雑記 CISA、Roundcubeの重大な脆弱性2件をKEVカタログに追加 ― 10年間潜伏していた致命的欠陥が実際に悪用される
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年2月20日、Roundcubeウェブメールソフトウェアに影響する2件のセキュリティ脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。いずれも実際の攻撃で悪用されている証拠が確認されており、Roundcubeを利用している...
雑記
雑記 
雑記 「Starkiller」:本物のログインページを中継してMFAも突破する新型フィッシングサービスの脅威
セキュリティジャーナリスト Brian Krebs が報じた新たなフィッシング・アズ・ア・サービス(PhaaS)「Starkiller」は、従来のフィッシングサイトとは一線を画す手法で認証情報と多要素認証(MFA)を同時に窃取する。本物のログインページをそのまま中継するため、見た目での判別がほぼ不可能であり、セキ...
雑記 Cline CLI 2.3.0にサプライチェーン攻撃──開発者のPCにOpenClawが無断インストールされた事件の全容
2026年2月17日、AIコーディングアシスタント「Cline CLI」のnpmパッケージが不正に改ざんされ、約4,000人の開発者のマシンに自律型AIエージェント「OpenClaw」が無断でインストールされる事件が発生した。サプライチェーン攻撃の手口と影響、そして今後の対策について詳しく解説する。 この記事の...
雑記 Superposition:どこからでもClaude Codeにアクセスできるオープンソースツール
Claude Codeをノートパソコン上で動かしたまま、外出先からでもアクセスしたい――そんな願いを叶えるオープンソースツール「Superposition」が、Reddit上で開発者のtrezm氏によって紹介されました。複数セッションの同時管理やGit Worktreeによるワークスペース分離など、実用的な機能を...
雑記 INTERPOL「レッドカード2.0作戦」:アフリカ16カ国のサイバー犯罪一斉摘発で651人逮捕、約6.5億円を回収
国際刑事警察機構(INTERPOL)が主導するサイバー犯罪撲滅作戦「レッドカード2.0」が、アフリカ16カ国の法執行機関の協力のもと実施され、651人の逮捕と430万ドル(約6.5億円)以上の資金回収という大きな成果を上げた。2025年12月8日から2026年1月30日にかけて行われたこの大規模作戦は、オンライン...
雑記 AI悪用の新時代:Androidマルウェア「PromptSpy」がGemini AIを操り自動で居座り続ける手口とは
サイバーセキュリティ企業ESETが、Google製の生成AI「Gemini」を実行フローの一部として悪用する史上初のAndroidマルウェア「PromptSpy」を発見しました。このマルウェアは、AIに画面情報を解析させて自動操作の指示を生成させるという、これまでにない手法で端末に居座り続けます。AI技術の進化が...
雑記 GrandstreamのVoIP電話にリモートコード実行の重大脆弱性、認証なしで乗っ取り可能
GrandstreamのGXP1600シリーズVoIP電話に、認証なしでリモートコード実行を許す深刻な脆弱性が発見されました。CVSSスコア9.3という極めて高い危険度を持つこの脆弱性は、企業のVoIP通信基盤に重大なリスクをもたらします。影響を受けるデバイスを使用している場合、ただちにファームウェアの更新が必要...
雑記 ケニア当局がセレブライト製ツールで活動家のスマホを解析――Citizen Labが証拠を発見
カナダ・トロント大学のCitizen Labが発表した新たな調査報告により、ケニア当局がイスラエル企業Cellebrite(セレブライト)製のフォレンジック抽出ツールを使用して、著名な民主化活動家のスマートフォンに侵入していたことが明らかになりました。商用スパイウェアや監視ツールが市民社会を標的にした最新の事例と...
雑記 Androidタブレットに潜むファームウェアバックドア「Keenadu」― 署名済みOTAアップデート経由で感染
Kaspersky(カスペルスキー)の最新調査により、Androidデバイスのファームウェアに深く埋め込まれた新たなバックドア「Keenadu」が発見されました。このバックドアはデバイスの製造段階、具体的にはファームウェアのビルドフェーズで仕込まれており、署名済みのOTA(Over-The-Air)アップデートを...
雑記 AIアシスタントがマルウェアの中継地点に?CopilotとGrokを悪用したC2プロキシ攻撃が実証される
サイバーセキュリティ研究者が、Webブラウジング機能を持つAIアシスタントを密かなC2(コマンド&コントロール)中継に転用できることを実証しました。Microsoft CopilotやxAIのGrokが標的となり、攻撃者が正規の企業通信に紛れ込んで検出を回避できる可能性が示されました。AIツールの利便性の裏に潜む...