Vulnerability– category –

「AIにコードの脆弱性を見つけさせる」という話は、これまでどこか半信半疑で聞いていた方も多いのではないでしょうか。検出はするけれど誤検知ばかりで、結局アラートを精査する人間の手間が増える――そんな経験をした現場は少なくありません。 そんな中、...

「またChromeの更新通知が出ているけれど、あとで再起動すればいいか」――そう思って先延ばしにしていませんか。今回のChrome 148の更新は、その「あとで」が思いのほか危ない種類のものです。 GoogleはChrome 148で、合計151件の脆弱性を修正しました。そ...

「APIサーバーには認証も付けているし、HTTPSにもしている。それで十分では？」 そう考えている現場は少なくありません。しかし、CORS（Cross-Origin Resource Sharing）の設定を一つ間違えるだけで、ブラウザの同一オリジンポリシーという強力な防壁をま...

「ファイルの権限を確認した直後に、その中身がすり替えられている」——そんな一瞬のスキを突く攻撃手法があります。 競合状態（Race Condition）は、複数のプロセスやスレッドがほぼ同時に同一リソースへアクセスすることで、プログラムが想定外の動作をす...

Linuxサーバーのセキュリティチェックを依頼されたとき、真っ先に確認する項目の一つがSUID/SGIDビットです。「何となく知っている」「設定はデフォルトのまま」というエンジニアの方が多い領域ですが、攻撃者はここを見逃しません。 ペネトレーションテス...

Palo Alto NetworksのPAN-OSを境界ファイアウォール／VPNゲートウェイとして使っている組織にとって、2026年5月13日のセキュリティアドバイザリ公開は無視できない一報でした。 クラウド認証サービスCloud Authentication Service（以降CAS）を有効にして...

2026年5月22日、Microsoft Threat Intelligenceが「エッジ機器から企業全体侵害へ：F5とConfluenceを介した多段Linux侵入」と題する詳細なインシデント分析を公開しました。 インターネットに公開されたF5 BIG-IPロードバランサ1台の侵害から、内部Conflue...

PHP/Laravelエコシステムを直撃するサプライチェーン攻撃が、2026年5月22日にAikidoの脅威インテリジェンスチームによって発覚しました。 日本のニュース系媒体では「Linuxマルウェア混入」と報じられた本件ですが、一次情報をたどると実態はクロスプラッ...

PostgreSQLバックエンドでDrupalを動かしているサイト管理者にとって、2026年5月下旬は緊張感のある一週間でした。 Drupalコアの「データベース抽象化API」にSQLインジェクション脆弱性が判明し、米CISAが2026年5月22日付で「悪用が確認された脆弱性カタロ...

「テンプレートエンジンを使っているから開発が速い──でも、入力値の扱いを一つ間違えると、サーバーを丸ごと乗っ取られる可能性がある」と聞いたことはあるでしょうか。 サーバーサイドテンプレートインジェクション（SSTI: Server-Side Template Injecti...