セキュリティニュース日報

生成日時: 2026-04-15 07:00 JST 医療機器・ヘルスケアセキュリティ PMDA 医薬品・医療機器等安全性情報 No.428 公開 2026-04-14 12:00 JST ／ PMDA All ／ MEDIUM 要約: 日本の医薬品医療機器総合機構（PMDA）が安全性情報No.428を公開。抗てんかん薬における自動車運転・機械操作能力への影響に関する新たな警告、オラパリブ（腫瘍科薬）の安全性情報更新、コルヒチンを含む49製品の添付文書「使用上の注意」改訂が含まれる。 なぜ重要か: 医療機器・医薬品を扱う医療機関やヘルスケア組織は、規制当局の安全情報を適時に把握しなければ患者安全やコンプライアンスリスクを負う。 影響: 医療提供者・薬剤師は更新された添付文書を確認し、患者への説明や処方実務を見直す必要がある。 次のアクション: PMDA安全性情報No.428の全文を確認し、対象製品を使用している場合は院内手順を更新すること。 PMDA 電子データを活用した新薬審査情報の更新 2026-04-14 12:00 JST ／ PMDA All ／ LOW 要約: PMDAが電子データを活用した新薬審査に関する情報を更新。詳細な要約は提供されていないが、電子データ提出要件や審査ガイドラインの改訂が含まれるとみられる。 なぜ重要か: 新薬申請・審査プロセスの変更は製薬企業の申請戦略や電子データ管理体制に影響する。 影響: 新薬申請を準備中の組織は最新の審査要件を確認する必要がある。 次のアクション: PMDA公式サイトで更新内容を確認し、電子データ提出手順を見直すこと。 脆弱性 Patch Tuesday 2026年4月版 — 167件の脆弱性に対処、SharePointゼロデイを含む 2026-04-15 06:47 JST ／ Krebs on Security ／ HIGH 要約: Microsoftの2026年4月パッチチューズデーは167件の脆弱性に対処。SharePoint Serverゼロデイ（CVE-2026-32201、スプーフィング攻撃として悪用中）、Windows Defenderの権限昇格フロー「BlueHammer」（CVE-2026-33825、公開済み）、SQL ServerのRCE（CVE-2026-33120）が主要修正対象。さらにAdobe Reader RCE（CVE-2026-34621、2025年から悪用）とGoogle Chromeゼロデイ（CVE-2026-5281）の緊急パッチも同時提供。 なぜ重要か: SharePointとChrome両方にゼロデイが含まれ、企業環境で広く利用されるソフトウェアへの現在進行形の攻撃が確認されている。複数ソース（BleepingComputer、SANS ISC等）でも確認された高信頼性情報。 影響: SharePoint Serverを公開しているOrganization、Adobe Reader・Google Chromeを利用する全ユーザー、SQL Serverを使用するエンタープライズ環境が特に高リスク。 次のアクション: 今週中にMicrosoft・Adobe・Googleの全パッチを適用すること。CVE-2026-32201（SharePoint）とCVE-2026-5281（Chrome）は積極悪用が確認されているため最優先で対応。 ...

医療機器・ヘルスケアセキュリティ PMDA-ATC ファーマコビジランスセミナー2026 レポート公開 2026-04-13 12:00 JST ／ PMDA All ／ LOW 要約: PMDA-ATCが開催した医薬品安全対策（ファーマコビジランス）セミナー2026の報告書が公開された。 なぜ重要か: 規制当局主催の安全対策セミナー資料は、医療機器・医薬品業界のコンプライアンス要件や最新の安全対策基準の把握に直接活用できる。 影響: 医薬品・医療機器メーカーおよびヘルスケア事業者の安全管理体制に対する規制的期待値の把握に関わる。 次のアクション: 医療機器・医薬品関連の規制対応担当者はレポートを確認し、ファーマコビジランスの最新動向を自社体制に反映する。 PMDA-ATC Eラーニングコース 2026年度コンテンツ公開 2026-04-13 12:00 JST ／ PMDA All ／ LOW 要約: PMDAトレーニングセンター（ATC）が2026年度のEラーニングコースコンテンツを公開した。医療機器・医薬品の国際規制調和に向けた教育リソース。 なぜ重要か: 日本の規制要件を理解するための公式教育コンテンツであり、国際的な規制対応能力の向上に活用できる。 影響: 医薬品・医療機器の規制対応・審査業務に携わる担当者の教育機会が拡充される。 次のアクション: 関連業務に携わる担当者はPMDA-ATCのEラーニングコースを活用し、規制知識を最新化する。 PMDA スタッフ最近の論文情報更新 2026-04-13 12:00 JST ／ PMDA All ／ LOW 要約: PMDAスタッフによる最新の論文・研究発表リストが更新された。医療機器・医薬品の承認審査や安全対策に関する研究成果が含まれる。 なぜ重要か: PMDAの研究動向を把握することで、今後の規制政策の方向性を先読みし、製品開発や申請戦略に反映できる。 影響: 医療機器・医薬品の承認申請や安全対策に携わる研究者・規制担当者に関連する。 次のアクション: 関連領域の担当者は最新論文リストを確認し、自社の研究・申請戦略への示唆を抽出する。 脆弱性 Adobe AcrobatおよびReaderのゼロデイ脆弱性（CVE-2026-34621）に緊急修正パッチ公開 2026-04-14 00:37 JST ／ BleepingComputer ／ HIGH 要約: AdobeはWindowsおよびmacOS上のAcrobat/Readerに影響するCVSS 8.6の重大なゼロデイ脆弱性（CVE-2026-34621）に対処するため、緊急セキュリティアップデート（APSB26-15）を公開した。この欠陥は2025年12月以降限定的に悪用されており、悪意あるPDFがサンドボックス制限を回避して特権JavaScriptAPIを呼び出すことを可能にする。ユーザーがドキュメントを開くだけで任意コード実行や機密ファイルの窃取が発生しうる。対象バージョンはAcrobat/Reader DC 26.001.21367以前。BleepingComputer、Dark Reading、IPA、SecurityWeek、The Hacker Newsの5媒体が報道。 なぜ重要か: ゼロデイとして既に悪用されている点、ユーザーの能動的な操作なしに（PDFを開くだけで）侵害が完結する点が特に深刻。Acrobat/Readerは法人・個人問わず広く使われているため影響範囲が極めて広い。 影響: Acrobat/Reader DC 26.001.21367以前を使用する全ユーザー・組織。任意コード実行による機密情報窃取、マルウェアインストールのリスク。 次のアクション: アプリ内の「Help → Check for Updates」から即座にバージョン26.001.21370へ更新する。EDR・メールゲートウェイでの悪意あるPDF検知ルールを確認・強化する。 ...

生成日時: 2026-04-13 07:00 JST 脆弱性 Adobe Patches Reader Zero-Day Exploited for Months 2026-04-12 16:45 JST ／ SecurityWeek, The Hacker News ／ HIGH 要約: AdobeはAcrobatおよびReaderに存在するゼロデイ脆弱性CVE-2026-34621（CVSS 9.6）に対する緊急パッチをリリースした。この脆弱性はプロトタイプ汚染（Prototype Pollution）に起因し、任意コード実行（RCE）およびサンドボックス脱出を可能にする。研究者Haifei Liが発見し、2025年11月以降にロシア語のルアーを使ったAPTグループが石油・ガスセクターを標的として悪用してきた。対象プラットフォームはWindows・macOS両方のAcrobat DC、Acrobat Reader DC、Acrobat 2024。 なぜ重要か: CVSS 9.6という最高水準の深刻度を持ち、数か月にわたり実環境で悪用されてきた実績のある脆弱性である。APTグループによる標的型攻撃が確認されており、PDF閲覧という日常的な操作だけでシステム侵害が成立する点が極めて危険。 影響: Adobe製品を使用する組織全体が対象。特に石油・ガス・エネルギーセクターでは既に標的型攻撃が展開されており、パッチ未適用環境では任意コード実行およびサンドボックス脱出によるシステム完全制御のリスクがある。 次のアクション: Adobe Acrobat DC / Acrobat Reader DC / Acrobat 2024（Windows・macOS）を直ちに最新版へアップデートする。自動更新が無効の環境では手動適用を優先する。エンドポイントのPDF閲覧ログを確認し、不審なPDFファイルのオープン履歴がないか調査する。 業界動向 Trump officials may be encouraging banks to test Anthropic’s Mythos model 2026-04-13 06:14 JST ／ TechCrunch ／ LOW 要約: 米国防総省がAnthropicをサプライチェーンリスクと宣言していたにもかかわらず、トランプ政権関係者が銀行業界に対してAnthropicの新モデル「Mythos」のテストを促している可能性があると報じられた。 なぜ重要か: 政府機関が同一のAI企業に対して相矛盾する評価を下している点が注目される。金融機関のAI導入において規制上・安全保障上の整合性をどう取るかという問題が浮き彫りになっている。 ...

生成日時: 2026-04-12 07:00 JST 事故・インシデント Over 20,000 crypto fraud victims identified in international crackdown 2026-04-11 23:20 JST ／ BleepingComputer ／ LOW 要約: 英国国家犯罪庁(NCA)主導の国際的な法執行作戦により、カナダ・英国・米国にわたる暗号資産詐欺の被害者2万人以上が特定された。 なぜ重要か: 暗号資産詐欺は国際的規模で拡大しており、複数国の法執行機関が連携する事案として、サイバー犯罪対応の進化を示す重要な事例。 影響: 被害者は個人の金融資産を喪失。詐欺グループの摘発により類似スキームへの抑止効果が期待される一方、被害回復は困難な場合が多い。 次のアクション: 暗号資産投資に関わるユーザーへの注意喚起を実施。不審な投資プラットフォームの利用を控えるよう社内・顧客向け啓発資料を更新する。 Sam Altman responds to ‘incendiary’ New Yorker article after attack on his home 2026-04-12 02:18 JST ／ TechCrunch ／ LOW 要約: OpenAI CEOのSam Altmanが自宅への攻撃を受け、同時期に掲載されたNew Yorkerの批判的記事に対してブログで反論を公開した。 なぜ重要か: AI業界のリーダーを標的とした物理的攻撃が発生しており、著名IT幹部を狙った脅迫・攻撃リスクが現実化していることを示す。 影響: 高プロファイルなAI企業幹部の物理的安全が脅かされており、セキュリティ担当者にとって幹部保護(Executive Protection)の重要性が再認識される。 次のアクション: 幹部の物理的セキュリティ対策(自宅警備、移動ルートの管理)を見直し、ソーシャルメディア上での幹部への脅迫・煽動的発言の監視を強化する。 規制・法令 Kalshi wins temporary pause in Arizona criminal case 2026-04-12 06:20 JST ／ TechCrunch ／ LOW 要約: 米商品先物取引委員会(CFTC)が、予測市場プラットフォームKalshiに対するアリゾナ州の刑事訴追手続きを一時停止させる仮差止命令を獲得した。 なぜ重要か: 連邦規制当局と州の刑事司法当局の管轄権争いが顕在化しており、フィンテック・予測市場に関する規制の枠組みに影響を与える先例となりうる。 影響: 予測市場プラットフォームの法的地位が明確化されるまでの間、類似サービスの運営は規制リスクを抱える。 次のアクション: 予測市場・金融デリバティブ関連サービスを提供する組織は、CFTCと州規制当局の動向を継続的に監視し、法務部門と連携して事業適法性を確認する。 ...

生成日時: 2026-04-11 08:30 JST 脆弱性 Can Anthropic Keep Its Exploit-Writing AI Out of the Wrong Hands? 2026-04-10 22:00 JST ／ Dark Reading ／ MEDIUM 要約: Anthropicは高度な推論能力と自律的なサイバーセキュリティ機能（エクスプロイトチェイニングを含む）を備えた最先端フロンティアAIモデル「Mythos」を発表。悪用リスクを考慮し、アクセスは「Project Glasswing」下の限定パートナーに限定。米連邦当局・大手銀行幹部との間でシステミックリスクに関する協議が行われた。 なぜ重要か: 攻撃的サイバー作戦の自動化を可能にするAIモデルが現実のものとなりつつあり、AIと高度サイバー攻撃の融合という新たな脅威の時代が始まりつつある。 影響: 複雑な脆弱性チェーンの自動探索・悪用が従来より大幅に低コスト・高速化される可能性があり、組織のパッチ対応サイクルへの圧力がさらに増す。 次のアクション: AI駆動攻撃に対応した脅威モデルの更新、ゼロデイ対応プロセスの見直し、Anthropicおよび政府のガイドラインに注目する。 Google Rolls Out Cookie Theft Protections in Chrome 2026-04-10 16:50 JST ／ SecurityWeek ／ MEDIUM 要約: GoogleはChrome向けに「Device Bound Session Credentials (DBSC)」を展開。セッションクッキーをTPM等のハードウェアに暗号的にバインドすることで、インフォスティーラー型マルウェアによるクッキー窃取を無効化する。Chrome 146のWindowsユーザーから開始され、Microsoftと共同策定のオープンWeb標準として実装。 なぜ重要か: セッションハイジャック攻撃の主要手法であるクッキー窃取に対して、ソフトウェアのみに依存しないハードウェアベースの防御が導入される重要なセキュリティ強化。 影響: Chrome 146以降を利用するWindowsユーザーのアカウント乗っ取りリスクが大幅に低減。企業環境でのTPM有効化の重要性が改めて高まる。 次のアクション: 社内Chrome展開ポリシーの更新、TPM有効化状況の確認、DBSC対応ブラウザへの計画的アップグレードを検討する。 Analysis of one billion CISA KEV remediation records exposes limits of human-scale security 2026-04-10 23:01 JST ／ BleepingComputer ／ MEDIUM 要約: Qualysによる10億件のCISA KEVパッチ適用レコードの分析により、従来型セキュリティモデルの構造的限界が明らかになった。組織はチケット処理数を6.5倍に増やしているにもかかわらず、重大脆弱性の63%が7日後も未パッチのまま残存。「Time-to-Exploit」は平均マイナス7日に短縮し、脆弱性公開前から悪用が始まる事態が常態化している。 なぜ重要か: パッチ適用の努力量は増加しているにもかかわらず実効性が追いつかず、人間スケールの防御がゼロデイ前後の攻撃速度に根本的に対応できなくなっている実態を示す。 影響: 脆弱性管理プロセスをAI・自動化に移行しなければ、攻撃者との速度差は今後も拡大し続ける。リスク優先度付けの再設計が急務。 次のアクション: CISA KEVリストに基づいた優先パッチ適用の自動化、ゼロデイ前対応のための「Risk Mass」指標導入を検討する。 ...

生成日時: 2026-04-10 07:00 JST 医療機器・ヘルスケアセキュリティ Healthcare IT solutions provider ChipSoft hit by ransomware attack 2026-04-10 04:46 JST ／ BleepingComputer ／ MEDIUM 要約: オランダの医療IT企業ChipSoftがランサムウェア攻撃を受け、Sint Jans GasthuisやFlevo Hospitalなど複数の病院で電子患者サービスに深刻な障害が発生した。同社のHiXプラットフォーム、患者ポータル、Webサイトがオフラインとなった。攻撃グループは不明で、患者データの流出有無も現時点では確認されていない。 なぜ重要か: 医療情報システムへのランサムウェア攻撃は直接的な患者ケアの中断につながる。ChipSoftのHiXは複数病院で使用されるミッションクリティカルなシステムであり、単一障害点となっていたことが露呈した。 影響: HiXプラットフォームを利用する病院での診療記録アクセス不能、患者ポータルのダウン、業務継続へのリスク。患者データ漏洩の可能性は調査中。 次のアクション: 同様の医療ITプロバイダーを利用している組織は業務継続計画（BCP）を見直し、オフラインバックアップの有効性を確認する。ネットワーク分離とエンドポイント検知・応答（EDR）の導入状況を点検すること。 GPL Odorizers GPL750 2026-04-09 21:00 JST ／ CISA ICS Advisories ／ LOW 要約: CISA ICSアドバイザリ。GPL Odorizers製GPL750（ガス管ガス付加装置）に認証欠如の重大な脆弱性（CVE-2026-4436、CVSS 8.6）が発見された。低権限のリモート攻撃者がModbusパケットを送信してレジスタ値を操作し、ガス管への付臭剤注入量を過剰または過少にできる。対象: GPL750 XL4 v1.0以降、XL4 Prime v4.0以降、XL7 v13.0以降、XL7 Prime v18.4以降。 なぜ重要か: 産業用制御システム（ICS/OT）のセキュリティ欠陥が物理的安全リスクに直結する典型例。ガス供給インフラへの影響はクリティカルインフラの安全性に関わる。 影響: 世界規模で展開されている装置に対し、認証なしでリモートから物理プロセスを操作される可能性がある。 次のアクション: 対象バージョンを使用している場合は、製造元のパッチまたは緩和策を適用する。Modbusアクセスをネットワーク層で制限し、OT/ITネットワークの分離を確認する。 Contemporary Controls BASC 20T 2026-04-09 21:00 JST ／ CISA ICS Advisories ／ LOW ...

医療機器・ヘルスケアセキュリティ Massachusetts hospital turning ambulances away after cyberattack 2026-04-09 02:18 JST ／ Health-ISAC ／ LOW 要約: マサチューセッツ州の大規模病院システムがサイバー攻撃を受け、救急車の受け入れ停止とダウンタイム手順の発動を余儀なくされた。Health-ISACのCSO Errol Weissは、医療セクターを標的とした悪意ある活動が「持続的かつ高水準で継続している」と述べた。 なぜ重要か: 医療機関へのサイバー攻撃が患者の物理的安全に直接影響を及ぼしており、ヘルスケアセクター全体への脅威水準の高まりをHealth-ISACが公式に認識している。 影響: 救急患者の受け入れ停止により、患者ケアの継続性が途絶。同様のインフラを持つ病院では、類似攻撃への即時対策が求められる。 次のアクション: インシデント対応計画（ダウンタイム手順）の定期訓練を実施し、EMR・ネットワーク分離体制を再確認する。Health-ISACからの脅威情報共有チャネルを最新状態に保つ。 脆弱性 Anthropic’s Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems 2026-04-08 18:16 JST ／ The Hacker News ／ HIGH 要約: AnthropicはAI脆弱性研究モデル「Claude Mythos」と「Project Glasswing」を発表。同モデルはOpenBSDの27年前のバグやFFmpegの16年前の脆弱性を含む数千件のゼロデイ欠陥を自律的に発見した。4つの脆弱性を連鎖させたブラウザ攻撃や、サンドボックス脱出も自律実行可能と評価された。 なぜ重要か: AI主導の脆弱性発見がエキスパート人間を超えるレベルに達し、攻撃者がAIを活用することで既存の脆弱性管理サイクルが追いつかなくなるリスクが現実化しつつある。セキュリティ業界全体のパラダイム転換を示す。 影響: 長年見過ごされてきたレガシーシステムの脆弱性が大量発覚する可能性があり、パッチ管理・優先順位付けの負荷が急増する。医療機器を含む組み込みシステムも対象となりうる。 次のアクション: AI駆動の脆弱性スキャンツールの導入検討を開始する。自社のレガシーシステム棚卸しを実施し、高リスクコンポーネントに対するパッチ適用計画を策定する。 US Disrupts Russian Espionage Operation Involving Hacked Routers and DNS Hijacking 2026-04-08 19:54 JST ／ SecurityWeek ／ MEDIUM ...

医療機器・ヘルスケアセキュリティ Podcast: Phil Englert on Medical Device Cybersecurity 2026-04-07 23:31 JST ／ Health-ISAC ／ MEDIUM 要約: Health-ISACの医療機器セキュリティ担当VP フィル・エングラートが、ヘルスケアにおけるレガシー技術のサイバーリスク、FDAの医療機器サイバーセキュリティ要件に関する最新ガイダンスについて解説するポッドキャスト。 なぜ重要か: 医療機器のサイバーセキュリティは患者安全に直結し、レガシーシステムへの依存が業界全体のリスクを高めている。 影響: 医療機器メーカーおよびヘルスケア機関がFDA要件への対応を迫られており、未対応の場合は規制罰則と患者安全リスクが生じる。 次のアクション: FDAの最新ガイダンスを確認し、自組織の医療機器インベントリとパッチ適用状況を評価する。 Mitsubishi Electric GENESIS64 and ICONICS Suite products 2026-04-07 21:00 JST ／ CISA ICS Advisories ／ LOW 要約: Mitsubishi Electric の GENESIS64・ICONICS Suite製品（バージョン≤10.97.3）において、SQLサーバー認証情報が平文で保存される脆弱性（CVE-2025-14815、CVE-2025-14816、CVSS v3 8.8）が報告された。ローカル攻撃者がデータの開示・改ざん・破壊やDoSを引き起こす可能性がある。 なぜ重要か: 重要製造インフラに広く展開されるICSソフトウェアの認証情報漏洩は、工場制御システムへの不正アクセスにつながる。 影響: GENESIS64・ICONICSを使用する製造業の制御システムがデータ漏洩・改ざんリスクにさらされる。 次のアクション: 影響を受けるバージョンを確認し、ベンダーのパッチを適用する。パッチ適用前は、ネットワークアクセス制限と認証情報のローテーションを実施する。 脆弱性 Fortinet Releases Emergency Patch After FortiClient EMS Bug Is Exploited 2026-04-07 18:26 JST ／ Infosecurity Magazine ／ HIGH 要約: Fortinetは FortiClient EMS 製品にゼロデイ攻撃が発生したことを受け、緊急パッチをリリースした。 なぜ重要か: ゼロデイ脆弱性の積極的な悪用が確認されており、パッチ適用前から攻撃者に悪用されている状況は緊急対応を要する。 影響: FortiClient EMS を使用する組織がゼロデイ攻撃にさらされており、エンドポイント管理インフラの侵害リスクがある。 次のアクション: FortiClient EMS を直ちに最新バージョンへアップデートする。侵害指標（IoC）を確認し、異常なEMS接続がないかログを調査する。 ...

医療機器・ヘルスケアセキュリティ Shadow AI in Healthcare Is Here to Stay 2026-04-06 23:07 JST ／ Dark Reading ／ LOW 要約: 医療現場では業務負担の増大に対処するため、職員が非公認のAIツール（Shadow AI）を利用するケースが増えており、この傾向はもはや止められない状況にある。組織はセキュリティプロトコルの強化によってリスクの影響範囲を最小化することが求められる。 なぜ重要か: 医療機関における未承認AIツールの利用は、患者データの漏洩や規制違反につながるリスクがある。特に医療分野は個人情報保護規制が厳しく、HIPAA等への影響が大きい。 影響: 未管理のAIツールが患者データや内部情報を外部サービスに送信するリスク。医療機関のコンプライアンス違反につながる可能性。 次のアクション: 医療機関のCISOは従業員が利用しているAIツールの棚卸しを実施し、利用ポリシーの策定とAI利用に関するセキュリティ教育を優先すること。 脆弱性 Fortinet Issues Emergency Patch for FortiClient Zero-Day 2026-04-07 05:24 JST ／ Dark Reading ／ HIGH 要約: Fortinetは FortiClient EMS に存在する認証バイパスの脆弱性（CVE-2026-35616）に対して緊急パッチを発行した。本脆弱性は既に野外での悪用が確認されており、一連のFortinet製品の脆弱性悪用において最新のものとなる。 なぜ重要か: Fortinet製品は世界中の企業・政府機関に広く導入されており、認証バイパスは攻撃者が正規認証なしにシステムへアクセスできる重大な欠陥。積極的な悪用が確認されているため緊急対応が必要。 影響: 認証不要でFortiClient EMSへの不正アクセスが可能。内部ネットワークへの侵入起点となりうる。 次のアクション: FortiClient EMS の管理者は直ちに緊急パッチを適用すること。適用前はFortinet提供のホットフィックスで一時的な緩和措置を講じること。 Fortinet Rushes Emergency Fixes for Exploited Zero-Day 2026-04-06 18:37 JST ／ SecurityWeek ／ HIGH 要約: FortiClient EMS に存在する不適切なアクセス制御の脆弱性により、未認証の攻撃者がリモートから任意コードを実行できる。Fortinetは緊急修正を急いで提供している。 なぜ重要か: 未認証のRCE（リモートコード実行）は最高レベルの危険度を持つ脆弱性クラスであり、攻撃者はシステムを完全制御できる。既に悪用中のため即時対応が必要。 影響: 未認証攻撃者によるリモートコード実行が可能。システムの完全な乗っ取りリスク。 次のアクション: Fortinet提供の緊急修正を即刻適用すること。インターネットに露出しているFortiClient EMS インスタンスの有無を確認すること。 ...