Windows

Patch Tuesday後に発覚したサインイン障害、緊急パッチで対処 Microsoftは2026年3月21日、Windows 11向けの帯域外（Out-of-Band）緊急アップデート KB5085516 を公開した。対象はWindows 11 バージョン25H2および24H2（OSビルド26200.8039 / 26100.8039）。 何が起きていたか 3月10日の月例パッチ（Patch Tuesday）で配信された KB5079473 を適用した環境で、一部ユーザーがMicrosoftアカウントを使ったアプリへのサインインに失敗するという問題が報告されていた。 インターネット接続が正常であるにもかかわらず、サインイン時に「インターネットなし」エラーが表示され、Microsoft Teams（無料版） や OneDrive など、Microsoftアカウント認証を使うサービス・アプリが利用不能になるという症状だ。 影響範囲と注意点 影響を受けるのはMicrosoftアカウントによるサインインのみ。企業向けの Microsoft Entra ID（旧Azure AD）を使った認証は影響を受けない。そのため被害は主にコンシューマー向け・中小規模の法人環境に集中していた。 日本国内でも、個人ユーザーやMicrosoftアカウントを用いてOneDriveやTeamsを利用しているユーザーから障害報告が相次いでいた。 更新プログラムの適用方法 KB5085516は累積アップデートとして提供されており、KB5079473が既に適用されているWindows Updateを通じて自動的に提供される。「利用可能になったらすぐに最新の更新プログラムを取得する」設定が有効な端末は自動で受信される。 手動で適用する場合は、設定 → Windows Update → ダウンロードとインストール から入手可能。また Microsoft Update Catalog からも手動ダウンロードできる（x64版・Arm64版の両アーキテクチャに対応）。 Hotpatch対応環境向け Hotpatch（再起動なしで更新を適用できる機能）に登録済みのデバイスについては、再起動不要の別パッケージ KB5085518 が提供される。 企業のIT管理者が Microsoft Intune や Windows Autopatch を利用している場合は、各管理コンソールの「品質更新プログラムの迅速化」機能を使って展開することが推奨されている。 AIコンポーネントも更新 本アップデートではセキュリティ修正に加え、以下のAIコンポーネントも更新されている。 コンポーネント バージョン Image Search 1.2602.1451.0 Content Extraction 1.2602.1451.0 Semantic Analysis 1.2602.1451.0 また、Windowsの更新処理を担うコンポーネント「サービス スタック」の品質向上パッチ（KB5083532）も同梱されている。 まとめ 月例パッチ適用後にサービスが使えなくなる事態はユーザー・企業双方にとって深刻だ。今回のような帯域外緊急パッチの迅速な展開は評価できるが、月例更新での品質管理の重要性も改めて浮き彫りになった。Windows Updateが有効な環境では自動的に修正されるため、早めの適用確認を推奨する。 ...

IntelがCore Ultra Series 3を発表——オフィスPCの刷新を狙う Intelは、オフィスおよびエンタープライズ向けPC市場をターゲットにした新プロセッサ「Core Ultra Series 3」を発表した。同社は新CPUにより、従来世代と比較して大幅なパフォーマンス向上が実現できると強調している。 Core Ultra Series 3の位置づけ Core Ultra Series 3は、Intelのモバイル・デスクトップ向けCPUラインナップの中でも、特にビジネス用途を意識したモデルとして投入される。消費電力の効率化とパフォーマンスのバランスを重視した設計が特徴で、企業の大規模導入（フリート展開）を見据えた仕様が盛り込まれているとみられる。 なぜ今オフィスPCの刷新が求められているか 企業のPC環境は、Windows 10のサポート終了（2025年10月）を契機に、大規模な入れ替えサイクルに入っている。日本国内でも多くの企業がWindows 11対応ハードウェアへの移行を迫られており、この時期に新CPUを投入するIntelの戦略は的を射ている。 また、生成AIの業務活用が加速する中、ローカルでのAI推論処理（NPU: Neural Processing Unit搭載）への需要も高まっており、Core Ultra Series 3がその要件にどこまで応えるかも注目点となる。 AMDとの競争激化 オフィスPC向けCPU市場では、AMDの「Ryzen PRO」シリーズとの競争が続いている。AMDが積極的なコスト競争力を武器にシェアを伸ばしてきた背景もあり、IntelがCore Ultra Series 3でどれだけの価格・性能比を提示できるかが市場の反応を左右するだろう。 今後の展開 Intelの発表詳細（具体的なSKU構成、クロック数、TDP、価格帯など）は追って公開される見込み。企業のPC調達担当者にとっては、2025〜2026年の刷新計画に直結する情報となるため、引き続き動向を注視したい。 元記事: Intel promises huge performance benefits for office PCs with new Core Ultra Series 3 CPUs

MicrosoftがVisual Studio Code（VS Code）の最新アップデートをリリースした。開発サイクルを週次ペースに加速させる中、今回の更新ではビジュアル面の刷新とAI機能のさらなる統合が図られている。 新テーマで見た目を一新 今回のアップデートの目玉のひとつが、新しいカラーテーマの追加だ。開発者が長時間向き合うエディタの見た目は、作業効率や疲労感に直結する要素であり、テーマの選択肢が増えることは多くのユーザーにとって歓迎すべき変更といえる。VS Codeはすでに豊富な拡張機能エコシステムを持ち、サードパーティ製テーマも多数存在するが、公式テーマの充実は信頼性と一貫性の面で意義が大きい。 AIの推論レベルを調整可能に より注目すべきは、AI推論機能の調整オプションが追加された点だ。VS Codeに統合されているGitHub CopilotなどのAI支援機能において、推論の深さや応答のスタイルをユーザーが柔軟に制御できるようになる。 AIコーディングアシスタントは強力な反面、常に高度な推論を行わせると応答が遅くなったり、意図しない提案が増えたりすることがある。推論レベルを調整できることで、「素早く補完してほしい場面」と「じっくり考えてほしい場面」を使い分けられるようになり、開発者のワークフローにより適したAI体験が実現する。 週次リリースで競合との差別化を図る MicrosoftはVS Codeの開発ペースを意図的に週次リリースへと引き上げている。JetBrains IDEやCursorなど、AIを前面に押し出した競合エディタが台頭する中、機能追加のスピードを維持することで市場でのポジションを守る狙いがある。 VS Codeは日本国内でも多くの開発者に使われており、クラウド開発やWeb開発の現場を中心に事実上の標準エディタとなっている。AI支援機能の充実は、今後のソフトウェア開発の生産性向上に直接影響するだけに、今回のアップデートは見逃せない。 最新バージョンはVS Codeの公式サイトおよび自動更新機能から入手できる。 元記事: Microsoft updates Visual Studio Code with new themes and adjustable AI reasoning

GoogleがAndroidのポスト量子暗号対応を本格始動 Googleは、量子コンピュータの台頭に備えたAndroidのセキュリティ強化計画を発表した。現在広く使われているRSAやECDSAといった公開鍵暗号方式は、十分な性能を持つ量子コンピュータが実用化された際に解読されるリスクがあるとされており、今回の動きはその脅威への先手となる。 「今収集して後で解読」攻撃への対策 セキュリティの専門家が特に懸念するのが、「Harvest Now, Decrypt Later（今収集して後で解読）」と呼ばれる攻撃手法だ。悪意ある攻撃者が現時点では解読できなくても暗号化された通信データを大量に収集しておき、将来量子コンピュータが実用化された時点で一括解読するというシナリオだ。金融情報や個人情報、国家機密など長期的に価値を持つデータは、この手法によるリスクにさらされている。 米国立標準技術研究所（NIST）の標準に準拠 Googleが採用を進めるのは、米国立標準技術研究所（NIST）が2024年に正式標準化したポスト量子暗号（PQC: Post-Quantum Cryptography）アルゴリズムだ。代表的なものとして、格子暗号ベースのML-KEM（旧称CRYSTALS-Kyber）やML-DSA（旧称CRYSTALS-Dilithium）が挙げられる。これらは量子コンピュータによる攻撃に対しても安全性を保てるよう設計されている。 Androidへの段階的な組み込み Googleが公開したロードマップによると、PQC技術はAndroidのさまざまなセキュリティレイヤーに順次統合されていく予定だ。TLS通信、鍵管理、デジタル署名といった基盤的な暗号機能が対象となり、AndroidアプリがAPIを通じてPQCアルゴリズムを利用できる環境も整備される見込みだ。 日本への影響と展望 日本でもデジタル庁や経済産業省がポスト量子暗号への移行を重要課題として位置づけており、政府・金融・医療などの分野でPQC対応の議論が進んでいる。世界最大のモバイルOSエコシステムであるAndroidがPQCへの移行を本格化させることは、日本国内のアプリ開発者やセキュリティ担当者にとっても対応を加速させるきっかけとなるだろう。 量子コンピュータの実用化はまだ数年先とも言われるが、暗号の移行には時間がかかる。Googleの先手を打った取り組みは、業界全体に対してポスト量子暗号への備えを促す重要なシグナルとなっている。 元記事: Google starts preparing Android for post-quantum cryptography era

Microsoft Recallに再び脆弱性——暗号化データの全抽出が可能と研究者が報告 Microsoftが開発したAI機能「Recall（リコール）」に、またしても深刻なセキュリティ上の問題が発覚した。セキュリティ研究者が、Recallが保存する暗号化済みデータの格納場所を特定し、その全内容を抽出できることを実証したと報告している。 Recallとは何か Recallは、Windows 11搭載のCopilot+ PC向けに導入されたAI機能で、ユーザーの画面を定期的にスクリーンショットとして記録し、AIが内容を解析・インデックス化することで「過去に見た情報を検索できる」というコンセプトで設計されている。Microsoftは当初、このデータはローカルに保存され暗号化によって保護されると説明していた。 今回の脆弱性の概要 研究者が発見したのは、暗号化されたデータの保存先パスを特定する手法だ。適切な権限さえ得られれば、そのデータベース内に蓄積されたスクリーンショットや解析済みテキスト情報を一括で抽出できるという。これはつまり、パスワード、クレジットカード番号、メッセージの内容など、画面に表示されたあらゆる機密情報が攻撃者の手に渡る可能性を示している。 繰り返されるプライバシー問題 Recallがプライバシーおよびセキュリティ上の問題を指摘されるのはこれが2度目となる。Microsoftは2024年にRecallの正式リリースを発表した直後、セキュリティコミュニティから強い批判を受け、リリースを延期した経緯がある。その際も、スクリーンショットデータの扱いやローカルDBへのアクセス制御の甘さが問題視されていた。 今回の報告はその懸念が完全には払拭されていないことを示しており、「暗号化されている」という説明だけではユーザーのデータを守るには不十分であることが改めて浮き彫りになった。 日本のユーザーへの影響 国内でもCopilot+ PC対応のSnapdragon X搭載機やIntel Core Ultra搭載機が販売されており、Recallが有効化された環境を使用しているユーザーは注意が必要だ。現時点では、Recallの使用を無効化することが最も確実な対策となる。設定は「プライバシーとセキュリティ」→「Recall & スナップショット」から変更できる。 Microsoftはこの報告に対する公式見解をまだ発表していない。同社の対応と、今後のアップデートによる修正に注目が集まっている。 元記事: Microsoft Recall Again Spills Secrets - GovInfoSecurity

TP-Link製ルーターに重大な認証バイパス脆弱性——今すぐパッチを適用せよ TP-Linkは、同社のArcher NXシリーズルーターに存在する複数の脆弱性に対するセキュリティアップデートをリリースした。中でも最も深刻なのが、認証を一切必要とせずに攻撃者がファームウェアの書き換えや設定変更を行える「認証バイパス」の脆弱性だ。 CVE-2025-15517：認証なしで管理操作が可能 最も危険な脆弱性はCVE-2025-15517として追跡されており、Archer NX200、NX210、NX500、NX600の各ワイヤレスルーターが対象となる。 TP-Linkの公式声明によれば、「HTTPサーバー内の特定のCGIエンドポイントに対する認証チェックの欠如により、認証済みユーザー向けの機能に未認証でアクセスできる状態になっていた」という。攻撃者は特別な権限がなくても、ファームウェアのアップロードや設定変更といった管理操作を遠隔から実行できてしまう。 合わせて修正された3つの脆弱性 今回のアップデートでは追加の脆弱性も修正されている。 CVE-2025-15605：設定ファイルのバックアップ・復元機能にハードコードされた暗号化キーが存在し、認証済み攻撃者が設定ファイルを復号・改ざん・再暗号化できた CVE-2025-15518 / CVE-2025-15519：管理者権限を持つ攻撃者が任意のコマンドを実行できるコマンドインジェクション脆弱性 TP-Linkを巡るセキュリティ問題の経緯 TP-Linkはここ数年、セキュリティ面での問題が相次いでいる。2024年5月に報告された別のゼロデイ脆弱性では、パッチ公開が遅れたため2025年9月に緊急対応を強いられた経緯がある。また米国土安全保障省傘下のCISA（サイバーセキュリティ・インフラセキュリティ庁）は、TP-Linkの脆弱性のうち6件を「実際の攻撃に悪用された」として登録。中には2015年に報告されたディレクトリトラバーサル脆弱性（CVE-2015-3035）も含まれており、長年にわたる修正対応の遅さが浮き彫りになっている。 さらに、中国政府の支援を受けたハッカーグループがTP-Linkのルーターを踏み台として悪用しているとして、米国テキサス州司法長官が2026年2月に同社を提訴。そして今週、米国FCC（連邦通信委員会）は「国家安全保障上の許容できないリスク」を理由に、国外で製造されたルーターの販売禁止を盛り込んだリスト更新を行った。 日本のユーザーへの影響と対応 Archer NXシリーズは国内でも販売されており、個人・法人ともに影響を受ける可能性がある。TP-Linkは「推奨される対応を取らない場合、脆弱性は残り続ける。本アドバイザリに従うことで回避できた結果についての責任を、TP-Linkは負えない」と異例の強い表現で警告している。 対応手順： TP-Linkの公式サポートページで対象機種の最新ファームウェアを確認する ルーターの管理画面または公式ツールからファームウェアを更新する 更新後はデフォルトの管理者パスワードを変更する ルーターの脆弱性は一度悪用されると、家庭内のすべての通信が盗聴・改ざんされるリスクがある。該当機種を使用しているユーザーは速やかに更新を行ってほしい。 元記事: TP-Link warns users to patch critical router auth bypass flaw

Kali Linux 2026.1が公開——年初恒例の大型アップデート セキュリティ専門家やエシカルハッカー向けLinuxディストリビューション「Kali Linux」の2026年最初のリリース「2026.1」が公開された。8つの新ツール追加、年次テーマ刷新、そして懐かしの「BackTrackモード」が目玉となっている。 Kali Linuxはレッドチーミング、ペネトレーションテスト、ネットワーク調査、セキュリティアセスメントに特化したディストリビューションで、Raspberry Piや対応Androidデバイス（Kali NetHunter経由）など幅広いハードウェアをサポートする。 追加された8つの新ツール 今回のリリースでは新規パッケージ25本の追加、183本のアップデート、カーネルの6.18へのアップグレードが行われた。新たにリポジトリへ加わった主要ツールは以下のとおり。 ツール名 概要 AdaptixC2 拡張可能なポスト・エクスプロイテーション／敵対的エミュレーションフレームワーク Atomic-Operator Atomic Red Teamテストを複数OS環境で実行 Fluxion セキュリティ監査・ソーシャルエンジニアリング調査ツール GEF 高度なデバッグ機能を備えたGDB拡張環境 MetasploitMCP Metasploit用MCPサーバー SSTImap SSTIインジェクション自動検出ツール（インタラクティブUI付き） WPProbe 高速WordPressプラグイン列挙ツール XSStrike 高度なXSSスキャナー 特にMetasploitMCPはMetasploitをMCP（Model Context Protocol）サーバーとして扱えるツールで、AIエージェントとの連携を意識した新世代のセキュリティツールとして注目される。 年次テーマ刷新——ブート画面からデスクトップまで一新 「xx.1」リリースの恒例となっている年次テーマ更新も実施された。ブートメニュー、インストーラー画面、ログイン画面、デスクトップ壁紙に至るまで全面的に刷新されており、2026年らしいモダンな外観に生まれ変わっている。 Kali-UndercoverにBackTrackモードが登場 今回の目玉機能の一つが、Kali-Undercoverへの「BackTrackモード」追加だ。Kali-UndercoverはKaliのデスクトップをWindows 10風に偽装できる機能として知られているが、新モードではKaliの前身にあたる「BackTrack Linux」（BackTrack 5）の外観を再現できる。 壁紙・配色・ウィンドウテーマをBackTrack 5時代のものに切り替えられ、ターミナルから kali-undercover --backtrack を実行するか、メニューから直接起動できる。再度実行することで通常のKaliデスクトップに戻せる。 BackTrackは2013年にKali Linuxへと発展的に移行した歴史的なディストリビューションで、ペネトレーションテストコミュニティには根強いファンが多い。往年のユーザーには懐かしさを感じさせる粋な演出といえる。 アップグレード方法 既存インストールからのアップグレードは以下のコマンドで行える。 元記事: Kali Linux 2026.1 released with 8 new tools, new BackTrack mode

Citrix、NetScalerの重大脆弱性にパッチ——「CitrixBleed」の再来か Citrixを傘下に持つCloud Software Groupは、NetScaler ADCおよびNetScaler Gatewayに影響する2件の脆弱性にパッチを公開し、管理者に対して可能な限り早急な適用を呼びかけている。 CVE-2026-3055：セッショントークン窃取の恐れ 最も深刻度が高い脆弱性がCVE-2026-3055（Critical）だ。SAML IDプロバイダー（IDP）として設定されたNetScaler ADCまたはGatewayにおいて、不十分な入力検証によりメモリの過剰読み出し（メモリオーバーリード）が発生する。権限を持たないリモートの攻撃者がセッショントークンなどの機密情報を奪取できる可能性があり、セキュリティ研究者の間では過去に深刻な被害を与えた「CitrixBleed（CVE-2023-4966）」および「CitrixBleed2」との類似性が強く指摘されている。 セキュリティ企業watchTowrは「2023年に広く悪用されたCitrixBleedと、2025年に公開されたCitrixBleed2の両脆弱性はいまも実際の攻撃に使われ続けている。今回の脆弱性はそれらと酷似しており、脅威アクターがパッチをリバースエンジニアリングして悪用コードを開発しようとすることは容易に想定される」と警告している。 またRapid7は「CVE-2026-3055は、エクスプロイトコードが公開された時点で悪用が発生する可能性が高い」とし、影響を受けるシステムへの即時対応を促している。 CVE-2026-4368：セッション混線の危険性 2件目の脆弱性CVE-2026-4368は、GatewayとしてSSL VPN、ICAプロキシ、CVPN、RDPプロキシなどで設定されたアプライアンス、またはAAA仮想サーバーに影響する。低権限の攻撃者がレースコンディションを低複雑度の攻撃で悪用することにより、ユーザーセッションの混線（セッションミックスアップ）を引き起こす可能性がある。 影響を受けるバージョンと修正版 製品バージョン 修正版 NetScaler ADC / Gateway 13.1 13.1-62.23 NetScaler ADC / Gateway 14.1 14.1-66.59 NetScaler ADC 13.1-FIPS / 13.1-NDcPP 13.1-37.262 露出しているインスタンスは3万件超 インターネット監視組織Shadowserverの追跡によると、現在オンライン上に露出しているNetScaler ADCインスタンスは3万件超、Gatewayインスタンスは2,300件超に上る。ただし、脆弱な設定のままになっているものがどれだけあるかは現時点で不明だ。 過去の教訓——CitrixBleedは今も進行中 2025年8月には米CISA（サイバーセキュリティ・インフラセキュリティ庁）がCitrixBleed2を積極的に悪用されている脆弱性として登録し、連邦機関に対して1日以内の対処を命じた。CISAはこれまでにCitrix製品の脆弱性21件を「実際に悪用済み」と指定しており、うち7件はランサムウェア攻撃に利用された。 NetScalerは世界中の企業ネットワークで広く使われているため、日本国内でも多くの組織が影響を受ける可能性がある。Citrixは脆弱なインスタンスを特定してパッチを当てるための詳細なガイダンスも公開しており、管理者は直ちに確認・対応することを強く推奨する。 元記事: Citrix urges admins to patch NetScaler flaws as soon as possible

脆弱なMagentoストアの半数以上が攻撃対象に ECサイト向けオープンソースプラットフォーム「Magento Open Source 2」およびAdobe Commerceに存在する重大な脆弱性「PolyShell」を悪用した攻撃が急速に拡大している。eコマースセキュリティ企業のSansecによると、脆弱なストア全体の**56.7%**がすでに攻撃の標的となっていることが確認されている。 公開からわずか2日で大規模悪用が始まる 攻撃が本格化したのは2026年3月19日。脆弱性の詳細が公開されてからわずか2日後という驚くべきスピードで、攻撃者による大規模な悪用（マスエクスプロイテーション）が開始された。脆弱性の公開から実際の攻撃開始までの期間がこれほど短いケースは珍しく、ECサイト運営者にとって非常に危険な状況だ。 脆弱性の仕組み PolyShellの問題はMagentoのREST APIに起因する。カートアイテムのカスタムオプションとしてファイルアップロードを受け付ける仕様を悪用し、ポリグロットファイル（複数のファイル形式として解釈できる特殊なファイル）を送りつけることで以下の攻撃が可能になる。 リモートコード実行（RCE）: Webサーバーの設定によっては任意のコードを実行可能 ストアドXSSによるアカウント乗っ取り: 保存型クロスサイトスクリプティングを通じた管理者権限の奪取 Adobeは2026年3月10日にリリースしたバージョン2.4.9-beta1でこの問題を修正したが、現時点では安定版（本番環境向けリリース）への反映はまだ行われていない。BleepingComputerがAdobeに正式なセキュリティアップデートの公開時期を問い合わせたが、回答は得られていないという。 WebRTCを悪用した次世代型カードスキマー Sansecはさらに、一連の攻撃の中で検出された高度なクレジットカード情報窃取ツール（スキマー）についても報告している。このスキマーはWebRTC（Web Real-Time Communication）を悪用してデータを外部へ送信するという、これまでにない手法を採用している。 WebRTCはHTTPではなくDTLS暗号化されたUDP通信を使用するため、多くのサイトで設定されているコンテンツセキュリティポリシー（CSP）のconnect-src指定をすり抜けやすい。 具体的な動作としては、 軽量なJavaScriptローダーとして埋め込まれ、偽のSDP交換を通じてC2サーバーに接続 暗号化されたチャネル経由で第2段階のペイロードを受信 既存のスクリプトnonceの再利用やunsafe-evalへの fallbackによりCSPを回避して実行 requestIdleCallbackを使って実行タイミングを遅らせ、検出を回避 Sansecによれば、このスキマーは時価総額1,000億ドル超の自動車メーカーのECサイトでも検出されたが、同社は通知に応答していないという。 運営者が今すぐ取るべき対策 Adobeの安定版パッチがまだリリースされていないため、ECサイト運営者は以下の対応を急ぎたい。 Sansecが公開している攻撃元IPアドレスリストを参照し、WAFやファイアウォールでブロックする ファイルアップロード設定を見直し、不要なファイル形式を拒否する サーバーログやSansecが公開している侵害インジケーター（IoC）を使って既感染がないか確認する Adobeのセキュリティアドバイザリを継続的に監視し、安定版パッチが公開され次第すみやかに適用する Magentoは国内外を問わず多くのECサイトで利用されているプラットフォームであり、日本企業の運営するサイトも例外ではない。パッチ待ちの間も緩和策を積極的に実施することが強く推奨される。 元記事: PolyShell attacks target 56% of all vulnerable Magento stores

GitHubがAI搭載のバグ検出機能を追加——セキュリティカバレッジを大幅拡充 GitHubは、コードセキュリティツール「GitHub Code Security」にAIベースのスキャン機能を追加すると発表した。従来のCodeQL静的解析を補完する形でAI検出を組み合わせ、これまでカバーが難しかった言語・フレームワークへの対応を広げる。 なぜAIが必要か——CodeQLだけでは届かない領域 CodeQLはC/C++、Java、Python、JavaScriptなど主要言語に対して高精度なセマンティック解析を提供してきた。しかし、Shell/Bash、Dockerfile、Terraform、PHPといったエコシステムでは、従来の静的解析だけでは「十分な精査ができていなかった」とGitHubは説明している。 今回導入されるハイブリッドモデルでは、プラットフォーム側がプルリクエストごとにCodeQLとAIのどちらを使うかを自動判断する。開発者は意識することなく、より広いカバレッジによる恩恵を受けられる設計だ。 新機能は2026年第2四半期前半にパブリックプレビュー入りする予定で、早ければ来月（4月）にも公開される見込みだ。 内部テストで17万件以上の検出——開発者満足度80% GitHubが公開した内部テストの結果によれば、30日間で17万件以上の検出結果を処理し、開発者からの**ポジティブフィードバックは80%**に達した。検出された問題は「弱い暗号化・設定ミス・安全でないSQL」などが中心で、プルリクエストの画面上に直接表示される。 Copilot Autofixとの連携で修正時間も短縮 GitHub Code Securityとセットで機能するのが「Copilot Autofix」だ。2025年の統計（46万件以上のセキュリティアラートを対象）によると、Autofixを使った場合の平均解決時間は0.66時間で、使わない場合（1.29時間）と比べて約半分に短縮されている。 利用条件と料金 GitHub Code Securityはすべてのパブリックリポジトリでは無料（一部制限あり）で利用できる。プライベート・内部リポジトリでフル機能を使うには「GitHub Advanced Security（GHAS）」アドオンの契約が必要だ。日本企業でGitHub Enterpriseを利用している場合はGHASのライセンス状況を確認しておきたい。 開発フローへのセキュリティ統合が加速 今回の動きは、セキュリティをCI/CDパイプラインに組み込む「シフトレフト」のトレンドをさらに推し進めるものだ。AIによる検出がコードレビューの段階で自動的に行われることで、脆弱性が本番環境に混入するリスクを早期に排除できる。開発チームがセキュリティ専門知識を持たなくても、一定水準の安全性を担保しやすくなる点は特に中小規模のチームにとってメリットが大きいだろう。 元記事: GitHub adds AI-powered bug detection to expand security coverage

Windowsの不安定性が企業に深刻な影響——調査で明らかになった業務停止の実態 企業のIT環境においてWindowsの不安定動作が深刻な問題を引き起こしているという新たな調査データが公開された。Neowinが報じた最新レポートによれば、Windowsの不具合や予期せぬ障害が引き起こす業務停止は、多くの組織が想定していた水準をはるかに超えているという。 「まさかここまでとは」——現場の声 近年、Windowsのアップデートに起因するシステムトラブルは後を絶たない。2024年7月に発生したCrowdStrikeのセンサー更新によるブルースクリーン（BSOD）の世界的連鎖障害は記憶に新しいが、それ以外にも月次の品質更新プログラム（Quality Update）やドライバーの自動更新による不具合が断続的に報告されている。今回の調査はそうした積み重なった問題の実態を数値で裏付けるものだ。 企業ITが直面する三重苦 調査が指摘する主な課題は以下の3点だ。 障害頻度の過小評価：IT部門が把握しているインシデント数は、実際にエンドユーザーが経験している障害の一部に過ぎない。サイレントな生産性低下が大量に発生している。 復旧コストの膨張：一件あたりの障害対応にかかる時間とコストが、組織の想定予算を超えるケースが増加している。 アップデート管理の複雑化：Windowsのアップデートサイクルが加速する一方で、エンタープライズ向けのテスト・検証リソースが追いついていない。 日本企業への示唆 日本企業においても、Windows 10のサポート終了が2025年10月に迫っており、Windows 11への移行を進める組織は多い。しかし移行プロジェクトと並行して、既存環境の安定運用という二正面作戦を迫られているIT部門の負担は小さくない。 MicrosoftはWindows Update for Business（WUfB）やMicrosoft Intuneを活用した段階的展開（Staged Rollout）を推奨しており、更新プログラムの品質問題への対応としてHotpatch（再起動不要のパッチ適用）機能の拡充も進めている。ただし、これらのツールを適切に活用するには相応の運用スキルと体制が求められる。 今後の展望 Microsoftは品質向上に向けた取り組みを継続しているが、今回のレポートは企業側でも「受け身の対応」から「能動的なリスク管理」へのシフトが必要であることを示唆している。定期的なシステムヘルスチェック、ロールバック手順の整備、そしてユーザーからのフィードバックを素早く収集する仕組みの構築が、Windowsを安定的に運用する上での鍵となりそうだ。 元記事: Report: Windows instability is causing a lot of issues in enterprise environments

GitHub Copilotの利用データが学習に使われる——あなたは知っていたか？ MicrosoftのGitHub部門は、AIコーディングアシスタント「GitHub Copilot」の利用データを、モデルのトレーニングおよび第三者との共有に使用する方針を近く導入することを明らかにした。問題は、ユーザーが積極的にオプトアウトしない限り、自動的に同意したとみなされる点だ。 何が変わるのか 新方針の下では、GitHub CopilotのユーザーがIDEで入力したコード補完の要求・受け入れ・拒否といったインタラクションデータが、GitHubおよびMicrosoftのAIモデル改善に活用される可能性がある。さらに、このデータが「パートナー企業」との間で共有されることも示唆されている。 オプトアウトの手続き自体は用意されているが、期限を過ぎると自動的にオプトイン状態となる仕様であり、見落とすリスクが高い。 企業利用ユーザーは要注意 個人開発者はもちろん、企業でCopilotを導入しているIT管理者にとっては特に重大な問題だ。業務コード・独自アルゴリズム・機密ロジックが学習データとして外部に渡る可能性があり、知的財産の観点から慎重に判断が求められる。 日本でもGitHub Copilotの法人導入は急速に進んでいるが、今回の変更を受けて利用規約の再確認と、社内ガイドラインの見直しを行う企業が増えることが予想される。 どう対処するか 現時点でユーザーが取れる行動は以下の通りだ。 個人ユーザー: GitHubアカウントのCopilot設定ページで、データ共有に関するオプションを確認・オフに設定する 企業管理者: GitHub Enterprise の管理コンソールからポリシーを組織単位で制御し、ユーザーが個別に変更できないよう設定をロックする 期限の確認: GitHubからのメール通知を見逃さないよう、通知設定を確認しておく AIツールとデータプライバシーの緊張関係 OpenAI、Google、Microsoftなど主要AI企業がユーザーデータの学習利用を拡大する流れは続いており、GitHub Copilotも例外ではない。利便性と引き換えに、どこまでデータを提供するかの判断を、開発者一人ひとりが求められる時代になっている。 オプトアウト期限の詳細はGitHubの公式アナウンスで確認することを強く推奨する。 元記事: GitHub Copilot will soon use your data to train its model and share it with others

Windows 11の3月アップデート、今度こそ「当たり」のPatch Tuesday Microsoftが2026年3月のPatch Tuesdayアップデートで、Windows 11に9つの新機能・改善を届けることが明らかになった。Windows Centralがまとめた情報によれば、今回のアップデートは「珍しく実際に使いたいと思えるもの」として注目されている。 主な新機能・変更点 絵文字16.0（Emoji 16.0）サポート Unicode Consortium が策定した最新の絵文字規格「Emoji 16.0」に対応する。新しい絵文字が加わることで、メッセージングやSNSでの表現力がさらに広がる。 タスクバーへのネットワーク速度テスト統合 タスクバーから直接ネットワーク速度テストを実行できる機能が追加される。サードパーティアプリを開かずに回線速度を手軽に確認できるようになり、リモートワーク環境での接続品質チェックが格段に楽になりそうだ。 File Explorerの高速検索バー ファイルエクスプローラーに高速な検索バーが実装される。従来の検索は動作が遅く不満の声も多かっただけに、日常的にファイル管理をするユーザーには朗報といえる。 Sysmonのオプション機能としての組み込み セキュリティ監視ツールとして知られる「Sysmon（System Monitor）」がWindowsのオプション機能として標準統合される。これまでは別途インストールが必要だったが、Windows側から直接有効化できるようになる。セキュリティ担当者やITプロフェッショナルには特に嬉しい変更だ。 WebP画像の壁紙対応 WebP形式の画像をデスクトップ壁紙として設定できるようになる。WebPはGoogleが開発した次世代画像フォーマットで、高圧縮率と高画質を両立している。好みの画像をわざわざJPEGやPNGに変換する手間が省けるようになる。 日本のユーザーへの影響 絵文字16.0対応は、LINEやX（旧Twitter）など絵文字文化が根付く日本のユーザーにとって特に歓迎される変更だろう。また、テレワーク継続中の企業が多い現状において、タスクバーからのネット速度確認機能は実用性が高い。 Sysmonの標準統合は、セキュリティ監視の観点から企業IT部門にも注目される。ゼロトラストセキュリティの導入が進む日本企業にとって、エンドポイント監視の敷居が下がることは意義深い。 配信時期 今回の機能群は2026年3月のPatch Tuesdayアップデートとして提供される予定。Windows Updateを通じて自動配信されるため、基本的にはユーザー側での特別な作業は不要だ。 元記事: 9 new Windows 11 features coming in March 2026 | Windows Central

人気AIライブラリ「LiteLLM」がサプライチェーン攻撃に悪用される 複数の大規模言語モデル（LLM）プロバイダーへのアクセスを統一APIで提供するオープンソースPythonライブラリ「LiteLLM」が、悪意あるサプライチェーン攻撃の標的となったことが明らかになった。セキュリティ企業Endor Labsの調査により、ハッカー集団「TeamPCP」がPyPI上に悪意あるバージョンを公開し、インフォスティーラー（情報窃取型マルウェア）を配布していたことが確認されている。 LiteLLMは1日あたり340万回以上、過去1か月で9,500万回以上ダウンロードされている非常に人気の高いパッケージだ。AIアプリケーション開発者の間で広く使われており、その普及度の高さが今回の攻撃の被害規模に直結した。 何が起きたのか 攻撃者はLiteLLMのバージョン1.82.7および1.82.8に悪意あるコードを埋め込み、PyPIへ公開した。問題のコードは litellm/proxy/proxy_server.py にBase64エンコードされたペイロードとして挿入されており、パッケージをインポートするだけで自動実行される仕組みになっていた。 さらに悪質なのがバージョン1.82.8で、Pythonインタープリタが起動するたびに自動読み込みされる .pth ファイルを環境にインストールする機能が追加されていた。これにより、LiteLLMを直接使用していない場合でもマルウェアが実行されるという。 盗まれた情報の範囲 Endor Labsの分析によれば、攻撃は3段階で実行される： 認証情報の収集: SSHキー、AWSやGCP・Azureのクラウド認証情報、Kubernetesのサービスアカウントトークン、.env ファイル、データベース認証情報、TLSプライベートキー、CI/CDシークレット、暗号資産ウォレットなど幅広い情報が対象となる 横展開（ラテラルムーブメント）: Kubernetesクラスタ内で特権ポッドを展開し、全ノードへの侵害を試みる 永続化: systemd ユーザーサービスとして偽装したバックドアをインストールし、checkmarx[.]zone という攻撃者管理のドメインへ定期的に接続して追加ペイロードを受信・実行する 窃取データは tpcp.tar.gz という暗号化アーカイブにまとめられ、攻撃者のインフラに送信される。 TeamPCPとは TeamPCPはサプライチェーン攻撃を繰り返しているハッカー集団で、最近ではセキュリティツール「Trivy」（Aqua Security社）の侵害を引き起こし、Aqua SecurityのDockerイメージやCheckmarxのKICSプロジェクトへの連鎖的な侵害にもつながったとされている。同グループはKubernetesクラスタを標的に、イランと判定されたシステムに対してはマシンを完全にワイプするスクリプトを展開するなど、破壊的な活動も確認されている。 被害規模について、同グループは約50万件のデータ窃取を主張しており、マルウェアリポジトリのVX-Undergroundも同様の数字を報告しているが、現時点でBleepingComputerによる独立した検証はされていない（重複分を多数含む可能性がある）。 日本の開発者への影響と対策 LiteLLMは日本国内でもAI開発の現場で広く利用されているライブラリだ。バージョン1.82.7または1.82.8を使用していた場合は、早急に以下の対応を取ることが推奨される： 該当バージョンを即時アンインストールし、安全なバージョンへアップグレードする SSHキー、AWSアクセスキー、その他のクラウド認証情報をローテーション（再発行）する Kubernetes環境で不審なポッドや systemd サービスが作成されていないか確認する .env ファイルや CI/CD シークレットに不正アクセスの痕跡がないかログを確認する オープンソースパッケージのサプライチェーン攻撃は近年急増しており、依存ライブラリのバージョン管理と監査の重要性が改めて問われている。 元記事: Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens

PTCのPLMソフトに緊急レベルの脆弱性——ドイツ警察が夜中に企業へ警告に駆けつける事態に PTC社は、同社の製品ライフサイクル管理（PLM）ソフトウェア「Windchill」および「FlexPLM」に深刻なリモートコード実行（RCE）の脆弱性が存在すると警告した。識別子は CVE-2026-4681 で、信頼済みデータのデシリアライゼーション処理を悪用することで攻撃が成立する。 ドイツ連邦警察が異例の緊急対応 今回の脆弱性で特筆すべきは、ドイツ当局の異例な動きだ。ドイツ連邦刑事庁（BKA）は週末、捜査官を国内の企業に直接派遣し、この脆弱性に関するPTCの通知文書を手渡した。深夜にシステム管理者を叩き起こしてまで警告に当たったケースもあり、対象製品を使用していない企業にまで連絡が届いたという。各州の州刑事庁（LKA）にも同様の通知が行われており、当局の危機感の高さが窺える。 PTCは顧客向けメールの中で「第三者グループによるこの脆弱性の即時悪用が差し迫っている、という信頼性の高い情報がある」と述べており、現時点での実害報告はないものの、攻撃が極めて近い段階にあると見られている。 未パッチ——今すぐできる緩和策を適用せよ 正式なパッチはまだリリースされていない。PTCは「すべてのサポート対象Windchillバージョン向けにセキュリティパッチを鋭意開発・リリース中」としている。脆弱性はすべての重要パッチセット（CPS）バージョンを含む、ほぼ全バージョンに影響する。 パッチが提供されるまでの緩和策として、PTCはApache/IIS向けのルール設定により、影響を受けるサーブレットパスへのアクセスを拒否することを推奨している。この緩和策は機能に影響しないとされている。 適用対象はインターネット公開インスタンスだけでなく、Windchill・FlexPLM・ファイルサーバー・レプリカサーバーを含むすべての展開環境だ。ただし、インターネットに公開されているインスタンスを優先すること。緩和策の適用が不可能な場合は、該当インスタンスをインターネットから切断するか、サービスを一時停止することを推奨している。 侵害指標（IoC）も公開——既に侵入されていないか確認を PTCは侵害を示す具体的な指標（IoC）も公開した。確認すべき項目は以下の通り。 ファイル: GW.class、payload.bin、dpr_<ランダム文字列>.jsp などのウェブシェル 不審なリクエスト: run?p= や .jsp?c= を含むパターンと、異常なUser-Agent文字列の組み合わせ エラーログ: GW、GW_READY_OK、または予期しないゲートウェイ例外の参照 PTCによれば、GW.class または dpr_<8桁16進数>.jsp がWindchillサーバー上に存在する場合、攻撃者がRCEを実行する前段階の「武器化」をすでに完了していることを意味する。 製造業・防衛産業への影響が懸念される背景 WindchillとFlexPLMは製品設計・製造工程の管理に広く使われており、兵器システムの設計を行う防衛関連企業や重要インフラを担う製造業でも採用されている。当局が異例の対応に踏み切った背景には、産業スパイや国家安全保障上のリスクへの強い懸念があると見られている。 WindchillやFlexPLMを利用している組織は、直ちに緩和策を適用し、IoC確認による侵害チェックを実施することが強く推奨される。 元記事: PTC warns of imminent threat from critical Windchill, FlexPLM RCE bug

Appleは、対象となるすべてのiPhoneおよびiPad向けにiOS 26.4とiPadOS 26.4の正式配信を開始した。 アップデートの概要 iOS 26.4はiOS 26系のマイナーアップデートにあたり、セキュリティパッチやバグ修正、システム全体の安定性向上が主な内容とみられる。Appleはリリースごとに既存機能の改善を積み重ねており、今回のアップデートもその流れを踏襲したものだ。 アップデート方法 iOS 26.4へのアップデートは、以下の手順で行える。 設定 アプリを開く 一般 → ソフトウェア・アップデート をタップ アップデートが表示されたら 今すぐインストール を選択 アップデートの適用にはWi-Fi接続と十分なバッテリー残量（または電源接続）が推奨される。 セキュリティアップデートの重要性 AppleはiOSのマイナーアップデートであっても、重要なセキュリティ脆弱性の修正を含むことが多い。特に企業環境でiPhoneを業務利用している場合は、IT管理者のポリシーに従いつつも、できるだけ早期の適用が望ましい。 日本国内でも多くのユーザーがiPhoneを利用しており、キャリア（docomo・au・SoftBank・楽天モバイル）を問わず、ソフトウェア・アップデートから最新版を適用できる。 対象デバイス iOS 26はiPhone 16シリーズをはじめ、iPhone 15・14・13・12・11、iPhone SE（第2世代以降）などの比較的新しいモデルが対象となっている。iPadOS 26も同様に、現行ラインナップの多くのiPadモデルに対応している。 詳細なリリースノートはAppleの公式サポートページで確認できる。 元記事: Apple releases iOS 26.4 and iPadOS 26.4 to the public

Microsoftは、クラウドID管理サービス「Microsoft Entra ID」に対して、企業が長らく課題として抱えてきた多要素認証（MFA: Multi-Factor Authentication）の制限を解消する新機能を追加した。この変更は、エンタープライズ環境における認証管理の在り方に大きな影響を与える可能性があると注目されている。 Entra IDのMFA、何が問題だったのか Microsoft Entra ID（旧称: Azure Active Directory）は、Microsoft 365やAzureを利用する多くの企業・組織でアイデンティティ管理の中核を担っている。特に日本国内でも、クラウド移行やゼロトラストセキュリティへの取り組みが加速する中で、Entra IDのMFA機能は企業セキュリティ戦略の重要な柱となっている。 しかし従来のEntra IDにおけるMFAには、条件付きアクセス（Conditional Access）ポリシーとの組み合わせや、セッション管理の粒度、外部ユーザー・ゲストアカウントへの適用範囲など、エンタープライズ運用では対応しきれない制約が存在しており、IT管理者からの改善要望が長年にわたって寄せられていた。 待望の新機能で何が変わるか 今回Microsoftが導入した機能強化は、企業が抱えてきたこのMFA運用上のギャップを埋めるものだ。これにより、より細かい粒度での認証強度の制御や、特定のリソースやユーザーグループに対する柔軟なMFAポリシーの適用が可能になると見られている。 エンタープライズ環境では、全社員に一律のMFAを課すだけでなく、アクセスするアプリケーションの機密度やユーザーのリスクレベルに応じて認証要件を動的に変えるニーズが高い。今回の改善はまさにこの「認証の文脈依存性」を高めるものであり、ゼロトラストアーキテクチャの実践において重要な一歩となる。 日本企業への影響 国内でも、政府のデジタル行政推進やサイバーセキュリティ対策強化の流れを受け、Microsoft 365やEntra IDを活用した認証基盤の整備が急速に進んでいる。今回の変更は、特にハイブリッドワーク環境下でのリモートアクセス管理やコンプライアンス対応において、IT部門の運用負荷を軽減する効果が期待される。 Microsoftは引き続きEntra IDへの投資を継続しており、パスキー（Passkey）やフィッシング耐性MFAの普及促進とも組み合わせることで、より堅牢な認証エコシステムの構築を目指している。企業のID管理担当者は、今回の機能追加の詳細を確認し、自社のセキュリティポリシーへの適用を検討するタイミングだろう。 元記事: Microsoft’s new Entra ID feature fixes a huge MFA limitation

MetaとArmがAIデータセンター向け独自CPUを共同開発 AIデータセンター向けハードウェアの需要が急拡大する中、MetaとArmが独自CPUの共同開発に着手したことが明らかになった。両社は重量級AIワークロードへの対応を念頭に置き、汎用的な既製品ではなく自社ニーズに特化したプロセッサの設計を進めている。 なぜ今、独自CPUなのか AIの学習・推論処理は従来のサーバーワークロードとは性質が大きく異なり、大規模な行列演算や高帯域メモリアクセスが求められる。GPUがAI処理の主役として注目される一方で、データセンター全体の制御や前処理・後処理を担うCPUも、AIワークロードに最適化されていなければボトルネックになりかねない。 MetaはすでにAIアクセラレータ「MTIA（Meta Training and Inference Accelerator）」の独自開発を進めており、今回のCPU開発はその延長線上にある。自社のAIインフラ全体をコントロールすることで、電力効率・コスト・パフォーマンスのすべてを最大化する狙いだ。 Armアーキテクチャを選んだ理由 パートナーにArmを選んだ背景には、同社のアーキテクチャが持つ電力効率の高さがある。Armベースのサーバー向けプロセッサはAWS（Graviton）やAmpere Computingなどがすでに実績を積んでおり、x86系に比べてワットパフォーマンスに優れると評価されている。AIデータセンターでは電力消費がコスト構造を大きく左右するため、この点は重要な選定基準となる。 自社チップ戦略の加速する競争 テック大手による自社チップ開発の潮流は今や業界全体のトレンドだ。GoogleはTPU（Tensor Processing Unit）で先行し、AmazonはTrainiumとInferentia、MicrosoftはMaia 100をそれぞれ投入している。Appleのシリコン戦略が示したように、ハードウェアとソフトウェアを垂直統合することで得られるメリットは大きく、AIの時代においてその重要性はさらに増している。 日本企業にとっても、データセンター戦略やAIクラウドサービスの調達において、こうした独自チップの動向は無視できない要素となりつつある。NVIDIAのGPUへの依存を分散させようとするビッグテックの動きは、中長期的にAIチップ市場の競争環境を塗り替えていく可能性がある。 MetaとArmの協業がどのような製品として結実するか、詳細なスペックや量産時期はまだ明らかにされていないが、AIインフラ内製化競争の新たな一手として業界の注目を集めている。 元記事: Meta and Arm are now building CPUs for AI data centers

Firefox 149に無料の内蔵VPN機能が搭載——月50GB、米英独仏で順次展開 Mozillaは2026年3月24日、Firefox 149をリリースした。今回の目玉は、ブラウザに直接組み込まれた無料のVPN機能だ。Mozillaアカウントを持つユーザーは月50GBまでのトラフィックを保護された状態でブラウジングできる。 ブラウザ専用のセキュアプロキシ経由でIPを隠蔽 この機能は、ブラウザ内のトラフィックのみをセキュアなプロキシサーバー経由でルーティングするもの。OS全体の通信を保護するMozillaの有料サービス「Mozilla VPN」とは異なり、あくまでFirefox内の通信に限定される。 Mozillaは「公共のWi-Fiを使っているとき、健康に関する情報を調べているとき、プライベートな買い物をしているとき——この機能がシンプルな保護手段になる」と説明している。 サインイン後、ブラウザ右上のトグルスイッチでオン・オフを切り替えられる。また特定のサイト（最大5件）にのみVPNを適用する設定も可能で、月間データ量を節約したいユーザーに配慮した設計になっている。なお、一部のウェブサービスやログイン必須サービスはVPNの適用対象外となっており、アカウント認証の問題を回避できるようになっている。 プライバシーポリシーとデータ収集 Mozillaが収集するのは、接続の成否や日単位のデータ使用量など、サービスの安定性・品質維持に必要な技術情報のみとしている。マーケティング目的の利用行動追跡は行わないと明言している。 ルーティングサーバーは米国に設置されており、ユーザーの位置情報とパフォーマンスを考慮して自動的に選択される。 現時点では米・英・独・仏の4カ国が対象 本機能は本日（3月24日）から米国、英国、ドイツ、フランスのユーザーへ段階的に展開される。その他の地域への拡大時期は現時点では未定だ。残念ながら日本ユーザーはすぐには利用できないが、今後のアップデートに期待したい。 Split View（タブ並列表示）機能も追加 Firefox 149ではVPN以外にも、タブを同一ウィンドウ内で左右に並べて表示できる「Split View（スプリットビュー）」機能が追加された。Googleの「Google Chrome」では以前から搭載されていた機能で、情報の比較・調査・メモ取りなど多用途に活用できる。 また、SafeBrowsingシステムが悪意あるサイトと判断したページに対して、通知を自動ブロックし既存の権限も自動で取り消す機能も加わった。 46件のセキュリティ脆弱性も修正 セキュリティ面では46件の脆弱性が修正されており、その半数以上が「重大度：高」の評価を受けている。Use-after-free（解放済みメモリ参照）、境界外アクセス、JITエンジンの欠陥、サンドボックスエスケープなど、悪用されると深刻な被害につながる脆弱性も含まれている。早急なアップデートを推奨する。 元記事: Firefox now has a free built-in VPN with 50GB monthly data limit

FCC、外国製ルーターを安保リスクとして全面禁止 米連邦通信委員会（FCC: Federal Communications Commission）は、国外で製造されたすべての消費者向けルーターを「Covered List（規制対象リスト）」に追加し、新モデルの米国内販売を禁止すると発表した。 Covered Listとは何か Covered Listは、2019年に制定された「安全・信頼できる通信ネットワーク法（Secure and Trusted Communications Networks Act）」に基づいてFCCが管理するリストで、国家安全保障や国民の安全に容認できないリスクをもたらすと判断された通信機器・サービスが登録される。 これまでは特定企業・製品が対象で、カスペルスキー（Kaspersky）、華為技術（Huawei）、中興通訊（ZTE）、ハイクビジョン（Hikvision）、大華技術（Dahua）といった名前が並んでいた。今回の改定では「外国製ルーター全般」へと対象を大幅に拡大した形だ。 背景——中国系ハッカーグループによる攻撃 この決定の直接的なきっかけは、2026年3月20日に米政府の省庁間機関が発出した「国家安全保障判断（National Security Determination）」だ。同判断では、外国製ルーターがサプライチェーン上のリスクを内包しており、「米国経済・重要インフラ・国防を混乱させうる」と結論づけた。 FCCは、中国系サイバー攻撃グループとされる「Volt Typhoon」「Flax Typhoon」「Salt Typhoon」が外国製ルーターを悪用して米国の重要インフラを標的とした攻撃を実行したことを、規制強化の根拠として明示している。これらのグループは近年、米国の通信・エネルギー・水道インフラへの侵入が確認されており、米政府は警戒を強めていた。 承認の代替ルートも用意 一律禁止といっても、抜け道はある。外国メーカーも以下の情報を透明性をもって開示すれば、米国市場への参入申請が認められる。 企業・所有構造（外国政府からの資金援助・影響関係を含む） 製造・サプライチェーンの詳細（部品表、原産国、ソフトウェア・ファームウェアの出所など） 米国内製造への移行計画 ただし、FCCの認証プロセスは通常でも数ヵ月を要する。コストや「米国内製造の移行要件」を負担に感じたメーカーが米市場から撤退するケースも想定され、消費者にとっては選択肢の減少や価格上昇が懸念される。 一般消費者への影響は「当面なし」 現時点では、すでに流通している既存のルーターは引き続き販売・使用が可能だ。ドローンシステム（UAS: Unmanned Aircraft Systems）向けのソフトウェア・ファームウェアアップデートも、少なくとも2027年1月1日まで許可される。 米国防省（DoW）および国土安全保障省（DHS）のドローンシステムに使用される一部ルーターについては、セキュリティリスクなしと判断され条件付き承認が維持されている。 日本への影響 日本の大手ルーターメーカーであるバッファロー（Buffalo）やNECプラットフォームズなども、米市場への展開において今後この規制の影響を受ける可能性がある。また、台湾のASUS・TP-Linkなど現在シェアを持つブランドも対応を迫られる見通しだ。規制の行方は日本の通信機器メーカーにとっても無視できない動向となっている。 元記事: FCC bans new routers made outside the USA over security risks