Can a Global, Decentralized System Save CVE Data?
2025/11/19 DarkReading — セキュリティ・データ・アナリストであり CVE.ICU を主催する Jerry Gamblin によると、いまの脆弱性情報を取り巻く課題である、収集/追跡/報告などをタイムリーに拡充していくためには、Common Vulnerabilities and Exposures (CVE) システムの刷新が必要になるという。現実を見れば、事実上 MITRE と NIST (National Institute of Standards and Technology) が管理するデータ・リポジトリである National Vulnerability Database (NVD) は、脆弱性の分析において依然として遅れをとっている。
Continue reading “CVE データはコミュニティが守るべきもの:現状を分析しながら分散化を提言する”Sneaky 2FA Phishing Kit Adds BitB Pop-ups Designed to Mimic the Browser Address Bar
2025/11/19 TheHackerNews — Sneaky 2FA として知られる PhaaS (Phishing-as-a-Service) キットに関与するマルウェア作成者が、Browser-in-the-Browser (BitB) 機能を武器化して組み込んでいるようだ。こうしたサービスの継続的な進化が浮き彫りにするのは、スキルの低い脅威アクターが大規模な攻撃を容易に仕掛けられる現状である。Push Security は、「被害者の Microsoft アカウントの認証情報を盗むことを目的としたフィッシング攻撃で、この手法が使用されていることを確認した」と、The Hacker News に共有されたレポートの中で述べている。
Continue reading “Sneaky 2FA Phishing Kit を分析:Browser-in-the-Browser の手法で 2FA をバイパス”Microsoft Investigating Copilot Issue On Processing Files
2025/11/19 CyberSecurityNews — Microsoft 365 の Microsoft Copilot に影響を及ぼす広範な問題について、同社による調査が開始された。ユーザーがファイルに対する操作を実行する際に、これらの問題が原因となり、重大な制限が生じている。公式の Microsoft 365 ステータス・チャネルを通じて、この事象を確認した同社は、管理上の参照用として追跡識別子 “CP1188020” を割り当てた。
Continue reading “Copilot のファイル操作に障害:Microsoft 365 の複数ユーザーに深刻な影響”ServiceNow AI Agents Can Be Tricked Into Acting Against Each Other via Second-Order Prompts
2025/11/19 TheHackerNews — ServiceNow の生成型人工知能 (AI) プラットフォームである、Now Assist のデフォルト・コンフィグを悪用する攻撃者は、そのエージェント機能を介してプロンプト・インジェクション攻撃を実行できる。AppOmni によると、この2次プロンプト・インジェクションは、Now Assist のエージェント間の検出機能を悪用して不正な操作を実行させるものだ。その結果として攻撃者は、企業の機密データをコピー/窃取した上でレコードを改竄し、権限昇格などを可能にする。
Continue reading “ServiceNow Now Assist の問題点:意図しない AI エージェント間連携による有害タスクの実行”Hackers Actively Exploiting 7-Zip RCE Vulnerability in the Wild
2025/11/19 CyberSecurityNews — 7-Zip の深刻なリモート・コード実行の脆弱性 CVE-2025-11001 を積極的に悪用するハッカーにより、人気のファイル・アーカイバを利用する多数のユーザーが、マルウェア感染やシステム侵害の危険にさらされている。この欠陥は、ZIP アーカイブ内のシンボリック・リンクの不適切な処理に起因するものであり、攻撃者は脆弱なシステム上でディレクトリをトラバースし、任意のコードを実行できる。2025年10月に公表された CVE-2025-11001 は、権限昇格を必要とせずに広範な悪用が可能であることから、CVSS v3 スコア 7.0 と評価されている。
Continue reading “7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX:PoC 公開後に実環境での悪用が加速”Cloudflare Outage Jolts the Internet – What Happened, and Who Was Hit
2025/11/19 hackread — 2025年11月18日の朝のことだが、世界中の Web ユーザーがエラーページなどに遭遇し始めた。この障害の原因は、世界の Web トラフィックの約 20% を処理する、Web インフラ企業である Cloudflare, Inc. にあり、Hackread.com の読者も被害者となった。
Continue reading “Cloudflare のダウンと広範な影響:被害者となった Hackread が語る根本的な問題とは?”CISA Warns of Fortinet FortiWeb OS Command Injection Vulnerability Exploited in the Wild
2025/11/19 CyberSecurityNews — Fortinet FortiWeb アプライアンスに影響を与える深刻な脆弱性について、Cybersecurity and Infrastructure Security Agency (CISA) が緊急警告を発した。この脆弱性は、現在、脅威アクターによる活発な攻撃で悪用されている。2025年11月18日に CISA は、脆弱性 CVE-2025-58034 を Known Exploited Vulnerabilities (KEV) カタログに追加し、影響を受ける製品を使用している組織に差し迫ったリスクが生じていることを警告した。
Continue reading “CISA KEV 警告 25/11/18:FortiWeb の脆弱性 CVE-2025-58034 を登録”
IoT OT Security News 