた可能性がある。 FileZilla攻撃との関連と背景 セキュリティ研究者たちは、今回の攻撃に使われたインフラが2026年3月に発生したFileZillaを標的としたサプライチェーン攻撃と同じ脅威アクターによるものであることを特定した。広く利用されているユーティリティソフトウェアの公式配布ルートを乗っ取ることで、多数のユーザーに一度にマルウェアを届けるという手口が繰り返されており、組織的なキャンペーンの一環とみられている。CPUIDのスポークスマンは、主要開発者が休暇中の時期を狙われたと言及しており、攻撃者が組織の対応能力が低下するタイミングを意図的に選んだ可能性も示唆されている。 ユーザーへの推奨事項 2026年4月9日から10日の間にCPUIDの公式サイトからCPU-ZまたはHWMonitorをダウンロードしたユーザーは、インストーラーのハッシュ値を公式の既知正常値と照合し、マルウェアに感染していないか確認することが強く推奨される。感染が疑われる場合は、ブラウザに保存しているパスワードをすべて変更し、各種アカウントの不審なアクティビティを確認すべきだ。今回の事案は、人気ツールであっても公式サイトからのダウンロードが常に安全とは限らないことを改めて示しており、ダウンロード後のファイルの整合性確認の重要性が浮き彫りになった。

概要 Googleは2026年4月9日、Chrome 147の安定版をリリースし、合計60件のセキュリティ脆弱性を修正した。なかでも深刻度「Critical」に分類される2件の脆弱性は、いずれもWebMLコンポーネントに存在し、悪意を持って作成されたWebページを閲覧するだけでリモートコード実行が可能になるリスクがある。現時点ではこれらの脆弱性がインターネット上で実際に悪用された報告はないが、GoogleはChromeの即時更新を強く推奨している。 クリティカル脆弱性の詳細 2件のクリティカル脆弱性はいずれもWebMLコンポーネントに起因する。 CVE-2026-5858：WebMLにおけるヒープベースのバッファオーバーフロー。細工されたHTMLページを経由して任意のコードを注入・実行できる可能性がある。 CVE-2026-5859：WebMLにおける整数オーバーフロー。同様に悪意あるコンテンツを通じた任意コード実行につながる恐れがある。 Googleはこれら2件の脆弱性を発見・報告した研究者それぞれに43,000ドルのバグバウンティ報奨金を支払っており、今回のアップデート全体での報奨金総額は118,000ドルに上る。残る58件の脆弱性は、高リスク14件（バッファオーバーフロー、use-after-freeなど）、中リスク20件、低リスク24件に分類される。V8 JavaScriptエンジンには型混乱（type confusion）の脆弱性が2件含まれていた。 対象バージョンとアップデート方法 修正済みのバージョンは以下の通り。 プラットフォーム バージョン Windows / macOS 147.0.7727.55 / 56 Linux 147.0.7727.55 Android 147.0.7727.49 Chromeはバックグラウンドで自動更新されるが、メニューの「ヘルプ」→「Google Chromeについて」から現在のバージョンを確認し、手動で更新を適用することもできる。なお、Microsoft EdgeなどChromiumベースのブラウザも同様の脆弱性の影響を受ける可能性があり、各ベンダーのアップデートを確認することが推奨される。次期バージョンのChrome 148は2026年5月初頭にリリース予定とされている。

概要 Helmは2026年4月9日、セキュリティパッチリリースとしてv4.1.4およびv3.20.2を公開した。いずれも速やかなアップグレードが推奨されており、今回の修正では計3件の脆弱性が対処された。うち2件はCVSSスコア8.4（高リスク）に分類されており、悪意あるプラグインや細工されたチャートによる攻撃シナリオが懸念される。 修正された脆弱性 CVE-2026-35206（GHSA-hr2v-4r36-88hr）: チャート名によるパストラバーサル（CVSS 4.8・中） Chart.yaml の name フィールドに . や .. を含むドット記号を混入させることで、helm pull --untar 実行時にチャートの内容が意図しない親ディレクトリへ展開される問題。v3系（3.20.1以前）とv4系（4.1.3以前）の両方に影響する。 CVE-2026-35205（GHSA-q5jf-9vfq-h4h7）: プラグインのプロベナンス検証バイパス（CVSS 8.4・高） Helm v4.0.0〜4.1.3において、署名ファイル（.provファイル）が存在しないプラグインでも署名検証が通過してしまう「fail-open」状態の欠陥。プラグイン作成者が意図的に署名データを省略することで、未署名プラグインのインストールが可能となり、フック実行時に任意コードが実行されるリスクがある。CWE-636（セキュアに失敗しない設計）に分類される。 CVE-2026-35204（GHSA-vmx8-mqv2-9gmg）: プラグインメタデータのパストラバーサル（CVSS 8.4・高） Helm v4.0.0〜4.1.3の plugin.yaml に含まれる version フィールドに /../ などのパスセパレータを埋め込むことで、プラグインのインストール・更新時にファイルシステム上の任意の場所への書き込みが可能となる。v4.1.4ではSemVer以外の version フィールドはエラーとして扱われるよう修正された。 影響範囲と対応 CVE-2026-35205およびCVE-2026-35204はHelm v4系のみに影響し、v3系への対応は不要。CVE-2026-35206はv3・v4両系に影響するが、CVSSスコアが中程度であることから攻撃の現実性は限定的とされている。ただし、Helmはプロダクション環境のKubernetesクラスターで広く利用されるツールであるため、悪意あるチャートやプラグインを経由した攻撃リスクに備え、v4系ユーザーはv4.1.4へ、v3系ユーザーはv3.20.2へのアップグレードを優先的に実施することが強く推奨される。

概要 JPCERT/CCは2026年4月10日、同組織が提供するEmotet感染確認ツール「EmoCheck」にDLL読み込みに関する脆弱性（CVE-2026-28704、JVN#00263243）が存在することを公表した。CVSS v4.0の基本値は8.4、CVSS v3.0では7.8と評価されており、深刻度の高い脆弱性として分類される。影響を受けるのはEmoCheckのすべてのバージョンである。 あわせてJPCERT/CCは、Emotetの脅威が収束したことを理由にEmoCheckの配布を正式に終了し、現在も利用中のユーザーに対して直ちに使用を停止するよう呼びかけている。 脆弱性の技術的詳細 脆弱性の種類はファイル検索パスの制御不備（CWE-427）に分類される。EmoCheckはDLLを読み込む際の検索パスに問題があり、EmoCheckの実行ファイルと同じディレクトリに攻撃者が用意した悪意のあるDLLが配置されている場合、そのDLLを意図せず読み込んでしまう可能性がある。 攻撃が成立するシナリオは次のとおりだ。ユーザーが意図せず悪意のあるDLLをダウンロードし、EmoCheckの実行ファイルと同じディレクトリに配置された状態でEmoCheckを起動した場合、攻撃者はEmoCheckのプロセス権限で任意のコードを実行できる。本脆弱性はPowder Keg Technologies株式会社の島田凌氏によって報告された。 背景と対応 EmoCheckはEmotetマルウェアの感染確認を目的としてJPCERT/CCが開発・配布してきたツールである。Emotetは長期にわたり猛威を振るったが、近年は脅威が大幅に収束しており、JPCERT/CCはこのタイミングでツールの提供を終了する判断を下した。 対策としては「製品の使用を停止する」以外に有効な手段はなく、修正バージョンのリリース予定もない。JPCERT/CCは今後もインターネット上の脅威を低減するためのツールを公開していく予定であるとしている。EmoCheckを業務環境等で継続利用しているユーザーは、速やかに削除・使用停止の対応を取ることが強く推奨される。