Windows 11 Configuration Bug Freezes Update Scanning Process
2025/06/25 gbhackers — 前日に発見された Windows 11 のバグにより、OS の更新プログラムのスキャン・プロセスが予期せずフリーズするという事態が生じている。それにより、重要な更新プログラムの確認やインストールが不能となり、数多くのユーザーが大きな問題に遭遇している。すでに Microsoft は、この問題をオフィシャルに認めており、世界中の影響を受けるデバイスに対して、修正プログラムを提供している。この、“Scan for Updates” 機能へのレスポンスが失われる問題は、Windows 11 バージョン 24H2 を実行するユーザーに影響をおよぼすものだ。
Continue reading “Windows 11 の Config バグ:更新プロセス停止に対する恒久的な対策とは?”OWASP Launches AI Testing Guide to Uncover Vulnerabilities in AI Systems
2025/06/24 gbhackers — 現代の産業において基盤となり始めている人工知能 (AI) に対して、Open Web Application Security Project (OWASP) が発表したのは、AI Testing Guide の公開である。それは、AI システム特有の脆弱性に対する、ユーザー組織による特定と軽減に役立つように設計された、包括的なフレームワークである。すでに AI は、医療や金融から自動車や IT に至るまでの、広範な分野の重要な業務を支えている。その流れの中で、専門的なセキュリティ/プライバシー/倫理的テストに対するニーズの高まりに、この取り組みは対応している。
Continue reading “OWASP が AI Testing Guide を発表:新たな問題を特定/軽減する包括的なフレームワーク”Google Integrates GenAI to Counter Indirect Prompt Injection Attack Vectors
2025/06/23 gbhackers — Google が公開したのは、巧妙かつも強力な脅威である、間接プロンプト・インジェクション攻撃に対抗するための、徹底的な保護技術に関する情報である。それが示すのは、生成 AI 時代のサイバー・セキュリティにおける大きな進歩である。AI プロンプトに対して、悪意のコマンドを明示的に挿入する直接プロンプト・インジェクションとは異なり、この間接インジェクションとは、メール/ドキュメント/カレンダーなどの、外部データ・ソースに有害な命令を埋め込むものだ。
Continue reading “Google の GenAI セキュリティ:Gemini で阻止する間接プロンプト・インジェクション攻撃”Microsoft Family Safety Blocking All the Version of Chrome Browsers
2025/06/23 CyberSecurityNews — 先日の Microsoft Family Safety アップデートにより、すべての Google Chrome バージョンにおいて、想定外のブロックが発生している。それにより、Windows デバイスのペアレンタル・コントロール機能を使用している、教育機関や家庭に大きな影響が生じている。この問題が発生したのは、2025年6月3日であり、Chrome のアップデートが公表されたタイミングと一致している。しかし、このブロック・メカニズムは、旧バージョン/現行バージョンを問わず、無差別に影響を与えている。
Continue reading “Microsoft Family Safety のアップデートが引き起こした問題:すべての Chrome をブロック”Azure Misconfiguration Lets Attackers Take Over Cloud Infrastructure
2025/06/20 gbhackers — Microsoft Azure における一連のミスコンフィグを悪用する攻撃者は、初期アクセスからテナントの完全な乗っ取りに至るまでの、ユーザー組織のクラウド・インフラの制御を可能にすることが、最近のセキュリティ分析により明らかになった。ITM8 のレポートが示すのは、実際のツールと PowerShell スクリプトを用いて実証された攻撃経路であり、Azure のデプロイメントの強化と、不審なアクティビティ監視の必要性を問うものだ。
Continue reading “Azure のミスコンフィグ:攻撃者に対してクラウド・インフラ奪取を許すフローを追跡”Microsoft Entra ID Expands Passkey (FIDO2) Authentication Methods for Public Preview
2025/06/19 CyberSecurityNews — Microsoft が発表したのは、Microsoft Entra ID (旧 Azure AD) におけるパスキー (FIDO2) 認証手段の拡充である。それにより、同社の IAM (identity and access manage) 機能がさらに強化される。この機能拡張の展開は、2025年10月中旬よりパブリック・プレビューとして段階的に開始され、11月中旬には全面的なものになると予定されている。今回のアップデートでは、グループ単位での詳細な Passkeys 設定が可能となり、エンタープライズ認証の安全性と柔軟性が大幅に向上する。
Continue reading “Microsoft Entra ID が進化:グループごとの Passkeys 詳細設定に対応”Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse
2025/06/18 SecurityWeek — ロシア政府との関係性を有するプロフェッショナルなハッキング・チームが、あまり知られていない Google の ASP (Application-Specific Password) 機能を悪用し、Gmail の2段階認証 (MFA) を回避する新たな手口を用いて、巧妙に仕掛けられたフィッシング攻撃を展開していたことが判明した。
Continue reading “Gmail の MFA を回避:ロシア系ハッカーが悪用する App-Specific Password とは?”Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities
2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。
Continue reading “GitHub Actions に潜む問題:MITRE/Splunk リポジトリへの侵害を研究者たちが実証”2025/06/15 CyberDefenseMagazine — 先日に Multi-State Information Sharing and Analysis Center が発表したレポートによると、国家レベルの攻撃者や巧妙化するランサムウェア攻撃の増加に、政府組織は直面しているようだ。これまでにおいて、サイバー攻撃に対して最も脆弱な組織として挙げられてきたのは、大企業や連邦政府などである。しかし、時が経つにつれ、公共の安全/福祉/教育/医療といった、より地域に根ざした重要なサービスが、標的にされるようになってきた。
Continue reading “パッチの適用と遅延の代償:米国の州政府と自治体が直面する問題を整理する”Arsen Launches AI-Powered Vishing Simulation to Help Organizations Combat Voice Phishing at Scale
2025/06/13 hackread — ソーシャル・エンジニアリングに対抗する、サイバー・セキュリティのスタートアップ企業 Arsen が発表したのは、Vishing をシミュレーションするためのモジュールのリリースである。この製品は、従業員の訓練を目的とした AI ベースのトレーニング・ツールであり、増加傾向にある Vishing (voice phishing) に対抗するために、最先端の技術を用いるものでもある。このモジュールは、IT サポート・デスクを装うソーシャル・エンジニアリング攻撃などを、AI 生成の音声と適応型の対話システムを用いて、現実的でスケーラブルな音声ベースでシミュレートする。
Continue reading “Arsen による AI 搭載の音声詐欺シミュレーター:組織全体の Vishing 対策強化を支援”Secure by Design is just the start, CISA official says
2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。
Continue reading “Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA”SAML vs. OAuth 2.0: Mastering the Key Differences
2025/06/13 SecurityBoulevard — 月曜日の朝の、こんな状況を想像してほしい。コーヒーを飲み、デスクに座り、PC を開く。まずはメールにログイン。次にプロジェクト管理ツールを起動する。最初のタスクに取り掛かる前に、迷路のようなログイン画面をくぐり抜け、何度もパスワードを入力していく。こんな日常があるはずだ。
デジタル化が進む現代社会で、私たちは、数え切れないほど多くのアプリケーションにアクセスしている。膨大な認証情報の管理は面倒なだけではなく、セキュリティ・リスクにもつながる。そこで、Single Sign-On (SSO) のようなテクノロジーが役に立つ。SSO は、1回のログインを介することで、複数の承認済みアプリケーションへのアクセスが許可されるという、心地よい世界を実現してくれる。こうした、SSO とセキュア・アクセスの文脈でよく話題に上がるのは、2つの主要な技術 SAML と OAuth 2.0 である。
Continue reading “SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する”NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”Why DNS Security Is Your First Defense Against Cyber Attacks?
2025/06/11 TheHackerNews — いまのサイバー・セキュリティの世界で焦点が当たるものには、ファイアウォールおよび、ウイルス対策ソフトウェア、エンドポイント検出などがある。これらのツールは不可欠であるが、それ以外にも見落とされがちな重要レイヤーがある。それが、Domain Name System (DNS) だ。ほぼ、すべてのオンライン・インタラクションの起点であり、基盤でもある DNS が、攻撃の標的となるケースが増えてきている。したがって、適切な保護が行われないと、サービスの中断/ユーザーのリダイレクト/機密データの漏洩などにつながるシングルフェイル・ポイントとなる。つまり、DNS の 保護は、単なる推奨ではなく、必須の事項である。
Continue reading “DNS Security を考える:最前線で戦うセンサー/シールドへと変貌を遂げるか?”Qtap – An Open-Source Tool to See Through Encrypted Traffic in Linux systems
2025/06/10 CyberSecurityNews — Qpoint が公表したのは、Linux システム上のネットワーク・トラフィックを監視する、オープンソース eBPF エージェントである Qtap のリリースだ。TLS/SSL 機能にフックして暗号化前後のデータをキャプチャする Qtap は、プロセス/コンテナ/ホスト/ユーザー/プロトコルといった詳細情報と共に、平文のトラフィックを可視化する。
Continue reading “Qtap – Linux システムの暗号化されたトラフィックを可視化:新たな OSS ツールの登場”ConnectWise rotating code signing certificates over security concerns
2025/06/10 BleepingComputer — ConnectWise はセキュリティ上の懸念から、ScreenConnect/ConnectWise Automate/ConnectWise RMM の実行ファイルの署名に使用される、デジタル・コード署名証明書をローテーションすると顧客に警告している。デジタル証明書は、実行ファイルへの署名のために使用されるものだ。それにより、ファイルをダウンロードするユーザーは、ファイルが信頼できるソースからのものであることを確認できる。つまり、エンドユーザーに届く前に、コードが改竄されていないことが保証される。
Continue reading “ConnectWise が署名証明書をローテーション:最近のサイバー攻撃とは無関係だと言うが”Trump Signs Executive Order Overhauling US Cybersecurity Policies
2025/06/09 eSecurityPlanet — 6月6日 (金) にトランプ大統領は、バイデン政権とオバマ政権による複数の施策を廃止し、米国のサイバー・セキュリティ政策を刷新する大統領令に署名した。この大統領令は、選挙ハッキングなどへの制裁を緩めながら、焦点を外国のサイバー・スパイ脅威へと移すものである。サイバー・セキュリティ政策における「問題への躊躇と黙認」を排除するために、これらの変更は必要なものだと、ホワイトハウスは述べている。
Continue reading “トランプ政権のサイバー・セキュリティ政策:焦点は外国のサイバー・スパイ脅威へと移る?”Linux Foundation unveils decentralized WordPress plugin manager
2025/06/09 BleepingComputer — WordPress の元開発者やコントリビューターで構成される団体が、Linux Foundation の支援を受けるかたちで、信頼性の高い WordPress プラグイン/テーマを提供する、新たな独立系ディストリビューション・システム FAIR Package Manager を発表した。その背景にあるのは、商用 WordPress ホスティング・プロバイダーである Automattic と WP Engine の間で発生した法的な対立である。具体的に言うと、プラグイン/テーマのアップデートを管理するために使用される、 WordPress.org プラットフォームへの WP Engine のアクセスを、Automattic が制限したことに端を発する問題である。
Continue reading “WordPress の分散型 Plugin Manager の発表:Linux Foundation が後押しする理由は何処に?”ClickFix Email Scam Alert: Fake Booking.com Emails Deliver Malware
2025/06/05 HackRead — Cofense Intelligence のサイバー・セキュリティ専門家たちが警告するのは、ホテルやレストランなどの飲食/宿泊チェーンに対して、Booking.com を模倣する悪意のメールを送付する、詐欺行為の横行である。これらの詐欺メールは、ユーザーを騙して悪意のあるソフトウェアを実行させる、ClickFix と呼ばれる攻撃キャンペーンの一部である。
Continue reading “ClickFix フィッシング・メールとは? Booking.com などを装う攻撃キャンペーン”Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hardcoded Credentials
2025/06/05 TheHackerNews — Chrome エクステンション群の中に、HTTP 経由でデータを平文送信し、ソースコード内に秘密情報をハードコーディングする複数の製品が存在し、深刻なプライバシー/セキュリティ・リスクにユーザーが直面していることを、サイバー・セキュリティの研究者が警告している。Symantec のセキュリティ研究者 Yuanjing Guo は、「広く使用されている複数のエクステンションが、意図せず単純な HTTP 経由で機密データを送信している。それにより、ブラウジング・ドメイン/マシン ID/オペレーティング・システムの詳細/使用状況の分析/アンインストール情報などが平文で送信されている」と指摘している。
Continue reading “人気の Chrome エクステンション群に深刻な問題:HTTP 平文通信や API キー漏洩など”Outlook Users Targeted by New HTML-Based Phishing Scheme
2025/06/05 gbhackers — Microsoft Outlook の HTML メール処理方法を悪用する、最近のフィッシング攻撃で明らかになったのは、悪意のあるリンクを企業ユーザーの目から隠す、高度な手法の存在である。この攻撃が始まったころは、チェコの銀行を装う標準的なフィッシング攻撃のように見えたが、条件付き HTML コメントを利用して、メッセージを開いたメール・クライアントに応じて異なるコンテンツを表示するものだと判明した。この手法を用いる攻撃者は、Outlook ユーザーに正規の銀行の URL を表示し、それ以外のユーザーを認証情報収集サイトへとリダイレクトしているという。
Continue reading “新たな HTML-Based フィッシングを発見:Outlook のコメント・タグの悪用とメール・クライアントの識別”Google Exposes Vishing Group UNC6040 Targeting Salesforce with Fake Data Loader App
2025/06/04 TheHackerNews — Salesforce ポータルを悪用し、金銭を目的とした侵害を繰り返す、脅威クラスターの詳細について Google が情報を公開した。この脅威クラスターが専門としているのは、企業の Salesforce インスタンスに侵入し、大規模なデータ窃取と恐喝を目的とする、ヴィッシング (Vishing:Voice Phishing) キャンペーンである。
Continue reading “Salesforce を介する悪意のキャンペーン:UNC6040 Vishing Group が展開する狡猾な侵害の手法とは?”The 6 identity problems blocking AI agent adoption in hybrid environments
2025/06/03 strata — もはや AI エージェントは、単なる実験の期間を通過し、現代の企業の業務プロセスへと組み込まれ始めている。トランザクション処理からロジスティクスの調整にいたるまで、人やシステムに代わって、エージェントが機能するケースが増えている。しかし、ここに落とし穴がある。エージェントの ID を管理するための、インフラが追い付いていないのである。
Continue reading “AI Agent と ID 管理:ハイブリッド環境を想定すると浮上する6つの問題点”Trump’s 2026 Budget Guts CISA: Nearly 30% of Jobs and $500M on the Chopping Block
2025/06/03 eSecurityPlanet — トランプ政権が発表した 2026年度予算案では、CISA (Cybersecurity and Infrastructure Security Agency) に対する大幅な削減が提案されている。それにより、CISA の運営予算が $500M 近く削減され、職員の約 30% (3,732人から 2,649人) が解雇されることが明らかになった。この計画が議会で承認されると、2018年の CISA 設立以来、最大幅の縮小となる。
Continue reading “トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減対象に”Cyber Attacks Are Up 47% in 2025 – AI is One Key Factor
2025/06/03 TechRepublic — Check Point の最新調査によると、2025 Q1 における企業へのサイバー攻撃は引き続き増加しており、世界の組織は週平均 1,925件の攻撃を受けている。これは、前年同期である 2025 Q1 との比較で 47%の増加となっている。その中でも教育分野が最も深刻で、各教育機関は週平均 4,484件の攻撃を受けた。それに続くのが政府機関と通信業界であるが、通信業界に関して言えば、前年比 94%という最大の増加率を記録している。
Continue reading “2025 Q1 のサイバー攻撃件数は 47%の増加:主要因の一つに AI の存在 – Check Point 調査”Stealth Syscall Technique Allows Hackers to Evade Event Tracing and EDR Detection
2025/06/02 gbhackers — 最新のセキュリティ・インフラである、Event Tracing for Windows (ETW)/Sysmon Monitoring/Endpoint Detection and Response (EDR) を巧みに回避する、洗練されたステルス・システム・コール実行手法を、高度な脅威アクターたちが開発しているという。これらの手法は、コール・スタック・スプーフィング/ETW API フック/暗号化されたシステム・コール実行などの回避手法を組み合わせることで、従来の検出メカニズムを無効化するものであり、サイバー・セキュリティ防御者にとって大きな課題となっている。
Continue reading “ステルス性 Syscall テクニックが大幅に進化:Event Tracing/EDR が完全に回避される”What is a next-generation firewall (NGFW)?
2025/06/02 techtarget — NGFW (next-generation firewall) とは、従来からのファイアウォール機能と、新たな能力を組み合わせるネットワーク・セキュリティ・デバイスであり、高度なサイバー攻撃を検知/阻止するものだ。NGFW は、ハードウェア/ソフトウェア/クラウドをベースに展開される。サイバー攻撃を検知/阻止するために、アプリ/ポート/プロトコルのレベルでセキュリティ・ポリシーを適用する、従来からのファイアウォールの機能に加え、以下の高度な能力を備えている。
Continue reading “Next-Generation Firewall とは?従来型との比較とメリット/デメリット”Future of Passwords Biometrics and Passwordless Authentication
2025/06/02 CyberSecurityNews — パスワードレス技術の急速な拡大により、デジタル認証の世界は大きな変革期を迎えている。2024年には、Passkeys の採用が前年比 400%増と驚異的な伸びを見せている。周知のとおり、パスワードは廃れるという予測がある。その一方で、最近の動向が示唆するのは、パスワードは完全に排除されるのではなく、洗練されたエコシステムの中に位置づけられ、最先端の生体認証や暗号技術と共存するという未来である。
Continue reading “パスワードレス社会への道:Passkeys の台頭 + 生体と行動の認証による未来”Google Chrome to distrust Chunghwa Telecom, Netlock certificates in August
2025/06/02 BleepingComputer — Google が発表したのは、繰り返されるコンプライアンス違反と改善の遅れを理由に、Chrome Root Store に置かれる Chunghwa Telecom と Netlock の署名付きルート CA 証明書を、今後は信頼しないという声明である。この変更は、2025年8月1日にリリースが予定される、Google Chrome のバージョン 139 で適用されるという。今回の措置の理由として Google が挙げるのは、継続的なコンプライアンス違反、改善コミット・メントの不履行、そして目に見える進捗の欠如にある。
Continue reading “Google から Chunghwa Telecom と Netlock に通知:Chrome の認証局リストから排除”Phishing-as-a-Service: The Rise of Subscription-Based Cybercrime
2025/05/31 CyberSecurityNews — サイバー犯罪の世界は絶えず進化を続けており、最も効果的かつ広範囲に及ぶ攻撃手法の一つとして、フィッシングは主役の座に居続けている。その一方で、この種の攻撃の方式は劇的に変化している。かつては手作業で高度な技術を必要としたプロセスが、いまではオンデマンドで利用できるサービスとしてパッケージ化され、基本的なインターネット接続さえあれば、誰もがアクセスできるようになった。
Continue reading “Phishing-as-a-Service の進化を分析:スケーラブルなサイバー犯罪ビジネス・モデルに立ち向かうために”Firebase, Google Apps Script Abused in Fresh Phishing Campaigns
2025/05/30 SecurityWeek — 先日に確認された2件のフィッシング攻撃キャンペーンについて、サイバー・セキュリティ研究者たちが注意を呼びかけている。それらの攻撃キャンペーンは、正規サービスである Firebase と Google Apps Script を悪用して、無防備なユーザーを悪質なコンテンツに誘い込むものだ。2025年5月中旬に Trellix が発表したのは、Rothschild & Co の従業員を装うスピア・フィッシング攻撃が、カナダ/ヨーロッパ/中東/南アジア/アフリカの、銀行/電力/保険/投資などの組織の財務幹部を標的としていたことだ。
Continue reading “Firebase と Google Apps Script を悪用:巧妙なフィッシング・キャンペーンに要注意”New AyySSHush botnet compromised over 9,000 ASUS routers, adding a persistent SSH backdoor
2025/05/29 SecurityAffairs — AyySSHush ボットネットが ASUS ルーター 9,000台以上をハッキングし、永続的な SSH バックドアを追加したことが明らかになった。それを発見した GreyNoise は、「AI を活用するネットワーク・トラフィック分析ツール SIFT を開発したことで、新たな攻撃手法を悪用しようとする複数の異常なネットワーク・ペイロードを、一切の労力をかけずに検出した。それらは、ASUS ルーター上の TrendMicro セキュリティ機能を無効化し、ルーターに搭載されている ASUS AiProtection 機能の脆弱性などを攻撃するものだった」と述べている。
Continue reading “ASUS RT-AC3100/3200/AX55 が標的?AyySSHush ボットネットが 9000台のデバイスを侵害”Threat Actors Impersonate Fake Docusign Notifications To Steal Corporate Data
2025/05/28 CyberSecurityNews — 近ごろ、人気の電子署名プラットフォームである DocuSign を悪用し、企業の認証情報や機密データを盗み出す、巧妙なフィッシング攻撃が増加している。DocuSign が抱えるユーザーには、Fortune 500 企業の 95% と、全世界の 160万社の企業、10億人以上の人々が含まれる。そのため、この広く認知されたブランドに対する信頼を悪用する脅威アクターにとって、きわめて魅力的な攻撃経路となっている。
Continue reading “Docusign 偽装のフィッシングが急増中:スマホを標的にする攻撃に御用心”AI Agents and the Non‑Human Identity Crisis: How to Deploy AI More Securely at Scale
2025/05/27 TheHackerNews — GitHub Copilot のコード補完から、社内のナレッジベースをマイニングして即答するチャットボットにいたるまで、AI は企業の生産性に大きな変化をもたらしている。そこで用いられる、それぞれの新たなエージェントは、他のサービスでの認証を得る必要があるため、企業クラウド全体における NHIs (Non‑Human Identities) の数が静かに増加している。
Continue reading “NHI は人間の 45倍規模:AI Agent の大規模展開の前に考えるべきセキュリティ原則とは?”93+ Billion Stolen Users’ Cookies Flooded by Hackers on the Dark Web
2025/05/28 CyberSecurityNews — ダークウェブのマーケット・プレイスで流通している、937億件の Web ブラウザ Cookie 窃取に関する重大なサイバー犯罪活動を、セキュリティ研究者たちが発見した。この件数は、前年の調査結果から 74% 増加しているという。NordStellar 脅威エクスポージャー管理プラットフォームによる包括的な分析では、窃取された Cookie のうち 156億件以上が、依然としてアクティブであり、253の国々と地域における数百万人のユーザーに、セキュリティ・リスクが差し迫っていることが明らかになった。この調査では、高度な情報窃取マルウェアが、この大規模なデータ侵害の主な原因であると特定されている。
Continue reading “Web ブラウザから盗まれた Cookie は 930 億個:そのうちの 156億がアクティブだった”Hackers Exploit HTTP/2 Flaw to Launch Arbitrary Cross-Site Scripting Attacks
2025/05/27 gbhackers — 清華大学と中関村研究所の画期的な研究により、現代の Web インフラに存在する深刻な脆弱性が発見された。HTTP/2 の Server Push 機能と Signed HTTP Exchange (SXG) 機能が悪用されると、Web の Same-Origin Policy (SOP) の回避にいたることが明らかになった。SOP の目的は、ある Web サイト上の悪意のスクリプトが、別の Web サイトの機密データに、不正アクセスすることを防ぐためのデザインにある。しかし、研究者たちが発見したのは、ブラウザが “生成元 (origin)” と “認証局 (authority)” を解釈する際の方法への、最近の変更が危険な抜け穴を生み出していることである。
Continue reading “HTTP/2 の Server Push と Signed HTTP Exchange:複数ドメインで共有される証明書と抜穴”How to Incentivize Security by Design
2025/05/26 InfoSecurity — 各国の政府が、数千もの組織が利用するデジタル製品やサービスに対して、Secure by Design の原則を一貫して提唱するという状況にある。その原則とは、ソフトウェア・メーカーやシステム運用者の努力により、エンドユーザーのセキュリティ負担を大幅に軽減するためのものであり、既知の脆弱性の排除なども、その一例となる。このアプローチを推進してきたのは、米国 Cybersecurity and Infrastructure Security Agency (CISA) の Secure by Design イニシアチブや、英国政府が支援する Digital Security by Design (DSbD) プログラムなどである。
Continue reading “Security by Design とインセンティブ:なにがあればメーカーは導入するのか?”Vibe coding company says Claude 4 reduced syntax errors by 25%
2025/05/25 BleepingComputer — Vibe が発表したのは、同社のコーディング・ツール Lovable で Claude 4 を採用したことで、エラーが 25% 削減され、処理速度が40%向上したという情報だ。Claude Sonnet 4 と Claude Opus 4 という2つの新しいモデルは、5月22日に Anthropic が提供を開始したものである。Sonnet は無料ユーザーが利用できるが、Opus は有料サブスクリプションが必要であり、コーディングに関しては Sonnet の方が優れた性能を発揮する。
Continue reading “Vibe Coding の情報公開:Claude 4 により構文エラーが 25% 減/処理速度が 40% 向上”ViciousTrap Uses Cisco Flaw to Build Global Honeypot from 5,300 Compromised Devices
2025/05/23 TheHackerNews — ViciousTrap というコードネームを持つ脅威アクターが、84カ国で約 5,300台のネットワーク・エッジデバイスを侵害し、ハニーポットのようなネットワークを構築したことを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “ViciousTrap が構築する悪意のハニーポット? 侵害した 5,300 台の Cisco デバイスを介して情報を収集”Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
Continue reading “LEV による KEV と EPSS の強化:CISA と NIST の研究者が新たな指標の計算式を発表”100+ Fake Chrome Extensions Found Hijacking Sessions, Stealing Credentials, Injecting Ads
2025/05/20 TheHackerNews — 2024年2月以降において、正体不明の脅威アクターが作成した悪意の Chrome エクステンション群は、無害に見えるユーティリティを装いながら、データの窃取/コマンドの受信/任意コードの実行といった機能を隠し持っている。
Continue reading “Chrome Extension ユーザーが標的:100+ の悪意のエクステンションと Web サイトを準備するキャンペーン”AWS Default IAM Roles Found to Enable Lateral Movement and Cross-Service Exploitation
2025/05/20 TheHackerNews — Amazon Web Services (AWS) に影響を及ぼす、IAM (identity and access management) の高リスクのデフォルト・ロールを、サイバー・セキュリティ研究者たちが発見した。これらのロールを悪用する攻撃者は、権限の昇格や、他の AWS サービスの操作を達成し、AWSアカウントの完全な侵害の可能性を手にするという、きわめて危険なものである。
Continue reading “AWS のデフォルト IAM ロール:自動的に付与される過剰な権限とラテラルのリスク”A New Era for Windows: Microsoft’s Protocol Transforms OS into AI Agent Platform
2025/05/20 SecurityOnline — Microsoft Build 2025 において同社が発表したのは、 Windows 11 への Model Context Protocol (MCP) の統合であり、オペレーティング・システムを AI agentic プラットフォームへと変革する重要な一歩を踏み出した。Microsoft によると、MCP は AI agentic ベース・コンピューティングのための統一プロトコルとして、安全かつ相互運用可能な基盤層を提供するという。
Continue reading “Microsoft Windows 11 に MCP を統合:OS を AI agentic プラットフォームに変革する?”Japan passed a law allowing preemptive offensive cyber actions
2024/05/19 SecurityAffairs — 日本が制定した Active Cyberdefense Law は、被害が発生する前に脅威に対抗するための、先制的な攻撃的サイバー作戦を可能にするものだ。それが示すのは、憲法第9条に基づく日本の平和主義的な立場からの転換であり、サイバー防衛力を西側主要国と同等に高め、同盟国への広範な軍事支援を可能にすることを目指している。
Continue reading “日本の Active Cyberdefense Law が制定:先制的な攻撃的サイバー作戦を可能に”AI in the Cloud: The Rising Tide of Security and Privacy Risks
2025/05/16 SecurityAffairs — 企業における業務の効率化と意思決定の迅速化を図るために、人工知能 (AI) の導入が進むにつれて、Azure OpenAI/AWS Bedrock/Google Bard といったクラウド・ベースのプラットフォームを利用する企業が増えている。2024年だけでも、半数以上の組織がカスタム・アプリケーションの構築に AI を導入したという。これらのツールにより、明らかに生産性は向上するが、その一方において、特にデータのセキュリティとプライバシーに関する、複雑かつ新たなリスクが生じている。
Continue reading “AI in the Cloud:セキュリティとプライバシーの潮流に向き合うための方策は?”New Linux Vulnerabilities Surge 967% in a Year
2025/05/15 InfoSecurity — 2024年に Linux と macOS で発見された脆弱性の件数が劇的に増加したと、Action1 の最新分析が語っている。サイバー・セキュリティ・ベンダーである Action1 の、2025 Software Vulnerability Ratings Report は、National Vulnerability Database (NVD) とSecurityScorecard の CVEdetails.com サイトの詳細分析をベースにしたものだ。Action1 の推計によると、2024年に発見された脆弱性の総数は、前年比で 61% 増の 6,761件となるが、Linux の脆弱性は “前例のない” 967%増の 3,329件に達したという。
Continue reading “2024年の脆弱性を分析:Linux の発生件数は 967% 増/全体的な悪用件数は 96% 増”Pen Testing for Compliance Only? It’s Time to Change Your Approach
2025/05/15 TheHackerNews — 次のような状況を想像してほしい。ある組織が、1月に年次ペネトレーション・テストを完了し、セキュリティ・コンプライアンスで高い評価を得た。そして2月には、開発チームが定期的なソフトウェア・アップデートを導入した。しかし4月には、そのアップデートで混入した脆弱性を悪用する攻撃者が、顧客データにアクセスした。それは、この脆弱性が検知される数週間前のことだった。
Google Pays $1.375 Billion to Texas Over Unauthorized Tracking and Biometric Data Collection
2025/05/10 TheHackerNews — Google がテキサス州と合意したのは、ユーザーの同意を得ることなく、個人位置情報を追跡し、顔認識データを保持したとして提起された、2件の訴訟を和解するために $1.375 billion を支払うことだ。この支払い額は、他州からの同様の訴訟において、Google が支払った罰金を大きく上回っている。2022年11月に Google は、40州の連合に対して $391 million を支払い、また、2023年12月にはインディアナ州およびワシントン州に $29.5 million を、そして、同年 9月にはカリフォルニア州との和解で $93 million を支払っている。
Continue reading “Google とテキサス州が 14億ドルの罰金で合意:不正な位置追跡と生体認証データの収集”Legacy Login in Microsoft Entra ID Exploited to Breach Cloud Accounts
2025/05/09 hackread — Microsoft Entra ID のレガシー認証プロトコルの脆弱性を悪用する標的型攻撃キャンペーンが、サイバー・セキュリティ企業 Guardz により検出された。このキャンペーンにおいて、攻撃者たちは、多要素認証 (MFA:Multi-Factor Authentication) などの最新のセキュリティ対策を回避しているという。
Continue reading “Microsoft Entra ID を狙うクラウド侵害キャンペーン:レガシー認証の盲点とは?”Just 5% of Enterprises Have Deployed Quantum-Safe Encryption
2025/05/08 InfoSecurity — DigiCert によると、米国/英国/オーストラリアの企業の大多数は、量子コンピューティングにより5年以内に、現在の暗号化が破られると考えているようだが、現時点では耐量子暗号 (PQC:post-quantum cryptography) の導入には至っていないようだ。
Continue reading “ポスト・クォンタムのセキュリティ:耐量子暗号化の導入は5%に過ぎない – DigiCert 調査”
IoT OT Security News 
You must be logged in to post a comment.