US Government Launches Audit of NIST’s National Vulnerability Database
2025/05/27 InfoSecurity — 米国政府が開始した監査は、National Vulnerability Database (NVD) に関するものであり、未処理の脆弱性情報の案件を、確実に進めるためのものである。5月20日付の覚書において、米国の商務省 (DoC:Department of Commerce) の監査室は、国立標準技術研究所 (NIST:National Institute of Standards and Technology) による NVD の監督体制について、監査を実施する計画を発表した。
Continue reading “NIST の NVD は大丈夫なのか? 米商務省 (DoC) による監査の実施が判明”AI Agents and the Non‑Human Identity Crisis: How to Deploy AI More Securely at Scale
2025/05/27 TheHackerNews — GitHub Copilot のコード補完から、社内のナレッジベースをマイニングして即答するチャットボットにいたるまで、AI は企業の生産性に大きな変化をもたらしている。そこで用いられる、それぞれの新たなエージェントは、他のサービスでの認証を得る必要があるため、企業クラウド全体における NHIs (Non‑Human Identities) の数が静かに増加している。
Continue reading “NHI は人間の 45倍規模:AI Agent の大規模展開の前に考えるべきセキュリティ原則とは?”93+ Billion Stolen Users’ Cookies Flooded by Hackers on the Dark Web
2025/05/28 CyberSecurityNews — ダークウェブのマーケット・プレイスで流通している、937億件の Web ブラウザ Cookie 窃取に関する重大なサイバー犯罪活動を、セキュリティ研究者たちが発見した。この件数は、前年の調査結果から 74% 増加しているという。NordStellar 脅威エクスポージャー管理プラットフォームによる包括的な分析では、窃取された Cookie のうち 156億件以上が、依然としてアクティブであり、253の国々と地域における数百万人のユーザーに、セキュリティ・リスクが差し迫っていることが明らかになった。この調査では、高度な情報窃取マルウェアが、この大規模なデータ侵害の主な原因であると特定されている。
Continue reading “Web ブラウザから盗まれた Cookie は 930 億個:そのうちの 156億がアクティブだった”Hackers Exploit Craft CMS Vulnerability to Inject Cryptocurrency Miner Malware
2025/05/27 gbhackers — Craft Content Management System (CMS) に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-32432 を、脅威アクターたちが悪用しているという。この脆弱性は、2025年2月中旬に Orange Cyberdefense により発見され、その後の 2025年4月25日に公開されたものだ。認証を必要としないため、深刻度を表す CVSS スコア 10.0 と評価されている。
Continue reading “Craft CMS の脆弱性 CVE-2025-32432:暗号通貨マイナーやランサムウェア展開で悪用”WordPress TI WooCommerce Wishlist Plugin Flaw Puts Over 100,000 Websites at Risk of Cyberattack
2025/05/27 gbhackers — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン TI WooCommerce Wishlist に、深刻なセキュリティ脆弱性 CVE-2025-47577 が発見された。このプラグインは、WooCommerce ストアの運営者がオンライン・ショップに、ウィッシュ・リスト機能を追加するためのものであり、WC Fields Factory などのエクステンションと組み合わせて、フォームのカスタマイズ強化に使用されるケースが多い。
Continue reading “WordPress Wishlist Pluginの脆弱性 CVE-2025-47577:パッチ適用までの緩和策は削除のみ”DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities
2025/05/27 SecurityWeek — マルウェア対策企業 Sophos の警告によると、SimpleHelp インスタンスの脆弱性を悪用する攻撃者により、身元不明の MSP (managed service provider) と顧客が侵害され、DragonForceランサムウェアに感染したようだ。このランサムウェア攻撃者は、イニシャル・アクセスのために、リモート監視および管理 (RMM:remote monitoring and management) ソフトウェアの3つの脆弱性を連鎖的に利用したと、Sophos は考えている。
Continue reading “DragonForce ランサムウェア:MSP が展開する SimpleHelp の脆弱性を侵害して顧客に到達”GIMP Image Editor Vulnerability Let Remote Attackers Arbitrary Code
2025/05/27 CyberSecurityNews — 人気の画像編集ソフト GIMP に、2つの重大なセキュリティ脆弱性が発見された。これらの脆弱性の悪用に成功したリモート攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。これらの脆弱性 CVE-2025-2760/CVE-2025-2761 は、バージョン 3.0.0 未満の GIMP に影響する。いずれの脆弱性も、悪意のファイルのオープンや、侵害済み Web ページへの訪問といった、ユーザーの操作を必要とする。
Continue reading “GIMP の RCE 脆弱性 CVE-2025-2760/2761 が FIX:2025年3月にすでに FIX”Hackers Exploit HTTP/2 Flaw to Launch Arbitrary Cross-Site Scripting Attacks
2025/05/27 gbhackers — 清華大学と中関村研究所の画期的な研究により、現代の Web インフラに存在する深刻な脆弱性が発見された。HTTP/2 の Server Push 機能と Signed HTTP Exchange (SXG) 機能が悪用されると、Web の Same-Origin Policy (SOP) の回避にいたることが明らかになった。SOP の目的は、ある Web サイト上の悪意のスクリプトが、別の Web サイトの機密データに、不正アクセスすることを防ぐためのデザインにある。しかし、研究者たちが発見したのは、ブラウザが “生成元 (origin)” と “認証局 (authority)” を解釈する際の方法への、最近の変更が危険な抜け穴を生み出していることである。
Continue reading “HTTP/2 の Server Push と Signed HTTP Exchange:複数ドメインで共有される証明書と抜穴”Critical GitHub MCP Server Vulnerability Allows Unauthorized Access to Private Repositories
2025/05/27 gbhackers — GitHub で 14,000 以上のスターを獲得している人気の GitHub MCP インテグレーションに、深刻な脆弱性が発見された。Invariant の自動セキュリティ・スキャナーにより特定された、この欠陥は、ユーザーのプライベート・リポジトリ内のデータに、重大なリスクをもたらすものだ。この脆弱性の悪用に成功した攻撃者は、悪意の GitHub Issue を介してユーザーのエージェントを操作し、プライベート・リポジトリにおける機密情報の漏洩の可能性を手にする。
Continue reading “GitHub MCP サーバに重大な脆弱性:トキシック・エージェント・フローによる情報漏洩”
IoT OT Security News 