Day: January 6, 2026

CISA KEV 2025:4年間で蓄積された 1,484 件の脆弱性と最新の動向を分析する

CISA Expands KEV Catalog with 1,484 New Vulnerabilities as Active Exploitation Surges 20% in 2025

2026/01/06 CyberSecurityNews — 2025年12月時点で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログを、1,484 件まで拡大した。それは、現在も実運用で悪用されている脆弱性に対抗するための、連邦政府における取り組みの重要な節目である。このデータベースは、2021年11月に 311 件の脆弱性から始まったが、これまでの4年間で大幅に拡張されており、公共/民間の両部門が直面する脅威環境の高度化を反映している。

Continue reading “CISA KEV 2025:4年間で蓄積された 1,484 件の脆弱性と最新の動向を分析する”

Resecurity のハニーポットが活躍:Scattered Lapsus$ Hunters の情報を巧みに取得

Researchers Trap Scattered Lapsus$ Hunters in Honeypot

2026/01/06 SecurityWeek — 悪名高いサイバー犯罪グループ Scattered Lapsus$ Hunters のメンバーが、Resecurity が巧妙に設計したトラップに陥り、自身の攻撃インフラに関する情報を漏洩させた。2026年1月初旬に、Scattered Lapsus$ Hunters のハッカーたちは、Resecurity を侵害して大量のデータを窃取したと主張し、その内容を Telegram チャンネル上で誇示していた。しかし、Resecurity が数か月前から準備していたハニートラップに捕捉されていた事実を、ハッカーたちが認識したことで、この投稿は削除された。

Continue reading “Resecurity のハニーポットが活躍:Scattered Lapsus$ Hunters の情報を巧みに取得”

Apple macOS の脆弱性 CVE-2025-43530 が FIX:TCC 回避と機密データへのアクセス可能

New macOS TCC Bypass Vulnerability Allow Attackers to Access Sensitive User Data

2026/01/06 CyberSecurityNews — macOS に発見された脆弱性は、Transparency/Consent/Control (TCC) 保護の完全な回避を可能にする、きわめて深刻なものである。この脆弱性を悪用する攻撃者は、ユーザーの認識や許可を必要とせずに、機密性の高いデータへアクセスする可能性がある。Apple が採用している TCC (Transparency/Consent/Control) は、マイク/カメラ/ドキュメントなどの機密リソースに対する不正アクセスを防ぐための中核的な防御機構である。しかし、この脆弱性 CVE-2025-43530 は、その防御モデル自体を根底から無効化させるものである。

Continue reading “Apple macOS の脆弱性 CVE-2025-43530 が FIX:TCC 回避と機密データへのアクセス可能”

n8n における Python コード・ノードの脆弱性 CVE-2025-68668 が FIX:任意コマンド実行の恐れ

New n8n Vulnerability Allows Attackers to Execute Arbitrary Commands

2026/01/06 gbhackers — オープンソースの自動化およびワークフロー・プラットフォームである n8n に、深刻な脆弱性が発見された。この脆弱性を悪用する認証済みのユーザーは、脆弱なシステム上で任意のコマンドを実行する可能性がある。この脆弱性 CVE-2025-68668 は、n8n のバージョン 1.0.0 〜 2.0.0 未満に影響を及ぼし、CVSS スコアは 9.9 (Critical) と評価されている。

Continue reading “n8n における Python コード・ノードの脆弱性 CVE-2025-68668 が FIX:任意コマンド実行の恐れ”

AdonisJS bodyparser の脆弱性 CVE-2026-21440:リモートからの任意ファイル書き込みが可能

Critical AdonisJS Vulnerability Allow Remote Attacker to Write Files On Server

2026/01/06 CyberSecurityNews — AdonisJS に、深刻なパス・トラバーサルの脆弱性が発見された。この脆弱性を悪用するリモート攻撃者は、サーバのファイル・システム上で任意のファイル書き込みを可能にし、システム全体の侵害につながる可能性がある。この脆弱性 CVE-2026-21440 は、TypeScript ファーストの Web フレームワークである AdonisJS の bodyparser モジュールに影響を及ぼしており、CVSS v4 スコア 9.2 (Critical) と評価されている。

Continue reading “AdonisJS bodyparser の脆弱性 CVE-2026-21440:リモートからの任意ファイル書き込みが可能”

ChatGPT と DeepSeek の会話を窃取する2つの Chrome エクステンション:90 万人以上のユーザーに影響

Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users

2026/01/06 TheHackerNews — Chrome Web Store で配布されている2つの悪意あるエクステンションを、サイバー・セキュリティ研究者が発見した。これらのエクステンションは、OpenAI ChatGPT および DeepSeek の会話データに加え、閲覧データを窃取し、攻撃者が管理するサーバに送信するよう設計されている。これらのエクステンションは、合計で 90 万人以上のユーザーに拡散している。

Continue reading “ChatGPT と DeepSeek の会話を窃取する2つの Chrome エクステンション:90 万人以上のユーザーに影響”