ゴールデンウィーク中も国外ではAI・開発者ツールを狙うサプライチェーン攻撃が連鎖しており、PyTorch LightningのPyPIパッケージが資格情報窃取マルウェアに汚染されたほか、Trivy経由でCheckmarx・LiteLLMが連鎖侵害されたことが公式確認された。国際情勢ではトランプ大統領がイランの最新14項目提案を「受け入れがたい」と述べホルムズ封鎖継続の見通しが強まり、日本では4月30日に政府・日銀が約5.4兆円規模の円買い介入を実施して円が一時155円台まで急騰した。
ソース: The Hacker News / Socket.dev / Semgrep Blog
4月30日、PyPIに公開されたPyTorch Lightningのlightningパッケージのバージョン2.6.2および2.6.3に悪意あるコードが埋め込まれていたことが判明した。「Mini Shai-Hulud」と名付けられたマルウェアはimport実行時に自動起動し、隠しディレクトリに配置された難読化JavaScriptペイロードを通じて資格情報を窃取する。lightningはAI・機械学習の学習基盤として月数百万ダウンロードを誇る人気ライブラリで、CI/CDパイプラインを介した被害拡大が懸念される。Socket社のAIスキャナーが公開18分後に検出しPyPIに通報、PyPIは当該バージョンを隔離済み。根本原因の調査は継続中で、クリーンなv2.6.1へのダウングレードが推奨されている。
ソース: Kaspersky Blog / SecurityWeek / The Register
新興サイバー犯罪グループ「TeamPCP」が3月中旬にOSSの脆弱性スキャナーTrivyにマルウェアを注入し、開発者のクラウド認証情報・SSHキー・Kubernetesコンフィグを大量窃取した。3月23日には盗んだ認証情報でCheckmarxのGitHub環境に侵入し、ソースコード・APIキー・MongoDBおよびMySQLクレデンシャルを持ち出した後、悪意あるVS Codeプラグイン・GitHub Actionsも配置。4月22日には追加のDockerHub KICSイメージも汚染されており攻撃は継続中だ。Checkmarxは5月3日にデータ窃取を公式確認。セキュリティツール自体が攻撃起点となるパターンが今週だけで複数確認されており、DevSecOpsパイプライン全体の信頼性が問われている。
ソース: Wiz Blog / GitHub Blog / The Hacker News
4月28日に公開されたCVE-2026-3854(CVSS 8.7)は、GitHubの内部サービスbabeldがgit pushオプション値をX-Statヘッダーに組み込む際にセミコロンのサニタイズを怠るコマンドインジェクション脆弱性だ。リポジトリへのpush権限を持つ攻撃者が細工したpushオプション一つでRCEが成立する。github.comおよびGitHub Enterprise Cloud・Data Residency・Enterprise Managed Usersは3月4日に修正済み。GitHub Enterprise Server(GHES)はv3.19.3以上へのアップグレードが必要で、未対応の自己ホスト環境・CI基盤は早急な対処が求められる。 ※スニペットのみ取得
ソース: TechCrunch / CNBC / OpenAI
4月23日、OpenAIはGPT-5.5をAPI・ChatGPT・Codexで提供開始した。100万トークンのコンテキストウィンドウを持ち、コーディング・データ分析・コンピューター操作・初期的な科学研究など複雑な多段階タスクを自律的に実行できる能力を大幅強化。実際のデスクトップ生産性タスクを模擬するOSWorld-Vベンチマークで75%を達成し、遺伝学・定量生物学分野での科学データ分析精度も大幅改善した。Plus・Pro・Business・Enterpriseユーザーが利用可能。OpenAIの年間収益は250億ドルを超え、2026年後半のIPO準備も報じられている。 ※スニペットのみ取得
ソース: CNN / CNBC / Al Jazeera
📌 前日(05/03)からの差分: トランプ大統領が5月3日のTruth Social投稿で「47年間の行為の代償を十分に支払っていない」と述べ、イランの最新14項目提案を事実上拒否。交渉は依然停滞している。
イランが提示した提案はホルムズ海峡の再開・米海上封鎖解除・凍結資産返還・核問題の先送りを含む包括的な内容だったが、トランプ氏はこれを「受け入れられない」と明言。特使スティーブ・ウィトコフが「協議継続中」と述べるにとどまっている。米ガソリン価格は1ガロン4.45ドルまで上昇し(2月28日の開戦以来+1.47ドル)、国内物価への影響が拡大。出光丸は名古屋(5月18日到着予定)へ向け航行中だが、正常化への外交的進展は見られない。 ※スニペットのみ取得
4月30日夜、財務省・日銀が約5.4兆円規模(日銀当座預金の動きから推計)の円買い・ドル売り為替介入を実施した。介入直前に円は1ドル=160円70銭台(2024年7月以降の最安値)まで下落していたが、5時間で155円50銭台へ約5円急騰した。片山財務相の「断固たる措置を取る時が近い」発言と三村財務副大臣の「最後の避難勧告」発言が前置きとなり、ゴールデンウィーク中・国内市場休場の局面での実施は異例。NRIは「構造的な円売り圧力が続く中の時間稼ぎ」と分析。介入後も円は157円台前後に反落しており、追加介入への警戒感が続いている。 ※スニペットのみ取得
ソース: CNBC / GlobeNewswire
デンマークの製薬大手ノボノルディスクが4月14日、OpenAIと全社的なAI活用に向けた戦略提携を発表した。医薬品候補の探索・臨床試験から製造・サプライチェーン・商業運営まで全業務にOpenAIの最先端AIを展開し、2026年末の完全統合を目指す。複雑データセットの解析・有望新薬候補の特定・臨床開発期間の短縮が主な目標。肥満治療薬市場でイーライリリーとの競争が激化する中、AI活用による研究開発加速を競争優位の柱に据える姿勢を鮮明にした。製薬業界における大規模な全社AIインテグレーションの先行事例として注目される。 ※スニペットのみ取得
ソース: AI and News
Metaが2026年のAI関連設備投資(capex)を1150〜1350億ドルとすることを発表した。昨年対比でほぼ倍増となるこの規模は、データセンター拡張とAI推論インフラへの積極的な先行投資を示している。OpenAIの年間収益が250億ドルを超え、Anthropicも190億ドルに迫る中、Metaは基盤モデルの性能格差を縮小するためのハードウェア・インフラ面での大規模投資を続ける。広告最適化・コンテンツ推薦・社内開発支援など自社の主要事業にもAIを深く組み込んでおり、投資に対する短期的なROIが見込める点がAI支出継続の背景にある。 ※スニペットのみ取得
ソース: IMF
IMFが4月公表した世界経済見通し(WEO)は2026年の世界成長率を3.1%(2027年3.2%)に下方修正した。ホルムズ海峡封鎖による原油・LNG供給不安を最大のダウンサイドリスクとして挙げ、グローバル・スタグフレーション(景気停滞とインフレの同時進行)の可能性にも言及している。米国のインフレ継続圧力と利下げ観測の後退、中国の構造問題、日本のエネルギーコスト上昇が複合的に成長を圧迫。日本へのダイレクトな影響として、輸入コスト増・円安・企業マージン圧迫の三重苦が続く見通しだ。 ※スニペットのみ取得
ソース: 外務省 / 日本ワーキングホリデー協会
2024年12月よりカナダとの間で改訂が発効し、日本人は生涯2回のカナダ・ワーキングホリデー参加が可能となった。台湾との間でも2026年2月1日から同様の改訂が施行されている。一方でカナダ・オーストラリア・ニュージーランド・英国などでビザ申請費用の上昇が続いており、カナダの2026年度枠は早期満枠の可能性が指摘されている。国内では実質賃金が回復基調(2026年1月+1.3%)にある一方、円安・エネルギー価格高騰を背景とした海外移住・就職希望者の増加傾向は継続しており、制度の拡充が新たな選択肢として注目されている。
取得日時: 2026-05-04 06:20