October 28, 2025 – IoT OT Security News

X.com におけるセキュリティ体制の移行：Twitter.com ドメインでの 2FA サポートを終了

X to Phase Out Twitter Domain – Users Advised to Re-enroll in 2FA Keys

2025/10/28 CyberSecurityNews — ソーシャルメディア・プラットフォーム X が発表したのは、2025年11月10日までに旧 Twitter.com ドメイン上での２要素認証 (2FA) のサポートを終了するという方針である。この変更は、同プラットフォームが Twitter のルーツから脱却しつつあることを示している。Elon Musk’s 傘下の X は、ブランドとセキュリティの体制を刷新しているため、旧ドメインに紐づけられたセキュリティキーを利用しているユーザーは、自身のアカウントへのアクセスを維持するためのデバイス再登録が必要となる。

FileFix + Cache Smuggling：従来のセキュリティ対策を回避する新たなハイブリッド・フィッシング手法とは？

FileFix + Cache Smuggling: A New Evasion Combo

2025/10/28 gbhackers — FileFix は、ソーシャル・エンジニアリングとキャッシュ・スマグリングを組み合わせて、最新のセキュリティ防御を回避するものだ。そして、MalwareTech のサイバー・セキュリティ研究者たちが分析するのは、高度に進化したハイブリッド・フィッシング攻撃の手法である。このハイブリッド攻撃では、Web リクエストのための悪意のコードが不要となる。それに代えて用いられるのは、キャッシュ・スマグリングで仕込まれたペイロードであり、それらはブラウザのキャッシュからダイレクトに抽出される。この手法の目的は、インターネットへのアクセスを監視／制限するセキュリティ制御の回避にあり、攻撃者の手口が大きく進歩したことを示している。

Ubuntu Linux Kernel の深刻な脆弱性 CVE-N/A が FIX：権限昇格と root アクセスの可能性

Ubuntu’s Kernel Vulnerability Let Attackers Escalate Privileges and Gain Root Access

2025/10/28 CyberSecurityNews — Ubuntu の Linux カーネルに深刻な脆弱性が発見された。この脆弱性を悪用するローカル攻撃者は、影響を受けるシステム上で権限を昇格させ、root アクセスを取得する可能性がある。TyphoonPWN 2025 で公開された、この脆弱性 (CVE-N/A) は af_unix サブシステムにおける参照カウントの不均衡に起因し、解放済みメモリ使用 (UAF) 状態を引き起こす可能性がある。研究者らは、完全な PoC エクスプロイトを開発し、この問題を実証している。

IPFire 2.29 がリリース：革新的な侵入防止システム技術と包括的なレポート機能の追加

IPFire 2.29 Released with Enhanced Intrusion Prevention System Reporting

2025/10/28 gbhackers — IPFire プロジェクトが発表したバージョン 2.29 (コア・アップデート 198) のリリースは、オープンソース・ファイアウォールの進化における重要なマイルストーンである。このアップデートでは、侵入防止システムに革新的な技術が導入され、包括的なレポート機能も追加された。それにより、セキュリティ脅威に対応するネットワーク管理者の手法が根本的に変わっていく。

XWiki の RCE 脆弱性 CVE-2025-24893：積極的な悪用とコインマイナーの配布を検知

XWiki RCE Vulnerability Actively Exploted In Wild To Deliver Coinminer

2025/10/28 CyberSecurityNews — 人気のオープンソース Wiki プラットフォーム XWiki に存在する、深刻なリモート・コード実行 (RCE) の脆弱性が悪用され、侵害を受けたサーバ上で暗号通貨マイニング・マルウェアが展開されている。脆弱性 CVE-2025-24893 を悪用する未認証の攻撃者は、悪意のテンプレートを挿入することで、認証の完全な回避と任意のコード実行を可能にするという。

新たなフィッシング・パターンの検出：MIME エンコードとメール件名への不可視文字の挿入

New Phishing Attack Using Invisible Characters Hidden in Subject Line Using MIME Encoding

2025/10/28 gbhackers — MIME エンコードの悪用により、メールの件名に埋め込まれた不可視の Unicode 文字を武器化する高度なフィッシング手法を、セキュリティ研究者たちが発見した。この手法は、メール・セキュリティ専門家の間でも、ほとんど知られていない。エンド・ユーザーによるメール操作を損なわずに、その手口を進化させる攻撃者が自動フィルタリング・システムを回避していく状況が、この発見により明らかになった。

Firefox エクステンションにデータ収集の透明性要件を導入：すべての新規アドオンに開示義務

Mozilla Wants All New Firefox Extensions to Disclose Data Collection Policies

2025/10/28 CyberSecurityNews — Mozilla が公表したのは、Firefox エクステンションに対して透明性の要件を導入することである。それにより、2025年11月3日以降に Firefox エコシステムにエクステンションを提供する開発者はインストール前に、そのコア設定ファイルに組み込まれた標準化フレームワークを通じて、ユーザーに対するデータ収集の方法を開示することが義務付けられる。そこでは、対象となるソフトウェアによる、個人データの収集／送信についても宣言する必要が生じる。

Gmail セキュリティに関する Google の声明：誤報が生じた背景と認証情報窃取のリスク

Google Denies Claims of Gmail Security Breach Impacting Millions

2025/10/28 CyberSecurityNews — 膨大な数のユーザーに影響を与えるとされる、大規模な Gmail セキュリティ侵害に関する主張に対して、Google は断固として否定している。同社は、Gmail サービスは安全であり、広範な侵害の証拠は存在しないと強調している。この誤情報は、既存のデータ漏洩で流出した認証情報に関する誤解から生じたものとみられている。

NetBak PC Agent に影響：ASP.NET Core の脆弱性 CVE-2025-55315 とセキュリティ保護回避

Critical QNAP .NET Flaw Lets Attackers Bypass Security Protections

2025/10/28 gbhackers — Microsoft ASP.NET Core に存在する深刻なセキュリティ脆弱性 CVE-2025-55315 により、QNAP の NetBak PC Agent ソフトウェアに影響が生じることが確認された。この脆弱性を悪用する攻撃者は、HTTP Request Smuggling を介して重要なセキュリティ制御を回避し、このバックアップに依存する数千のシステムを、不正アクセスやデータ操作の危険にさらす可能性がある。

Operant AI が警告する Shadow Escape 攻撃：MCP 接続 AI エージェントをゼロクリックで悪用

First Zero Click Attack Exploits MCP and Connected Popular AI Agents To Exfiltrate Data Silently

2025/10/28 CyberSecurityNews — Operant AI が発見した脆弱性 Shadow Escape を悪用する攻撃者は、Model Context Protocol (MCP) と ChatGPT／Claude／Gemini などの一般的な AI エージェントを介して、機密データをゼロクリック攻撃で盗み出す。この攻撃者は、ユーザーによる操作を必要とせず、従来のセキュリティ・ツールによる検出を回避しながら、社会保障番号や医療記録といった個人識別情報を流出させることが可能になるという。

M	T	W	T	F	S	S
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Day: October 28, 2025