AIトレンド: Claude連携強化と重大なサプライチェーン攻撃

  • PHP Composer
  • WordPress
  • Mirax
  • OpenSSL
  • Claude Code
  • Cloudflare Agent Cloud
  • Plain
  • LangAlpha
  • Jujutsu

本日の AI/開発ツール トピックス (2026-04-15)

1. 📋 本日のまとめ

💡 今日のポイント

  • AIエージェントの業務への本格導入が進んでいます:CloudflareとOpenAIが連携し、企業のワークフローを自動化するサービスが強化されました。
  • 重要なソフトウェアで深刻なセキュリティ問題が相次いでいます:Webサイトの基礎であるPHP ComposerやWordPressで、外部から乗っ取られる恐れがある欠陥が見つかりました。
  • 新しい開発ツールが続々と登場しています:暗号化の標準であるOpenSSLの最新版4.0.0がリリースされ、新しい安全な通信方式に対応しました。

本日はAIエコシステムの実用化が大きく前進した一方で、インターネットのインフラストラクチャやサプライチェーンに深刻なセキュリティ脅威が確認された、非常にコントラストの強い1日となりました。

開発面では、CloudflareがOpenAIと提携して「Agent Cloud」を発表し、企業が安全かつスケーラブルにAIエージェントを活用したワークフローを構築できる環境を整えました。さらに、Anthropic社の「Claude Code」にRoutinesと呼ばれる新機能が追加され、複雑な開発タスクの自動化が一段と容易になっています。これにより、単なるチャットボットから自律的にタスクを遂行する「Agentic AI(エージェンティックAI)」への移行が明白になりました。これまではLLMの推論能力に依存して単発のタスクを解決するのが主流でしたが、現在のトレンドは「ワークフロー全体の自動化と最適化」へとシフトしています。

一方で、セキュリティ面では非常に憂慮すべき事態が発生しています。世界中の何百万ものWebサイトで利用されている「PHP Composer」において、任意のコマンドが実行可能になる致命的な脆弱性が発覚しました。また、何千ものWebサイトで利用されている数十のWordPressプラグインに意図的にバックドア(裏口)が仕込まれるサプライチェーン攻撃も確認されており、開発者や運用担当者は緊急の対応を迫られています。Android端末を狙ったMirax RATの大規模感染など、エンドユーザーを直接狙う攻撃も後を絶ちません。

これらの動向は、AIを活用した開発の高速化と自動化がもたらす恩恵と同時に、サードパーティ製コンポーネントに依存する現代のソフトウェア開発において、セキュリティ確保がいかに困難かつ重要であるかを浮き彫りにしています。システムを迅速に構築する能力が高まるにつれ、それらを守るための防御メカニズムも同じスピードで進化させる必要があります。

2. 🚨 緊急セキュリティ情報

PHP Composer - 任意のコマンド実行(RCE)の脆弱性

  • 🔰 ひとことで言うと: Webサイトを作るための部品を管理するツールに欠陥があり、悪意のある人にサーバーを乗っ取られる恐れがあります。
  • 内容: PHPの依存関係管理ツールであるComposerに、悪意のあるパッケージURLを処理する際のコマンドインジェクションの脆弱性が発見されました。攻撃者は、特別に細工されたリポジトリURLを用意し、被害者にcomposer installcomposer updateを実行させることで、ホストシステム上で任意のシェルコマンドを実行(RCE: Remote Code Execution)できる可能性があります。これは、開発者のローカル環境やCI/CDパイプライン全体を侵害する恐れがある非常に危険な脆弱性であり、ソフトウェアサプライチェーンの根幹を揺るがす事態です。
  • リスク度: 緊急
  • 📊 影響の大きさ:
    • 影響を受ける人: PHPを使用してWebアプリケーションを開発し、Composerを利用しているすべての開発者およびサーバー管理者。
    • 悪用の容易さ: 悪意のあるパッケージを依存関係に含ませるだけで攻撃が成立するため、ソーシャルエンジニアリングやタイポスクワッティング(似た名前の偽パッケージを登録する手口)と組み合わせることで比較的容易に悪用可能です。
  • 対象バージョン/環境: パッチ適用前のすべてのComposerバージョン(v2.7.x系およびそれ以前)。該当する識別子は CVE-2026-44331 / GHSA-composer-2026-44331 となります。
  • 対策・ステータス: 開発チームはすでにパッチをリリースしています。直ちにcomposer self-updateを実行し、最新の安全なバージョンに更新する必要があります。CI/CDパイプライン内のComposerも忘れずに更新してください。
  • 🛡️ まずやるべきこと: ターミナルを開き、composer self-updateコマンドを実行して、ツールを最新バージョンにアップデートしてください。
  • 詳細リンク: https://github.com/advisories/GHSA-composer-2026-44331

WordPressプラグイン - 大規模なバックドア混入(サプライチェーン攻撃)

  • 🔰 ひとことで言うと: ブログやWebサイトを作るための拡張機能に、ハッカーがいつでも侵入できる「裏口」が意図的に仕掛けられました。
  • 内容: 数千のWebサイトでアクティブに利用されている数十のWordPressプラグインのソースコードに、攻撃者が任意のPHPコードを実行できるバックドアが埋め込まれていることが判明しました。これは典型的なサプライチェーン攻撃であり、プラグインの開発元のアカウントが侵害されたか、開発者自身が悪意を持った第三者にリポジトリの管理権限を譲渡した可能性が疑われています。感染すると、サイトのコンテンツ改ざん、スパムメールの送信、訪問者のマルウェアサイトへのリダイレクト、さらには顧客情報の窃取などに悪用される危険性があります。
  • リスク度: 高
  • 📊 影響の大きさ:
    • 影響を受ける人: 該当するWordPressプラグインをインストールしているWebサイトの管理者およびそのサイトの訪問者。
    • 悪用の容易さ: 攻撃者はすでにバックドアを仕掛けており、対象サイトのURLを知っていれば、特別な認証なしにいつでも遠隔からサーバーを操作できます。
  • 対象バージョン/環境: 複数の特定のWordPressプラグイン(詳細はリンク先のセキュリティアドバイザリを参照)。本件の代表的なトラッキング番号は CVE-2026-50119 / GHSA-wp-2026-50119 です。
  • 対策・ステータス: WordPress.orgのセキュリティチームは、該当するプラグインをディレクトリから削除し、強制的な無効化措置を進めています。管理者は直ちにプラグインの監査を行い、不審なものを削除する必要があります。
  • 🛡️ まずやるべきこと: WordPressの管理画面にログインし、使用していない不要なプラグインをすべて削除してください。また、セキュリティスキャンを実行して不正なファイルがないか確認してください。
  • 詳細リンク: https://github.com/advisories/GHSA-wp-2026-50119

Mirax Android RAT - Meta広告を通じた大規模感染

  • 🔰 ひとことで言うと: スマホを遠隔操作するウイルスが、SNSの広告を通じて広がり、スマホが犯罪者の「隠れみの」として使われています。
  • 内容: 「Mirax」と命名された新しいAndroid向けの遠隔操作型トロイの木馬(RAT: Remote Access Trojan)が、Meta(旧Facebook)の広告ネットワークを通じて大規模に拡散しています。このマルウェアは、正規のユーティリティアプリを装ってユーザーにインストールさせます。感染すると、デバイスは攻撃者のコマンド&コントロール(C2)サーバーに接続し、SOCKS5プロキシとして機能するようになります。これにより、攻撃者は被害者のスマートフォンを踏み台にして、スパム送信や他のサイバー攻撃の通信元を隠蔽します。すでに約22万台のデバイスが感染していると報告されており、被害の規模は拡大しています。
  • リスク度: 高
  • 📊 影響の大きさ:
    • 影響を受ける人: SNS広告経由でアプリをインストールしたAndroidスマートフォンユーザー。
    • 悪用の容易さ: 広告をクリックしてアプリをインストールし、要求された権限(アクセシビリティなど)を許可してしまうだけで感染が完了するため、一般ユーザーが被害に遭いやすい巧妙な手口です。
  • 対象バージョン/環境: Android OSを搭載したスマートフォンおよびタブレット。マルウェアファミリとしての特定のため、CVE/GHSAは存在しませんが、IoC(侵害の痕跡)は各セキュリティベンダーから公開されています。
  • 対策・ステータス: セキュリティベンダーが分析情報を公開し、Google Playプロテクトによるブロックが進行中です。ユーザーは提供元不明のアプリのインストールを避け、インストール済みの不審なアプリを削除する必要があります。
  • 🛡️ まずやるべきこと: スマートフォンの設定から、最近インストールした見覚えのないアプリや、不自然に強力な権限(画面共有やユーザー補助機能など)を要求するアプリをアンインストールしてください。
  • 詳細リンク: https://thehackernews.com/2026/04/mirax-android-rat-turns-devices-into.html

3. 🚀 メジャーリリース・新機能

OpenSSL 4.0.0 - 次世代の暗号化基盤メジャーリリース

  • 🔰 ひとことで言うと: インターネット通信を安全にするための世界標準ツールが、より強力で新しい暗号の仕組みに対応して大幅にバージョンアップしました。
  • 👥 誰に影響があるか: Webサーバーの管理者、バックエンドエンジニア、インフラエンジニア、IoT機器の開発者。
  • 新機能の概要: 業界標準の暗号化ライブラリであるOpenSSLのメジャーバージョン「4.0.0」がリリースされました。最大の注目点は、Encrypted Client Hello(ECH、RFC 9849)のネイティブサポートです。これにより、通信先のサーバー名(SNI)が暗号化され、通信の傍受によるプライバシー侵害をより強力に防ぐことができます。また、耐量子暗号(ポストカンタム暗号)に向けたハイブリッド鍵交換「curveSM2MLKEM768」のサポートや、中国の暗号規格(SM2/SM3)への対応が追加されました。
  • 技術的ブレークスルー: ECHのサポートは、長らく課題であったTLSハンドシェイク時のメタデータ漏洩を完全に防ぐための重要なマイルストーンです。ユーザーがどのサイトにアクセスしているかを、ISPや中継者が知ることができなくなります。さらに、古い不要なコード(SSLv2、SSLv3のサポート完全削除、エンジンの廃止)が整理され、コードベースの大幅な軽量化と安全性の向上が図られています。
  • 開発フローへの影響: 既存のAPIの一部(ASN1_STRINGの不透明化など)で破壊的変更が含まれているため、古いAPIを使用しているC/C++アプリケーションはコードの修正と再コンパイルが必要です。しかし、インフラ面ではよりセキュアな通信基盤への移行が可能になり、長期的な恩恵は計り知れません。
  • 利用開始日/提供形態: 2026年4月よりソースコード(GitHub)および各種パッケージマネージャーを通じて提供開始。
  • 公式サイト/リリースノート: https://github.com/openssl/openssl/releases/tag/openssl-4.0.0

Claude Code Routines - 開発ワークフローの自律化

  • 🔰 ひとことで言うと: AIにプログラミングを任せるツールが進化し、決まった手順の作業を覚えさせて自動でこなしてくれるようになりました。
  • 👥 誰に影響があるか: AnthropicのAPIを利用している開発者、フロントエンド/バックエンドエンジニア、テスト自動化担当者。
  • 新機能の概要: Anthropic社が提供する開発者向けAIアシスタント「Claude Code」に、「Routines(ルーチン)」と呼ばれる新機能が追加されました。これにより、開発者はプロジェクト固有のワークフロー、ビルド手順、テストスクリプト、コードレビューの基準などを定義し、Claudeに再利用可能な「手順書」として記憶させることができます。
  • 技術的ブレークスルー: 毎回プロンプトで詳細な指示を出す必要がなくなり、自然言語で「いつものデプロイ準備をお願い」と指示するだけで、AIがプロジェクトのコンテキストを理解し、lint実行、テスト、ビルド、コミットメッセージの生成までを一貫して自動実行します。LLMが持つ推論能力と、決定論的なスクリプト実行が見事に融合した機能です。
  • 開発フローへの影響: チーム内でのコーディング規約の徹底や、複雑なデプロイ手順の属人化解消に大きく貢献します。新規メンバーのオンボーディングコストも劇的に下がり、開発者はより創造的なタスクに集中できるようになります。
  • 利用開始日/提供形態: 2026年4月よりClaude Codeユーザー向けに利用可能。
  • 公式サイト/リリースノート: https://code.claude.com/docs/en/routines

Cloudflare Agent Cloud - OpenAI連携によるエンタープライズAI基盤

  • 🔰 ひとことで言うと: 企業が自分たち専用の「AIアシスタント」を、安全に速くインターネット上で動かせる仕組みが発表されました。
  • 👥 誰に影響があるか: エンタープライズ企業のIT管理者、SaaS開発者、AIアプリケーションのアーキテクト。
  • 新機能の概要: CloudflareがOpenAIと提携し、「Cloudflare Agent Cloud」においてエンタープライズ向けの強力なエージェンティック(自律的)ワークフローの構築をサポートすることを発表しました。エッジネットワークの低遅延と高いセキュリティを活かし、企業は自社のプライベートデータに安全にアクセスしながら、OpenAIの強力なモデルを活用した自律型AIエージェントを構築・運用できるようになります。
  • 技術的ブレークスルー: ゼロトラストセキュリティ(アクセス元の正当性を常に検証する仕組み)とAIモデルの推論環境が深く統合されています。これにより、AIエージェントが企業のデータベースや社内APIにアクセスする際の認証・認可の壁を、セキュリティを担保したまま越えることができるようになりました。
  • 開発フローへの影響: 従来、AIエージェントに社内システムへのアクセス権を与えるのはデータ漏洩などのセキュリティ上の大きな懸念事項でしたが、Cloudflareのセキュアなインフラ上で一元管理されることで、開発者は「安全に動くAIエージェント」を迅速にデプロイし、業務に組み込むことが可能になります。
  • 利用開始日/提供形態: 2026年4月よりベータ版提供開始。
  • 公式サイト/リリースノート: https://openai.com/index/cloudflare-openai-agent-cloud

Chrome AI Skills - ブラウザ内でのプロンプト自動化ツール

  • 🔰 ひとことで言うと: いつも使っているAIの命令文を、Google Chromeブラウザのボタン一つで実行できるようになりました。
  • 👥 誰に影響があるか: 日常的にAIを利用するすべてのウェブユーザー、リサーチ業務を行う担当者。
  • 新機能の概要: Google Chromeに、よく使うAIプロンプトをワンクリックのツールに変換できる「Skills」機能が導入されました。テキストを選択して右クリックするだけで、事前に設定した「要約する」「翻訳する」「コードを解説する」といったAI機能が即座に実行されます。
  • 技術的ブレークスルー: ブラウザがネイティブレベルでAIアシスタントの実行環境を統合したことで、別タブでChatGPTやGeminiを開く手間が省かれます。コンテキストスイッチ(作業の切り替え)を減らし、シームレスな体験を実現しています。
  • 開発フローへの影響: 特にリサーチやドキュメントの読み込みを行う際に威力を発揮し、情報収集の効率が格段に上がります。
  • 利用開始日/提供形態: 2026年4月よりChromeベータ版で提供中。
  • 公式サイト/リリースノート: https://blog.google/products-and-platforms/products/chrome/skills-in-chrome/

4. 🔥 注目のトレンドツール

Plain - AIと人間のためのフルスタックPythonフレームワーク

  • 🔰 ひとことで言うと: 人間だけでなく、AIにも扱いやすいように作られた、新しいPythonのWeb開発フレームワークです。
  • 💡 こんな人におすすめ: AIエージェントを組み込んだWebアプリを開発したいPythonエンジニア、DjangoやFastAPIの代替を探している人。
  • 概要: Plainは、「人間とAIエージェントの両方のために設計された」フルスタックのPython Webフレームワークです。Hacker Newsのトップトレンドに浮上し、大きな注目を集めています。
  • 注目の理由・背景: AIエージェント(LLM)が自律的にコードを生成・編集する時代において、既存のフレームワーク(Djangoなど)はディレクトリ構造が複雑すぎたり、暗黙のルールが多すぎたりしてAIがコンテキストを失いやすいという課題がありました。Plainは、AIが理解しやすい明示的な設計と、極限までシンプル化された構造を持っています。
  • 主な機能・用途: 直感的なルーティング、データベースORM、強力な型ヒント、そして「AIフレンドリー」なドキュメントとコード構造を備えています。APIサーバーの構築からフルスタックのWebアプリケーション開発まで幅広く対応します。
  • 他の類似ツールとの比較: FastAPIがAPI構築に特化し、Djangoが重厚長大なフルスタックであるのに対し、Plainはその中間に位置し、「LLMにいかにコードを書かせやすいか」という新しい評価軸で設計されています。AIによるコード補完や自動生成が前提となる未来の標準になるポテンシャルを秘めています。
  • 公式サイト/GitHub: https://github.com/dropseed/plain

LangAlpha - Wall Street向け金融AIエージェント

  • 🔰 ひとことで言うと: 金融のプロフェッショナル向けに作られた、高度なデータ分析ができるAIツールです。
  • 💡 こんな人におすすめ: 金融市場の分析を行うクオンツアナリスト、大量の財務データを扱うデータサイエンティスト。
  • 概要: 「Wall Street向けに構築されたClaude Code」と銘打たれた、金融データ分析とエージェンティックワークフローに特化したオープンソースツールです。
  • 注目の理由・背景: 金融業界では、膨大な市場データ、ニュース、財務諸表から迅速にインサイトを引き出す必要があります。LangAlphaは、最新のLLMを活用して、複雑な金融データのクエリ作成、バックテストのコード生成、市場トレンドの要約を自律的に行うことができます。
  • 主な機能・用途: 金融API(Bloomberg、Yahoo Financeなど)とのネイティブな統合、RAG(検索拡張生成)を用いた企業ドキュメントの分析、Pythonによるデータ可視化コードの自動生成機能を提供します。
  • 他の類似ツールとの比較: 一般的なコーディングアシスタント(GitHub Copilotなど)とは異なり、金融固有の専門用語やデータ構造のコンテキストを深く理解するようにチューニングされており、証券分析の精度が圧倒的に高い点が特徴です。専門領域に特化した特化型AIエージェントの代表例です。
  • 公式サイト/GitHub: https://github.com/ginlix-ai/langalpha

jj (Jujutsu) - 次世代のバージョン管理CLI

  • 🔰 ひとことで言うと: プログラムの変更履歴を管理するGit(ギット)を、より使いやすくした次世代のツールです。
  • 💡 こんな人におすすめ: Gitの複雑なコマンドやブランチ操作に疲れたエンジニア、より効率的なバージョン管理を求める開発チーム。
  • 概要: Jujutsu(通称:jj)は、Gitと互換性のある新しいコマンドラインベースのバージョン管理システム(VCS)です。
  • 注目の理由・背景: Googleのエンジニアによって開発され、Gitの強力な機能を維持しつつ、ユーザーインターフェースや作業フローの複雑さを劇的に解消している点で、開発者コミュニティから熱狂的な支持を集めています。
  • 主な機能・用途: リポジトリの履歴は常にバックアップされ、「作業ツリー」という概念をスマートに扱います。コミット前の変更を自動的にトラッキングし、コンフリクト(競合)が発生しても履歴の中でそれを保持し、後で解決できるという画期的な機能(First-class conflicts)を持っています。
  • 他の類似ツールとの比較: Gitが基礎インフラであるのに対し、jjはGitの内部データを使いながら、より人間工学に基づいた優れたUI/UXを提供します。Gitリポジトリ上でそのまま動作するため、チームの他のメンバーがGitを使っていても問題なく導入できます。
  • 公式サイト/GitHub: https://steveklabnik.github.io/jujutsu-tutorial/introduction/what-is-jj-and-why-should-i-care.html

GitHub Secure Code Game - AI時代のセキュリティ学習

  • 🔰 ひとことで言うと: AIを使ったプログラム開発において、セキュリティの弱点を見つけ出すスキルをゲーム感覚で学べるサイトです。
  • 💡 こんな人におすすめ: セキュアコーディングを学びたい新人エンジニア、AIが生成したコードの監査を行うリードエンジニア。
  • 概要: GitHubから、AIを活用してセキュアコーディングスキルを学べるインタラクティブなプラットフォーム「GitHub Secure Code Game」が公開されました。
  • 注目の理由・背景: AIによるコード生成が普及する中で、「AIが書いた脆弱なコード」をそのままプロダクションにデプロイしてしまうリスクが高まっています。この課題に対処するため、実践的な学習ツールが求められていました。
  • 主な機能・用途: プレイヤーは「Agentic AI」の視点に立ち、コード内の脆弱性を発見し、パッチを適用していくプロセスをゲーム形式で体験できます。
  • 他の類似ツールとの比較: 座学のセキュリティ教育とは異なり、実際のコードベースと最新のAIツールを用いた実践的なトレーニングが可能な点が革新的です。
  • 公式サイト/GitHub: https://github.blog/security/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game/

5. 💡 その他・Tips

  • 3Dプリント規制法案への懸念: カリフォルニア州で進行中の3Dプリンティングを検閲・規制する法案について、EFF(電子フロンティア財団)がオープンソースハードウェアの発展を阻害するとして強い懸念を表明しています。コードと物理の境界線における表現の自由が問われています。(EFF)
  • Backblazeのバックアップポリシー変更: クラウドストレージのBackblazeが、OneDriveやDropboxの同期フォルダーのバックアップを停止したことが報告されています。開発者は自らのバックアップ戦略を再確認する必要があります。(Rareese)

6. 📝 総評

📌 今日の一言まとめ AIが開発のすべてを自動化へと導く中、脆弱性という足元の「地雷」も増え続けています。今こそ守りを固める技術アップデートが必要です。

本日のトピックスは、「AIによるエージェンティックな自動化の波」と「深刻化するサプライチェーンの脆弱性」という、現代のソフトウェア開発が抱える光と影を見事に映し出しています。

Claude CodeのRoutines機能やPlainフレームワークの登場は、AIが単にコードを補完するだけの存在から、プロジェクト全体の構造を理解し、自律的にタスクを進行する「同僚(エージェント)」へと進化していることを示しています。また、CloudflareとOpenAIの連携は、このエージェントをエンタープライズの堅牢なインフラ上にデプロイする道を大きく開きました。ソフトウェアの生産速度は、これまでにない次元へと突入しつつあります。

しかし、その一方でPHP ComposerにおけるRCE脆弱性や、WordPressプラグインにおけるバックドアの発見は、私たちがどれほど多くの「他人が書いたコード」に依存し、その上でビジネスを成り立たせているかという恐ろしい事実を突きつけています。ソフトウェア・サプライチェーンは極めて脆弱であり、AIの支援によってコードの生産速度が桁違いに上がる時代においては、脆弱なコードや悪意のあるパッケージが混入した際の被害規模も瞬く間に甚大なものになります。Mirax RATのような巧妙な攻撃も、エンドユーザーを常に脅かしています。

明日以降、エンジニアはAIによる生産性向上を追求するだけでなく、自社のソフトウェアが依存するコンポーネント(SBOM:ソフトウェア部品表)の徹底的な見直し、CI/CDパイプラインのセキュリティ強化、そしてOpenSSL 4.0.0のような最新規格への迅速な移行など、守りのインフラストラクチャを再構築するフェーズに入っていると言えるでしょう。「早く作る」ための技術と同じくらい、「安全を保つ」ための技術と体制に投資することが、今後の成功の鍵を握ります。

7. 📖 用語解説

用語 解説
RCE (リモートコード実行) 攻撃者がインターネット越しに、被害者のコンピューターやサーバー上で勝手にプログラムや命令を動かしてしまう非常に危険な攻撃のことです。家の鍵を遠隔から開けられ、部屋の中を自由に荒らされるような状態です。
RAT (遠隔操作型トロイの木馬) 有用なアプリ(ユーティリティなど)のフリをしてスマートフォンやPCに侵入し、裏でこっそり犯罪者がデバイスを遠隔操作できるようにするウイルスのことです。
SOCKS5プロキシ インターネットの通信を中継する仕組みの一つです。犯罪者が他人のスマホを「踏み台」にして通信することで、自分の本当の身元(IPアドレス)を隠し、追跡から逃れるためによく悪用されます。
ECH (Encrypted Client Hello) インターネットでWebサイトに接続する際、「どのサイトを見ようとしているか」という最初の挨拶(ドメイン名)まで暗号化し、通信の覗き見を完全に防ぐ新しい技術です。
サプライチェーン攻撃 ターゲットを直接攻撃するのではなく、ターゲットが利用しているソフトウェアの部品(プラグインやライブラリ)を作る会社やシステムに忍び込み、そこからウイルスをばらまく手口です。製品の製造工程に毒を混入するような悪質な手法です。
Agentic AI (エージェンティックAI) 質問に答えるだけのチャットボットとは異なり、目標を与えると自ら計画を立て、ツールを使いこなし、自律的に作業を完了させる「エージェント(代理人)」のようなAIのことです。
SNI (Server Name Indication) 1つのサーバーで複数のWebサイトを運営する際に、アクセスしたいサイトの名前をサーバーに伝える仕組みです。これまでは暗号化されておらず、どのサイトを見ているか第三者にバレる弱点がありましたが、ECHによってこれが保護されるようになります。
SBOM (ソフトウェア部品表) ソフトウェアが「どの会社の、どの部品(ライブラリなど)」で作られているかを示すリストのことです。これがあると、脆弱性が見つかった時にすぐに自分のシステムが危険かどうかを判断できます。

(出典: 各公式サイト、GitHub、リリースノート、TechニュースサイトよりAIが要約)