← ブログに戻る
セキュリティブリーフィング5分で読めます2026-05-01

セキュリティブリーフィング 2026年5月1日: CISAのWindows緊急命令、SAP/PyTorchサプライチェーン攻撃、cPanel 0-day、Copy Fail、Gemini CLI RCE

今朝の教訓は醜く、そして見慣れたものです。信頼されていた管理系や開発系の経路が汚染されると、攻撃者は洗練された手口すら不要になります。


Top line: 今朝重要なのは5件です。CISAはWindowsの迅速なパッチ適用を求め、サプライチェーン侵害はSAPのnpmパッケージからPyTorch Lightningとintercom-clientへ拡大し、cPanel認証回避への攻撃は継続中で、Linux Copy Failはroot取得コストを下げ、GoogleはGemini CLIの最大深刻度バグを修正しました。


1. CISAのWindowsパッチ命令は、これはもう「後回し可」の作業ではないことを示す

BleepingComputerによれば、CISAは実際に悪用されているWindows脆弱性をKEVに追加し、連邦機関へ期限付きの修正命令を出しました。シグナルは明快です。CISAが緊急対応を強制するなら、企業側は攻撃者がすでに実戦的な手口を持っていると見るべきです。


2. SAP npmだけでも十分深刻だったが、PyTorch Lightningでキャンペーン拡大が見えた

The Hacker Newsによると、4月30日に公開された悪意あるPyTorch Lightning 2.6.2と2.6.3は、SAP関連の公式npmパッケージを狙ったMini Shai-Huludと同じ活動に結び付いています。マルウェアはGitHub、npm、SSH、クラウド、Kubernetes、CIの秘密情報を狙います。影響を受けた開発端末やrunnerは、単なる依存関係障害ではなくインシデントです。


3. cPanelとWHMはまだ実戦モードのまま

BleepingComputerとThe Registerはいずれも、cPanel/WHMの認証回避を重大・悪用中・緊急パッチ級と報じています。コントロールパネルの欠陥は、Webサイト、メール、データベース、時にはホスティング基盤全体に直結します。


4. Copy Failは「ローカルのみ」が怠惰な優先度付けだとまた証明した

The RegisterとThe Hacker Newsは、Copy Fail(CVE-2026-31431)を、ささやかなfootholdを主要Linuxディストリでrootに変えうるLPEと説明しています。低信頼コードがローカル実行できるCI、共有サーバ、踏み台、共有カーネルコンテナでは特に重要です。


5. GoogleのGemini CLI修正はCVSS 10を塞ぐが、自動化を壊す可能性もある

The RegisterとThe Hacker Newsは、GoogleがGemini CLIと関連GitHub Actionsワークフローの最大深刻度コマンド実行欠陥を修正し、さらにCursorにもコード実行に至りうる問題があると報じています。運用上の面倒はあっても、ホストレベル実行経路を開けたままにするよりはましです。

今日やるべきこと

緊急Windowsを先にパッチし、侵害パッケージに触れた秘密情報をローテーションし、cPanelの穴を閉じ、ローカル実行が重要なLinuxカーネルを修正し、Gemini更新後のAI支援CIを再テストしてください。パターンは単純です。皆が安全だと思い込んでいる運用配管が攻撃されています。

情報源

  • BleepingComputer: CISAのWindows緊急パッチ命令。
  • BleepingComputerとThe Hacker News: SAP npm侵害とPyTorch Lightningへの波及。
  • BleepingComputerとThe Register: cPanel/WHM認証回避。
  • The RegisterとThe Hacker News: Copy Fail(CVE-2026-31431)。
  • The RegisterとThe Hacker News: GoogleのGemini CLI修正。