月間100万DL超のPythonパッケージ「elementary-data」へのサプライチェーン攻撃が4/25に発生し、開発者のSSH鍵・クラウド認証情報が広範に流出した。Apple CEO ティム・クックが9月1日付退任を正式発表し、後継にジョン・テルナスSVPが就く。ホルムズ海峡封鎖の長期化をトランプ大統領が示唆し、UAEのOPEC脱退(明日5/1発効)も加わり国際エネルギー情勢が一段と緊迫している。
ソース: Snyk
4月25日、月間100万ダウンロードを超えるオープンソースPythonパッケージ「elementary-data」がサプライチェーン攻撃を受け、悪意あるバージョン0.23.3がPyPI上に約12時間公開された。攻撃者はGitHub Actionsワークフローのスクリプトインジェクション脆弱性を悪用してGITHUB_TOKENを奪取し、PyPI上の正式リリースとDockerイメージの両方を差し替えた。仕込まれた情報窃取コードはSSH鍵・AWS/GCP/Azureクラウドキー・Kubernetesシークレット・暗号資産ウォレット・.envファイルを静かに収集して外部へ送信する。バージョン0.23.3をインストール済みの開発者は直ちに0.23.4へアップグレードし、すべてのクラウド認証情報・SSH鍵を無効化・ローテーションすることが急務。データエンジニアリング系プロジェクトへの影響が特に広範に及ぶ恐れがある。
ソース: CISA
📌 前日(04/29)からの差分: 昨日報じたED 25-03(Ciscoハードリセット)とは別に、BOD 22-01に基づくKEVカタログ追加8件のうちMicrosoft SharePoint Serverの入力バリデーション不備について、連邦民間行政機関(FCEB)への修正期限が本日4月30日に設定されており、対応完了の確認が求められる。
4月20日にCISAがKEVカタログへ追加した8件には、Cisco Catalyst SD-WAN Manager関連3件(うちCVE-2026-20133はCVSS6.5)、PaperCut NG/MF(CVE-2023-27351、CVSS8.2)、JetBrains TeamCity(CVE-2024-27199)、Quest KACE Systems Management Appliance(CVE-2025-32975、CVSS10.0)が含まれる。Cisco 3件の期限は4月23日、残余は5月4日が期限。CVSS10.0のQuest KACE SMAは認証不備で完全なシステム制御が奪われる危険性があり、資産管理ツールを介したラテラルムーブメントへの悪用が懸念される。民間企業も対象製品の利用有無を確認すべき。 ※スニペットのみ取得
ソース: The Hacker News
GitHub.comおよびGitHub Enterprise Server(GHES)にリモートコード実行(RCE)を可能にする脆弱性CVE-2026-3854が発見・報告された。詳細な悪用手法は現時点では公開されていないが、世界規模でコードホスティングインフラとして利用されるGitHubへの影響は極めて広範にわたる。社内でGHESをセルフホストしている組織はGitHubが提供する最新パッチを速やかに適用することが推奨される。CI/CDパイプラインやデプロイ自動化とGHESを連携している環境では、サプライチェーン経由での連鎖的な侵害リスクが高い。パッチ提供状況および詳細はGitHubのセキュリティアドバイザリーページを随時確認すること。 ※スニペットのみ取得
ソース: Apple Newsroom
4月20日、Appleはティム・クックCEOが2026年9月1日付で退任し、取締役会の全会一致でエグゼクティブ・チェアマンに移行すると発表した。後継CEOには、Apple入社2001年・M1チップやVision Proの開発を統括してきたハードウェアエンジニアリング担当上級副社長(SVP)のジョン・テルナス氏が就任する。クックは2011年のスティーブ・ジョブズ逝去後にCEOを引き継いで15年で、iPhone販売拡大・サービス事業の急成長・時価総額の飛躍的向上を達成した。テルナス体制ではAppleシリコンのさらなる深化・空間コンピューティング(Vision Pro)の次世代展開が予想される。政策対話ではクックがチェアマンとして継続関与する。CEO交代は今後の製品戦略と投資家センチメントに大きな影響を与える見込み。
ソース: The Motley Fool
OpenAIの年間換算収益(ARR)が2026年2月に250億ドル(約3.9兆円)を突破し、2025年末の200億ドルから急拡大した。ユーザー数は9億人に達したとされ、ChatGPT・GPT-5系モデルの商用展開が収益成長を牽引している。IPOに向けた体制整備も進み、DocuSign元CFOのシンシア・ゲイラー氏を初代IR責任者に採用。2026年後半の上場申請・2027年上場、評価額最大1兆ドルも取り沙汰される。一方、2026年の損失は140億ドル規模になるとの内部予測があり、黒字化は2030年前後と見込まれている。急成長と赤字拡大が並存する財務構造に対し、市場がどのような評価を下すかが上場後の最大の焦点となる。 ※スニペットのみ取得
ソース: TechCrunch
4月22日のTechCrunch独占報道によると、元OpenAI CTOのMira Murati氏が設立したAIスタートアップ「Thinking Machines Lab」がGoogle CloudのAIインフラ利用を拡大する新たな数十億ドル規模の契約を締結した。GoogleはAnthropicへの最大400億ドル投資(4/28報道)と合わせ、複数のAIスタートアップとの独占的な計算インフラ関係を構築している。自律型AIエージェントや大規模モデル訓練を進めるThinking Machines Labへの計算支援は、Googleにとって技術影響力と将来のCloudシェア確保の両面で戦略的な意味を持つ。「計算資源の提供=AIスタートアップへの影響力獲得」という新たな覇権争いの構図が鮮明化しており、OpenAI・Microsoft連合との対抗軸が明確になってきた。 ※スニペットのみ取得
ソース: 日本経済新聞
📌 前日(04/29)からの差分: 脱退発効が明日5月1日に迫り、OPECの公式処理手続きが最終段階に入った。UAEの代替増産計画の詳細と、残留加盟国への生産割り当て再配分の交渉状況が焦点となっている。
4月28日に発表されたUAEのOPEC脱退が明日5月1日に正式発効する。世界第4位の産油国の離脱はOPECの生産調整能力を大きく低下させ、原油価格の支持機能を損なうリスクがある。UAE側は独立した増産による市場シェア拡大を目指す方針で、他の湾岸産油国がOPEC+の枠組みを維持するか追随するかが次の焦点となる。ホルムズ海峡の通航制限が続く中での供給変化は、アジア向けエネルギー市場に複合的な影響を与える見通しで、日本の原油・LNG調達にも波及する懸念がある。 ※スニペットのみ取得
ソース: 日本経済新聞
📌 前日(04/29)からの差分: トランプ大統領が4月28日にエネルギー企業幹部と会合を開き、封鎖が数カ月単位で継続する可能性と、米国消費者への影響を最小化するための備蓄・代替調達策が議題に上ったことが公式に確認された。
トランプ米大統領は複数のエネルギー企業幹部を招集し、イランとの対立に起因するホルムズ海峡封鎖が数カ月にわたって継続する可能性に言及、対応策を協議した。ホルムズ海峡は世界の海上石油・LNG輸送の約2割が通過し、日本のエネルギー輸入にとっても最重要航路のひとつ。イランによる封鎖宣言と米国による逆封鎖の対立が続いており、正常化のメドが立たない。原油先物・LNG価格は高止まり傾向を示しており、長期化すれば日本のエネルギーコストへの直接的な影響が避けられない。 ※スニペットのみ取得
ソース: IMF
IMFが4月14日に公表した世界経済見通し(WEO)では、中東での軍事紛争の勃発を主因として2026年の世界経済成長率を3.1%へ下方修正した。紛争が限定的にとどまるとの前提のもとで2027年は3.2%への小幅回復を見込むが、ホルムズ海峡封鎖の長期化シナリオでは原油高・物流コスト上昇・消費者信頼感の悪化が重なりさらなる下振れリスクが高まるとした。先進国では米国・欧州ともに成長鈍化が見込まれ、日本への影響もエネルギー輸入コストの上昇と輸出先需要の減少の両面から注視が必要。 ※スニペットのみ取得
ソース: 東京ガス
東京ガスは4月27日、東京地区等のガス料金改定を発表した。原料費調整制度に基づき、2026年4月検針分の標準家庭(30m³/月)のガス料金が前月比416円(消費税込)上昇する。政府の「電気・ガス料金負担軽減支援事業」による6円/m³の値引きが適用されているものの、中東情勢の緊迫化に伴うLNG・原油調達コストの上昇分を完全には吸収できていない状況だ。同社はホルムズ情勢の継続的な緊迫化を受けた家庭用ガス・電気料金への追加影響についても注記しており、今後の調達環境次第でさらなる料金変動の可能性を示唆している。 ※スニペットのみ取得
取得日時: 2026-04-30 06:26