セキュリティNext.js CVE-2025-55182大規模侵害の全貌 ── 766ホスト突破・認証情報窃取とReact Server Components攻撃面の構造的脆弱性CVSS 10.0のReact Server Components脆弱性CVE-2025-55182(React2Shell)を悪用したUAT-10608攻撃キャンペーンの技術分析。Flightプロトコルのデシリアライゼーション不備により766ホストが24時間で侵害され、AWS秘密鍵・Stripe APIキー・GitHubトークンを含む10,120ファイルが自動窃取された。NEXUS Listener C2基盤の構造とApp Router時代の防御設計を論じる。2026.04.0517分伊東雄歩
セキュリティCVE-2026-26144 Excel Copilot Agent情報漏洩の構造的脅威 ── ゼロクリックでAIエージェントが内部データを外部転送する「敵対的プロンプト×XSS連鎖」の防御設計CVE-2026-26144は、ExcelのXSS脆弱性とCopilot Agentモードの連鎖により、ゼロクリックでスプレッドシートの機密データを外部転送する新型攻撃を可能にする。CVSS 7.5ながらMicrosoftがCritical評価した構造的脅威の技術解析と多層防御設計を提示する。2026.03.2916分伊東雄歩
セキュリティAI生成コード24%時代のAppSecブラインドスポット ── 62%が脆弱性を含むコードの「正しさの幻想」と組織的対策AI生成コードが本番コードの24%を占め始めた今、AppSecの盲点は「脆弱性検出」よりも「見た目は正しいが制御フローが壊れている」設計欠陥に移る。62%に欠陥が残るという調査を踏まえ、可視化とガードレールで組織的に抑え込む。2026.02.1410分伊東雄歩
