World Security News

No.1 2026-07-18

クリティカルなWordPressコアの脆弱性により匿名ハッカーがリモートコード実行を可能に

新たに発表されたWordPressコアの脆弱性「wp2shell」は、認証なしでリモートコード実行(RCE)を可能にします。この脆弱性は、プラグインがインストールされていない標準のWordPressインストールに影響を与え、全世界で約5億のウェブサイトが影響を受ける可能性があります。問題はREST APIのバッチルートの混乱とSQLインジェクションの欠陥に…

このニュースのスケール度合い

9.5 /10

インパクト

9.0 /10

予想外またはユニーク度

8.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10
No.2 2026-07-18

EYデータ漏洩 - ハッカーが第三者ITサポートプラットフォームにアクセスしクライアントの税務書類を盗む

EY(アーンスト・アンド・ヤング)は、第三者のITサービス管理プラットフォームが不正アクセスを受け、クライアントの個人情報や財務情報を含む文書が流出したことを確認しました。この事件は2026年4月23日に発覚し、攻撃者は約2週間にわたりプラットフォーム内で活動していたとされています。EYは影響を受けたクライアントに通知を行い、24ヶ月間の信用監視サービスを…

このニュースのスケール度合い

7.5 /10

インパクト

8.0 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10
3 2026-07-18

新しいNadMeshボットネットが露出したAIサービスを狙う

新たに発見されたNadMeshボットネットは、露出したAIサービスを狙い、AWSキーやKubernetesトークンを収集しています。このボットネットは、特にComfyUIやOllamaなどのサービスをターゲットにしており、攻撃者は環境変数からクラウドキーを引き出すことを目的とし…

4 2026-07-18

OpenSSLのHollowByte脆弱性がサーバーメモリを凍結する可能性

OpenSSLに存在するHollowByte脆弱性は、11バイトのTLSリクエストを送信することで、未修正のOpenSSLサーバーが最大131KBのメモリを確保し、そのメモリがプロセスの再起動まで解放されないという問題です。この脆弱性はOktaのRed Teamによって発見され…

5 2026-07-18

Appleの大規模訴訟がOpenAIのIPO計画に影響を与える可能性

AppleがOpenAIに対して貿易秘密の訴訟を提起しました。この訴訟は、OpenAIのハードウェア責任者にまで及ぶ不正行為のパターンを主張しており、400人以上の元Apple社員がOpenAIに勤務しているとされています。OpenAIはIPOを計画している中で、この訴訟の影響…

Packet Pilot Magazine Vol.1

クリティカルなWordPressコアの脆弱性により匿名ハッカーがリモートコード実行を可能に

2026-07-18

新たに発表されたWordPressコアの脆弱性「wp2shell」は、認証なしでリモートコード実行(RCE)を可能にします。この脆弱性は、プラグインがインストールされていない標準のWordPressインストールに影響を与え、全世界で約5億のウェブサイトが影響を受ける可能性があります。問題はREST APIのバッチルートの混乱とSQLインジェクションの欠陥に起因しており、これにより完全なRCEが可…

EYデータ漏洩 - ハッカーが第三者ITサポートプラットフォームにアクセスしクライアントの税務書類を盗む

2026-07-18

EY(アーンスト・アンド・ヤング)は、第三者のITサービス管理プラットフォームが不正アクセスを受け、クライアントの個人情報や財務情報を含む文書が流出したことを確認しました。この事件は2026年4月23日に発覚し、攻撃者は約2週間にわたりプラットフォーム内で活動していたとされています。EYは影響を受けたクライアントに通知を行い、24ヶ月間の信用監視サービスを提供することを発表しました。今回の漏洩は…

新しいNadMeshボットネットが露出したAIサービスを狙う

2026-07-18

新たに発見されたNadMeshボットネットは、露出したAIサービスを狙い、AWSキーやKubernetesトークンを収集しています。このボットネットは、特にComfyUIやOllamaなどのサービスをターゲットにしており、攻撃者は環境変数からクラウドキーを引き出すことを目的としています。研究者によると、NadMeshは、Docker APIやJenkinsコンソールなどの脆弱なサービスを利用して…

OpenSSLのHollowByte脆弱性がサーバーメモリを凍結する可能性

2026-07-18

OpenSSLに存在するHollowByte脆弱性は、11バイトのTLSリクエストを送信することで、未修正のOpenSSLサーバーが最大131KBのメモリを確保し、そのメモリがプロセスの再起動まで解放されないという問題です。この脆弱性はOktaのRed Teamによって発見され、OpenSSLは6月に修正を行いましたが、CVE番号やアドバイザリーは発表されていません。HollowByteは、接続…

Appleの大規模訴訟がOpenAIのIPO計画に影響を与える可能性

2026-07-18

AppleがOpenAIに対して貿易秘密の訴訟を提起しました。この訴訟は、OpenAIのハードウェア責任者にまで及ぶ不正行為のパターンを主張しており、400人以上の元Apple社員がOpenAIに勤務しているとされています。OpenAIはIPOを計画している中で、この訴訟の影響が懸念されています。AI企業に対するデータの信頼性についても議論が広がっています。

悪意のある7つのVite npmパッケージがブロックチェーンC2を使用してRATを配信

2026-07-18

セキュリティ研究者は、Viteフロントエンドツールエコシステムを標的とした7つの悪意のあるnpmパッケージのクラスターを発見しました。この攻撃はソフトウェアサプライチェーン攻撃の一環であり、Checkmarxによって「ViteVenom」と名付けられました。攻撃者は、Tron、Aptos、Binance Smart Chainを利用した4層のブロックチェーンベースのコマンド・アンド・コントロール…

PatreonがAIボットのスクレイピングをブロック開始

2026-07-18

Patreonは、AIボットによるコンテンツのスクレイピングを防ぐため、Cloudflareと連携して直接ブロックする措置を講じました。これにより、AIモデルのトレーニングに無断で使用されることを防ぎ、クリエイターの権利を守ることを目指しています。従来のrobots.txtファイルによる制限から、より積極的なブロックへと方針を転換しました。これにより、AIボットのアクセス試行が大幅に減少したこと…

OfcomがTikTokの年齢推定システムに関する調査を開始

2026-07-18

イギリスの規制機関Ofcomは、TikTokがオンライン安全法に違反しているかどうかを調査するための手続きを開始しました。この調査は、TikTokの年齢推定システムが子供を正確に識別できていない可能性があることから、子供たちが有害なコンテンツにさらされるリスクがあるとの懸念から発表されました。Ofcomは、TikTokが法的義務を遵守しているかどうかを確認するために、約3か月間の情報収集を行い、…

ドイツ議会、連邦警察によるライブ顔認識の使用を承認

2026-07-18

ドイツの連邦警察は、特定の緊急事態において公共の場でライブ顔認識を使用する新たな権限を得ることが見込まれています。この変更は、AI法に沿った法的基盤を含む広範な規則の更新の一環として、ブンデスタクで承認されました。ライブ顔認識は、誘拐やテロリズムのような時間に敏感な調査の場合にのみ許可されることがEUのAI法で定められています。新しい規則は、連邦警察が国家や個人に対する緊急の危険がある場合にLF…

AppleとGoogleが「ヌディファイ」アプリをアプリストアから削除するよう命じられました

2026-07-18

サンフランシスコ市は、AppleとGoogleに対し、非同意のディープフェイクポルノを生成する「ヌディファイ」アプリをアプリストアから削除するよう命じました。カリフォルニア州の法律は、非同意の深層偽造ポルノの作成を助長する行為を犯罪としています。市の弁護士は、両社がこのようなアプリをホストし続けていることに対して警告を発しており、法的措置を取る可能性があると述べています。AppleとGoogle…