セキュリティMicrosoft 2026年2月ゼロデイ6件の連鎖 ── CVE-2026-21533 RDP特権昇格が米加企業を標的にした攻撃の全貌Microsoftの2026年2月Patch Tuesdayで、悪用済みゼロデイ6件が同時修正された。CVE-2026-21533(RDP特権昇格)を軸に、SmartScreenバイパス、MSHTML、Word緩和策回避を組み合わせた複合攻撃の実態と、防御設計の優先順位を一次情報ベースで整理する。2026.02.1611分伊東雄歩
セキュリティSolarWinds WHD連鎖攻撃の全貌 ── CVE-2025-40551デシリアライゼーション脆弱性と多段階RCEの技術解析2026年2月に実害が相次いだSolarWinds Web Help Desk(WHD)の脆弱性連鎖を、CVE-2025-40551(信頼されないデータのデシリアライゼーション)を起点に、CloudflareトンネルやDCSyncに至る攻撃チェーンとして整理し、防御の優先順位を提示する。2026.02.16伊東雄歩
セキュリティReact Server Components第三波脆弱性の教訓 ── CVE-2026-23864が暴露したRSCシリアライゼーション層の構造的欠陥2025年12月から2026年1月にかけて、React Server Components(RSC)で3波にわたる脆弱性が公表された。CVE-2026-23864(CVSS 7.5)は認証不要でメモリ枯渇やCPU過負荷を誘発し得るDoSであり、前回修正の不完全さが追加対応を招いた。本稿はRSCのシリアライゼーション設計に内在するリスクを技術的に分析し、運用側の防御策を整理する。2026.02.168分伊東雄歩
セキュリティAI IDEが新たな攻撃面に ── GitHub Copilotのコマンドインジェクション脆弱性と開発環境セキュリティの転換点CVE-2026-21256/21516の2件のCVSS 8.8コマンドインジェクション脆弱性を中心に、GitHub Copilotおよび主要AI IDEに広がる構造的なセキュリティリスクと対策を分析する。2026.02.155分伊東雄歩
セキュリティAI脆弱性発見の産業化 ── HacktronがBeyondTrust CVE-2026-1731をAIで発見した「バリアント分析」の技術と倫理2026年2月、BeyondTrustのRemote SupportおよびPRAにおいてCVSS 9.9の脆弱性CVE-2026-1731が発見された。この発見を成し遂げたのは、AIセキュリティ企業Hacktron AIが開発した「バリアント分析」技術である。AIが脆弱性を自律的に発見する時代が現実のものとなりつつある今、防御側と攻撃側の双方にとって、ゲームのルールが根本から変わろうとしている。2026.02.15伊東雄歩
セキュリティGPT-5.3-Codexの二面性 ── 初の「サイバーセキュリティ高リスク」AIコーディングモデルがもたらす攻防の非対称性OpenAIが2026年2月5日にリリースしたGPT-5.3-Codexは、同社初の「サイバーセキュリティ高リスク」分類を受けたAIコーディングモデル。エージェント型コーディング能力が攻撃自動化の閾値に達し、攻撃コスト低下と防御の複雑化という非対称性を生み出している。Trusted Access for Cyberなど防御側アクセス制御設計と、AI規制における能力ベース・実証ベース規制の緊張関係を技術解析する。2026.02.1512分伊東雄歩
セキュリティSmarterMail RCE攻撃の全貌 ── CVE-2026-24423がランサムウェアの新たなイニシャルアクセス経路となった構造的要因SmarterMailの認証不要RCE(CVE-2026-24423)は、ConnectToHub APIの認証欠如と外部接続フローが直結していたことが原因である。KEV入りしたこの欠陥を技術解析し、オンプレメールサーバーがランサムウェア初期侵入点になり続ける構造要因と実務対策を整理する。2026.02.15伊東雄歩
セキュリティ自律AIバグハンターの台頭 ── XBOWがHackerOne首位、CAIがCTF人間超えを達成した2026年のセキュリティ検証革命2025年、XBOWはHackerOneで上位実績を公表し、CAI(Cybersecurity AI)はCTFで人間を上回る速度と順位を示した。2026年の論点は「AIが見つけられるか」ではなく「見つかり続ける世界をどう運用設計するか」である。2026.02.15伊東雄歩
セキュリティPayload CMS SQLインジェクションCVE-2026-25544の教訓 ── Next.jsヘッドレスCMSのDrizzleアダプタが抱えていたCVSS 9.8の構造的欠陥Payload CMSのDrizzle ORMアダプタにCVSS 9.8のSQLインジェクション脆弱性(CVE-2026-25544)が発覚。JSON/richTextフィールド経由で認証不要のデータ窃取・アカウント乗っ取りが可能だった攻撃メカニズムと、ヘッドレスCMS選定時のセキュリティ評価基準を解説する。2026.02.1512分伊東雄歩
セキュリティCrazyHunterランサムウェアの技術解析 ── BYOVDカーネル攻撃とセキュリティソフト無力化で台湾医療機関を壊滅させたステルス戦術の全貌台湾医療機関を襲ったCrazyHunterは、脆弱ドライバzam64.sysを持ち込むBYOVDでカーネル権限を得てEDR/AVを停止し、GPO横展開の後に暗号化を実行した。公開情報から攻撃連鎖と防御策を整理する。2026.02.15伊東雄歩
セキュリティディープフェイク注入攻撃の産業化 ── ダークウェブ「詐欺スーパーストア」がAI活性検知を突破できない理由と、突破される日への備えLexisNexisの最新調査でダークウェブの詐欺フォーラムがAI活性検知(血流・微細筋運動スキャン)の突破に苦戦している実態が判明した一方、仮想カメラを介したディープフェイク注入攻撃は前年比704%増加。Gartnerは2026年末までに企業の30%が単体IDV/認証を信頼できなくなると予測する。攻防の技術的詳細とエンタープライズKYCの再設計を解析する。2026.02.1512分伊東雄歩
セキュリティMicrosoft Patch Tuesday 2026年2月版の衝撃 ── 6件同時ゼロデイ攻撃(CVE-2026-21510/21533/21519)が示すWindows防御の構造的課題2026年2月のPatch Tuesdayで同時修正された6件のゼロデイ脆弱性(Windows Shell、RDS、DWM、Word、MSHTML)を技術的に解析。CVE-2026-21510のセキュリティ機能バイパスとCVE-2026-21533のRDS特権昇格を中心に、攻撃チェーン構築手法とエンタープライズ防御の限界を論じる。2026.02.1511分伊東雄歩
