セキュリティNext.js CVE-2025-55182大規模侵害の全貌 ── 766ホスト突破・認証情報窃取とReact Server Components攻撃面の構造的脆弱性CVSS 10.0のReact Server Components脆弱性CVE-2025-55182(React2Shell)を悪用したUAT-10608攻撃キャンペーンの技術分析。Flightプロトコルのデシリアライゼーション不備により766ホストが24時間で侵害され、AWS秘密鍵・Stripe APIキー・GitHubトークンを含む10,120ファイルが自動窃取された。NEXUS Listener C2基盤の構造とApp Router時代の防御設計を論じる。2026.04.0517分伊東雄歩
セキュリティCoruna iOS Exploit Kit 23脆弱性連鎖の衝撃 ── 米軍事請負業者L3Harris製ツールが監視→スパイ→金銭目的へ拡散した商用ゼロデイの産業構造分析Google脅威インテリジェンスが公開したCoruna Exploit Kitは、iOS 13〜17.2.1を標的とする23脆弱性・5チェーン構成の大規模攻撃基盤。米軍事請負業者L3Harris Trenchant製造のツールが、元責任者Peter Williamsによるロシアへの売却を経て、ウクライナ標的攻撃から中国の金銭目的サイバー犯罪へと拡散した商用ゼロデイの産業構造を地政学的観点から分析する。2026.04.0321分伊東雄歩
セキュリティCVE-2026-26144 Excel Copilot Agent情報漏洩の構造的脅威 ── ゼロクリックでAIエージェントが内部データを外部転送する「敵対的プロンプト×XSS連鎖」の防御設計CVE-2026-26144は、ExcelのXSS脆弱性とCopilot Agentモードの連鎖により、ゼロクリックでスプレッドシートの機密データを外部転送する新型攻撃を可能にする。CVSS 7.5ながらMicrosoftがCritical評価した構造的脅威の技術解析と多層防御設計を提示する。2026.03.2916分伊東雄歩
セキュリティMicrosoft SQL Server CVE-2026-21262 特権昇格の構造的脅威 ── ゼロデイで一般ユーザーがsysadmin奪取、.NET DoS CVE-2026-26127連鎖が示す2026年3月攻撃面の産業化2026年3月Patch Tuesday(83件修正・2件ゼロデイ)の中核CVE-2026-21262は、SQL Serverのログインユーザーがsysadmin権限を奪取できる構造的欠陥。.NET DoS CVE-2026-26127、Excel Copilot情報漏洩CVE-2026-26144との攻撃チェーン・防御限界・緊急対応を分析する。2026.03.2816分伊東雄歩
