はじめに
今週のニュースを追っていて、正直ちょっと背筋が寒くなりました。「便利にしてくれるはずの道具が、そのまま攻撃の入口になる」という話が1回どころか2回も出てきたからです。npmパッケージとJoomla拡張、ジャンルはまったく別なのに同じ教訓が返ってくるあたり、今週は当たり回だったなと思いつつまとめます。
1. jscrambler npmパッケージが汚染――Claude DesktopやCursorの設定まで盗む「IronWorm」
2026年7月11日、JavaScriptのコード難読化ツールとして使われているnpmパッケージ「jscrambler」の公式アカウントが侵害されました。攻撃者は約3時間のあいだに8.14.0から8.20.0まで5バージョンを立て続けに公開し、そのすべてにRust製のインフォスティーラー「IronWorm」を仕込んでいます。週15,800ダウンロードというパッケージ規模なので、対象になったビルドパイプラインの数を想像すると軽く見られる話ではありません。
IronWormが集める情報の幅は、正直かなり広いです。AWS・Azure・GCPの認証情報、MetaMaskなどの暗号ウォレット、Bitwardenや1Passwordのようなパスワードマネージャーまで対象になっていますが、今回いちばん引っかかったのはClaude DesktopやCursor、Windsurf、Zed、VS Codeといったツールの設定ファイルまで収集対象に入っていたことです。恥ずかしい話、自分もローカルのAIツール設定を「まあ大丈夫だろう」で放置していた時期があって、これを読んで慌てて自分の.cursorディレクトリの中身を確認しました(幸い何も出てこなかったのでほっとしましたが、これは運が良かっただけかもしれません)。AIコーディングツールのAPIキーやMCPサーバーの認証情報が盗まれるという新しい脅威軸が、はっきり姿を見せた事件でした。
セキュリティ企業のSocketが公開からわずか6分後に検知したのは救いですが、攻撃者はnpmトークンを盗んで高ダウンロード数パッケージへ自己伝播する機能まで持っていたので、被害が連鎖する可能性もありました。バージョン8.14.0・8.16.0・8.17.0・8.18.0・8.20.0を使っている場合は、汚染されていない8.22.0へすぐに更新してください。
2. Raspberry Pi 5のIOMMUドライバ、メインラインLinuxカーネルへ統合前進
Raspberry Pi 5に載っているBroadcom BCM2712チップのIOMMUドライバが、メインラインのLinuxカーネルへ統合されるための改修作業が進んでいます。開発者のDaniel Drakeが、カーネル共通のページテーブル管理インフラgeneric_ptを使う形でドライバを書き直しました。
IOMMUというのは、周辺機器がメモリを直接読み書きするDMA操作を制御する仕組みです。これが有効になれば、悪意あるUSBデバイスやPCIeカードがメモリ全域へ無制限にアクセスするリスクを抑えられます。ただしBCM2712のIOMMUは4KBページにしか対応しておらず、公式カーネルは16KBページでビルドされているため、ページテーブル用のメモリの75%が無駄になるという課題も残っています(せっかく作った仕組みの4分の3が空振りというのは、ちょっと切ない数字です)。現時点でこの解決策は示されていません。地味な統合作業ですが、Pi 5でコンテナや仮想化を動かしている人には確実に効いてくる話です。
3. Linux 7.2-rc3リリース――「新しいノーマルに近い落ち着き」とDreamcastパッチ
Linux 7.2-rc3が7月12日にリリースされました。目立った炎上案件もなく、Linus Torvaldsは「新しいノーマルに近い落ち着き」とコメントしています。今回の注目はWiFi管理フレーム経由で攻撃できるカーネル境界外読み取り脆弱性CVE-2026-53179(CVSS 7.1)の修正で、対象はステージングドライバのRTL8723BSです。低価格な組み込みLinuxデバイスに広く使われているモジュールなので、該当環境ではsudo modprobe -r r8723bsでの暫定無効化も選択肢になります。
もう一つ、これは完全に個人の好みなのですが、1998年製のゲーム機SEGA Dreamcast向け入力ドライバの修正がマージされたという話に地味に萌えました。製造終了から四半世紀経ったハードウェアが、2026年の現役カーネルでいまだに面倒を見てもらえている。誰かが「好きだから」という理由だけでメンテし続けている文化があるからこそ成立する話で、こういうエピソードに出会うたびにOSSっていいなと思います。
4. Wine 11.13リリース――X11キーボードの誤変換をようやく根治
Wine 11.13が7月10日にリリースされました。今回の目玉はX11のキーボードスキャンコード変換の根本修正です。「Linuxキーコード+8=X11キーコード」というシンプルな関係を直接使うように書き直され、DirectInputを使うゲームでの右シフト誤認識などのキーボードトラブルが解消される見込みです。長年こじれていた複雑な変換処理が、結局は足し算一つで済む話だったというのは、なんだか拍子抜けというか、地味に面白いオチだと思います。
あわせてXI2のRaw Mouse Motionが改善され、フォーカスがあるときだけraw eventsを有効化する設計に変更されました。FPS・TPS系のゲームで精密なマウス操作をする人には効いてくる改善です。Steam DeckのProtonにも波及していく変更なので、直接Wineを触っていない人にも回り回って届く話です。
5. Joomla拡張2件がCVSS 10.0のゼロデイでCISA KEV入り
7月10日、CISAはJoomla向けイベント管理拡張「iCagenda」(CVE-2026-48939)とフォームビルダー「Balbooa Forms」(CVE-2026-56291)を既知悪用脆弱性カタログ(KEV)に追加しました。どちらもCVSS 10.0の満点で、認証不要のファイルアップロードからそのままサーバー乗っ取りにつながる脆弱性です。
iCagendaは6月15日から自動化スキャナー「icagenda-batch/1.0」による攻撃が続いている本物のゼロデイで、開発者は攻撃発覚と同日に修正版4.0.8をリリースしたものの、CVE公開まで5日、CISA KEV登録まで25日かかっています。この間、パッチの存在を知らないサイトが攻撃にさらされ続けたわけで、「パッチは速くても周知は遅い」という現実にはやりきれなさを感じます。Balbooa Formsは7月8日にホスティング企業からの通知で発覚し、翌日に修正版2.4.1が出ています。iCagendaはインストール数5万件超、影響バージョン3.2.1〜3.9.14および4.0.0〜4.0.7。未対応の場合はすぐにアップデートし、images/icagenda/frontend/attachments/やimages/baforms/uploads/配下に不審な.phpファイルがないか確認してください。
まとめ
npmのjscrambler事件とJoomlaの満点ゼロデイ、どちらも「守ってくれるはずのツールが穴になる」という同じ構図でした。その間にはさまったRaspberry Pi 5・Linux 7.2-rc3・Wine 11.13は、地味だけど着実な積み上げの話です。便利な入口を使うほど気をつけないといけない、というのが今週いちばんの実感でした。皆さんは開発環境のセキュリティ、どこまで気にしていますか。よかったらコメントで教えてください。