セキュリティFortiClient EMS CVE-2026-35616ゼロデイ連鎖の全貌 ── API認証バイパスで実現した非認証RCEとエンドポイント管理基盤の構造的脆弱性2026年4月4日に公開されたFortiClient EMSのCritical脆弱性CVE-2026-35616を技術解析し、API認証・認可バイパスから非認証RCEへ至る構造、Chrome CVE-2026-5281とTrueConf CVE-2026-3502を含む同時期の攻撃面拡大、そして管理プレーン防御の実装優先順位を整理する。2026.04.06伊東雄歩
セキュリティChrome CVE-2026-5281ゼロデイ連鎖の衝撃 ── WebGPU Dawn脆弱性が全Chromium系ブラウザに波及、CISA KEV指定が示す2026年4月攻撃面の構造転換2026年3月31日に公開されたChromeのCVE-2026-5281(Dawnのuse-after-free、野生利用確認)を起点に、WebGPU共通実装がChromium系全体へ波及する構造的脅威を分析する。CISA KEV登録(2026-04-01)と期限(2026-04-15)、TrueConf CVE-2026-3502連鎖(2026-04-02追加)を重ね、4月のゼロデイ攻撃面の転換点を整理する。2026.04.0410分伊東雄歩
セキュリティCoruna iOS Exploit Kit 23脆弱性連鎖の衝撃 ── 米軍事請負業者L3Harris製ツールが監視→スパイ→金銭目的へ拡散した商用ゼロデイの産業構造分析Google脅威インテリジェンスが公開したCoruna Exploit Kitは、iOS 13〜17.2.1を標的とする23脆弱性・5チェーン構成の大規模攻撃基盤。米軍事請負業者L3Harris Trenchant製造のツールが、元責任者Peter Williamsによるロシアへの売却を経て、ウクライナ標的攻撃から中国の金銭目的サイバー犯罪へと拡散した商用ゼロデイの産業構造を地政学的観点から分析する。2026.04.0321分伊東雄歩
セキュリティ2026年2月サイバー攻撃面の構造転換 ── Microsoft 6件ゼロデイ連鎖・Chrome CVE-2026-2441・RDP CVE-2026-21533が示す「45日間野生利用」の常態化Microsoft 2026年2月Patch Tuesdayで修正された6件のゼロデイ脆弱性と、CVE-2026-21533が48日間野生で悪用され続けた「パッチラグ」の構造的課題をテクノロジーの視点から分析。SmartScreen×MSHTML連鎖、DWM特権昇格、Chrome CVE-2026-2441の攻撃チェーンを技術解析し、ゼロトラスト防御設計への移行要求を提示する。2026.02.2717分伊東雄歩
セキュリティChrome CVE-2026-2441とDell RecoverPoint認証情報ハードコード脆弱性 ── 2026年2月サイバー攻撃面の構造分析2026年2月、Microsoft月例の6件ゼロデイに続き、Google Chrome(CVE-2026-2441)とDell RecoverPoint for VMs(CVE-2026-22769)でも野生利用が確認された。本稿はuse-after-free悪用とハードコード認証情報からのroot持続化を比較し、CISA KEV追加の意味とゼロデイ前提の防御実装を整理する。2026.02.239分伊東雄歩
セキュリティCVE-2026-21533特権昇格連鎖の全貌 ── Windows Remote Desktop経由でAdministrator追加を実現したサービス構成キー改ざん攻撃の技術解析2026年2月Patch Tuesdayで修正されたCVE-2026-21533(CVSS 7.8)の攻撃チェーンをテクノロジー視点で技術解析。TermServiceレジストリキーのACL不備を悪用したサービス構成キー改ざん、SYSTEM権限取得からAdministrator追加に至る4段階の攻撃フロー、CrowdStrikeが観測した45日間のゼロデイ悪用の実態を検証する。2026.02.2011分伊東雄歩
セキュリティMicrosoft 2026年2月緊急パッチの全貌 ── 6件のゼロデイ悪用確認とCVE-2026-21533が示す攻撃者の戦術変化2026年2月Patch Tuesdayで修正された6件のゼロデイ脆弱性を法律の視点から分析。CVE-2026-21533の45日間潜伏、BOD 22-01の法的拘束力、善管注意義務との関係、日本の個人情報保護法・会社法との接点を解説する。2026.02.208分伊東雄歩
セキュリティCVE-2026-21510とMSHTML Framework攻撃の連鎖 ── クリックだけでセキュリティ警告を迂回する「サイレント実行」ゼロデイの脅威2026年2月Patch Tuesdayで修正された6件の悪用済みゼロデイのうち、CVE-2026-21510(Windows Shell)とCVE-2026-21513(MSHTML Framework)は、1クリックで警告を回避し得る共通構造を持つ。本稿は両者を「サイレント実行」ベクターとして解析し、企業の検知・対応戦略を再設計する。2026.02.198分伊東雄歩
セキュリティMicrosoft Patch Tuesday 2026年2月版の衝撃 ── 6件同時ゼロデイ攻撃(CVE-2026-21510/21533/21519)が示すWindows防御の構造的課題2026年2月のPatch Tuesdayで同時修正された6件のゼロデイ脆弱性(Windows Shell、RDS、DWM、Word、MSHTML)を技術的に解析。CVE-2026-21510のセキュリティ機能バイパスとCVE-2026-21533のRDS特権昇格を中心に、攻撃チェーン構築手法とエンタープライズ防御の限界を論じる。2026.02.1511分伊東雄歩
セキュリティCVE-2026-20700 Apple dyldゼロデイの全貌 ── 商用スパイウェアが悪用したメモリ破壊脆弱性とiOS防御の限界Apple dyldのメモリ破壊脆弱性CVE-2026-20700が商用スパイウェアによる標的型攻撃で悪用された。WebKitゼロデイとの三段階エクスプロイトチェーン、商用スパイウェア業界の動向、iOS市場シェア68%の日本への影響を分析する。2026.02.1413分伊東雄歩
セキュリティCVE-2026-21510連鎖攻撃の全貌 ── SmartScreenバイパス×RDS特権昇格で実現した米加標的攻撃の技術解析2026年2月Patch Tuesdayで修正された6つのゼロデイのうち、CVE-2026-21510(SmartScreenバイパス)とCVE-2026-21533(RDS特権昇格)の連鎖攻撃を技術解析。ワンクリック侵入からSYSTEM権限取得まで、完全環境掌握を可能にする攻撃チェーンの詳細と多層的防御設計を解説する。2026.02.1413分伊東雄歩
セキュリティIvanti EPMM ゼロデイ連鎖の全貌 ── CVE-2026-1281が欧州委員会とオランダ政府を同時侵害したMDM攻撃の教訓Ivanti EPMMの認証前RCE(CVE-2026-1281/1340)が欧州委員会とオランダの機関に波及。MDMをTier0として守る設計・運用原則を整理する。2026.02.1411分伊東雄歩
