Appleは「極めて高度な」iOS/macOSへの標的型攻撃にパッチを適用し、Microsoftはパッチチューズデーで6つの活発に悪用されるゼロデイに対処しました。一方、200万台のデバイスからなるボットネットがプライバシーネットワークを混乱させ、脅威アクターによる心理戦の戦術がエスカレートしています。
AppleのdyId(Dynamic Link Editor)にメモリ破損の欠陥があり、任意のコード実行が可能になります。Google TAGは「特定の標的個人に対する極めて高度な攻撃」で使用されていることを発見しました。
影響を受けるOS: iOS、iPadOS、macOS Tahoe、tvOS、watchOS、visionOS
| CVE | コンポーネント | 影響 |
|---|---|---|
| CVE-2026-21510 | Windows Shell | ワンクリックリンクでセキュリティをバイパス |
| CVE-2026-21513 | MSHTML | ブラウザエンジンバイパス |
| CVE-2026-21514 | Microsoft Word | ドキュメントベースのバイパス |
| CVE-2026-21533 | Remote Desktop | ローカル → SYSTEM権限への昇格 |
| CVE-2026-21519 | Desktop Window Manager | 権限昇格 |
| CVE-2026-21525 | Remote Access | VPN妨害 |
合計: 59件の脆弱性(5件が緊急、52件が重要)
| 組織 | レコード数 | 種類 |
|---|---|---|
| Odido(オランダの通信事業者) | 620万 | 顧客データ |
| ApolloMD Healthcare | 62.6万 | 患者記録 |
| Conduent → Volvo Group | 1.7万 | 従業員データ |
| Conpet(ルーマニアの石油会社) | 不明 | Qilinランサムウェア |
偽AIのChrome拡張機能: AIアシスタントを装い、30万回以上インストールされた30個の悪意のある拡張機能が認証情報を窃取しています。
AMOS Infostealer: AIブームサイクルを悪用した汚染されたAIアプリを介してmacOSユーザーが標的にされています。
モデル窃取の警告: Google GTIGは、ハッカーが正規のAPIアクセスを使用してAIモデルのロジックを抽出・複製していることを警告しています。
Scattered Lapsus ShinyHuntersグループは、ランサムウェアを超えて心理戦に進化しました:
専門家のアドバイス: 交渉せず、支払わない。
✅ リアルタイムCVE監視 — Microsoftの6つのゼロデイすべてを数時間以内にインデックス化
✅ パッチ優先度スコアリング — スタックに対するAI駆動型リスク評価
✅ サプライチェーンスキャン — 放棄された/ハイジャックされた依存関係を検出
✅ 継続的露出管理 — CTEMを持たない84%の組織より先を行く
安全を保ち、警戒を怠らず。
🗡️ KENSAIセキュリティチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →