セキュリティSolarWinds WHD連鎖攻撃の全貌 ── CVE-2025-40551デシリアライゼーション脆弱性と多段階RCEの技術解析2026年2月に実害が相次いだSolarWinds Web Help Desk(WHD)の脆弱性連鎖を、CVE-2025-40551(信頼されないデータのデシリアライゼーション)を起点に、CloudflareトンネルやDCSyncに至る攻撃チェーンとして整理し、防御の優先順位を提示する。2026.02.16伊東雄歩
セキュリティReact Server Components第三波脆弱性の教訓 ── CVE-2026-23864が暴露したRSCシリアライゼーション層の構造的欠陥2025年12月から2026年1月にかけて、React Server Components(RSC)で3波にわたる脆弱性が公表された。CVE-2026-23864(CVSS 7.5)は認証不要でメモリ枯渇やCPU過負荷を誘発し得るDoSであり、前回修正の不完全さが追加対応を招いた。本稿はRSCのシリアライゼーション設計に内在するリスクを技術的に分析し、運用側の防御策を整理する。2026.02.168分伊東雄歩
セキュリティSmarterMail RCE攻撃の全貌 ── CVE-2026-24423がランサムウェアの新たなイニシャルアクセス経路となった構造的要因SmarterMailの認証不要RCE(CVE-2026-24423)は、ConnectToHub APIの認証欠如と外部接続フローが直結していたことが原因である。KEV入りしたこの欠陥を技術解析し、オンプレメールサーバーがランサムウェア初期侵入点になり続ける構造要因と実務対策を整理する。2026.02.15伊東雄歩
セキュリティMicrosoft Patch Tuesday 2026年2月版の衝撃 ── 6件同時ゼロデイ攻撃(CVE-2026-21510/21533/21519)が示すWindows防御の構造的課題2026年2月のPatch Tuesdayで同時修正された6件のゼロデイ脆弱性(Windows Shell、RDS、DWM、Word、MSHTML)を技術的に解析。CVE-2026-21510のセキュリティ機能バイパスとCVE-2026-21533のRDS特権昇格を中心に、攻撃チェーン構築手法とエンタープライズ防御の限界を論じる。2026.02.1511分伊東雄歩
セキュリティCVE-2026-20700 Apple dyldゼロデイの全貌 ── 商用スパイウェアが悪用したメモリ破壊脆弱性とiOS防御の限界Apple dyldのメモリ破壊脆弱性CVE-2026-20700が商用スパイウェアによる標的型攻撃で悪用された。WebKitゼロデイとの三段階エクスプロイトチェーン、商用スパイウェア業界の動向、iOS市場シェア68%の日本への影響を分析する。2026.02.1413分伊東雄歩
セキュリティCVE-2026-21510連鎖攻撃の全貌 ── SmartScreenバイパス×RDS特権昇格で実現した米加標的攻撃の技術解析2026年2月Patch Tuesdayで修正された6つのゼロデイのうち、CVE-2026-21510(SmartScreenバイパス)とCVE-2026-21533(RDS特権昇格)の連鎖攻撃を技術解析。ワンクリック侵入からSYSTEM権限取得まで、完全環境掌握を可能にする攻撃チェーンの詳細と多層的防御設計を解説する。2026.02.14伊東雄歩
セキュリティOperation CYBER GUARDIANの全貌 ── UNC3886によるシンガポール通信4社同時標的と国家レベルサイバー防衛の教訓2025年7月18日に検知されたシンガポール通信4社への同時攻撃。CSAが2026年2月9日に公表したOperation CYBER GUARDIANを起点に、UNC3886の戦術像と通信インフラ防御の設計原則を一次情報中心に整理する。2026.02.14伊東雄歩
