00:00
-00:00
#20260405 今週のセキュリティまとめ:AIとサプライチェーンの脅威
4
■ 今週のハイライト
今週(2026年3月29日〜4月5日)は、合計436件ものセキュリティニュースや脆弱性が報告される非常に慌ただしい1週間となりました。
特に注目すべきは、開発者を直接狙う「サプライチェーン攻撃」が複数確認されたこと、そして普及が著しい「AI・LLM関連ツール」におけるサンドボックス回避やリモートコード実行の脆弱性が大量に報告されたことです。
■ サプライチェーン攻撃・マルウェア混入の脅威
【Axiosに関連するサプライチェーン攻撃】
広く使われているHTTPクライアントライブラリ「Axios」の特定バージョンが侵害され、悪意のある依存関係が混入しました。(CVE-2026-34841など)
これにより、macOS、Windows、Linuxで動作するリモートアクセス型のトロイの木馬(RAT)がデプロイされる危険性がありました。メンテナのアカウント侵害が原因と見られています。
【Telnyxパッケージへの悪意あるコード挿入】
PyPIに登録されているPythonパッケージ「telnyx」のバージョン4.87.1および4.87.2に、認証情報を盗み出すマルウェアが仕込まれました。正規のリリース手順を迂回して直接公開されたものです。
■ AI・LLM関連ツールの重大な脆弱性
【Anthropic Claude SDKのサンドボックス回避】
PythonおよびTypeScript向けのClaude SDKにおいて、ローカルファイルシステムを扱うツールにサンドボックス回避の脆弱性が発見されました。(CVE-2026-34452、CVE-2026-34451)
【vLLMのSSRFおよびDoS】
高速LLM推論エンジン「vLLM」において、内部ネットワークに不正リクエストを送信されるSSRF(CVE-2026-34753)や、メモリ枯渇を引き起こすDoS(CVE-2026-34756)が報告されました。
【PraisonAIおよびOpenClawの脆弱性ラッシュ】
AIエージェントフレームワーク「PraisonAI」でOSコマンドインジェクションなどのリモートコード実行(CVE-2026-34955など)が見つかりました。また、「OpenClaw」では今週だけで数十件に及ぶ認可バイパスやSSRF、サンドボックス突破の脆弱性が報告されています。
■ Webフレームワーク・ライブラリの根本的な不備
【Electron】
解放後使用(Use-after-free)や、コンテキスト分離のバイパスなど、非常に多くのセキュリティパッチがリリースされました。(CVE-2026-34764、CVE-2026-34780など)
【aiohttpおよびRack】
Pythonの非同期HTTPライブラリ「aiohttp」でのHTTPレスポンス分割(CVE-2026-34519)や、Rubyの「Rack」におけるマルチパート解析のDoS(CVE-2026-34829)など、基盤プロトコル処理の不具合が多数修正されています。
■ CMS・業務システムの大量の脆弱性
【baserCMS】
パストラバーサルによるファイル書き込みや、インストーラーでのOSコマンドインジェクションなど、深刻なRCE脆弱性が報告されています。(CVE-2026-30940、CVE-2026-21861など)
【AVideoおよびCI4MS】
動画配信CMS「AVideo」での認証バイパスや情報漏洩(CVE-2026-35452など)、CMS「CI4MS」での大量のクロスサイトスクリプティングが発覚しました。
■ ハッシュタグ
#セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #AIセキュリティ #サプライチェーン攻撃
Data sources: GitHub Advisory Database (CC-BY 4.0)
4月5日
このチャンネルの新着放送
おすすめの放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.