セキュリティニュース日報 2026-04-19

脆弱性

Critical flaw in Protobuf library enables JavaScript code execution

2026-04-19 00:09 JST ／ BleepingComputer ／ LOW

要約: Google’s Protocol BuffersのJavaScript実装であるprotobuf.jsに、リモートコード実行を可能にする重大な脆弱性が発見された。PoC（概念実証）エクスプロイトコードがすでに公開されている。

なぜ重要か: protobuf.jsは非常に広く使われているライブラリであり、PoCの公開により実際の攻撃への転用が容易になっている。影響範囲が極めて広い。

影響: protobuf.jsを利用するJavaScript/Node.jsアプリケーション全般がリモートコード実行のリスクにさらされる。

次のアクション: 利用している protobuf.js のバージョンを確認し、ベンダーが提供する修正バージョンへ速やかにアップデートする。依存関係スキャンツールで影響範囲を把握すること。

事故・インシデント

Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

2026-04-18 15:01 JST ／ The Hacker News ／ LOW

要約: Fortinet FortiGuard Labs および Palo Alto Networks Unit 42 の調査により、脅威アクターがTBK DVRおよびサポート終了（EoL）TP-Link Wi-FiルーターのCVE-2024-3721（CVSSスコア: 6.3、コマンドインジェクション）を悪用し、Mirai変種「Nexcorium」をデプロイしてDDoSボットネットを構築していることが判明した。

なぜ重要か: EoLデバイスへのパッチ適用が困難なため、IoT機器を標的とするボットネット形成は継続的な脅威となる。実際の侵害・悪用が確認されている点が重要。

影響: TBK DVRおよびEoL TP-Linkルーターを利用している組織・個人がボットネットに組み込まれ、DDoS攻撃のインフラとして悪用される恐れがある。

次のアクション: 該当デバイスをネットワークから隔離または交換する。EoLデバイスの利用状況を棚卸しし、サポートされる製品への移行計画を立てる。ファイアウォールで管理インターフェースへの外部アクセスを遮断する。

$13.74M Hack Shuts Down Sanctioned Grinex Exchange After Intelligence Claims

2026-04-18 16:59 JST ／ The Hacker News ／ LOW

要約: 英米両国から制裁を受けていたキルギスタン登記の暗号資産取引所Grinexが、1,374万ドル相当の暗号資産が盗まれたとして運営を停止した。同取引所は外国情報機関の関与を主張しているが、詳細は不明。

なぜ重要か: 制裁対象の取引所が攻撃を受け閉鎖に至った事例として、地政学的要因と暗号資産セキュリティの交差点を示している。

影響: 取引所ユーザーは資産回収が困難な状況に置かれる。暗号資産取引所全般に対するサイバー攻撃リスクを再確認させる事例。

次のアクション: 取引所を利用する場合はコールドウォレットへの資産退避を検討する。制裁リストや規制状況を確認し、利用する取引所の信頼性を定期的に評価する。

業界動向

[Webinar] Eliminate Ghost Identities Before They Expose Your Enterprise Data

2026-04-18 17:07 JST ／ The Hacker News ／ LOW

要約: 2024年のクラウド侵害の68%はフィッシングや弱いパスワードではなく、管理されていない非人間アイデンティティ（サービスアカウント、APIトークン、AIエージェント接続、OAuthグラント）が原因だったというデータが示された。従業員1人あたり40〜50の自動認証情報が存在し、プロジェクト終了や退職後も放置されるケースが多い。

なぜ重要か: 非人間アイデンティティの管理不足はクラウドセキュリティの重大な盲点であり、攻撃者の主要な侵入経路となっている。

影響: 未管理のサービスアカウントやAPIキーが長期間有効なままとなり、データ漏洩や不正アクセスのリスクが高まる。

次のアクション: 組織内の非人間アイデンティティ（サービスアカウント・APIトークン・OAuthグラント）の棚卸しを実施し、不要なものは速やかに無効化・削除する。IAMガバナンスポリシーを見直す。

Tesla brings its robotaxi service to Dallas and Houston

2026-04-19 06:37 JST ／ TechCrunch ／ LOW

要約: Teslaがロボタクシーサービスをダラスおよびヒューストンに拡大した。車内に人間のモニターやドライバーを乗せない形での運行開始が発表された。

なぜ重要か: 自律走行車の商業展開が加速しており、AIと物理インフラのセキュリティに関する課題が今後表面化する可能性がある。

影響: 自律走行システムへのサイバー攻撃リスクや、プライバシー上の懸念が高まる。

次のアクション: 自律走行・コネクテッドビークル分野のセキュリティ動向を継続的にモニタリングする。

AI chip startup Cerebras files for IPO

2026-04-19 04:19 JST ／ TechCrunch ／ LOW

要約: AIチップスタートアップのCerebrasがIPOを申請した。AWSとのデータセンター向けチップ供給契約、およびOpenAIとの100億ドル超とされる取引を締結済みであることが明らかになっている。

なぜ重要か: AI半導体市場への新規参入と資金調達の活発化は、AI計算インフラの多様化と競争を促進し、セキュリティ面での新たな検討事項をもたらす。

影響: AIインフラ供給チェーンの変化は、依存するサービスのセキュリティ評価にも影響する。

次のアクション: AIインフラ選定時にサプライチェーンリスクを考慮する。

Anthropic’s relationship with the Trump administration seems to be thawing

2026-04-18 23:56 JST ／ TechCrunch ／ LOW

要約: 国防総省からサプライチェーンリスクに指定されたにもかかわらず、AnthropicはTrump政権の高官との対話を継続していることが報じられた。

なぜ重要か: AI企業と政府機関の関係は、AI規制や輸出管理の方向性に影響を与えるため、セキュリティポリシーの観点から注目に値する。

影響: AI規制の枠組みや政府調達に関するポリシーが変化する可能性がある。

次のアクション: 米国のAI規制動向を引き続き注視する。

The App Store is booming again, and AI may be why

2026-04-18 22:00 JST ／ TechCrunch ／ LOW

要約: Appfiguresの新データによると、2026年に入って新規アプリのリリースが急増しており、AIツールの普及がモバイルソフトウェアブームを牽引している可能性が示された。

なぜ重要か: AIを活用したアプリの急増は、レビューが不十分な悪意あるアプリやサプライチェーンリスクの増大につながる恐れがある。

影響: エンタープライズのモバイルアプリ管理（MAM）やアプリのセキュリティ審査の重要性が増す。

次のアクション: 組織内で利用するモバイルアプリの審査プロセスを強化し、AI生成コードを含むアプリのリスク評価を行う。

Sam Altman’s project World looks to scale its human verification empire. First stop: Tinder.

2026-04-18 07:34 JST ／ TechCrunch ／ LOW

要約: Sam AltmanのWorldプロジェクト（旧Worldcoin）が、Orbを用いた匿名本人確認サービスをTinderなど複数の新パートナーシップを通じて拡大しようとしている。

なぜ重要か: 生体認証による人間認証の大規模展開は、プライバシーと認証情報の集中管理に関する新たなリスクをもたらす。

影響: 生体データの大規模収集・管理に伴うプライバシーリスクおよびデータ漏洩時の影響が拡大する。

次のアクション: 生体認証を利用するサービスの採用にあたっては、データ保護方針と法令遵守状況を慎重に評価する。

Once close enough for an acquisition, Stripe and Airwallex are now going after each other

2026-04-18 14:20 JST ／ TechCrunch ／ LOW

要約: かつて買収交渉まで行ったStripeとAirwallexが、異なる地域・顧客層で住み分けていた状況から一転、正面から競合するようになった背景が報じられた。

なぜ重要か: フィンテック大手の競合激化は、決済インフラの変化を通じて金融セキュリティの観点から注目される。

影響: 企業が利用する決済プラットフォームの選定や切り替えに伴う移行リスクが生じる可能性がある。

次のアクション: 利用する決済サービスのセキュリティ認証（PCI DSS等）とSLAを定期的に確認する。

VC Ron Conway says he has a ‘rare form of cancer’

2026-04-19 05:00 JST ／ TechCrunch ／ LOW

要約: シリコンバレーの著名VCであるRon Conwayが希少ながんを患っていることを公表し、一部活動を縮小するものの、SV Angel支援のスタートアップへのサポートは継続すると表明した。

なぜ重要か: セキュリティへの直接的な関連は低いが、シリコンバレーの投資エコシステムの変動として参考情報。

影響: SV Angel投資先スタートアップへの短期的な影響が生じる可能性がある。

次のアクション: 特になし。

製品・サービス更新

NAKIVO v11.2: Ransomware Defense, Faster Replication, vSphere 9, and Proxmox VE 9.0 Support

2026-04-18 22:45 JST ／ BleepingComputer ／ MEDIUM

要約: NAKIVO Backup & Replication v11.2がリリースされた。ランサムウェア耐性の強化を主眼に置いており、VMware vSphere 9およびProxmox VE 9.0/9.1への対応、AWS S3・Azure Blob・Wasabiへのイミュータブルバックアップ、リカバリ前マルウェアスキャン、エアギャップストレージ（テープ・USB）、OAuth 2.0によるGoogle Workspace/Microsoft 365との認証統合などが追加された。

なぜ重要か: ランサムウェア対策の柱であるバックアップ・リストア機能の強化は、16,000超の組織やMSPにとって直接的な防御力向上につながる。vSphere 9/Proxmox VE 9移行期のタイミングに合わせたリリースである点も重要。

影響: NAKIVO利用組織はランサムウェア被害時の復旧オプションが拡充され、認証セキュリティも向上する。vSphere 9やProxmox VE 9への移行計画がある組織に特に関連する。

次のアクション: v11.2へのアップグレードを計画する。イミュータブルバックアップおよびエアギャップストレージの導入可否を検討し、OAuth 2.0メール通知設定を更新する。

Microsoft Teams right-click paste broken by Edge update bug

2026-04-18 23:11 JST ／ BleepingComputer ／ LOW

要約: Microsoftは、最近のMicrosoft Edgeブラウザのアップデートが原因で、Microsoft Teamsデスクトップクライアントのチャット内での右クリックペースト機能が動作しなくなるバグを警告した。

なぜ重要か: 大企業での広範な利用を考えると、業務効率への影響は大きい。ブラウザ更新がデスクトップアプリの動作に影響を与える依存関係リスクを示す事例でもある。

影響: Teams利用者の作業効率が低下する。特にチャット経由での情報共有が多い組織で影響が顕著。

次のアクション: Microsoftから提供される修正パッチやワークアラウンド（キーボードショートカット Ctrl+V の利用など）を適用する。修正版Edgeのリリースを待ってアップデートする。

本日のキーワード