nw-engineer

自分が努力しなかった訳じゃないし、むしろガムシャラにやってはいたと思う。だけどそれだけじゃなく、タイミングや人、案件(叱咤激励や悔しい思いも含めて)に恵まれたと思う。運が良かった。この幸運の輪は循環させないといけない。少なくとも自分の手が届く範囲の人々に返したいと思います。

サンプル送信。。。🫀

@kureha2243 おめでとう御座います🎉

最近副業を始めてみて 今日初めて成果が出た✨ 金額は3,500円だけど 自分のお金って感じで 普通にめちゃくちゃ嬉しい🍀*゜

Pythonベースのサンドボックス「Terrarium」に、任意のコード実行につながる深刻なセキュリティ脆弱性が発見された。この脆弱性（CVE-2026-5752）はCVSSスコア9.3と評価されており、危険性が極めて高い。 これはサンドボックスエスケープの脆弱性であり、JavaScriptプロトタイプチェーントラバーサルを悪用することで、ホストプロセス上でroot権限での任意のコード実行が可能となる。この問題はシステムに重大な影響を及ぼす恐れがある。 thehackernews.com/2026/04/cohere…

MicrosoftのSnipping Toolに新たな脆弱性（CVE-2026-33829）が見つかり、その概念実証（PoC）エクスプロイトが公開された。 この脆弱性は、ユーザーを悪意のあるウェブページに誘導することで、攻撃者が密かにNet-NTLM認証ハッシュを盗み出すことを可能にする。 Windows標準の切り取りツールが悪用され、ユーザーがページを開くだけで認証情報が抜き取られる恐れが判明した。見た目は通常の操作にしか見えず、企業内の業務連絡を装った誘導で被害が広がる可能性がある。 問題の脆弱性CVE-2026-33829は、Snipping Toolのms-screensketchスキームにおけるURI処理の不備に起因する。filePathパラメータにUNCパスを指定できるため、攻撃者が用意したSMBサーバーへ接続させられ、Net-NTLMハッシュが自動送信される仕組みだ。ユーザーはツールが起動する以外に異常を認識しにくく、資格情報はオフライン解析やNTLMリレー攻撃に悪用され得る。攻撃は悪意あるURLやHTMLを踏ませるだけで成立し、技術的難易度も低い。発見したBlack ArrowはMicrosoftと協調開示を行い、2026年4月14日の更新で修正された。対策として更新適用に加え、外向きSMB通信の監視や遮断が有効とされる。 cybersecuritynews.com/windows-snippi…

ご担当者様から、連絡いただきました。 ありがとうございます😭

永遠に続く追いかけっこ

「QEMU」の仮想マシンで攻撃ツールをホストから隠す手口が、ランサム攻撃グループ「PayoutsKing」でも引き続き悪用されているとの報告。QEMUは他のOSをソフト的に動かせる仮想化ソフトで、仮想マシン内部のプロセスやファイル操作はホストOSから独立した挙動になり、観測できるのは仮想マシンが外部へ張る1本のSSH通信だけとなるなど、ホストのエンドポイント対策からは仮想マシン内部の挙動が見えなくなるため、攻撃の隠蔽手口として以前から使われています。加えてCitrixBleed 2（CVE-2025-5777）悪用の別キャンペーンも並行追跡。 【要点整理】 ・出典：SophosとZscaler ThreatLabzがともに2026年4月16日付で公開した両記事を統合し要点整理 ・Payouts Kingは2025年4月に現れたデータ窃取と暗号化を組み合わせるグループ。Sophosが2025年に買収したSecureworksのCounter Threat Unit（CTU）はGOLD ENCOUNTERという脅威グループと結びつけ、Zscaler ThreatLabzは元BlackBastaの初期アクセスブローカーと同じ手口の活動を2026年初頭から観測し、その一部をPayouts Kingに高確度で紐付けているとの分析 ・STAC4713キャンペーンでは、SYSTEM権限のスケジュールタスク「TPMProfiler」がqemu-system-x86_64.exeを起動し、データベースやDLLに偽装した仮想ディスクイメージ（過去はvault.db、2026年1月以降はbisrv.dll）からVMを立ち上げる構成。VM内部ではAlpine Linux（軽量Linux）上で攻撃者C2のAdaptixC2やデータ持ち出しツールRclone等が動作する。ホスト側EDRからはqemu-system-x86_64.exeプロセスしか見えずVM内部の動きは観測されないまま、起動時にAdaptixC2やOpenSSHがVMから外部IPへリバースSSHを張り、外向き通信1本で遠隔操作経路が成立するとの分析 ・QEMU悪用自体は2020年にMandiantがLinux環境での事例を報告しているほか、2024年のKaspersky報告、2025年5月のSophos報告（3AMランサムウェア）など過去に繰り返し観測されており、Sophosも「長年繰り返し使われている手法」と位置付けつつ、近年観測件数が増えていると指摘 ・2026年2月以降はGOLD ENCOUNTERがQEMU主体の構成から離れ、正規のADNotificationManager.exeにDLL（vcruntime140_1.dll）をサイドロードさせてC2のHavocを起動、Rcloneで外部SFTPへデータを持ち出す手口に切り替わった動きをSophosが観測 ・別系統のSTAC3725はCitrixBleed 2（CVE-2025-5777）でNetScalerに侵入、ScreenConnect（リモート管理製品）を仕込んだ上で隠しAlpine Linux VMを立ち上げる別構成で並行して観測されている ・ランサム本体のEDR回避では、Windows API関数名を実行時に独自ハッシュで動的解決し、さらにntdll.dllから「Zw」接頭関数（ZwOpenProcessやZwTerminateProcess等）の位置を特定した上で、それらを直接システムコールで呼び出してウイルス対策・EDRのフックをかいくぐるとZscalerの同レポートは分析 ・主な検知指標は、許可されていないQEMU導入、SYSTEMで動くスケジュールタスク、ホスト上の非標準ポート（32567、22022など）から22番（SSH）へのポート転送設定、発信元ポートが非標準の外向きSSHトンネル。加えてvault.db（過去）、bisrv.dll（2026年1月以降）など仮想ディスクイメージとしては見慣れない拡張子のファイルが使われる点も目立つとの指摘 防御策のいくつかとしては、まず組織内で許可されていないQEMUのインストールや実行がないかの確認が挙げられます。Sophosは監視項目として、予期しないSYSTEM権限のスケジュールタスク、Windows端末上での22番（SSH）ポート宛のポート転送ルールや外向きSSH通信、そして巨大なサイズを持ちながら.db、.dll、.qcow2といった拡張子で設置されたファイル（QEMU仮想ディスクイメージの可能性）などを挙げています。また、別系統のSTAC3725キャンペーンへの備えとしては、CitrixBleed 2（CVE-2025-5777）の適用状況の確認や、報告された具体的な手口であるADNotificationManager.exeによる不審なDLL（vcruntime140_1.dll）の読み込みの検知などが、現実的な対応事項の1つとなります。 詳細はリンク先の記事を参照。 sophos.com/en-us/blog/qem… zscaler.com/blogs/security…

人生は　　　　「　　覆水盆に返らず 　　」 仕事は　　　　「　　合理性を徹底 」 出会いは　　　「　　　一期一会 」 人間関係は　　「　　心から向き合う　　」

娘の初給料でプレゼントをもらいました。 
木のぬくもりがやさしいカップ。 MOHEIMの「YUKI」、デザインはTakeuchi Shigeichiro さん。 
大切に使っていこうと思います。ありがとう。 #MOHEIM #YUKI #TakeuchiShigeichiro

> 2週間以内に担当者よりメールにて検討結果を連絡をいたします。 何も来ないんですが。。。。。 メールでも問い合わせも虚しく返答なし。。。 koukaiboshu.nextpublishing.jp #nextpublishing #インプレス #Impress

PHP依存関係管理ツールComposerに重大な脆弱性が見つかり、開発環境やサプライチェーン全体を狙う攻撃の危険が浮上した。細工された設定やリポジトリを通じて任意コマンド実行が可能となる。 問題はPerforce連携処理にあり、CVE-2026-40176では接続パラメータのエスケープ不備により、悪意あるcomposer.jsonを実行した開発者環境でコマンド注入が発生する。影響はローカル設定に限定されるが、不審なプロジェクトを扱う場合に危険性が高い。 一方、CVE-2026-40261はより深刻で、外部リポジトリ経由で悪意あるメタデータを配布することで発動する。Perforce未導入でもコマンド実行が試みられ、--prefer-source利用時などに攻撃が成立するため、サプライチェーンリスクとして影響範囲が広い。 開発元は既に修正版を公開し、該当メソッドの適切なエスケープ処理を実装した。利用者はComposer 2.2.27または2.9.6以降への更新が推奨され、未更新環境では信頼できないリポジトリや設定の使用を避ける必要がある。 securityonline.info/composer-perfo…

@infra_kiyo おめでとうございます🍾🎉㊗️

担当の割り振りが決まって、つ…つ…ついに…AWS設計構築を担当することになた‼️‼️‼️ 大規模システムのため、インフラチームも複数いるので、担当範囲はあまり広くないし、新規案件というわけでもないから、レベル的にも高くはないかもしれないけど、それでもやっと念願のAWS設計構築😭😭😭

フォーティネットがSSL-VPNの「廃止」期限を1年延長、5月の終了目前に xtech.nikkei.com/atcl/nxt/colum… 米Fortinet（フォーティネット）はセキュリティー製品用OS「FortiOS」のうち、SSL-VPNを利用できるバージョン7.4などの技術サポートの終了を1年延長することを明らかにしました。

72時間以内の更新を推奨──「PDFを開くだけで乗っ取られる」アドビリーダーのゼロデイ攻撃が進行(Forbes JAPAN) #Yahooニュース news.yahoo.co.jp/articles/6b71f…

不可視文字でマルウエア混入　GitHubなどで汚染拡大、開発基盤の信頼揺らぐ xtech.nikkei.com/atcl/nxt/colum… 不可視の属性を持つUnicode（ユニコード）文字をコードに埋め込んで、悪意あるプログラムを実行させる新手の攻撃手法「GlassWorm（グラスワーム）」が急拡大しています。

深淵を覗く時、 深淵もこちらを覗いているのだ

AIで一番笑った動画

オープンソースのPythonノート環境Marimoに致命的脆弱性が発覚し、公表からわずか10時間以内に実際の攻撃が確認された。認証不要で遠隔操作が可能な深刻な問題である。 問題はCVE-2026-39987（CVSS 9.3）で、0.20.4までの全バージョンに影響する。原因は/terminal/wsのWebSocketエンドポイントに認証検証がなく、攻撃者が資格情報なしで接続しフル機能のシェルを取得できる点にある。本来必要なvalidate_auth()が呼ばれず、動作モード確認のみで接続が許可されていた。Sysdigの観測では公開後9時間41分で攻撃が始まり、攻撃者は即座に.envファイルやSSH鍵の探索を実施した。活動は人手による操作とみられ、複数回接続しながら情報収集を進めていた。修正は0.23.0で提供済みだが、公開直後から悪用される現実が改めて示された。 thehackernews.com/2026/04/marimo…