Security

概要 2026年4月22日、パスワードマネージャーBitwardenの公式CLIツールのnpmパッケージ（@bitwarden/cli）において、悪意あるバージョン2026.4.0が公開された。このパッケージは月間25万件以上のダウンロードを持つ広く使われたツールであり、悪意あるバージョンが公開されていた時間は午後5時57分から7時30分（ET）の約93分間という短時間だった。Bitwardenは迅速に問題を検知し当該リリースを非推奨化・削除したものの、その間にパッケージをインストールした開発者は認証情報の漏えいリスクにさらされた。Bitwardenは「エンドユーザーのボルトデータや本番システムへの影響は確認されていない」と声明を発表し、CVEも発行されている（対象：バージョン2026.4.0）。 攻撃の手法と悪意あるコードの動作 攻撃者はBitwardenのCI/CDパイプラインで利用されているGitHub Actionを侵害することで、正規パッケージへの悪意あるコードの混入に成功した。パッケージ内にはbw_setup.jsという不審なローダーが仕込まれており、preinstallフックを通じてパッケージのインストール直後に自動実行される。このローダーはBunランタイムが存在しない場合はGitHubからダウンロードし、難読化されたJavaScriptファイルbw1.jsを実行して本体のマルウェアを起動する仕組みだった。 盗み出しの対象は多岐にわたり、GitHub・npmのトークン、SSHキー、シェル履歴、GitHub Actionsの環境変数、AWS・Azure・GCPなどのクラウド認証情報、さらにはClaude・Cursor・Codex CLI・AiderといったAIコーディングツールの設定ファイルまで含まれていた点が特筆される。盗んだデータはAES-256-GCMで暗号化のうえ、Checkmarxを偽装したドメインaudit.checkmarx[.]cxへ送信された。主要な経路が失敗した場合のフォールバックとして、窃取したGitHubトークンを悪用して被害者のアカウントにパブリックリポジトリを作成し、そこへ暗号化ペイロードをアップロードするという二重の窃取経路も備えていた。 自己増殖能力と広がるサプライチェーンリスク このマルウェアが特に危険視される理由は、単なる認証情報窃取にとどまらない自己増殖機能にある。窃取したnpm認証情報を利用して被害者が変更権限を持つ他のnpmパッケージを特定し、それらにも同様の悪意あるコードを注入して連鎖的に感染を広げる機能を持っていた。セキュリティアナリストは「1人の開発者が感染することで、そのトークンがアクセスできるすべてのCI/CDパイプラインへの永続的なワークフロー注入アクセスを攻撃者に与える可能性がある」と指摘しており、1件の感染が組織全体のサプライチェーンを危険にさらしかねない深刻な構造的問題といえる。 攻撃グループと過去のキャンペーンとの関連 セキュリティ企業Socket（JFrog・OX Securityも分析に参加）の調査により、本攻撃はTeamPCPと呼ばれる脅威アクターによる「Shai-Hulud」キャンペーンの一環であることが特定された。なお、Checkmarx自身は本キャンペーンの先行被害者として位置付けられている。コード内には「Shai-Hulud: The Third Coming」という文字列が残されており、同グループが過去に実施したTrivyスキャナーやLiteLLMのPyPIパッケージを標的にした攻撃との連続性が確認された。共通の悪意あるインフラエンドポイント（audit.checkmarx[.]cx/v1/telemetry）や、同一の難読化ルーティン（シード値0x3039を使う__decodeScrambled）が証拠として挙げられている。なお、TeamPCPのXアカウントは攻撃発覚後に停止されている。セキュリティ研究者はこのマルウェアを「これまでのnpmサプライチェーン攻撃の中で最も高度なペイロードの一つ」と評しており、RSA署名付きコマンド配送を伴うGitHub経由のC2チャネルなど高度な技術が駆使されている点が際立つ。 影響を受けた開発者への推奨対応 Bitwardenは問題発生後に侵害されたアクセス権を即時失効させ、当該バージョンを非推奨化した。悪意あるバージョン2026.4.0を2026年4月22日の当該時間帯にインストールした開発者は、CI/CDパイプラインやクラウド環境・開発環境で使用しているすべての認証情報を速やかにローテーションすることが推奨されている。パスワードマネージャー自体のユーザーデータは影響を受けていないが、開発者ツールチェーン全体に渡る被害拡大の可能性があることから、慎重な調査と対応が求められる。

概要 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年4月24日（金）、リモートサポートツール・デジタルサイネージサーバー・ルーターなど複数の製品に影響する4件の脆弱性を既知悪用脆弱性（KEV: Known Exploited Vulnerabilities）カタログに追加した。連邦民間行政府機関（FCEB）はBOD 22-01に基づき、2026年5月8日までに修正対応またはシステムの使用停止を義務付けられている。CISAは民間組織に対しても早急なパッチ適用を強く推奨している。 4件の脆弱性の詳細 今回追加された脆弱性は以下の4件で、いずれも実際の攻撃への悪用が確認されている。 SimpleHelp（CVE-2024-57726 / CVE-2024-57728） CVE-2024-57726（CVSS 9.9）：低権限の技術者アカウントが、本来の権限を超えた過度な権限を持つAPIキーを作成できる特権昇格の脆弱性。深刻度は最高クラスに近い。 CVE-2024-57728（CVSS 7.2）：パストラバーサル（Zip Slip）の脆弱性。細工されたZipアーカイブを通じて任意ファイルの書き込みが可能になる。いずれもランサムウェア攻撃の前段階として悪用されているとみられる。 Samsung MagicINFO 9 Server（CVE-2024-7399） CVSS 8.8のパストラバーサル脆弱性で、攻撃者がシステム権限で任意ファイルを書き込み可能となる。商業施設や公共空間で広く使われているデジタルサイネージ管理サーバーへの攻撃に利用されており、Miraiボットネット亜種の配備が確認されている。 D-Link DIR-823X（CVE-2025-29635） CVSS 7.5のコマンドインジェクション脆弱性。認証済みの攻撃者がPOSTリクエストを通じてルーター上で任意コマンドを実行できる。「tuxnokill」と呼ばれるMirai系ボットネット亜種による攻撃への利用が報告されている。DIR-823Xはすでにサポート終了製品であり、CISAは修正対応が困難な場合は使用を中止するよう求めている。 背景と推奨対応 KEVカタログへの追加は、脆弱性が単に理論的なリスクに留まらず、現実の脅威アクターによって実際に悪用されていることを公式に認定するものだ。特にSimpleHelpの脆弱性は2025年初頭から複数のセキュリティ研究者によって報告されており、ランサムウェアグループによる初期侵入経路として積極的に使用されている点が懸念される。Samsung MagicINFOおよびD-Linkのルーターに関しては、IoTデバイスを標的としたボットネット攻撃の広がりを示している。 組織は影響を受けるすべての製品に対して、ベンダーが提供するパッチを速やかに適用することが求められる。D-Link DIR-823XのようにEOL（サポート終了）製品については、同等の現行サポート製品への移行を検討する必要がある。

概要 2026年4月22日、Checkmarxが開発するインフラストラクチャ・アズ・コード（IaC）スキャンツール「KICS（Keeping Infrastructure as Code Secure）」のDocker Hubリポジトリが侵害された。脅威アクター「TeamPCP」が既存のDockerイメージタグ（v2.1.20、v2.1.21、alpine）を悪意あるGoバイナリを含むイメージに上書きする手口で攻撃を実行。同時にCheckmarxのVS Code拡張機能「cx-dev-assist」（バージョン1.17.0・1.19.0）および「ast-results」（バージョン2.63.0・2.66.0）も侵害され、開発者の環境全体にわたる広範なサプライチェーン攻撃が確認された。 攻撃の技術的詳細 セキュリティ企業Socketの分析によると、侵害されたKICS DockerイメージにはIaCスキャンレポートを生成・暗号化して外部エンドポイントへ送信する改ざんバイナリが含まれていた。攻撃の標的はKICSがスキャンするIaCファイルそのものであり、そこに含まれるクラウド認証情報の窃取を目的としていた。 VS Code拡張機能への攻撃では多段階の手法が取られ、GitHubから「mcpAddon.js」をダウンロードしてModel Context Protocol（MCP）機能に偽装する形でマルウェアを展開した。窃取対象となった認証情報の種類は広範で、GitHubアクセストークン、AWS・Azure・Google Cloudの認証情報、NPM設定ファイル、SSHキー、環境変数が含まれる。収集された情報はC2サーバー（audit.checkmarx[.]cx、IP: 94.154.172.43）へ送信される設計になっており、正規ドメインに酷似したドメインを使用することで検知回避を図っていた。51以上のパブリックGitHubリポジトリが一貫した命名パターンで攻撃インフラとして活用されたことも確認されている。 脅威グループTeamPCPの背景 TeamPCPは2026年3月からCheckmarx以外にもTrivyやLiteLLM、Telnyxなど複数のオープンソース・商用セキュリティツールを標的にした攻撃キャンペーンを展開してきたグループだ。今回の侵害も同年3月にCheckmarxのGitHub Actionsワークフローが先行して侵害されていたことが判明しており、長期的な計画に基づく攻撃であったことが示唆される。グループは攻撃後に公開で宣言を行う行動パターンも持つ。 影響と推奨される対応 KICSはクラウドインフラの設定ミスを検出するために広く利用されているツールであるため、影響を受けた組織は深刻なリスクにさらされている。侵害されたイメージや拡張機能を使用した場合、AWS・Azure・Google Cloudへの不正アクセスに利用可能な認証情報が漏洩している可能性がある。 Checkmarxは侵害されたアーティファクトを削除し修正版を公開した。影響を受けた可能性のある組織は、（1）侵害バージョンのDockerイメージとVS Code拡張機能を即時削除、（2）すべての露出した可能性がある認証情報のローテーション、（3）GitHubリポジトリの不正アクティビティ監査、（4）クラウドアクセスログでの不審なトークン利用確認、を直ちに実施することが求められる。本事件はオープンソースのセキュリティツール自体がサプライチェーン攻撃の標的となるリスクを改めて浮き彫りにしており、ツールの配布チャネルに対する継続的な監視と署名検証の重要性が高まっている。

概要 オープンソースのLLMデプロイツール「LMDeploy」に存在するServer-Side Request Forgery（SSRF）脆弱性（CVE-2026-33626、CVSSスコア：7.5）が、GitHub上でのアドバイザリ公開からわずか12時間31分後に実環境での悪用が確認された。この脆弱性はOrca Securityの研究者Igor Stepansky氏が発見・報告したもので、バージョン0.12.0以前のすべてのリリース（ビジョン言語モデルのサポートを含むすべてのバージョン）が影響を受ける。現時点での修正版は0.12.3以上へのアップデートが推奨されている。 脆弱性の技術的詳細 脆弱性はlmdeploy/vl/utils.py内のload_image()関数に存在する。この関数は内部・プライベートIPアドレスの検証を行わずに任意のURLを取得できる状態にあり、攻撃者はこれを悪用してクラウドインフラや内部システムへのアクセスが可能となる。成功した場合の影響は以下の通りである。 クラウド認証情報の窃取：AWS Instance Metadata Service（IMDS）へのアクセスによる一時認証情報の取得 内部サービスへのアクセス：RedisやMySQLなどの内部データベースや各種サービスへの不正アクセス ネットワーク偵察：ループバックインターフェースを含む内部ネットワーク構成の把握 横断的侵害（ラテラルムーブメント）：取得した認証情報を用いたさらなる侵害活動 攻撃のタイムラインと手口 最初の悪用はIPアドレス103.116.72[.]119からの攻撃として、2026年4月22日03:35 UTC（日本時間：4月22日12:35）に観測された。攻撃者は8分間で10回のリクエストを送信する体系的な偵察キャンペーンを3段階に分けて実施した。 第1段階：AWS IMDSおよびRedisインスタンスへのリクエスト送信 第2段階：DNSコールバックを通じた外部への通信経路確認（エグレステスト） 第3段階：ループバックインターフェースに対するポートスキャン また、攻撃者は検知回避のために複数のビジョン言語モデルを切り替えながらリクエストを送信していた点が特徴的である。 対応と推奨事項 LMDeployのビジョン言語モデル機能を利用している組織は直ちにバージョン0.12.3以上へのアップデートを行うことが強く推奨される。本件は公開情報をもとに短時間で攻撃が開始されるという「N-day攻撃」の典型例であり、AIインフラへの攻撃が従来のWebアプリケーションと同様の速度・手口で行われていることを示している。LLMやAIモデルのデプロイ環境に対しても、通常のソフトウェアと同様の迅速なパッチ適用体制が不可欠となっている。

概要 Open Source Security Foundation（OpenSSF）は2026年4月のニュースレターにて、AIエージェントを標的とした新たな脅威カタログ「SAFE-MCP」を発表した。これはModel Context Protocol（MCP）を活用する自律型AIエージェントに固有のセキュリティリスクを体系化したフレームワークであり、急速に普及するエージェント型AI基盤の安全な活用を支援することを目的としている。Canonical、Microsoft、Thread AIのセキュリティ専門家らが登壇したテックトークでは、AIエージェントの持つ非決定論的な性質が従来のソフトウェアとは異なる脅威モデルを必要とすることが強調された。 主な脅威パターン SAFE-MCPが取り上げる攻撃パターンは主に三つある。第一は非決定論的な挙動によるリスクであり、AIエージェントは同じ入力に対して異なる出力を返すことがあるため、従来の脅威モデリング手法が通用しない。第二は混乱した代理（Confused Deputy）問題で、エージェントがユーザーの代理として行動する際に適切な認可が行われず、意図しない操作が実行される認可失敗のリスクを指す。第三はプロンプトインジェクション攻撃であり、悪意ある入力によってエージェントの判断や行動を操作する手法だ。登壇者らはAIインフラ全体のセキュリティを評価する構造的フレームワークとして「七層ケーキ（Seven-Layer Cake）」モデルを提示し、AIスタック全体を横断したリスク評価の重要性を訴えた。 OSS-CRSプロジェクトの統合とAI-Slop問題 OpenSSFはDARPAのAI Cyber Challengeから生まれたOSS-CRSプロジェクトも受け入れた。このオーケストレーションフレームワークは、実験的なAIセキュリティ研究と実用的なオープンソース防御の橋渡しを担うものとして位置づけられており、自律システムが大規模にバグを発見・修正できるようにすることを目指す。 一方、Vulnerability Disclosures Working Groupは「AI-Slop」問題への対応として、コミュニティ調査を開始した。AI-Slopとは、AIが生成する低品質な脆弱性レポートを指し、VDP（脆弱性開示プロセス）に大量のノイズが流入している問題だ。このような偽陽性の増大はオープンソースプロジェクトのメンテナーに余分な負担を強いており、OpenSSFは実態把握と対策策定に向けた調査を進めている。 今後の展望 SAFE-MCPのようなフレームワークの整備は、AIエージェントが企業システムや開発ツールに組み込まれる速度が上がる中で不可欠となっている。MCPが多くのAIエージェント実装で採用される標準プロトコルとなりつつある今、攻撃対象領域の共通理解を業界全体で形成することが急務だ。OpenSSFが主導するこの取り組みは、AI時代のオープンソースセキュリティ基盤を整える重要な一歩となるだろう。

概要 ESETの研究者は、これまで未確認だった中国系APTグループ「GopherWhisper」を新たに発見した。このグループはモンゴルの政府機関において少なくとも12のシステムへの感染が確認されており、活動の痕跡は2023年11月にまで遡る。最初の発見は2025年1月、独自のバックドア「LaxGopher」の検出がきっかけだった。GopherWhisperの最大の特徴は、SlackやDiscord、Microsoft 365 Outlookといった正規のビジネスコミュニケーションプラットフォームをC2（コマンド＆コントロール）チャネルとして悪用する点にあり、従来のセキュリティ検知機構を巧みにすり抜ける手法が注目されている。 マルウェアの構成と技術的詳細 GopherWhisperは複数のGoベースのツールとバックドアを組み合わせた多層的な攻撃インフラを展開している。主要コンポーネントは以下の通りだ。 LaxGopher: SlackをC2通信に利用するGolangバックドア。cmd.exe経由でコマンドを実行し、追加マルウェアのダウンロードも行う。 JabGopher: LaxGopherを「whisper.dll」として展開するインジェクター。 CompactGopher: .doc・.docx・.xls・.xlsx・.pdf・.ppt・.pptx・.txt・.jpgなどを拡張子でフィルタリングして収集し、AES-CFB-128暗号化でZIPに圧縮するファイル収集ツール。 RatGopher: DiscordをC2として使用するバックドア。ファイル操作にはfile.ioを利用する。 BoxOfFriends: Microsoft Graph APIを介してOutlookの下書きメールをC2チャネルとして活用するGolangバックドア。 FriendDelivery: BoxOfFriendsのローダー/インジェクターDLL。 SSLORDoor: ポート443で生ソケット通信を行うC++バックドア。 正規サービスをC2として悪用する手法は、企業や組織のネットワーク監視において正当なビジネストラフィックに紛れ込むため、検出が著しく困難になる。 帰属分析と影響範囲 ESETの研究者は、GopherWhisperの活動時間帯の分析から中国と関連するグループ（China-aligned）であると評価している。C2への通信が中国標準時（CST）の午前8時から午後5時のビジネスアワーに集中していること、またSlackのメタデータにおけるタイムゾーン設定が中国を示していることが根拠となっている。 感染が確認されたモンゴル政府機関のシステムは12台だが、C2トラフィックの分析から、さらに数十の被害者が異なるネットワーク・組織にわたって存在することが示唆されている。モンゴルは中国・ロシアの間に位置する内陸国であり、中央アジアにおける地政学的な情報収集の標的として関心を持たれやすい立場にある。正規サービスを通じたステルスなデータ窃取と永続的なアクセス維持が、このキャンペーンの主な目的と見られる。 まとめと示唆 GopherWhisperの事例は、国家支援型の高度な脅威アクターが正規クラウドサービスをC2インフラとして積極的に取り込んでいるトレンドを改めて浮き彫りにした。Slack・Discord・Outlookのような日常的に使用されるツールを検知の盲点として利用する手口は、従来のIPブロックやシグネチャベースの検出では対処が難しい。組織はコミュニケーションプラットフォームへの異常な通信パターンの監視や、エンドポイントでの振る舞い検知の強化を検討する必要がある。

概要 Atlassianは2026年4月21日、同社の主要製品群に影響するセキュリティ情報を公開した。今回の情報では、31件の高深刻度脆弱性と7件の重大なサードパーティ依存関係の脆弱性が含まれており、合計38件の脆弱性に対処している。対象製品はBamboo、Bitbucket、Confluence、Jira、Jira Service Managementの5製品で、データセンター版とサーバー版の双方が影響を受ける。これらの脆弱性はバグバウンティプログラム、ペネトレーションテスト、サードパーティライブラリのスキャンを通じて発見されたと説明されている。 特に深刻な脆弱性 今回最も注目すべき脆弱性の一つが CVE-2024-47875（dompurify）で、CVSSスコア 10.0（Critical） と最高評価を受けた。これはミューテーション型クロスサイトスクリプティング（mXSS）と呼ばれる攻撃手法を悪用するもので、入力のサニタイズ処理を巧みに回避する。次いで深刻なのが CVE-2022-1471（SnakeYAML）で、CVSSスコア9.8のリモートコード実行（RCE）の脆弱性だ。さらに Bamboo 固有の CVE-2026-21571 は、CVSSスコア9.4のOSコマンドインジェクションを可能にする。 脆弱性の種別を見ると、リモートコード実行（RCE）、サービス拒否（DoS）、クロスサイトスクリプティング（XSS）、パストラバーサル、OSコマンドインジェクションなど多岐にわたる。Nettyやaxiosなどの広く使われているサードパーティライブラリを経由した脆弱性も含まれており、依存関係の管理が依然として課題であることを示している。なお、Atlassian自身が「実際のリスク評価はスコアより低い場合がある」と注記しているものも一部含まれる。 影響を受けるバージョンと推奨対応 各製品の影響バージョン範囲と修正済み推奨バージョン（LTS）は以下の通りだ。 製品 影響バージョン範囲 推奨パッチバージョン Bamboo Data Center/Server 9.6.2〜12.1.3 12.1.6 LTS Confluence Data Center/Server 8.9.1〜10.2.7 10.2.10 LTS Jira Data Center/Server 9.12.8〜11.3.3 11.3.4 LTS Jira Service Management 5.15.2〜11.3.3 11.3.4 LTS Bitbucket Data Center/Server 9.4.12〜10.1.5 10.2.0〜10.2.2 LTS Atlassianはすべての脆弱性について「最新バージョンまたは修正済みバージョンへのパッチ適用」を強く推奨している。サポート対象外のバージョンを使用している場合はアップグレードが必須となる。各CVEの詳細は同社のVulnerability Disclosure Portalから検索・確認できる。今後もAtlassian製品を運用する組織は、セキュリティ情報の定期的な確認とパッチ管理の徹底が求められる。

概要 GitHubは2026年4月20日、HTTPS接続における SHA-1ハッシュアルゴリズムの使用を段階的に廃止すると発表した。対象はgithub.com、GitHub Enterprise Cloud、データレジデンシー対応版で、ブラウザ、GitHub API、Git over HTTPSのすべてに影響する。なお、GitHub Enterprise Serverは今回の廃止対象には含まれない。 SHA-1は数十年前から使われてきたハッシュアルゴリズムだが、2017年にGoogleが実用的な衝突攻撃（SHAttered攻撃）を実証したことで安全性に重大な懸念が生じた。業界全体でSHA-2（SHA-256など）への移行が進んでおり、今回のGitHubの決定もその流れに沿ったものだ。 廃止スケジュールと影響範囲 廃止は2段階で進められる。まず2026年7月14日（UTC 00:00〜18:00）にブラウンアウトテストとしてSHA-1を一時的に無効化し、互換性の問題を事前に洗い出す機会を提供する。その後、2026年9月15日にGitHubおよびパートナーCDNにおいてSHA-1が完全に無効化される予定だ。 影響を受けるユーザーの種類と対応策は以下の通りとなっている。 ブラウザ利用者: 最新の主要ブラウザであれば既にSHA-2に対応しているため、ブラウザを最新バージョンに保つことで対応可能。https://github.dev にアクセスして互換性を事前確認できる APIを利用するソフトウェア・開発者: SHA-2対応の新しいフレームワークやライブラリへの移行が必要 Gitクライアント利用者: 最新版のGitと、OpenSSLなどのOSコンポーネントを最新に更新することが推奨される 今後の対応と注意点 7月のブラウンアウトは、9月の完全廃止前に自社システムやツールチェーンへの影響を確認するための重要な機会となる。特に古いCI/CD環境やレガシーなGitクライアントを使用している組織は、早めの検証と移行計画の策定が求められる。現代的なブラウザや最新のGitバージョンを使用している一般的な開発者への影響は限定的とみられるが、自動化スクリプトや独自ビルドのツールを利用している場合は注意が必要だ。

概要 セキュリティ企業OX Securityの研究者が、AnthropicのModel Context Protocol（MCP）SDKに重大な設計上の欠陥を発見した。この脆弱性はSTDIOトランスポートインターフェースの「安全でないデフォルト設定」に起因し、攻撃者が任意のOSコマンドをリモートで実行（RCE）できる状態を作り出す。影響範囲は7,000件以上の公開アクセス可能なサーバーと1億5,000万件を超えるダウンロードに及び、AI統合エコシステム全体を標的にしたサプライチェーン攻撃のベクターとなりうると警告されている。 問題の核心は、MCPサーバーの起動に失敗した場合でも「エラーが返されつつもコマンドは実行される」という挙動にある。研究者らはGPT ResearcherのSTDIO MCPサーバー機能を調査する中でこの設計上の問題を特定し、根本原因がAnthropicの公式実装コード（modelcontextprotocol）に存在することを突き止めた。 技術的詳細と影響範囲 研究者チームは30件以上の責任ある情報公開プロセスを経て、合計11件の脆弱性（CVE）を発見した。主な対象は以下の通りで、複数はすでにパッチが適用されている。 CVE-2026-30623（LiteLLM）— 修正済み CVE-2026-33224（Bisheng）— 修正済み CVE-2026-26015（DocsGPT）— 修正済み CVE-2026-40933（Flowise） 攻撃は四つの手法に分類される。(1) STDIO経由の未認証コマンドインジェクション、(2) ハードニング回避を伴うコマンドインジェクション、(3) ゼロクリックのプロンプトインジェクション攻撃、(4) ネットワーク経由で発火する隠れたSTDIO設定の悪用、である。脆弱性はPython・TypeScript・Java・Rustの各言語実装に及び、LiteLLM、LangChain、LangFlow、Flowise、LettaAIといった広く利用されるプロジェクトが影響を受けた。攻撃が成功した場合、ユーザーデータ、データベース、APIキー、チャット履歴などの機密情報が漏洩する恐れがある。 AnthropicとLangChainの対応と批判 AnthropicとLangChainはいずれも当初、この挙動を「想定される動作（expected behavior）」と主張し、「ユーザー許可が必要なため脆弱性ではない」という見解を示した。最終的にAnthropicはプロトコルアーキテクチャ自体を変更しない方針を表明し、代わりにセキュリティポリシーを更新してSTDIO MCPの慎重な使用を推奨するにとどまった。この決定は、セキュリティ対応の責任を実装者側に転嫁するものだと研究者らは強く批判している。 ESETのサイバーセキュリティアドバイザーはこの問題について、「AI対応サイバー犯罪の始まり」であり、新興技術に対する「能力優先、制御後発」のアプローチが根本的な問題だと指摘した。研究者らも「アーキテクチャの根本的欠陥がユーザーデータと組織インフラを危険にさらしている」と警鐘を鳴らしている。 推奨される緩和策 Anthropicが公表したセキュリティポリシーおよび研究者の提言として、以下の緩和策が推奨されている。 センシティブなサービスへのパブリックIPアクセスをブロックする MCPツールの呼び出しを監視・ログに記録する MCPサービスをサンドボックス環境で実行する 外部からのMCP設定を信頼しないものとして扱う 検証済みソースからのみMCPをインストールする 今回の発見は、急速に普及するAIエージェント基盤がセキュリティ面で十分に検証されないまま広がっている現状を浮き彫りにした。プロトコル設計の段階から「セキュア・バイ・デフォルト」の原則を組み込むことの重要性が改めて問われている。

概要 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年4月20日、Cisco Catalyst SD-WAN Manager、PaperCut NG/MF、JetBrains TeamCityなど複数の製品に関する8件の脆弱性を「既知の悪用脆弱性（KEV）カタログ」に追加した。これらはいずれも実際の攻撃での悪用が確認されており、米国連邦民間行政機関（FCEB機関）に対してはCisco関連の3件について2026年4月23日まで、残る5件については2026年5月4日までのパッチ適用が義務付けられた。 追加された8件の脆弱性 今回KEVカタログに追加された脆弱性の内訳は以下の通り。 CVE-2026-20122（CVSS 5.4）— Cisco Catalyst SD-WAN Manager。ファイルアップロード機能を悪用してvmanageユーザー権限を取得される可能性がある。 CVE-2026-20128（CVSS 7.5）— Cisco Catalyst SD-WAN Manager。認証済みのローカル攻撃者がDCAユーザー権限を取得できる。 CVE-2026-20133（CVSS 6.5）— Cisco Catalyst SD-WAN Manager。リモートの攻撃者が機密情報を閲覧できる情報漏洩の脆弱性。Ciscoはまだ公式に悪用を認めていないが、セキュリティ研究者は「防御者が認識する以上に高リスク」と評価している。 CVE-2023-27351（CVSS 8.2）— PaperCut NG/MF。SecurityRequestFilterクラス経由で認証を回避できる。Lace TempestによるCl0pおよびLockBitランサムウェアの配布に利用されたことが確認されている。 CVE-2024-27199（CVSS 7.3）— JetBrains TeamCity。相対パストラバーサルにより限定的な管理者アクションを実行可能。 CVE-2025-2749（CVSS 7.2）— Kentico Xperience CMS。認証済みユーザーのStaging Sync Serverを通じて任意のデータを相対パスへアップロードできる。 CVE-2025-32975（CVSS 10.0）— Quest KACE Systems Management Appliance。認証回避により正規認証なしでユーザーへのなりすましが可能。Arctic Wolfが2026年3月に未パッチシステムへの実際の悪用を検出している。 CVE-2025-48700（CVSS 6.1）— Synacor Zimbra Collaboration Suite。クロスサイトスクリプティング（XSS）により機密情報へのアクセスが可能。 注目点と背景 今回追加された8件のうち、Cisco Catalyst SD-WAN Managerに関する3件（CVE-2026-20122、CVE-2026-20128、CVE-2026-20133）は対応期限が2026年4月23日と非常に短く設定されており、CISAが即時対応を強く求めていることが伺える。CVE-2026-20122とCVE-2026-20128については2026年3月の時点で積極的な悪用が確認されており、CISAの緊急度の高さを裏付けている。 また、CVE-2025-32975はCVSSスコア10.0と最高評価の深刻度を持つ脆弱性で、Quest KACEの認証機構を完全に回避できる。PaperCutの脆弱性（CVE-2023-27351）はLace Tempestによるランサムウェア攻撃への利用実績があり、組織のファイル管理インフラへの直接的な脅威となっている。KEVカタログへの登録はBOD 22-01指令に基づく法的拘束力のある指示であり、該当製品を使用する組織は対応期限内にパッチ適用または利用停止の措置を講じる必要がある。