Episodes

  • #20260301 【週まとめ】自動化ツールやAIでRCEの嵐!

    #20260301 【週まとめ】自動化ツールやAIでRCEの嵐!
    Mar 1 2026
    今週1週間(2026年2月22日〜3月1日)の重要なセキュリティニュースをまとめて解説します。ワークフロー自動化ツールやAIツールでのリモートコード実行(RCE)、有名画像処理ライブラリの大量のメモリ破損、そしてWebサーバーのルーティングバイパスなど、非常にクリティカルな脆弱性が多数報告された1週間でした。 通勤時間や作業の合間に、ぜひ今週のトレンドをキャッチアップしてください。 ■ 1. ワークフロー自動化ツール「n8n」における多数の致命的な脆弱性 今週最も衝撃的だったのは、OSSのワークフロー自動化プラットフォーム「n8n」で報告された大量の脆弱性です。 ・SandboxエスケープによるRCE(CVE-2026-27495, CVE-2026-27494, CVE-2026-27577) ・SQLインジェクションやマージノードを悪用したRCE(CVE-2026-27497, CVE-2026-27498, CVE-2026-27578) ・Webhookの署名検証不備による偽装 ワークフローの作成権限を持つユーザーが、バックエンドのサーバーを完全に掌握できる状態になっていました。各種APIクレデンシャルが集まるシステムなだけに、早急なアップデートが必要です。 ■ 2. ImageMagickにおける大量のメモリ破損脆弱性 画像処理のデファクトスタンダードである「ImageMagick」で、多数のバッファオーバーフローやメモリリークが修正されました。 ・SVGやPSDなどのデコーダーにおけるInteger OverflowやOut of Bounds Read(CVE-2026-25987, CVE-2026-25984 等) ・セキュリティポリシーのバイパス(CVE-2026-25966, CVE-2026-25965) ユーザーからの画像アップロードを受け付けているサービスは、DoS攻撃や情報漏洩のリスクが高まるため要注意です。 ■ 3. Webサーバー・フレームワークにおけるルーティングバイパスとSSRF ・Caddyのアクセス制御バイパス:ホストリストが100件を超えたり、URLにパーセントエンコードが含まれたりすると、大文字小文字の区別や正規化が狂い、意図せずアクセス制御をすり抜けられる問題(CVE-2026-27588, CVE-2026-27587)。 ・GoFiberのトラバーサルとDoS:Windows環境での任意ファイル読み取り(CVE-2026-25891)やCookieによるメモリ枯渇(CVE-2026-25899)。 ・AstroのSSRF:エラーページレンダリング時のHostヘッダーインジェクションによるSSRF(CVE-2026-25545)。 ■ 4. AI・LLM関連ツールにおけるRCEとSSRF ・LangflowのCSV AgentにおけるRCE:危険なコード実行フラグがデフォルトで有効になっており、プロンプトインジェクションでOSコマンドが実行可能(CVE-2026-27966)。 ・LangGraphとLangChain:キャッシュ機構を通じたRCE(CVE-2026-27794)や、リダイレクト追跡を悪用したSSRF(CVE-2026-27795)。 ■ 5. インフラ・データベース管理ツールの脆弱性 ・Vitess:バックアップデータの改ざんによる本番環境へのRCE(CVE-2026-27965)。 ・Apache Airflow:DAG作成権限を持つユーザーによるWebサーバーコンテキストでのRCE(CVE-2024-56373)。 自社のシステムに該当するツールがないか、ぜひ確認してみてください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #週まとめ #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    4 mins
  • 【歴史解説】世界を揺るがしたLog4Shell事件

    【歴史解説】世界を揺るがしたLog4Shell事件
    Feb 28 2026
    ■ 今日の歴史解説 今日は、2021年の年末に世界中のITエンジニアを震撼させた脆弱性「Log4Shell(ログフォーシェル)」の事件を振り返ります。 ▼ 事件の概要 2021年12月、Java言語で開発されたアプリケーションにおいて、ログを出力するための標準的なライブラリ「Apache Log4j」に、極めて重大な脆弱性(CVE-2021-44228)が発見されました。 この脆弱性の深刻度を示すCVSSスコアは、10段階中で最高水準の「10.0(緊急)」。認証をすり抜けて、攻撃者が遠隔からサーバーを乗っ取ることができる「リモートコード実行(RCE)」の脆弱性でした。 Apple、Amazon、Twitterなどの巨大IT企業も影響を受け、世界中のサーバー管理者が週末を返上して対応に追われました。 ▼ なぜ起きたのか(技術的背景) 原因は、Log4jに組み込まれていた「JNDIルックアップ」という機能にありました。これは、ログに出力されるテキストの中に特定の文字列が含まれていた場合、外部のサーバーに問い合わせて情報を取得し、ログに展開する機能です。 攻撃者は、Webサイトの入力フォームや通信ヘッダーの中に、悪意のあるサーバーへ誘導する特殊な命令文を仕込みました。 システムがそれを「単なるログの記録」として保存しようとすると、Log4jが自動的にその命令文を読み解き、攻撃者の用意したプログラムをダウンロードして実行してしまうという仕組みでした。入力欄に文字列を打ち込むだけで攻撃が成立する、非常に恐ろしい仕様の穴でした。 ▼ 企業への影響と混乱 この事件が厄介だったのは「間接的な依存関係」です。 自分たちで直接Log4jをインストールした覚えがなくても、自社で使っている別のソフトウェアやライブラリが、その裏側で密かにLog4jを使っているケースが多発しました。 そのため、「自社のシステムに脆弱性が潜んでいるかどうかの調査」自体が極めて困難を極めたのです。 ▼ 今のエンジニアが学ぶべき教訓 この歴史的インシデントから、私たちが今の業務に活かせる教訓は以下の3つです。 (1) ソフトウェア部品表(SBOM)の導入 自分たちが開発・運用しているシステムが、どのような外部ライブラリの組み合わせでできているのかを一覧化し、常に把握しておくことが重要です。いざという時の初動スピードが全く変わります。 (2) 外部入力値の無条件な信頼をしない ユーザーが入力したテキストや通信データをそのままログに出力する行為にはリスクが伴います。入力されたデータを評価・実行しないような安全な設定や無害化が必要です。 (3) アウトバウンド通信の制限(多層防御) サーバーが外部のインターネットへ勝手に通信できないようにネットワーク側で制限をかけておけば、今回のように外部から不正なプログラムをダウンロードさせられる被害を防ぐことができました。アプリケーション内部だけでなく、インフラ層も含めた防御が重要です。 #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • 【歴史解説】愛の告白が世界を破壊?ILOVEYOU事件

    【歴史解説】愛の告白が世界を破壊?ILOVEYOU事件
    Feb 28 2026
    ■ 今日の歴史解説 今日は、2000年に世界中をパニックに陥れた「ILOVEYOU ウイルス」を振り返ります。技術的には単純な仕組みでありながら、なぜこれほど被害が拡大したのか?そこには現代にも通じる重要な教訓があります。 ▼ 何が起きた? ・2000年5月、フィリピン発のメールワームが発生 ・件名「ILOVEYOU」、添付ファイルを開くと感染 ・Outlookのアドレス帳にある全員へ自動拡散 ・被害総額は数十億ドル、CIAや国防総省もメール遮断 ▼ 技術的なポイント (1) VBScript (ブイビースクリプト) の悪用 Windows標準のスクリプト機能を使い、ファイル破壊やメール送信を実行しました。 (2) 拡張子の偽装トリック 「.txt.vbs」という二重拡張子を使用。当時のWindows設定では末尾の「.vbs」が隠れ、ただのテキストファイルに見える罠が仕掛けられていました。 (3) ソーシャルエンジニアリング 「愛の告白」という件名で人の心を揺さぶり、クリックさせる心理的な攻撃手法が使われました。 ▼ エンジニアへの教訓 ・「拡張子を表示しない」デフォルト設定の危険性 ・不要なスクリプト実行環境は無効化する(最小特権) ・「人はミスをする」前提でのシステム設計(EDR等の導入) 歴史を知ることは、未来の防御につながります。今日の業務でも、不審なファイルやデフォルト設定には気をつけましょう! #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • #20260228 VitessのRCEとn8nの認証回避

    #20260228 VitessのRCEとn8nの認証回避
    Feb 28 2026
    ■ 今日のハイライト 2026年2月28日、土曜日のセキュリティニュースです。 データベース、自動化ツール、Webフレームワークと幅広い分野で脆弱性が報告されています。 ▼ Vitess:バックアップ改ざんによるRCE ・識別子:CVE-2026-27965 ・概要:バックアップストレージへのアクセス権を持つユーザーが、マニフェストを操作してリストア時に任意コード実行が可能になる脆弱性。 ▼ n8n:Webhook偽造と認証バイパス ・Zendesk/GitHub Triggerでの署名検証不備 ・Chat Triggerでの認証回避 ・SSO強制設定のバイパス ※複数のCVEが報告されており、最新版への更新が推奨されます。 ▼ Webフレームワークの脆弱性 (1) Koa (CVE-2026-27959) ・Hostヘッダーインジェクションの脆弱性。 (2) Svelte (CVE-2026-27901, 27902) ・SSR時におけるXSS脆弱性。 ▼ その他のトピック ・Kubernetes Sealed Secretsのスコープ拡大問題 ・Fleet(MDM)におけるGoogleカレンダー認証情報の露出 #セキュリティ #エンジニア #ITニュース #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins
  • #20260227 Parse Server乗っ取り危機とAIライブラリの脆弱性

    #20260227 Parse Server乗っ取り危機とAIライブラリの脆弱性
    Feb 26 2026
    ■ 今日のハイライト 本日は、認証基盤やAI開発ライブラリに関する緊急性の高いセキュリティニュースをお届けします。 ▼ CVE-2026-27804:Parse Serverのアカウント乗っ取り Google認証を利用しているParse Server環境において、JWTのアルゴリズム混同攻撃により、認証なしで任意のユーザーになりすまし可能な脆弱性が発覚しました。 ・影響:Google認証を有効にしている全環境 ・対策:パッチ適用済みバージョンへの更新 ▼ CVE-2026-27795 / 27794:LangChainエコシステムの脆弱性 AI開発で人気のLangChainおよびLangGraphに脆弱性です。 (1) LangChain Community:リダイレクト処理を悪用したSSRFにより、内部ネットワークへのアクセスが可能。 (2) LangGraph:キャッシュ処理におけるデシリアライズ不備により、リモートコード実行(RCE)のリスク。 ▼ n8nにおける複数のRCE脆弱性 ワークフロー自動化ツールn8nにて、サンドボックス回避によるコード実行の脆弱性が複数報告されています(CVE-2026-27577等)。権限を持つユーザーが悪意のあるワークフローを作成することでサーバーの制御を奪われる可能性があります。 #セキュリティ #エンジニア #ITニュース #ParseServer #LangChain #n8n Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins
  • #20260226 Caddy認証回避とImageMagick大量修正

    #20260226 Caddy認証回避とImageMagick大量修正
    Feb 25 2026
    ■ 今日のハイライト 今日はインフラエンジニア必須の重要アップデート情報をお届けします。 ▼ CVE-2026-27586:Caddy WebサーバーのmTLS認証回避 人気のWebサーバー「Caddy」で、CA証明書の設定不備がある場合に認証が「素通り」してしまう(Fail Open)深刻な脆弱性が発見されました。また、管理APIの設定書き換え脆弱性(CVE-2026-27589)も報告されています。 ・影響:認証の無効化、設定の乗っ取り ・対策:最新版への即時アップデート、設定ファイルの権限確認 ▼ CVE-2026-25985他:ImageMagickの脆弱性ラッシュ 画像処理ライブラリでバッファオーバーフローやメモリリーク、DoS攻撃につながる脆弱性が20件以上報告されました。 ・Magick.NETを含む関連ライブラリの更新が必要です。 ▼ その他のトピック ・【Go Fiber】CVE-2026-25899:クッキー処理によるメモリ枯渇DoS ・【Dagu】CVE-2026-27598:パストラバーサルによる任意ファイル書き込み #セキュリティ #エンジニア #ITニュース #Caddy #ImageMagick #GoLang Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • #20260225 Craft CMSとyt-dlpの重大な脆弱性に注意!

    #20260225 Craft CMSとyt-dlpの重大な脆弱性に注意!
    Feb 24 2026
    ■ 今日のハイライト 2026年2月25日、本日はWeb開発者やツール利用者に影響の大きい脆弱性情報をお届けします。特にCraft CMSでの高度な攻撃手法と、yt-dlpでのコマンド実行リスクに注目です。 ▼ Craft CMS:複数の脆弱性 Webサイト構築で人気のCraft CMSに3つの脆弱性が報告されました。 (1) CVE-2026-27128:トークン使用制限の回避 競合状態(Race Condition)を利用し、チェック処理と更新処理の間の隙を突くことで、制限以上のトークン使用が可能になるTOCTOU脆弱性です。 (2) CVE-2026-27127:DNSリバインディングによるSSRF回避 GraphQLのアセット処理において、検証時と取得時のDNS解決のタイミング差を悪用され、内部ネットワークへアクセスされる危険性があります。 (3) CVE-2026-27126:Stored XSS HTMLカラムタイプを使用するテーブルフィールドにおいて、サニタイズ不備によるXSSが可能です。 ▼ yt-dlp:任意のコマンド実行 ・CVE-2026-26331 動画ダウンローダー「yt-dlp」にて、--netrc-cmdオプション使用時に、細工されたURLを処理することで任意のコマンドが実行される恐れがあります。自動化スクリプトなどでこのツールを使っている場合は要注意です。 ▼ その他の重要トピック ・【Astro】CVE-2026-25545:エラーページ生成時、Hostヘッダーインジェクションにより内部リソースへアクセスされるSSRFの脆弱性。 ・【Ormar】CVE-2026-26198:Python製ORMにて、min()やmax()関数使用時にSQLインジェクションが可能。 ・【New API】CVE-2026-25802 / 25591:MarkdownレンダラーでのXSSおよびトークン検索でのDoS脆弱性。 #セキュリティ #エンジニア #ITニュース #脆弱性 #CraftCMS #ytdlp Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins
  • 【歴史解説】世界で1兆円被害!NotPetyaの衝撃

    【歴史解説】世界で1兆円被害!NotPetyaの衝撃
    Feb 23 2026
    ■ 今日の歴史解説 今日は「NotPetya (2017)」を振り返ります。 ▼ 何が起きた? ウクライナの会計ソフト経由で拡散。世界で100億ドル(約1兆円以上)の被害を出した、史上最も破壊的なサイバー攻撃と呼ばれるインシデントです。 ▼ ここがポイント (1) サプライチェーン攻撃 正規のソフトウェアアップデートを悪用して侵入しました。 (2) 凶悪な拡散力 「EternalBlue」という脆弱性攻撃ツールと、認証情報を盗む機能を組み合わせ、ネットワーク内で爆発的に感染しました。 (3) 実はランサムウェアではない 金銭要求画面が出ましたが、実態はデータを破壊するだけの「ワイパー」でした。 ▼ エンジニアへの教訓 ・ネットワーク内部の分割(セグメンテーション)が重要 ・パッチ適用はスピード勝負 ・バックアップは必ず「オフライン」にも持つこと ■ 配信について ITセキュリティの歴史的事件から、現代に通じる知識を毎朝3分で解説しています。 #セキュリティ #歴史に学ぶ #インシデント #NotPetya #エンジニア #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins