Apache ActiveMQの深刻なRCE脆弱性(CVE-2026-34197)がAPTを含む攻撃者に積極的に悪用され、世界6,400台超のサーバーが危険にさらされている。日銀は4月28日の会合で政策金利0.75%を据え置き、展望レポートで成長率下方・物価上方修正を示した。マイクロソフトが日本への4年間1.6兆円AI投資を公式化し、東京ガスは46年ぶりの基本料金引き上げを発表するなど、産業・経済面でも大きな動きが続いた。
ソース: CISA
Horizon3.aiの研究者がClaude AIの支援を受けてApache ActiveMQに13年間潜んでいたリモートコード実行(RCE)脆弱性を発見した。Jolokia APIを通じてリモートコード実行が可能で、6.0.0〜6.1.1のバージョンでは別のCVE-2024-32114が認証を無効化するため事実上の認証不要RCEとなる。Shadowserver財団の調査でインターネット上の6,364台が脆弱と確認され、CISAはKEV(既知の悪用された脆弱性カタログ)に登録、APTグループによる積極的な実悪用を確認した。ActiveMQ 5.19.4または6.2.3以降へのバージョンアップが急務で、同製品を使用する組織は即時対応が求められる。
ソース: Security NEXT
Cisco Systemsのファイアウォール製品で稼働するバックドア「FIRESTARTER」が発見され、米CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)と英NCSC(国家サイバーセキュリティセンター)が4月27日、企業に対して侵害状況を確認するよう共同で呼びかけた。FIRESTARTERは攻撃者が永続的なアクセスを維持するために用いる悪意あるコードで、ネットワーク境界を管理するファイアウォールへの侵入は特に深刻な被害につながる。Cisco製品を運用する組織は、指定されたIOC(侵害指標)との照合およびシステム整合性チェックを速やかに実施することが推奨される。
ソース: Security NEXT
中国関連の攻撃者グループが侵害した中小企業・家庭向けルーターで構成する「ORBネットワーク(Operational Relay Box)」を活用し、攻撃インフラの秘匿性を高めている実態が明らかになった。4月24日、日本を含む10カ国の政府機関・セキュリティ機関が共同アドバイザリを発表し、侵害されたルーターの洗い出しとファームウェア更新を呼びかけた。ORBネットワークは従来の攻撃インフラに比べ追跡が極めて困難で、国際的な協調対応が不可欠な状況となっている。家庭用・中小企業向けルーターのファームウェア更新と管理パスワードの強化が急務だ。
ソース: 日本経済新聞
4月3日、マイクロソフトが2026〜2029年の4年間で日本に100億ドル(約1.6兆円)を投資すると正式発表した。①ソフトバンク・さくらインターネットと協力したAIデータセンターの国内展開(重要データの国内完結処理を保証)、②日本政府機関との公民連携によるサイバーセキュリティ強化、③2030年までに100万人のエンジニア・AI人材育成、の3本柱で構成される。データ主権・AIインフラ主権の観点から国内パートナーの活用も含む本投資は、AWS等との国内シェア差を縮める戦略的意図も持つ。クラウド・AI基盤を巡る外資の日本向け大型投資が相次ぐ中、国内デジタル競争力強化を後押しする動きとして注目される。
ソース: ITmedia
Anthropicは4月13日、最新フロンティアモデル「Claude Mythos Preview」を当面一般公開せず、新設した「Glasswing」コンソーシアムを通じて審査を通過した企業・組織にのみ提供すると発表した。Glasswingは安全性・倫理・AIガバナンス要件を厳格に評価する仕組みで、参加企業は継続的なモニタリング義務を負う。Anthropicはモデルの能力が一定の危険閾値を超えた場合に「段階的・条件付き展開」を行うと明言しており、同社のResponsible Scaling Policy(RSP)を実際の展開制限として適用した初の事例となる。フロンティアAIの「責任ある展開」に向けた業界基準に影響を与える可能性があり、他社の対応が注目される。
ソース: 日本経済新聞
📌 前日(04/27)からの差分: 2日間の金融政策決定会合が本日(4/28)終了し、政策金利を現行0.75%に据え置く決定を正式発表。同時に公表した展望レポートでは2026年度の実質GDP見通しを中東情勢起因の原油高を理由に下方修正、消費者物価指数(除く生鮮食品)は上方修正した。
植田総裁は会見で「中東情勢の不確実性が高い中、情勢をより慎重に見極める必要がある」と説明し、追加利上げの是非の判断は次回6月会合に持ち越すことを示唆した。市場では次回利上げは「早くて6月」との観測が強まり、ターミナルレートは2.00%との予測が主流となっている。見通し期間が2028年度まで延長された今回の展望レポートは、日本経済の中長期的な不確実性の高まりを示す内容となった。
ソース: ASCII.jp
4月14日公開のMicrosoft月例セキュリティ更新で167件(CVEベース)の脆弱性を修正した。うちCVE-2026-32201(SharePoint Serverなりすまし)とCVE-2026-33825(Microsoft Defender特権昇格)の2件はパッチ公開前から実際に悪用が確認されたゼロデイ。また、CVE-2026-33824(Windows IKEサーバーRCE、CVSS 9.8)は認証不要で悪用可能な高危険度の脆弱性として特に注意が必要。深刻度「緊急」に分類された脆弱性が7件含まれており、企業のWindowsシステム管理者はWindows Update/WSUSを通じた速やかなパッチ適用を推奨する。なお、CISAはCVE-2026-32201の期限を4月28日(本日)と指定している。
ソース: 日本経済新聞
東京ガスは4月27日、2026年10月から家庭向け・法人向けの都市ガス基本料金を引き上げると発表した。1980年以来46年ぶりの基本料金改定で、主因は人件費・配管工事費・資機材価格の高騰。家庭向けは基本料金150円/件・単位料金0.02円/m³の引き上げで、標準家庭(30m³)で月額約150円(2.6%)増。法人向けは平均2.7%値上げとなる。これはLNG価格変動に連動する「燃料費調整制度」による変動分とは別の構造的な料金改定であり、中東情勢による原料費上昇圧力と重なることで家庭・企業の光熱費負担がさらに増す見通し。今後、他の都市ガス事業者への波及も注目される。
ソース: ジェトロ
EUの「共通充電規格」政策の一環として、4月26日からほぼすべてのノートPCへのUSB-C充電ポート搭載が義務化された。2022年に成立した共通充電器指令(EU指令2022/2380)に基づくもので、スマートフォン・タブレット(2024年12月施行)に続く対象拡大となる。対象はノートPC・タブレット・デジタルカメラ・ゲーム機など幅広い電子機器。EU域内で販売される製品はすべて準拠が必要で、日本からの輸出品にも影響がある。消費者側にはケーブルの共通化による利便性向上と廃棄物削減のメリットがある一方、メーカーは独自端子モデルの製品ラインを見直す必要がある。
ソース: Security NEXT
ゴールデンウィークの長期休暇を前に、Security NEXTが組織のセキュリティ対策状況の総点検を呼びかけている。長期休暇中は管理担当者が不在となり、インシデント発生時の初動対応が遅れるリスクが高まる。具体的には、VPN機器・EDRエージェントの最新パッチ適用状況の確認、休暇中の緊急連絡体制の整備と担当者への周知、不審メール・不正アクセスへの対応ガイダンスの再確認などが推奨されている。昨年の大型連休中にもランサムウェア被害が相次いだことを踏まえ、「休前日の点検」を恒例化することが重要だ。本日4月28日がGW前最終営業日となる組織も多く、対応を急ぎたい。
取得日時: 2026-04-28 06:18