The 6 identity problems blocking AI agent adoption in hybrid environments
2025/06/03 strata — もはや AI エージェントは、単なる実験の期間を通過し、現代の企業の業務プロセスへと組み込まれ始めている。トランザクション処理からロジスティクスの調整にいたるまで、人やシステムに代わって、エージェントが機能するケースが増えている。しかし、ここに落とし穴がある。エージェントの ID を管理するための、インフラが追い付いていないのである。
Continue reading “AI Agent と ID 管理:ハイブリッド環境を想定すると浮上する6つの問題点”Splunk Universal Forwarder on Windows Lets Non-Admin Users Access All Contents
2025/06/03 CyberSecurityNews — Splunk Universal Forwarder for Windows に発見された、深刻度の高い脆弱性 CVE-2025-20298 (CVSSv3.1:8.0) は、ディレクトリ・アクセス制御の侵害を許すものである。この脆弱性が影響を及ぼす範囲は、複数のバージョンのソフトウェアに広がっており、Splunk のデータ転送機能を利用するエンタープライズ環境に、重大なセキュリティ・リスクをもたらしている。この脆弱性は、Universal Forwarder for Windows のインストールまたはアップグレード時に、権限が正しく割り当てられないことに起因する。
Continue reading “Splunk の脆弱性 CVE-2025-20298 が FIX:重要リソースに対する不適切な権限割当”Trump’s 2026 Budget Guts CISA: Nearly 30% of Jobs and $500M on the Chopping Block
2025/06/03 eSecurityPlanet — トランプ政権が発表した 2026年度予算案では、CISA (Cybersecurity and Infrastructure Security Agency) に対する大幅な削減が提案されている。それにより、CISA の運営予算が $500M 近く削減され、職員の約 30% (3,732人から 2,649人) が解雇されることが明らかになった。この計画が議会で承認されると、2018年の CISA 設立以来、最大幅の縮小となる。
Continue reading “トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減対象に”Cyber Attacks Are Up 47% in 2025 – AI is One Key Factor
2025/06/03 TechRepublic — Check Point の最新調査によると、2025 Q1 における企業へのサイバー攻撃は引き続き増加しており、世界の組織は週平均 1,925件の攻撃を受けている。これは、前年同期である 2025 Q1 との比較で 47%の増加となっている。その中でも教育分野が最も深刻で、各教育機関は週平均 4,484件の攻撃を受けた。それに続くのが政府機関と通信業界であるが、通信業界に関して言えば、前年比 94%という最大の増加率を記録している。
Continue reading “2025 Q1 のサイバー攻撃件数は 47%の増加:主要因の一つに AI の存在 – Check Point 調査”New Safari XSS Flaw Leverages JavaScript Error Handling to Execute Arbitrary Code
2025/06/03 CyberSecurityNews — Safari にクロスサイト・スクリプティング (XSS) の脆弱性が、新たに発見された。この脆弱性を悪用する攻撃者は、ブラウザの TypeError 例外処理メカニズムを介して、任意の JavaScript コードを実行できるという。この脆弱性は、Gareth Heyes による、ペイロード隠蔽技術の研究中に発見されたものだ。TypeError メッセージ内の引用符エスケープを、Safari が不適切に処理することで、コード実行に悪用される可能性が生じるという。
Continue reading “Safari の XSS 脆弱性 CVE-N/A:エラー・メッセージ内の特殊文字と不適切な無効化”New ModSecurity WAF Vulnerability Let Attackers Crash the Syste
2024/06/03 CyberSecurityNews — ModSecurity に深刻なサービス拒否 (DoS) の脆弱性が発見された。Apache/IIS/Nginx Web サーバの保護に使用される ModSecurity は、最も広く導入されている OSS の WAF エンジンの1つである。この脆弱性 CVE-2025-48866 は、ModSecurity のバージョン 2.9.10 以下に影響し、sanitiseArg/sanitizeArg アクションを悪用する攻撃者に対して、システム・クラッシュを引き起こす機会を与えるものだ。
Continue reading “ModSecurity WAF の脆弱性 CVE-2025-48866 が FIX:リソース消費に起因するシステム・クラッシュ”SolarWinds Dameware Vulnerability Could Let Attackers Gain Elevated Privileges
2025/06/03 gbhackers — 2025年6月3日に SolarWinds が公表したのは、Worldwide LLC におけるバグ修正/セキュリティ強化/ライブラリ・アップグレードに重点を置く、重要なサービス・アップデート Dameware 12.3.2 のリリースである。6月2日に公開された、このアップデートは、セキュリティ研究者およびユーザーから報告された、複数の技術的な問題に対応し、Dameware リモート・サポート・ソリューションの信頼性と安全性をさらに向上させるものだ。
Continue reading “SolarWinds Dameware の脆弱性 CVE-2025-26396 (CVSS:7.8) がFIX:権限昇格の可能性”2025/06/03 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ASUS RT-AX55/Craft CMS/ConnectWise ScreenConnect の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/06/02:ScreenConnect/ASUS Router/Craft CMS を登録”Fake DocuSign, Gitcode Sites Spread NetSupport RAT via Multi-Stage PowerShell Attack
2025/06/03 TheHackerNews — Gitcode や DocuSign の偽サイトを利用して無防備なユーザーを騙し、悪意の PowerShell スクリプトを実行させ、NetSupport RAT マルウェアに感染させるという、新たなキャンペーンについて脅威ハンターたちが警告を発している。DomainTools Investigations (DTI) チームは、Gitcode や DocuSign を装いながらルアーをホストし、悪意の多段階ダウンローダー PowerShell スクリプトを展開するキャンペーンを特定した。
Continue reading “DocuSign/Gitcode の偽サイト:多段階の PowerShell 攻撃で NetSupport RAT を展開している”Google fixed the second actively exploited Chrome zero-day since the start of the year
2025/06/03 SecurityAffairs — Google が発表したのは、Chrome ブラウザに存在する3 件の脆弱性に対処するための、緊急アップデートのリリースである。そのうちの CVE-2025-5419 は、すでに実際の攻撃での悪用が確認されている。この脆弱性は、以前の Google Chrome に搭載されていた、V8 JavaScript エンジンにおける境界外 Read/Write の欠陥である。この脆弱性を悪用する攻撃者は、細工された HTML ページを介して、ヒープ破損を引き起こす可能性を手にする。
Continue reading “Google Chrome の脆弱性 CVE-2025-5419/5068/2783 が FIX:悪用も確認”Splunk Enterprise XSS Vulnerability Let Attackers Execute Unauthorized JavaScript Code
2025/06/03 CyberSecurityNews — Splunk Enterprise プラットフォームに、深刻な反射型クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性の悪用に成功した、特権を持たない攻撃者は、不正な JavaScript コード実行の可能性を手にする。この脆弱性 CVE-2025-20297 が影響を及ぼす範囲は、Splunk Enterprise/Cloud Platform の複数のバージョンとなる。すでに同社は、この問題に対し、緊急のセキュリティ更新プログラムをリリースしている。
Continue reading “Splunk Enterprise の XSS 脆弱性 CVE-2025-20297 が FIX:セッション・ハイジャックなどの可能性”Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code
2025/06/03 TheHackerNews — Roundcube Webmail ソフトウェアに存在する、深刻なセキュリティ脆弱性が発見されたが、10年間にわたって見過ごされていたものであり、その詳細がサイバー・セキュリティ研究者たちにより公表された。この脆弱性が悪用されると、影響を受けるシステムの乗っ取りや、任意のコード実行などにいたる恐れがある。この脆弱性 CVE-2025-49113 (CVSS:9.9) の悪用に成功した攻撃者は、PHP オブジェクトのデシリアライズを通じて、認証後におけるリモートコード実行の可能性を手にする。
Continue reading “Roundcube Webmail の 10年来の脆弱性 CVE-2025-49113 が FIX:PoC も近日中に公開予定”
IoT OT Security News 