2026年4月13日～2026年4月19日に読んだ中で気になったニュースとメモ書きです。

• [AWS Secrets ManagerのクライアントPQCデフォルト化]
• [その他のニュース]
  • ▼wolfSSLの脆弱性（CVE-2026-5194）
  • ▼NIST SP 800-230: 追加SLH-DSAパラメータ
  • ▼Google Trust ServicesのCCADB CRL URL不整合
  • ▼ACMEとAWSでワイルドカード証明書自動更新
  • ▼AgentCore Browser＋カスタムルートCA
• [おわりに]

[AWS Secrets ManagerのクライアントPQCデフォルト化]

こちらの記事から。

aws.amazon.com

Secrets ManagerのAPI自体は1年前からPQCに対応していたが、各種SDKからの呼び出し時にはPQC利用をオプトインする必要があった。今回のリリースで、自動的にPQC利用可能になるとのこと。

実際にハイブリッド鍵交換を利用できているかどうかは、CloudTrailのkeyExchangeフィールドで鍵交換アルゴリズムがX25519MLKEM768になっているかをチェックすることで確認できるらしい。可観測性が用意されているのはありがたい。
とはいえ、S3のようにPQCには対応しているがCloudTrailのkeyExchangeフィールドに対応していないサービスもあるようだ。

dev.classmethod.jp

なお、AWSのPQC対応の歴史はTLS季報 vol.6にまとめて先週公開したばかり。今回のSecrets Managerの動きはちょうどvol.6以降の最新アップデートという形になる。

techbookfest.org

[その他のニュース]

▼wolfSSLの脆弱性（CVE-2026-5194）

こちらのツイートから。

AnthropicのエンジニアがAIモデルによるコードレビューで、組み込み向けTLSライブラリwolfSSLにCVSSv3スコア10.0の脆弱性を発見。同ライブラリはスマートフォンからルーターまで50億ものデバイスやアプリで使用されており、同記事では多くの旧式デバイスではパッチ適用が困難になる可能性があるとして…

— 📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中 (@MalwareBibleJP) 2026年4月13日

リンク先はこちら。

cybernews.com

署名検証関数がハッシュサイズとOID識別子を適切に検証しておらず、ECDSA、ML-DSA、EdDSAなどのアルゴリズムが影響を受けるとのこと。

Anthropic社の発見らしいけど、Glasswingプロジェクトの一環なのかしら...。

▼NIST SP 800-230: 追加SLH-DSAパラメータ

こちらのツイートから。

NIST: Additional SLH-DSA Parameter Sets for Limited Signature Use Cases https://t.co/igdaY7IgEd

— Frank (@jedisct1) 2026年4月13日

SLH-DSA（SPHINCS+）の署名サイズと検証コストを削減するために最大署名回数を2^64から2^24に制限する仕様SP800-230。署名サイズはSLH-DSAの約半分くらいになる。NIST Leve1で約3.8KB。https://t.co/dIPOkup2ho

— Shigeyuki Azuchi (@techmedia_think) 2026年4月14日

リンク先はこちら。

csrc.nist.gov

高速な署名検証が必要な場面で利用できる新しいSLH-DSA用パラメータの提案とのこと。TLSでも使える...のかな？

▼Google Trust ServicesのCCADB CRL URL不整合

こちらのチケットから。

bugzilla.mozilla.org

Google Trust Services (GTS) が、CCADBに登録したCRL Distribution PointのURLが実際に発行済み中間証明書で使っているURLと一致していないと自己申告したインシデント。

GTS R1～R4では新しい短いURL（http://c.pki.goog/r/r1.crl など）が欠落していて、GSR4については登録URL（http://crl.pki.goog/root-r4.crl）がそもそも証明書で使われていない可能性があるとのこと。GSR4はGlobalSign〜らしいのだが、なぜGlobal Sign...?

▼ACMEとAWSでワイルドカード証明書自動更新

こちらのツイートから。

わいわい。次は DNS-PERSIST-01 のキャッチアップもお願いします。 / “SSL/TLS証明書の有効期限短縮に備える ― ACMEとAWSでワイルドカード証明書を自動更新・集約する方法” https://t.co/mIzvyGkmss

— matsuu (@matsuu) 2026年4月12日

リンク先はこちら。

heartbeats.jp

Lambdaを使って、ACMじゃない商用CAの証明書を自動取得する仕組みを紹介してくれている。メモメモ..._φ(･_･

▼AgentCore Browser＋カスタムルートCA

こちらのツイートから。

AgentCoreブラウザにChromeポリシーとカスタムルートCA対応が来た！エージェントのブラウザ操作をエンタープライズ仕様にしてみた https://t.co/HHNxjEHL1C #Qiita via @leomarokun0920

— れおまろ (@leomarokun0920) 2026年4月16日

リンク先はこちら。

qiita.com

mTLS要件があるところにエージェントがたどり着けるようになったっぽい。

[おわりに]

技術書典20、新刊公開中です🙏

techbookfest.org

技術書典で力尽きたので、記事の作成にClaudeくんを召喚。こうして人間は堕落していく...とはいえ添削に相当時間を使ったのでまだまだやり方がよくなさそう。