タグ: APIキー盗難

securityweek.com

Ghost CMS の脆弱性により700以上のウェブサイトがハッキングされる

数ヶ月前にパッチが適用されたGhost コンテンツ管理システム(CMS)の脆弱性が、大手企業を含む数百のウェブサイトをハッキングするために悪用されていることが、中国のサイバーセキュリティ企業Qianxinの報告で明らかになりました。 悪用された脆弱性はCVE-2026-26980として追跡されており、その存在は2月に

cyberpress.org

Langflow脆弱性がAWSアクセスキーを狙った攻撃で悪用される

サイバー犯罪者たちはもはや正面玄関を破壊するだけではなく、最新のアプリケーションを支えるメッセージングシステムそのものを乗っ取っています。 2026年5月5日、Sysdig脅威研究チーム(TRT)は、攻撃者が致命的な脆弱性を悪用して高速メッセージングサーバーを隠蔽されたコマンドアンドコントロール(C2)ハブに変えた高

darkreading.com

TeamPCPマルウェアを置き換えた後、「PCPJack」がクラウドシークレットを盗む

出典: North Wind Picture Archives via Alamy Stock Photo研究者たちは、危険なサプライチェーン攻撃者「TeamPCP」による感染を無料で完全に除去してくれるモジュール型のクラウドワームを発見しました。ただし、代償があります。それはあなたのシークレットが欲しいのです。Sen

bleepingcomputer.com

ハッカーが重大なLiteLLM認証前SQLi脆弱性を悪用

ハッカーは、CVE-2026-42208として追跡されている重大な脆弱性を悪用して、LiteLLMオープンソース大規模言語モデル(LLM)ゲートウェイに保存されている機密情報を標的にしています。 この脆弱性はLiteLLMのプロキシAPIキー検証ステップ中に発生するSQLインジェクション問題です。攻撃者は認証なし

infosecurity-magazine.com

研究者がAIエージェントを狙う10個の実運用環境でのプロンプトインジェクションペイロードを発見

セキュリティ研究者が、AIエージェントを狙う10個の新しい間接プロンプトインジェクション(IPI)ペイロードを発見しました。これらは詐欺、データ破壊、APIキー盗難など、悪意のある目的で設計された指示を含んでいます。 脅威者は、ウェブコンテンツを改ざんすることでIPIを実現します。エージェントがそのコンテンツをクロー

securityweek.com

MCPの「設計」欠陥が広範なAIサプライチェーン攻撃を可能にする可能性

Model Context Protocol (MCP)はエージェンティックAIユーザーに多くの利益をもたらしており、エージェンティックAIを社内で採用している企業によって広く使用され、信頼されています。  2024年11月にAnthropicによって導入され、エージェントとデータ間の標準的なコネクタを提供

cybersecuritydive.com

React2Shell脆弱性がハッカーに認証情報、AIプラットフォームキーおよび他の機密データを盗むのを支援

要点 盗まれた情報はハッカーがフォローアップ攻撃を計画し、より多くの組織に侵害するのを支援する可能性があるとCisco研究者は述べた。 サイバー脅威アクターがReact2Shell脆弱性を使用して広範な認証情報収集キャンペーンの基礎として利用しており、AIツールAPIキーからクラウドプラットフォーム

securityweek.com

欧州委員会がTrivy供給チェーン攻撃に関連したデータ漏洩を確認

欧州委員会(EC)は、Trivy供給チェーン攻撃で漏洩したAPIキーを使用して、ハッカーがAWS環境から300GB以上のデータを盗んだことを確認しました。 この事件は3月24日に発生し、最初に報告されたのは3月27日で、ECはEuropa.euプラットフォームのリソースをホストするクラウドインフラストラクチャが侵害さ