Security

概要 ウクライナのコンピュータ緊急対応チーム（CERT-UA）は2026年4月、脅威クラスター「UAC-0247」による標的型サイバー攻撃キャンペーンの詳細を公開した。このキャンペーンは2026年3月から4月にかけて活発に展開され、政府機関・自治体の医療施設（クリニック、救急病院など）を主な標的としている。攻撃者は人道支援提案を装ったフィッシングメールを送りつけ、被害者を悪意のあるサイトへ誘導する手口を用いた。誘導先はXSS脆弱性を突いて侵害された正規サイト、またはAIツールで生成された偽サイトのいずれかだという。 攻撃チェーンと使用マルウェア 攻撃は多段階の感染フローを持つ。フィッシングメールのリンクをクリックした被害者は、Windowsショートカット（LNK）ファイルをダウンロード・実行する。このLNKファイルがmshta.exeを通じてリモートのHTA（HTMLアプリケーション）を呼び出し、囮フォームを表示しながら裏でシェルコードを正規プロセス（runtimeBroker.exeなど）に注入する。最終ペイロードは独自の実行ファイル形式を持つ2段階ローダーで配布され、追加の圧縮と暗号化が施されている。 使用されたカスタムマルウェアは3種類確認されている。 RAVENSHELL — TCPリバースシェルで、XOR暗号化（キー: 01 01 02 03 74 15 04 FF EE）を用いてC2サーバーと通信し、cmd.exe経由でコマンドを実行する。 AGINGFLY — C#製のリモートアクセスツール（RAT）。AES-CBC暗号化されたWebSocketで通信し、コマンド機能をサーバーから動的に取得する。キーロガー、ファイルダウンロード、スクリーンショット取得などの機能を持つ。 SILENTLOOP — PowerShellスクリプト。コマンド実行・自動更新に加え、Telegramチャンネルを利用したC2サーバーIPアドレスの取得とフォールバックC2メカニズムを備える。 オープンソースツールの悪用とデータ窃取 カスタムマルウェアに加え、攻撃者は複数のオープンソースツールを組み合わせた。ChromeのApp-Bound暗号化を回避してCookieやパスワードを収集するCHROMELEVATOR、WhatsApp Webのデータベースを復号するZAPIXDESK、ネットワーク偵察用のRustScan、リバースTCP/TLSトンネルを確立するLigolo-NgとTCP/UDPトンネリングツールのChisel、そして改変されたWireGuard実行ファイルに埋め込まれた暗号通貨マイナーXMRigがその一例だ。これらを組み合わせることで、ChromiumベースのブラウザとWhatsAppからの機密情報窃取、横展開、持続的な侵害が行われていた。 また、医療・政府機関への攻撃と並行して、2026年3月にはウクライナ国防軍の関係者がSignalプラットフォームを通じた攻撃の被害を受けた可能性も判明した。FPVドローン操作用ソフトウェアのアップデートを装ったZIPアーカイブが配布され、DLLサイドローディングによってAGINGFLYが展開された。 CERT-UAの推奨する緩和策 CERT-UAは「LNK・HTA・JSファイルの実行を制限し、正規ユーティリティであるmshta.exe、powershell.exe、wscript.exeの起動を制限するだけで、サイバー脅威の可能性を大幅に低減できる」と述べている。戦時下のウクライナで医療インフラや政府機関が高度な攻撃に継続的にさらされている実態が改めて浮き彫りになった事例であり、重要インフラへの攻撃に対する多層防御の重要性が示されている。

概要 GitHubは2026年4月14日、シークレットスキャン機能の大規模なアップデートを発表した。最大のトピックはCloudflareとの新たなパートナーシップで、cloudflare_account_api_token・cloudflare_global_user_api_key・cloudflare_user_api_tokenの3種類のシークレットタイプが検出対象に加わった。これらはパブリック・プライベートリポジトリの両方でPush Protectionがデフォルト有効となっており、誤ってコミットされるのをプッシュ時点でブロックする。 Push Protectionの対象パターンも大幅に拡充された。新たにデフォルトでコミットをブロックするパターンとして、FigmaやGoogle Cloud Platform（GCP）、Langchain、OpenVSX、PostHogなど9種のシークレットが追加された。これらはOrganizationの管理者が設定でカスタマイズすることも引き続き可能だ。 EMUフォーク継承とAPIの改善 エンタープライズ向けの重要な機能改善として、EMU（Enterprise Managed Users）環境のフォークにおけるPush Protection継承が強化された。これまではフォーク先のリポジトリでシークレット保護が引き継がれないケースがあったが、今回の更新により「ユーザー所有のフォークは、最も近いライセンス済み祖先リポジトリからPush Protectionを継承する」仕組みとなり、フォークを経由した保護のすり抜けが防止される。 APIレベルでも複数の改善が加えられた。カスタムパターンのアラートに対して、PATCH エンドポイントを通じて active・inactive などの有効性ステータスを手動で設定・リセットできるようになった。また、アラート取得APIのレスポンスに provider および provider_slug フィールドが追加され、providers や exclude_providers クエリパラメータを使ったプロバイダー単位のフィルタリングがエンタープライズ・Organization・リポジトリの各エンドポイントで利用できるようになった。 スキャン履歴と管理機能の強化 スキャン履歴APIにも新機能が追加された。AIを活用した汎用シークレットのバックフィルスキャンの結果が、新たな generic_secrets_backfill_scans 配列としてAPIレスポンスに含まれるようになり、どのスキャンが実行されたかを履歴として参照できる。さらに、エンタープライズオーナーおよびセキュリティ管理者が全Organizationにわたるシークレットスキャンの却下リクエストを一覧できる新エンドポイントも追加された。Organization・レビュアー・ステータスによるフィルタリングに対応しており、大規模環境での監査・管理業務を効率化する。シークレットスキャンキャンペーン機能にもチームおよびトピックによるフィルタリングが追加され、コードスキャンキャンペーンと同等の絞り込み機能が利用できるようになった。

概要 Googleは2026年4月15日、Chrome安定版チャンネルをWindows・macOS向けに147.0.7727.101/102、Linux向けに147.0.7727.101へアップデートし、合計31件のセキュリティ脆弱性を修正した。このうち5件は最高深刻度の「Critical」に分類されており、悪用に成功した攻撃者がターゲットシステム上で任意のコードを実行できる危険性があるとして、Googleはすべてのユーザーに即時更新を強く推奨している。 Critical脆弱性の詳細 今回修正されたCritical評価の脆弱性は、Chromeが内部的に依存する複数のグラフィックス・システムコンポーネントに集中している。 CVE-2026-6296：ANGLEグラフィックスエンジンにおけるヒープバッファオーバーフロー。ANGLEはWebGLなどブラウザのグラフィックス処理を担う重要レイヤーであり、細工されたコンテンツを表示するだけで攻撃が成立する恐れがある。 CVE-2026-6298：Skia 2Dグラフィックスライブラリにおけるヒープバッファオーバーフロー。Skiaは文字や画像のレンダリングに広く使われており、影響範囲が広い。 CVE-2026-6297：Proxyコンポーネントにおけるuse-after-free脆弱性。研究者「heapracer」が2026年3月17日に報告したもので、解放済みメモリへの不正アクセスを通じてコード実行が可能となる。 CVE-2026-6299：Prerender機能におけるuse-after-free脆弱性。Google社内のエンジニアが発見した。 CVE-2026-6358：XR（拡張現実）コンポーネントにおけるuse-after-free脆弱性。ソウル国立大学Compsec LabのJihyeon Jeong氏が発見・報告した。 これらの脆弱性を悪用すると、管理者権限なしに悪意あるプログラムの実行、機密データの窃取、システムの完全制御といった深刻な被害が生じる可能性がある。 対策と更新方法 ユーザーはChromeのメニューから「ヘルプ」→「Google Chromeについて」を開くことで最新バージョンの確認と自動更新を実施できる。更新後はブラウザの再起動が必要となる。企業環境では管理者がグループポリシーまたはChromeエンタープライズ管理ツールを通じて展開を管理することが推奨される。現時点でアクティブな悪用は報告されていないが、Criticalレベルの脆弱性は攻撃者の標的になりやすいため、迅速な適用が重要だ。

概要 南アフリカの大手金融機関Standard Bankは、2026年2月下旬から始まったサイバー攻撃によって、顧客の氏名・IDナンバー・連絡先・口座番号・クレジットカード情報を含む約1.2TBのデータを窃取された。攻撃者は「ROOTBOY」と名乗り、ダークウェブのフォーラム上でデータの追加公開を防ぐために1ビットコインの身代金を要求したと報じられているが、Standard Bankはその要求の有無や対応について公式コメントを避けている。流出したカード情報にはカード番号と有効期限が含まれる一方、CVVナンバーは流出していないとされる。同銀行の子会社Liberty Groupも関連する別の侵害を受けており、一連の事件は2026年3月23〜24日に公表された。 攻撃の手口と規模 ROOTBOYはStandard Bankのネットワーク内に約3週間にわたって潜伏し、2026年2月末からデータの収集・持ち出しを続けていたとされる。これほど長期間にわたるネットワーク滞留は、侵入検知システムの盲点を突いた高度な攻撃手法を示唆しており、内部のセキュリティ監視の限界が改めて浮き彫りになった。最終的に持ち出されたデータは1.2TBに達し、南アフリカの金融機関が経験した侵害としては過去最大規模とみられている。影響を受けた顧客数については、同行はいまだ開示していない。 Standard Bankの対応と規制当局の動き Standard Bankは侵害の発覚後、影響を受けたクレジットカードの再発行を順次進めるとともに、該当顧客への直接連絡、取引モニタリングの強化、信用情報機関との連携強化などの対策を講じている。また、専用のサポート窓口を設置し、顧客にはパスワードの更新と生体認証の有効化を促している。規制当局である情報規制機関（Information Regulator）は3月23日に同行からの侵害通知を受理し、正式な審査に向けて追加情報を要請したと発表している。同行は規制当局への通知義務を履行しており、当局との協力体制のもとで調査が進められている。 今後の影響と教訓 本件は、金融機関が持つ膨大な個人・金融データを標的にしたサイバー攻撃の脅威を改めて示す事例となった。攻撃者が3週間もの間ネットワーク内に潜伏し続けられた点は、侵入後の横断的移動（ラテラルムーブメント）を早期に検知する態勢の重要性を強調している。南アフリカの金融セクターはPOPI法（個人情報保護法）のもとで厳格なデータ保護義務を負っており、今後の規制当局による審査結果や罰則の有無が業界全体のセキュリティ投資に影響を与える可能性がある。

概要 Microsoftは2026年4月のPatch Tuesdayで、167件の脆弱性（うちCritical 8件を含む）を修正した。Tenableのセキュリティ研究者Satnam Narangが同社集計の163件を基に「過去2番目に大規模なPatch Tuesday」と評したほどの大型リリースで、うち2件はゼロデイ脆弱性だった。カテゴリ別では権限昇格が93件（全体の約57%）と最多を占め、リモートコード実行が20件、情報漏洩が21件、セキュリティ機能バイパスが13件と続く。 ゼロデイ脆弱性の詳細 今月のゼロデイはいずれも深刻度「Important」だが、対応の緊急性は高い。 CVE-2026-32201（SharePoint Serverなりすまし、CVSS 6.5） はSharePoint Server 2016・2019・Subscription Editionに影響し、ネットワーク経由で認証なしに悪用できるなりすまし脆弱性だ。すでに野外での悪用が確認されており、Action1のMike Walters氏は「フィッシング攻撃、不正なデータ操作、ソーシャルエンジニアリングキャンペーンを可能にする」と警告している。 CVE-2026-33825（Microsoft Defender権限昇格、CVSS 7.8） は"BlueHammer"と呼ばれる脆弱性で、4月3日に研究者「Chaotic Eclipse」がGitHub上にエクスプロイトコードを公開したことで広く知られた。パッチ適用後はエクスプロイトが機能しなくなったことをWill Dormann氏が確認している。修正はAntimalware Platformのバージョン4.18.26050.3011を通じて配布されている。 注目すべきCritical・高CVSS脆弱性 Critical評価を受けた脆弱性の中で特に注意が必要なのが、CVE-2026-33824（Windows IKEサービスRCE、CVSS 9.8） だ。IKEv2が有効な環境で細工されたパケットを送りつけるだけで認証なしにリモートコード実行が可能であり、Microsoftはファイアウォールでのポート500/4500（UDP）封鎖を暫定的な緩和策として推奨している。同じくCriticalの CVE-2026-33826（Windows Active Directory RCE、CVSS 8.0） は同一の制限付きADドメイン内の認証済み攻撃者が悪用でき、「悪用の可能性が高い」と評価されている。また、CVE-2026-27913（BitLockerバイパス、CVSS 7.7） はSecure Boot/UEFIの保護を回避しうるセキュリティ機能バイパスで、エンドポイント保護の観点から影響が大きい。 背景とセキュリティ業界の反応 Rapid7のAdam Barnett氏は脆弱性発見件数の増加をAIの能力拡大に帰する一方、特定のプロジェクトとの直接的な関連付けには慎重な姿勢を示した。今月のパッチにはMicrosoft Edge（Chromiumベース）由来のブラウザ脆弱性が約60件含まれており、ブラウザの完全な再起動が適用完了に必要な点も強調されている。Microsoftのパッチとは別に、Adobeは4月11日にAdobe Reader（CVE-2026-34621）の緊急パッチを公開しており、こちらは2025年11月頃から悪用の痕跡があるとされる。ゼロデイを含む今月のパッチはいずれも早急な適用が推奨されている。

概要 Sonatypeは2026年第1四半期（Q1）のオープンソースマルウェア指標レポートを公開し、同期間に21,764件の悪意あるOSSパッケージが検出されたことを発表した。2017年以降の累計検出数は134万6,867件に達しており、現在も平均6分に1件のペースで新たな悪意あるパッケージが出現し続けている。今回のレポートで最も注目すべき知見は、攻撃者が新奇な手法よりも既存の「信頼」を悪用する「トラスト・アビューズ（Trust Abuse）」が最も成功率の高い攻撃ベクターとなっている点だ。 「信頼の悪用」が主流の攻撃手法に Sonatypeの共同創業者兼CTOであるBrian Foxは、「Q1における最大のオープンソース攻撃が成功したのは、手法が斬新だったからではなく、ソフトウェアライフサイクルにすでに組み込まれた信頼を悪用したからだ」と述べている。具体的な攻撃手法としては、信頼されたパッケージの直接的な侵害、確立されたリリースワークフローへの悪意あるコードの注入、そして既知のツールへのアクセス権限の乗っ取りが挙げられる。 実際の事例として、広く利用されているHTTPクライアントライブラリ「Axios」の侵害や、コンテナセキュリティツール「Trivy」および大規模言語モデルプロキシ「LiteLLM」のリリースワークフローへの悪意ある変更が報告されており、攻撃者が開発者に馴染みのある著名なOSSプロジェクトを標的にしていることが浮き彫りになった。 エコシステム別の脅威状況と攻撃目標 レジストリ別の分布では、npmが全体の75%（1日平均46件）を占め、下流への影響範囲の広さから最も多く悪用されるエコシステムとなっている。次いでPyPIが全体の18%を占め、他のレジストリは大幅に低い割合にとどまっている。 攻撃の主な標的は開発環境やCI/CDパイプラインであり、その目的はトークン・暗号化キー・クラウド認証情報といった再利用可能な秘密情報の窃取だ。悪意あるパッケージの行動を分析すると、ホスト情報の窃取が約4,900件（22%）、認証情報の盗取が約4,200件（19%）、二次ペイロード配信の準備が約3,500件（16%）となっている。これらのデータは、攻撃者が単なるマルウェアのばら撒きではなく、高価値な認証情報を狙った組織的な活動を行っていることを示している。 防御の取り組みと今後の展望 Sonatypeは自社のRepository Firewallを通じて、Q1だけで136,107件のオープンソースマルウェア攻撃を阻止したと報告している。同社はOSSエコシステムへの信頼が攻撃者にとって武器となっている現状を踏まえ、組織はサプライチェーンセキュリティの強化、特にCI/CDパイプラインへの厳格な検証プロセスの導入が急務であると警告している。OSSの利用が拡大し続ける中、単に著名なパッケージを使用するだけでは安全とは言えず、継続的な監視と自動化された防御機構の整備が不可欠となっている。

概要 世界最大のオンライン旅行予約サービスBooking.comは2026年4月13日、悪意のある第三者が顧客の予約記録の一部に不正アクセスしたことを公式に確認した。流出した可能性のある情報は氏名、メールアドレス、電話番号、郵便住所、予約日程・宿泊施設の詳細、ならびにホテルとのメッセージ履歴など。同社はクレジットカードをはじめとする金融情報へのアクセスはなかったと明言しているが、影響を受けたユーザーの具体的な人数については明らかにしていない。 不正アクティビティを検出した直後に問題を「封じ込めた」と同社は説明しており、影響を受けた顧客へのメールによる個別通知をすでに開始している。また、既存および過去のすべての予約に紐づく予約PINコードがリセットされた。 攻撃手法と既知の被害 今回の侵入経路や具体的な攻撃手法については、Booking.comは詳細を公表していない。ただし過去の類似インシデント（2021年）との比較から、パートナー（ホテルスタッフ）のアカウントが侵害されるサプライチェーン型の攻撃が疑われている。2021年の事案ではオランダのデータ保護当局がBooking.comに対して475,000ユーロ（約7,100万円相当）の罰金を課しており、その際も宿泊施設スタッフのログイン情報を悪用した不正アクセスによって4,000人以上の顧客データ（一部クレジットカード情報を含む）が流出している。 流出した予約情報はすでに詐欺に悪用されている。Redditなどのコミュニティでは、本物の予約内容（日程・宿泊先・連絡先）を知った攻撃者によるWhatsAppフィッシングメッセージや偽カスタマーサポート電話の被害報告が相次いでいる。AIを活用した自然な文面で組み立てられた詐欺メッセージは見分けが難しく、実際に金銭被害が発生するケースも報告されている。 Booking.comの対応と利用者への注意点 同社の対応措置は以下の通り。 全予約PINのリセット: 既存・過去を問わずすべての予約PINを無効化・再発行 個別通知: 影響を受けた顧客へのメール送付 24時間多言語サポート: 不安を感じるユーザー向けのカスタマーサポートを強化 Booking.comは公式声明の中で、「メール・電話・WhatsApp・SMSを通じてカード情報の提供や異常な振込を求めることは絶対にない」と強調している。利用者は以下の点に注意が必要だ。 予約確認や返金を名目にカード情報や銀行振込を求めるメッセージには応じない 不審なリンクはクリックしない ホテルやカスタマーサポートを装う連絡（特にWhatsAppやSMS）は公式サイトの連絡先から真偽を確認する セキュリティ企業Talionの最高経営責任者Keven Knight氏は「世界最大の旅行予約サービスだけに、影響規模はかなり大きくなる可能性がある」と警告しており、詳細な情報開示が遅れるほどフィッシング・音声詐欺・身元詐欺のリスクが高まると指摘している。1億人以上のモバイルアプリユーザーを抱えるプラットフォームである以上、今後の影響範囲の全容開示と再発防止策の説明が求められる。

概要 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年4月14日、Fortinet・Microsoft・Adobe製品に存在する合計7件の脆弱性を「既知悪用脆弱性（KEV）カタログ」に追加した。いずれもCISAが悪用の証拠を確認したうえでKEVカタログに追加されたもので、BOD 22-01指令に基づき連邦政府機関には迅速なパッチ適用が義務付けられている。ただし、一部の脆弱性については公開された悪用報告がまだ確認されていない。最も緊急性が高いFortinet製品の脆弱性については修正期限が4月16日と極めて短く設定されており、民間組織に対しても早急な対応が強く推奨されている。 追加された脆弱性の詳細 今回追加された7件の脆弱性は以下のとおりである。 CVE番号 製品 脆弱性の種類 CVSSスコア 修正期限 CVE-2026-21643 Fortinet FortiClient EMS SQLインジェクション 9.1 4月16日 CVE-2023-21529 Microsoft Exchange Server 信頼できないデータの逆シリアル化 8.8 4月27日 CVE-2026-34621 Adobe Acrobat/Reader プロトタイプポリューション 8.6 4月27日 CVE-2023-36424 Microsoft Windows (Common Log File System Driver) 境界外読み取り 7.8 4月27日 CVE-2025-60710 Microsoft Windows Host Process 不適切なシンボリックリンク処理 7.8 4月27日 CVE-2020-9715 Adobe Acrobat Reader 解放後使用（Use-After-Free） 7.8 4月27日 CVE-2012-1854 Microsoft Office VBA 安全でないライブラリ読み込み（DLLハイジャック） 7.8 4月27日 なかでもCVE-2026-21643（Fortinet FortiClient EMS）はCVSSスコア9.1と最も深刻度が高く、認証不要のリモート攻撃者がHTTPリクエストを細工するだけでSQLインジェクションを通じて任意コードを実行できる。悪用は2026年3月24日以降に確認されており、他の脆弱性より11日も早い修正期限が設けられた。 注目される脅威：Medusaランサムウェアとの関連 CVE-2023-21529（Microsoft Exchange Server）は、認証済み攻撃者が信頼できないデータを逆シリアル化することでリモートコード実行を可能にする脆弱性である。この脆弱性はすでに脅威アクターStorm-1175によって武器化されており、Medusaランサムウェアの配信に活用されていることが確認されている。Exchange Serverはインターネットに直接公開されているケースも多く、悪用の広がりが懸念される。 ...

概要 Eclipse Foundationは、VS Code互換プラットフォーム向け拡張機能レジストリ「Open VSX Registry」のセキュリティを強化するため、「セキュリティ研究者認定プログラム（Security Researcher Recognition Program）」を正式に発表した。このプログラムは、脆弱性の責任ある開示（Responsible Disclosure）を奨励しつつ、世界中のセキュリティ研究者による貢献を公式に表彰することを目的としている。 Open VSX Registryは直近で月間ダウンロード数3億件を突破し、AIネイティブIDEを含む多数の開発者プラットフォームにとって重要なインフラとなっている。Eclipse FoundationのエグゼクティブディレクターであるMike Milinkovichは「Open VSXは現代の開発者プラットフォームにとって重要なインフラであり、悪意ある行為者にとってますます魅力的なターゲットになっている」とコメントし、プロアクティブなセキュリティ対策の必要性を強調した。 プログラムの仕組みと参加対象 プログラムの核心は、脆弱性を安全に報告するための透明性のある経路の整備だ。報告した研究者は「Security Hall of Fame（セキュリティ殿堂）」への掲載という形で公式に表彰されるほか、影響度に応じてデジタルバッジ、証明書、グッズなどが授与される。金銭的な報奨金（バグバウンティ）ではなく、認知・表彰を重視した設計となっている点が特徴的だ。 参加対象は独立したセキュリティ研究者、学術機関、セキュリティコンサルタント会社、オープンソースコントリビューター、そして実際にエコシステムリスクを発見した開発者と幅広い。 背景：拡張機能レジストリへのサプライチェーン攻撃リスク 拡張機能レジストリはサプライチェーン攻撃の標的として注目されており、攻撃者が悪意あるコードを正規パッケージに紛れ込ませて開発環境を侵害するリスクが高まっている。今回の取り組みは、外部の目を活用することでそうしたリスクへの対処能力を高めようとするものだ。Eclipse Foundationはベンダーニュートラルなガバナンスのもとでオープンソースインフラの持続可能性を重視しており、本プログラムはその姿勢を具体的に示した施策といえる。

概要 Vercelは2026年4月8日、Next.js v16.2.3をリリースした。本リリースはセキュリティ修正とバグ修正のバックポートに特化したもので、カナリアブランチの新機能は含まない。最大の変更点は、React Server ComponentsのApp RouterにおけるDoS脆弱性（CVE-2026-23869）の修正であり、Next.js 13.x〜16.xを利用するプロジェクトのすぐさまアップグレードが推奨されている。 CVE-2026-23869の詳細 CVE-2026-23869はCVSSスコア7.5（高）と評価されたDoS（Denial of Service）脆弱性で、App RouterのServer Functionエンドポイントに影響する。攻撃者が特定の細工を施したHTTPリクエストをServer Functionエンドポイントへ送信すると、デシリアライズ処理中にCPUを過剰消費させることができ、正規ユーザーへのサービス停止を引き起こす可能性がある。 影響を受けるバージョンはNext.js 13.x・14.x・15.x・16.xと広範で、修正済みバージョンはNext.js 15.5.15以降および16.2.3以降となる。Vercelのホスティング環境ではWAF（Webアプリケーションファイアウォール）ルールによる自動保護も実施されているが、公式アドバイザリはプラットフォーム側の保護のみに依存せず、パッチ済みバージョンへの即時アップグレードを強く求めている。 その他のバグ修正 セキュリティ修正に加え、v16.2.3では以下の不具合も修正されている。 ISRエラー報告の修正: onRequestErrorを通じてアプリページが古いISR再検証エラーを正しく報告するよう改善された。 HMRの不具合修正: Next.js 16.2で発生していたmanifest.tsが原因のHMR（Hot Module Replacement）停止バグが解消された。 出力アセットの重複排除: ビルド時の出力アセットの重複を排除し、コンテンツ競合を検出する仕組みが追加された。 styled-jsxの競合状態修正: 並行レンダリング時にスタイルが失われる競合状態が修正された。 turbo-tasks-backendの安定性向上: タスクキャンセルおよびエラーハンドリングに関する安定性修正が含まれる。 対応のポイント App Routerを使用しているすべてのNext.jsプロジェクトがCVE-2026-23869の影響範囲に入るため、早急なアップグレードが必要だ。Self-hosted環境ではVercelのWAF保護が適用されないため、特にバージョンアップが急務となる。v16.2.3への更新はnpm install next@16.2.3または各パッケージマネージャーの相当コマンドで実施できる。