Aiototsec

Synology BeeStation 脆弱性チェーンの再武器化：タスクスケジューラ経由の root 権限昇格

Chained Synology BeeStation Vulnerabilities Enable Root Privilege Escalation via Task Scheduler Exploit

2025/12/05 gbhackers — Pwn2Own Ireland 2025 に向けた準備において、Synology NAS の N-day 脆弱性を再調査していたセキュリティ研究者が、Synology BeeStation (BST150-4T) の既存のエクスプロイト・チェーンに新たな手法を加えた。従来の PHP ベースのペイロードとは異なるものであり、システム・タスクスケジューラを悪用することで、未認証による root 権限でのリモート・コード実行 (RCE) を実証するものだ。

Splunk Enterprise／Universal Forwarder の脆弱性 CVE-2025-20386／20387 が FIX：権限昇格の恐れ

Splunk Enterprise Vulnerabilities Allow Privilege Escalation Via Incorrect File Permissions

2025/12/05 CyberSecurityNews — Splunk が公表したのは、Windows 向け Enterprise／Universal Forwarder のインストール／アップグレード時における、不適切なファイル権限設定に起因する深刻な脆弱性である。この脆弱性に対しては、Splunk Enterprise では CVE-2025-20386 CVSS 8.0 (High) が、Splunk Universal Forwarder では CVE-2025-20387 CVSS 8.0 (High) が割り当てられている。管理者以外のユーザーであっても、機密性の高いインストール・ディレクトリとコンテンツへのアクセスが許されるため、権限昇格に至る可能性がある。

GitHub Actions／GitLab CI/CD とプロンプト・インジェクション：Fortune 500 企業への影響を確認

Prompt Injection Vulnerability in GitHub Actions Impacts Multiple Fortune 500 Companies

2025/12/05 gbhackers — ソフトウェア開発における Artificial Intelligence (AI) の活用が引き起こす副作用が、新しいタイプのセキュリティ脆弱性となり、大企業を危険にさらしている。Aikido Security が発見したのは、PromptPwnd という名の脆弱性である。この脆弱性により、GitHub Actions／GitLab CI/CD パイプライン内で動作する AI エージェントが、攻撃者に乗っ取られる可能性が生じている。

Cacti の脆弱性 CVE-2025-66399 が FIX：SNMP 入力検証の不備と PoC の提供

Cacti Command Injection Vulnerability Let Attackers Execute Malicious Code Remotely

2025/12/05 CyberSecurityNews — Cacti に存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2025-66399 を悪用する認証済みの攻撃者は、リモートから任意コードを実行する機会を得る。その結果として、このオープンソースのネットワーク監視ツールの、インフラ全体が侵害される可能性がある。この脆弱性は、SNMP コミュニティ文字列を処理するデバイス管理インターフェイス (host.php) の、デバイス・コンフィグ機能の入力検証の不備に起因し、バージョン 1.2.28 以下に影響を及ぼす。

CISA KEV 警告 25/12/02：Android フレームワークの脆弱性 CVE-2025-48572／48633 を登録

CISA Warns of Android 0-Day Vulnerability Exploited in Attacks

2025/12/03 CyberSecurityNews — 米国の CISA は、Android フレームワークで実際に悪用が確認されている、２件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。これらの脆弱性により Android OS が標的化され、世界中の多数のデバイスに影響を与える恐れがある。CISA は 2025年12月2日に、Android フレームワークの権限昇格の脆弱性 CVE-2025-48572 と、情報漏洩の脆弱性 CVE-2025-48633 を KEV カタログに追加した。連邦政府機関および重要インフラ事業者には、2025年12月23日までにパッチを適用することを義務付けられている。

Akamai Edge Server の脆弱性 CVE-2025-66373 が FIX：HTTP リクエスト・スマグリング

Akamai Patches HTTP Request Smuggling Vulnerability in Edge Servers

2025/12/04 CyberSecurityNews — Akamai のエッジサーバ・インフラに存在する、深刻な HTTP リクエスト・スマグリング脆弱性が修正された。この脆弱性 CVE-2025-66373 は、無効なチャンク・エンコード本文を含む HTTP リクエストに対する不適切な処理に起因しており、広範なユーザー環境を高度な攻撃にさらす可能性を持つものだった。

ReactJS／Next.js の脆弱性 CVE-2025-55182：RSC エンドポイント検出ツールが提供された！

New Scanner Released to Detect Exposed ReactJS and Next.js RSC Endpoints (CVE-2025-55182)

2025/12/04 gbhackers — 最新の Web アプリケーションに存在する、脆弱な React Server Component (RSC) エンドポイントを特定するための専用スキャンツールを、セキュリティ研究者たちがリリースした。このツールは、脆弱性 CVE-2025-55182 の検出における深刻なギャップを解消するものだ。新たに提供された Python ベースのスキャナーは、洗練されたサーフェス検出手法を導入することで、ユーザー組織における脆弱性 CVE-2025-55182 の評価方法を変革する。

Vim for Windows の脆弱性 CVE-2025-66476 が FIX：任意のコード実行の恐れ

Vim for Windows Vulnerability Let Attackers Execute Arbitrary Code

2025/12/04 CyberSecurityNews — Vim for Windows に深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、ユーザーのコンピュータ上で悪意のコードを実行できる。この脆弱性 CVE-2025-66476 (CVSS：7.8：High) が影響を及ぼす範囲は、Vim のバージョン 9.1.1947 以下である。この脆弱性は、Vim が Windows システム上で外部プログラムを検索する方法に起因する。ユーザーが Vim で “grep” や “make” などのコマンドを実行するときに、この脆弱性の悪用が可能になるという。

Cloudflare で保護されるフィッシング・ドメインは全体の 70%：防御戦略の見直しが必要

Cloudflare Shielding Nearly 70% of Active Phishing Kits, New Report Reveals

2025/12/04 gbhackers — SicuraNext の包括的な脅威インテリジェンス調査により、現代のフィッシング・インフラの懸念すべき実態が明らかになった。それにより、活発なフィッシング活動の大部分が、単一の Content Delivery Network (CDN) に保護されていることが判明した。この調査では、フィッシング・キットや C2 (Command and Control) インフラとして実際に機能している、42,000 件以上の検証済みの悪意の URL とドメインが分析された。そこで浮き彫りにされたのは、高度に組織化され運営される犯罪組織が、脅威の形態を根本から変更している状況である。

PickleScan の脆弱性 CVE-2025-10155／10156／10157 が FIX：悪意の PyTorch モデルと任意のコード実行

PickleScan 0-Day Vulnerabilities Enable Arbitrary Code Execution via Malicious PyTorch Models

2024/12/04 CyberSecurityNews — 機械学習モデルをスキャンして悪意のコードを検出する、人気のオープンソース・ツール PickleScan に、深刻なゼロデイ脆弱性 CVE-2025-10155／10156／10157 が発見された。PickleScan は Hugging Face をはじめとする AI の世界で広く利用されており、Python の pickle 形式で保存された PyTorch モデルのチェックに使用されている。

K7 Antivirus の脆弱性 CVE-2024-36424：Windows SYSTEM 権限の不正取得

K7 Antivirus Flaw Lets Attackers Gain SYSTEM-Level Privileges

2025/12/04 gbhackers — K7 Ultimate Security アンチウイルス・ソフトウェアに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-36424 の悪用に成功した攻撃者は、Windows コンピュータ上の最高レベルである SYSTEM 権限を取得できる。なお、この脆弱性の悪用は、低権限のユーザーであっても可能なため、ユーザー組織にとって大きなリスクとなる。

Foxit PDF Reader を装うマルウェア：偽の求人情報を介して ValleyRAT マルウェアを展開

Threat Actors Leveraging Foxit PDF Reader to Gain System Control and Steal Sensitive Data

2025/12/04 CyberSecurityNews — 悪意のファイルを正規の採用書類に偽装するサイバー犯罪者たちが、求職者のコンピュータにマルウェアを潜入させるために巧妙な手法を用いている。ValleyRAT と呼ばれる新たな攻撃キャンペーンは、偽の求人情報や企業資料を添付したメール・メッセージを通じて、求職活動中の人々を標的としている。この攻撃キャンペーンの主な手口は、人気の Foxit PDF Reader の武器化と悪用にある。

React／Next.js の脆弱性 CVE-2025-55182／66478 が FIX：１件の HTTP リクエストで RCE

Critical React and Next.js Flaw Lets Remote Attackers Run Malicious Code

2025/12/04 gbhackers — React Server Components に存在する深刻なセキュリティ脆弱性を悪用する未認証の攻撃者は、この人気の Web フレームワークを実行するサーバ上での、悪意のコード実行の可能性を得る。この脆弱性は、React では CVE-2025-55182、Next.js では CVE-2025-66478 として追跡され、CVSS 値は 10.0 と評価されている。なお、この脆弱性が影響を及ぼす範囲は、開発者による設定変更が行われていない、デフォルト・コンフィグレーションの環境となる。

Linux eBPF を巡る攻防：進化する BPFDoor と Symbiote の機能を分析する

BPFDoor and Symbiote: Advanced eBPF-Based Rootkits Target Linux Systems

2025/12/03 gbhackers — Extended Berkeley Packet Filter (eBPF) は、Linux カーネルにおける最も強力な技術の一つであり、サンドボックス化されたプログラムをカーネルに直接ロードすることで、ネットワーク・パケットの検査やシステムコールの監視を可能にするものだ。この機能は 2015 年に導入され、1992年の BPF アーキテクチャを近代化し、前例のない監視機能を提供することになった。しかし、一方では、高度な攻撃者に対して、ステルス性の高い新たな攻撃ベクターを提供するという諸刃の剣になっている。

WordPress King Addons の脆弱性 CVE-2025-8489 が FIX：管理者権限の窃取試行を確認

Critical Elementor Plugin Vulnerability Let Attackers Takeover WordPress Site Admin Control

2025/12/03 CyberSecurityNews — WordPress プラグイン King Addons for Elementor に存在する深刻なセキュリティ脆弱性により、数千の Web サイトが乗っ取られる危険性があると、セキュリティ研究者が警告している。この脆弱性 CVE-2025-8489 を悪用する未認証の攻撃者は、このプラグインの安全でない登録機能を介して新規アカウントを作成し、完全な管理者権限を付与する可能性がある。

ChatGPT で世界的なアクセス障害：Codex のトラブルにより会話履歴が一時的に消失

ChatGPT Down – Users Report Outage Worldwide, Conversations Disappeared for Users

2025/12/03 CyberSecurityNews — 2025年12月3日 (水) の早朝に、ChatGPT が大規模なサービス障害に見舞われ、世界中の何百万ものユーザーの業務に深刻な支障が生じた。午前6時30分頃に発生した障害により、多数のユーザーが AI チャットボットへアクセスできなくなり、また、会話履歴が消失したように見えるといった、データ可視性に関する重大な問題が発生した。OpenAI は迅速な対応を行い、すべてのシステムが短時間で復旧したと発表している。

Django の脆弱性 CVE-2025-13372／64460 が FIX：SQLi／DoS 攻撃の恐れ

Multiple Django Vulnerability Expose Applications to SQL Injection and DoS Attacks

2025/12/03 gbhackers — Django 開発チームがリリースしたのは、人気 Python Web フレームワークにおける３つのメジャー・バージョン向けの重大なセキュリティ・パッチである。このパッチで修正された、２件の脆弱性 CVE-2025-13372／CVE-2025-64460 は、アプリケーションを SQL インジェクション攻撃およびサービス拒否 (DoS) 攻撃にさらす可能性のあるものだ。

Chrome 143 の複数の脆弱性が FIX：深刻な V8 タイプ・コンフュージョンや UAF バグなどに対応

Chrome 143 Released With Fix for 13 Vulnerabilities that Enable Arbitrary Code Execution

2025/12/03 CyberSecurityNews — Chrome 143 の Stable チャンネルで Google がリリースしたのは、Linux 版 143.0.7499.40 および、Windows／Mac 版 143.0.7499.40/41 である。このアップデートで修正された 13 件のセキュリティ脆弱性には、任意コード実行やレンダリング・エンジンへの侵害を攻撃者に許す可能性のある、危険性の高い複数の欠陥も含まれている。

Angular プラットフォームの脆弱性 CVE-2025-66412：SVG 属性の悪用とコード実行の恐れ

Angular Platform Vulnerability Lets Attackers Execute Code Through Malicious SVG Animations

2025/12/03 gbhackers — Angular チームがリリースしたのは、Angular テンプレート・コンパイラの深刻な脆弱性に対処するためのセキュリティ・アップデートである。この脆弱性 CVE-2025-66412 を悪用する攻撃者は、組み込みのセキュリティ保護を回避してユーザーのブラウザで悪意のコードを実行できる。その原因の根本は、Angular コンパイラのセキュリティ・モデルの不備に起因する、蓄積型クロスサイト・スクリプティング (XSS) の問題である。

OpenVPN の脆弱性 CVE-2025-13751／13086／12106：DoS 攻撃やセキュリティ回避の可能性

OpenVPN Vulnerabilities Let Hackers Triggers Dos Attack and Bypass Security Checks

2025/12/02 CyberSecurityNews — OpenVPN が公表したのは、安定版 (2.6 シリーズ)／開発ブランチ (2.7 シリーズ) 向けの、重要なセキュリティ・アップデートのリリース情報である。これらのアップデートで修正されたのは、ローカルでのサービス拒否 (DoS)／セキュリティ回避／バッファ・オーバーリードにつながる可能性がある３件の脆弱性である。

nopCommerce の脆弱性 CVE-2025-11699 が FIX：セッション Cookie 無効化不備とアカウント乗っ取り

nopCommerce Flaw Lets Attackers Access Accounts Using Captured Cookies

2025/12/02 gbhackers — nopCommerce に存在する深刻な脆弱性 CVE-2025-11699 が、セキュリティ研究者たちにより発見された。nopCommerce は、Microsoft／Volvo／BMW などの大手企業が利用する人気のオープンソース EC プラットフォームである。この脆弱性を悪用する攻撃者は、正当なユーザーがログアウトした後であっても、取得したセッション Cookie を介してユーザー・アカウントを乗っ取ることが可能である。

Apache Struts の脆弱性 CVE-2025-64775 が FIX：ディスク枯渇による DoS 攻撃の恐れ

Apache Struts Flaw Allows Attackers to Launch Disk Exhaustion Attacks

2025/12/02 gbhackers — Apache Struts に発見されたセキュリティ脆弱性 CVE-2025-64775 を悪用する攻撃者は、サーバのディスク容量を圧迫して正常な動作を妨げる可能性がある。Apache Struts は人気のオープンソース Web アプリケーション・フレームワークであり、世界中の多くの企業で使用されているため、この脆弱性の影響の大きさが懸念されている。

OpenAI Codex CLI にコマンド・インジェクション：リポジトリを介した悪用のシナリオとは？

OpenAI Codex CLI Command Injection Vulnerability Let Attackers Execute Arbitrary Commands

2025/12/01 CyberSecurityNews — OpenAI が公表したのは、Codex CLI ツールのコマンド・インジェクション脆弱性の修正に関する情報である。この脆弱性を悪用する攻撃者は、悪意のコンフィグ・ファイルをプロジェクト・リポジトリに配置するだけで、開発者のマシン上で任意のコマンド実行の可能性を得る。この問題は、すでに Codex CLI バージョン 0.23.0 で修正されている。修正前の Codex CLI では codex コマンドの日常的な使用が、サイレントなリモート・コード実行のトリガーとなっていた。

Devolutions の脆弱性 CVE-2025-13757／13758／13765 が FIX：SQLi／機密情報漏洩などの可能性

Devolutions Server Hit by SQL Injection Flaw Allowing Data Theft

2025/12/01 gbhackers — 集中型パスワード／特権アクセスを管理する Devolutions Server に、深刻な脆弱性が発見された。開発元の Devolutions は、2025年11月27日にセキュリティ・アドバイザリ (DEVO-2025-0018) を公表して３件の脆弱性に対処した。最も危険なのは、サーバのログデータ処理に影響を及ぼす SQLインジェクション脆弱性である。この欠陥を悪用する攻撃者は、機密データの窃取や内部記録の改竄を可能にするとされており、専門家たちは深刻度 Critical と評価している。

Apache bRPC の脆弱性 CVE-2025-59789 が FIX：JSON データの悪用によるサーバ・クラッシュ

Critical Apache bRPC Flaw Allows Attackers to Crash Servers

2025/12/01 gbhackers — Apache bRPC に存在する深刻なセキュリティ脆弱性を悪用する攻撃者は、細工した JSON データを送信するだけでサーバをクラッシュさせる可能性がある。この脆弱性 CVE-2025-59789 が影響を及ぼす範囲は、Apache bRPC のバージョン 1.15.0 未満であり、信頼できないネットワークに公開されているシステムに、重大なリスクをもたらすものである。

Chrome／Edge のエクステンションを悪用：430万人を感染させた ShadyPanda のキャンペーンとは？

4.3 Million Chrome and Edge Users Hacked in 7-Year ShadyPanda Malware Campaign

2025/12/01 CyberSecurityNews — ShadyPanda という高度な攻撃グループが、７年間にわたり Chrome および Edge の 430万人のユーザーをマルウェアに感染させてきたという。この攻撃グループは、ブラウザ・マーケットプレイスへの信頼を悪用し、おすすめ／検証済みと表示されたエクステンションを武器化することで、従来のセキュリティ・アラームにより検知されることなく、リモート・コード実行 (RCE) バックドアおよび大規模スパイウェア攻撃を展開してきた。

Microsoft Outlook の RCE 脆弱性 CVE-2024-21413：GitHub 上で PoC が公開

PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability

2025/12/01 CyberSecurityNews — Microsoft Outlook に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2024-21413 の悪用を実証する PoC エクスプロイト・コードが公開された。この MonikerLink と呼ばれる脆弱性を悪用する攻撃者は、Outlook のセキュリティ機構の保護ビューを回避して、悪意のコード実行や資格情報の窃取を可能にする。

カレンダー・サブスクを悪用する脅威アクター：フィッシング攻撃やマルウェアを配布の盲点になっている

Threat Actors Exploit Calendar Subscriptions for Phishing and Malware Delivery

2025/11/29 InfoSecurity — デジタル・カレンダーのサブスク・インフラを操作する脅威アクターが、有害コンテンツを配布していることが判明した。誰もが知っているように、カレンダーをサブスクすれば、サードパーティがイベントを追加し、その通知がユーザーのデバイスで共有される。それにより、小売業者によるバーゲン日程や、スポーツ観戦の日程などが配信されている。

200 件以上の CVE を標的とする大規模攻撃キャンペーン：Google Cloud を悪用する非公開 OAST ツール

Mystery OAST Tool Exploits 200 CVEs Using Google Cloud for Large-Scale Attacks

2025/11/29 gbhackers — Google Cloud インフラ上で、非公開の Out-of-band Application Security Testing (OAST) サービスを運用する高度な脅威アクターが、VulnCheck の最新調査により発見された。このキャンペーンでは、200 以上の CVE を標的とする大規模なエクスプロイトが展開されているという。

OpenAI が ChatGPT 広告を公開へ向けて準備中：利用者データを活用するパーソナライズド広告の可能性

Leak confirms OpenAI is preparing ads on ChatGPT for public roll out

2025/11/29 BleepingComputer — Web の経済を再定義するかもしれない ChatGPT 内の広告機能を、OpenAI が内部でテスト中とのことだ。これまで、ChatGPT の基本利用は無料だった。有料のプランやモデルは存在するが、ChatGPT が商品を販売することも広告を表示することもなかった。その一方で、Google 検索ではユーザーの購買行動に影響を与える広告が表示される。それと同じエクスペリエンスを、OpenAI は ChatGPT 上で実現しようとしている。

Google Meet の偽ページによるマルウェア攻撃：ClickFix 手法で悪意のペイロードを配信

Beware of Weaponized Google Meet Page uses ClickFix Technique to Deliver Malicious Payload

2025/11/29 CyberSecurityNews — 偽の Google Meet ランディングページを通じてリモート・ワーカーや組織を標的とする、高度なマルウェア攻撃が確認された。この攻撃は、偽装ドメイン “gogl-meet[.]com” 上で展開され、ClickFix と呼ばれるソーシャル・エンジニアリング手法でブラウザのセキュリティ制御を迂回し、リモート・アクセス型トロイの木馬 (RAT：Remote Access Trojan) を被害者のシステムに直接送り込むものである。

GitLab Cloud 公開リポジトリ 560 万件のスキャンで判明：17,000件超のシークレット漏洩

Public GitLab repositories exposed more than 17,000 secrets

2025/11/28 BleepingComputer — GitLab Cloud 上の 560万件の公開リポジトリをスキャンした結果、2,800 を超える固有ドメインにまたがって存在する、17,000件を超える公開シークレットが発見された。オープン・ソース・ツール TruffleHog を用いることで、セキュリティ研究者である Luke Marshall が調査したのは、リポジトリ内のコードに含まれる API キー／パスワード／トークンといった機密性の高い認証情報である。

JSONFormatter と CodeBeautify の調査：大規模な機密情報の漏洩の実態が明らかに

Thousands of sensitive secrets published on JSONFormatter and CodeBeautify

2025/11/28 SecurityAffairs — JSONFormatter や CodeBeautify といった開発者向けフォーマット・プラットフォームにおいて、パスワード／シークレット／キーの大規模な漏洩が発生していることが、WatchTowr の最新調査により明らかになった。時として重要なシステムにも見られるインシデントが、過去に起こったものであっても、そこで漏洩した認証情報はインターネット空間を漂い続ける。WatchTowr の研究者たちが浮き彫りにするのは、セキュリティ上の怠慢が根強く残っていることであり、また、機密データが容易に公開されている状況である。

Cronos が開催する賞金総額 $42,000 のハッカソン：資産移動の安全性／拡張性を AI により高める

Cronos Kicks Off $42K Global Hackathon Focused on AI-Powered On-Chain Payments

2025/11/27 hackread — Cronos が開始したのは、AI 統合型のブロックチェーン決済の推進を目的とした、賞金総額 $42,000 のグローバル・チャレンジ x402 PayTech Hackathon である。世界中の開発者が、エージェント・ベースの決済技術や、Crypto.com AI エージェント SDK、そして Cronos と Crypto.com エコシステム全体を活用するツールやアプリケーションの開発に参加できる。

Python のレガシー・パッケージに潜む脆弱性：放棄されたドメインとブートストラップ・スクリプト

Legacy Python Package Vulnerabilities Enable PyPI Attacks Through Domain Takeover

2025/11/27 gbhackers — Python のレガシー・パッケージに潜む脆弱性について、ReversingLabs の研究者たちが警鐘を鳴らしている。この脆弱性は、Python Package Index (PyPI) のユーザーを、ドメイン侵害によるサプライチェーン攻撃の脅威にさらすものである。それらの脆弱なコードは、最近のプロジェクトではほとんど使用されていないが、古い本番システムに残り続けているため、依然としてリスクは消え去っていない。

間接プロンプト・インジェクションは不可避？ ChatGPT Atlas などのエージェントがもたらすリスクとは？

Prompt Injections Loom Large Over ChatGPT’s Atlas Browser

2025/11/27 DarkReading — AI 搭載の新しい Web ブラウザが登場し、エージェント機能が一般ユーザーにも普及し始めている。しかし、疑問として残されるのは、LLM 攻撃の代表的手法であるプロンプト・インジェクションが、さらに深刻化するかもしれないという懸念である。ChatGPT Atlas は、10月21日に OpenAI がリリースした Chromium ベースの LLM 搭載 Web ブラウザである。現時点では、macOS 上で利用が可能であり、テキスト生成／Web ページ要約／エージェント機能といった、ChatGPT のネイティブ機能を搭載している。

Angular HTTP Client の脆弱性に CVE-2025-66035 が FIX：XSRF トークン漏洩の恐れ

Angular HTTP Client Flaw Leaks XSRF Tokens to Attacker-Controlled Domains

2025/11/27 gbhackers — Angular HTTP Client に存在する、深刻なセキュリティ脆弱性 CVE-2025-66035 (CVSS：7.5) が明らかにされた。この脆弱性を悪用する脅威アクターは、脆弱なアプリケーションからクロスサイト・リクエスト・フォージェリ (XSRF) トークンを盗み取る。この脆弱性は、Angular チーム・メンバーの Alan-Agius4 により公開されたものであり、複数のバージョンの @angular/standard パッケージに影響を与える。

Asahi が認めた顧客データ 150万人分の流失：Qilin ランサムウェアが犯行を主張

Asahi Confirms 1.5 Million Customers Affected in Major Cyber-Attack

2025/11/27 InfoSecurity — 2025年9月に大規模なサイバー攻撃を受けたビール大手の Asahi Beer は、約 200万人分の個人情報が漏洩した可能性があると発表した。11月27日に発表した新たな報告で述べられたのは、9月と10月の一時的な操業停止につながった、サイバー攻撃に関する調査の初期結果である。

NVIDIA DGX Spark の 14件の脆弱性が FIX：任意のコード実行や DoS 攻撃の可能性

NVIDIA DGX Spark Flaws Allow Attackers to Run Malicious Code and Launch DoS Attacks

2025/11/27 gbhackers — NVIDIA が公開したのは、DGX Spark システムに存在する 14 件の重大な脆弱性に対処するセキュリティ更新プログラムである。それらの脆弱性を悪用する攻撃者は、任意のコード実行や機密情報の窃取を行い、システムをクラッシュさせるサービス拒否攻撃を仕掛ける可能性を得る。これらの脆弱性が影響を及ぼす範囲は、最新の OTA0 アップデート以前の、すべての NVIDIA DGX OS である。

GitLab CE／EE の複数の脆弱性が FIX：認証バイパス／DoS 攻撃などの恐れ

Gitlab Patches Multiple Vulnerabilities that Enable Authentication Bypass and DoS Attacks

2025/11/27 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)／Enterprise Edition (EE) に存在する複数の深刻な脆弱性に対処するための、重要なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、認証バイパス／ユーザー認証情報の窃取／サービス拒否 (DoS) 攻撃によるサーバ・クラッシュなどを引き起こすとされる。すでに GitLab は、パッチを取り込んだバージョン 18.6.1／18.5.3／18.4.5 をリリースし、この問題に対処している。

OpenAI が Mixpanel 関連のインシデントを公表：氏名／メールアドレス／OS 情報などが漏洩

OpenAI Discloses Mixpanel Data Breach – Name, Email Address and Operating System Details Exposed

2025/11/27 CyberSecurityNews — OpenAI が公表したのは、API 製品のフロントエンドである “platform.openai.com” の活動を監視するために、以前に使用していたサードパーティ分析プロバイダ Mixpanel に関連するセキュリティ・インシデントである。2025年11月9日に Mixpanel が検知したのは、自社システムへの不正なアクセスがあり、一部の OpenAI API ユーザーの識別情報を含む分析データがエクスポートされたことだった。

Next.js の脆弱性 CVE-N/A が FIX：認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ

New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request

2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。

Crypto Copilot という名の悪意の Chrome Extension：Solana 取引で不正な手数料を窃取

Chrome Extension Caught Injecting Hidden Solana Transfer Fees Into Raydium Swaps

2025/11/26 TheHackerNews — Chrome Web Store に存在する新たな悪意のエクステンションを、サイバー・セキュリティ研究者たちが発見した。このエクステンションは、スワップ取引に Solana の送金を巧妙に挿入し、攻撃者が管理する仮想通貨ウォレットへと資金を送金する機能を備えている。

Tor の Counter Galois Onion 暗号化：前方秘匿性を確保する新たなアルゴリズムとは？

Tor Adopts Galois Onion Encryption to Strengthen Defense Against Online Attacks

2025/11/26 CyberSecurityNews — Tor プロジェクトが発表したのは暗号技術の大幅な見直しであり、数十年にわたり運用されてきたリレー暗号化アルゴリズムを廃止し、Counter Galois Onion (CGO) に置き換えるものだ。この研究に基づく暗号化のデザインは、広範なユーザー層を保護するものであり、高度化するオンライン攻撃者に対する防御力の強化を目的としている。

2025年のアカウント乗っ取りの被害額は $262 Million：金融機関を装う状況を FBI が報告

Account Takeover Fraud Caused $262 Million in Losses in 2025: FBI

2025/11/26 SecurityWeek — FBI の報告によると、アカウント乗っ取り (ATO：account takeover) 詐欺に関与するサイバー犯罪者により、2025年1月以降において $262 million 以上の損失が引き起こされているという。FBI が受け取った 5,100件以上の報告や苦情から確認されたのは、金融機関になりすました脅威アクターが、さまざまな規模の組織や個人から、金銭や情報を盗んでいる状況である。

SocGholish による RomCom ペイロードの配信を確認：偽のアップデートで騙して Mythic Agent を展開

RomCom Uses SocGholish Fake Update Attacks to Deliver Mythic Agent Malware

2025/11/26 TheHackerNews — RomCom として知られるマルウェア・ファミリーを背後で操る脅威アクターは、SocGholish と呼ばれる JavaScript ローダーを介して Mythic Agent を配信している。Arctic Wolf Labs の研究員 Jacob Faires は 11月25日 (火) のレポートで、「SocGholish による RomCom ペイロードの配信が確認されたのは、今回が初めてのことだ。その標的は、米国の土木工学関連の企業である」と述べている。