World Security News

No.1 2026-05-19

NYC Health + Hospitalsがハッカーによる医療データと指紋の盗難を発表

NYC Health + Hospitalsは、ハッカーによるデータ侵害が1.8百万人以上に影響を及ぼしたと発表しました。この侵害では、個人データ、医療記録、指紋スキャンが盗まれました。NYC Health + Hospitalsは、2025年11月から2026年2月までの間にハッカーがネットワークにアクセスしていたことを確認し、第三者のベンダーからの侵害…

このニュースのスケール度合い

8.5 /10

インパクト

9.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10
No.2 2026-05-19

Nx Console 18.95.0がVS Code開発者を狙った脆弱性

Nx Consoleのバージョン18.95.0が、Microsoft Visual Studio Code Marketplaceに公開された後、開発者の認証情報を盗むマルウェアに感染していることが報告されました。この拡張機能は220万以上のインストールがあり、開発者がワークスペースを開くと、隠された悪意のあるペイロードが実行され、認証情報が収集されます。…

このニュースのスケール度合い

8.5 /10

インパクト

9.0 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.5 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10
3 2026-05-19

Verizon DBIR 2026の主要な発見:脆弱性の修正が遅れ、悪用が加速

2026年のVerizonデータ侵害調査報告書(DBIR)では、脆弱性の悪用がデータ侵害の初期アクセスベクターとして急増し、修正率が悪化していることが明らかになりました。脆弱性の悪用は、調査期間中のデータ侵害の31%を占めており、セキュリティチームのパッチ作業は遅れをとっていま…

4 2026-05-19

OAuth同意がMFAを回避する新たなフィッシング手法

2026年2月、EvilTokensというフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが登場しました。このプラットフォームは、5カ国の340以上のMicrosoft 365組織を攻撃し、ユーザーが通常のMFAチャレンジを完了したと信じ込ませる手法を用いて、実際…

5 2026-05-19

PCI SSCがPCI PTS HSM v5.0を発表

PCI Security Standards Council(PCI SSC)は、PCI PINトランザクションセキュリティ(PTS)ハードウェアセキュリティモジュール(HSM)モジュラーセキュリティ要件の大幅な改訂版であるPCI PTS HSM v5.0を発表しました。この更…

Packet Pilot Magazine Vol.1

NYC Health + Hospitalsがハッカーによる医療データと指紋の盗難を発表

2026-05-19

NYC Health + Hospitalsは、ハッカーによるデータ侵害が1.8百万人以上に影響を及ぼしたと発表しました。この侵害では、個人データ、医療記録、指紋スキャンが盗まれました。NYC Health + Hospitalsは、2025年11月から2026年2月までの間にハッカーがネットワークにアクセスしていたことを確認し、第三者のベンダーからの侵害が原因であるとしています。特に、指紋やパ…

Nx Console 18.95.0がVS Code開発者を狙った脆弱性

2026-05-19

Nx Consoleのバージョン18.95.0が、Microsoft Visual Studio Code Marketplaceに公開された後、開発者の認証情報を盗むマルウェアに感染していることが報告されました。この拡張機能は220万以上のインストールがあり、開発者がワークスペースを開くと、隠された悪意のあるペイロードが実行され、認証情報が収集されます。開発者の機械が最近のセキュリティインシデ…

Verizon DBIR 2026の主要な発見:脆弱性の修正が遅れ、悪用が加速

2026-05-19

2026年のVerizonデータ侵害調査報告書(DBIR)では、脆弱性の悪用がデータ侵害の初期アクセスベクターとして急増し、修正率が悪化していることが明らかになりました。脆弱性の悪用は、調査期間中のデータ侵害の31%を占めており、セキュリティチームのパッチ作業は遅れをとっています。AIを活用したツールが脆弱性の発見と悪用の速度を高める中、組織は攻撃面を継続的に評価し、リスクを優先し、自動修正を行…

OAuth同意がMFAを回避する新たなフィッシング手法

2026-05-19

2026年2月、EvilTokensというフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが登場しました。このプラットフォームは、5カ国の340以上のMicrosoft 365組織を攻撃し、ユーザーが通常のMFAチャレンジを完了したと信じ込ませる手法を用いて、実際には有効なリフレッシュトークンを奪取しました。この攻撃は、OAuth同意画面が無意識にクリックされるようになったことが原…

PCI SSCがPCI PTS HSM v5.0を発表

2026-05-19

PCI Security Standards Council(PCI SSC)は、PCI PINトランザクションセキュリティ(PTS)ハードウェアセキュリティモジュール(HSM)モジュラーセキュリティ要件の大幅な改訂版であるPCI PTS HSM v5.0を発表しました。この更新は、現代の暗号化慣行、クラウドおよびマルチテナント展開、ポスト量子リスクなどの新たな脅威に対応する重要な進化を示してい…

米国の生体認証アクセス要求がEUビザ免除交渉を複雑化

2026-05-19

米国がEU加盟国の国家データベースに保存されている生体データへのアクセスを求めていることが、EUと米国の間で進行中の新たな国境安全保障フレームワークの交渉を複雑にしています。この提案は、ビザ免除プログラムの下での欧州人のビザなし旅行の未来やデータ保護、そして市民の自由に直接的な緊張をもたらしています。米国は指紋だけでなく、旅行者の審査に使用される広範な生体および身元記録へのアクセスを求めており、…

インターポールのラムズ作戦がMENAのサイバー犯罪ネットワークを撲滅

2026-05-19

インターポールは、中東および北アフリカ(MENA)地域において、初のサイバー犯罪撲滅作戦「ラムズ」を実施し、201人を逮捕しました。この作戦は、2025年10月から2026年2月にかけて、13カ国の協力により行われ、フィッシングやマルウェアの脅威を中和し、サイバー詐欺を取り締まることを目的としました。作戦の結果、3,867人の被害者が特定され、53台のサーバーが押収されました。特に、アルジェリア…

LinuxカーネルCVE-2026-31635のLPE脆弱性に対するDirtyDecrypt PoCが公開

2026-05-19

DirtyDecryptと呼ばれるLinuxカーネルの脆弱性CVE-2026-31635に対するPoC(Proof of Concept)が公開されました。この脆弱性は、ローカル特権昇格(LPE)を可能にするもので、特にCONFIG_RXGKが有効なディストリビューションに影響を与えます。ZellicとV12のセキュリティチームによって発見され、CVSSスコアは7.5と評価されています。Dirt…

生体認証旅行インフラがロンドンからドバイへ拡大

2026-05-19

世界中の政府や空港が、生体認証を用いた旅行システムを拡大しています。これは、増加する旅客数に対応し、国境やチェックポイントでの摩擦を減らすための取り組みです。特に、英国では子供向けのeゲートの利用拡大が発表され、台湾の台北松山空港ではOne ID顔認証システムが導入されました。また、日本はJESTAという新しい電子旅行認証システムを導入予定で、ドバイでは「レッドカーペット」スマートコリドーが注目…

Addi - 3453万件のアカウントが侵害されました

2026-05-19

2026年3月、コロンビアのフィンテック企業Addiは、プラットフォーム上で不正な活動を確認し、顧客に対して個人情報が侵害された可能性があると通知しました。その後、脅迫グループShinyHuntersが責任を主張し、Addiから取得したとされる大量の個人データを公開しました。このデータには、クレジットスコアのリクエストからの3400万件以上のユニークなメールアドレス、政府発行のID、推定収入、社…