セキュリティPayload CMS SQLインジェクションCVE-2026-25544の教訓 ── Next.jsヘッドレスCMSのDrizzleアダプタが抱えていたCVSS 9.8の構造的欠陥Payload CMSのDrizzle ORMアダプタにCVSS 9.8のSQLインジェクション脆弱性(CVE-2026-25544)が発覚。JSON/richTextフィールド経由で認証不要のデータ窃取・アカウント乗っ取りが可能だった攻撃メカニズムと、ヘッドレスCMS選定時のセキュリティ評価基準を解説する。2026.02.1512分伊東雄歩
セキュリティCrazyHunterランサムウェアの技術解析 ── BYOVDカーネル攻撃とセキュリティソフト無力化で台湾医療機関を壊滅させたステルス戦術の全貌台湾医療機関を襲ったCrazyHunterは、脆弱ドライバzam64.sysを持ち込むBYOVDでカーネル権限を得てEDR/AVを停止し、GPO横展開の後に暗号化を実行した。公開情報から攻撃連鎖と防御策を整理する。2026.02.159分伊東雄歩
セキュリティディープフェイク注入攻撃の産業化 ── ダークウェブ「詐欺スーパーストア」がAI活性検知を突破できない理由と、突破される日への備えLexisNexisの最新調査でダークウェブの詐欺フォーラムがAI活性検知(血流・微細筋運動スキャン)の突破に苦戦している実態が判明した一方、仮想カメラを介したディープフェイク注入攻撃は前年比704%増加。Gartnerは2026年末までに企業の30%が単体IDV/認証を信頼できなくなると予測する。攻防の技術的詳細とエンタープライズKYCの再設計を解析する。2026.02.1512分伊東雄歩
セキュリティMicrosoft Patch Tuesday 2026年2月版の衝撃 ── 6件同時ゼロデイ攻撃(CVE-2026-21510/21533/21519)が示すWindows防御の構造的課題2026年2月のPatch Tuesdayで同時修正された6件のゼロデイ脆弱性(Windows Shell、RDS、DWM、Word、MSHTML)を技術的に解析。CVE-2026-21510のセキュリティ機能バイパスとCVE-2026-21533のRDS特権昇格を中心に、攻撃チェーン構築手法とエンタープライズ防御の限界を論じる。2026.02.1511分伊東雄歩
セキュリティCVE-2026-20700 Apple dyldゼロデイの全貌 ── 商用スパイウェアが悪用したメモリ破壊脆弱性とiOS防御の限界Apple dyldのメモリ破壊脆弱性CVE-2026-20700が商用スパイウェアによる標的型攻撃で悪用された。WebKitゼロデイとの三段階エクスプロイトチェーン、商用スパイウェア業界の動向、iOS市場シェア68%の日本への影響を分析する。2026.02.1413分伊東雄歩
セキュリティFIRST 2026 CVE予測が示す年間59,000件時代 ── 脆弱性管理の構造的限界とリスクベース優先順位付けへの転換FIRSTが2026年のCVE登録件数を59,427件と予測し、史上初の年間5万件超えが確実視されている。NVDのバックログ拡大、CVEプログラムのガバナンス危機、そしてリスクベース優先順位付けへの転換を分析する。2026.02.1412分伊東雄歩
セキュリティCVE-2026-21510連鎖攻撃の全貌 ── SmartScreenバイパス×RDS特権昇格で実現した米加標的攻撃の技術解析2026年2月Patch Tuesdayで修正された6つのゼロデイのうち、CVE-2026-21510(SmartScreenバイパス)とCVE-2026-21533(RDS特権昇格)の連鎖攻撃を技術解析。ワンクリック侵入からSYSTEM権限取得まで、完全環境掌握を可能にする攻撃チェーンの詳細と多層的防御設計を解説する。2026.02.1413分伊東雄歩
セキュリティIvanti EPMM ゼロデイ連鎖の全貌 ── CVE-2026-1281が欧州委員会とオランダ政府を同時侵害したMDM攻撃の教訓Ivanti EPMMの認証前RCE(CVE-2026-1281/1340)が欧州委員会とオランダの機関に波及。MDMをTier0として守る設計・運用原則を整理する。2026.02.1411分伊東雄歩
セキュリティOperation CYBER GUARDIANの全貌 ── UNC3886によるシンガポール通信4社同時標的と国家レベルサイバー防衛の教訓2025年7月18日に検知されたシンガポール通信4社への同時攻撃。CSAが2026年2月9日に公表したOperation CYBER GUARDIANを起点に、UNC3886の戦術像と通信インフラ防御の設計原則を一次情報中心に整理する。2026.02.149分伊東雄歩
セキュリティCISA BOD 26-02の衝撃 ── EOSエッジデバイス排除命令が突きつけるネットワーク境界の構造的再構築CISAが2026年2月5日に発出したBOD 26-02は、連邦機関に対してサポート終了エッジデバイスの90日以内棚卸しと1年以内置換を義務化。APTによるEOSルーター・VPN・ファイアウォール悪用の実態と、民間企業にも波及するエッジデバイスライフサイクル管理の設計原則を解析する。2026.02.1411分伊東雄歩
セキュリティAI生成コード24%時代のAppSecブラインドスポット ── 62%が脆弱性を含むコードの「正しさの幻想」と組織的対策AI生成コードが本番コードの24%を占め始めた今、AppSecの盲点は「脆弱性検出」よりも「見た目は正しいが制御フローが壊れている」設計欠陥に移る。62%に欠陥が残るという調査を踏まえ、可視化とガードレールで組織的に抑え込む。2026.02.1410分伊東雄歩
セキュリティClaude Desktop Extensions RCE脆弱性の全貌 ── DXT無サンドボックス実行とプロンプトインジェクション連鎖が示すAIデスクトップ統合の構造的リスクLayerXが発見したCVSS 10.0のゼロクリックRCE脆弱性を起点に、DXTアーキテクチャの権限分離設計の欠如、公式拡張3件のコマンドインジェクション(CVSS 8.9)、MCPエコシステム全体の攻撃面を技術解析。Googleカレンダー経由でローカルコード実行に至る攻撃チェーンと、AIデスクトップ統合における構造的リスクを詳説する。2026.02.148分伊東雄歩
