Secure by Design is just the start, CISA official says
2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。
Continue reading “Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA”Apple confirmed that Messages app flaw was actively exploited in the wild
2025/06/13 SecurityAffairs — Apple が公表したのは、Messages アプリに存在する、現在ではパッチ適用済の脆弱性 CVE-2025-43200 が、ジャーナリストを標的とする Paragon のスパイウェア Graphite で悪用されたことの確認である。
Continue reading “Apple Messages の脆弱性を悪用するスパイウェア Graphite:イタリア政府を非難するイスラエルの Paragon”NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”U.S. CISA adds Wazuh, and WebDAV flaws to its Known Exploited Vulnerabilities catalog
2025/06/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の2件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
CISA Adds Erlang SSH and Roundcube Flaws to Known Exploited Vulnerabilities Catalog
2025/06/10 TheHackerNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Erlang/Open Telecom Platform (OTP) SSH および Roundcube に影響を与える2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/06/09:Erlang SSH/Roundcube の脆弱性を登録”Trump Signs Executive Order Overhauling US Cybersecurity Policies
2025/06/09 eSecurityPlanet — 6月6日 (金) にトランプ大統領は、バイデン政権とオバマ政権による複数の施策を廃止し、米国のサイバー・セキュリティ政策を刷新する大統領令に署名した。この大統領令は、選挙ハッキングなどへの制裁を緩めながら、焦点を外国のサイバー・スパイ脅威へと移すものである。サイバー・セキュリティ政策における「問題への躊躇と黙認」を排除するために、これらの変更は必要なものだと、ホワイトハウスは述べている。
Continue reading “トランプ政権のサイバー・セキュリティ政策:焦点は外国のサイバー・スパイ脅威へと移る?”Play ransomware group hit 900 organizations since 2022
2025/06/06 SecurityAffairs — 米国の FBI および CISA とオーストラリア ASD 傘下の ACSC (Australian Cyber Security Centre) による共同勧告によると、これまでの3年間において Play ランサムウェアは約 900もの組織を攻撃したとのことだ。2022年6月から活動を開始した Play ランサムウェア・グループだが、その被害者リストには、オークランド市/Rackspace/オランダの海上物流会社 Royal Dirkzwager などが含まれている。
Continue reading “Play ランサムウェアの現状:2022 年からの3年間で 900の組織を攻撃 – FBI/CISA”U.S. CISA adds Google Chromium V8 flaw to its Known Exploited Vulnerabilities catalog
2025/06/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium V8 に存在する境界外 Read/Write の脆弱性 CVE-2025-5419 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。先日に Google は、Chrome ブラウザの3つの脆弱性を修正する、定例外アップデートをリリースしたが、そこに含まれる CVE-2025-5419 は、現時点で悪用されている欠陥である。
Continue reading “CISA KEV 警告 25/06/05:Google Chromium V8 の CVE-2025-5419 を登録”Trump’s 2026 Budget Guts CISA: Nearly 30% of Jobs and $500M on the Chopping Block
2025/06/03 eSecurityPlanet — トランプ政権が発表した 2026年度予算案では、CISA (Cybersecurity and Infrastructure Security Agency) に対する大幅な削減が提案されている。それにより、CISA の運営予算が $500M 近く削減され、職員の約 30% (3,732人から 2,649人) が解雇されることが明らかになった。この計画が議会で承認されると、2018年の CISA 設立以来、最大幅の縮小となる。
Continue reading “トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減対象に”2025/06/03 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ASUS RT-AX55/Craft CMS/ConnectWise ScreenConnect の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/06/02:ScreenConnect/ASUS Router/Craft CMS を登録”CISA Urged to Enrich KEV Catalog with More Contextual Data
2025/05/30 InfoSecurity — アプリケーション・セキュリティ・プロバイダである OX の最新レポートは、Known Exploited Vulnerabilities (KEV) カタログにコンテキスト・データを追加するよう、Cybersecurity and Infrastructure Security Agency (CISA) に対して要請するものだ。CISA の KEV カタログに掲載されている 10 件の CVE を、200 以上のクラウド環境で分析した結果、クラウド・コンテナ環境に対して実際のリスクをもたらすものは1件もなかったと、OX の研究者たちは報告している。
Continue reading “CISA への要請:KEV カタログにコンテキスト・データの追加を – OX Report”US Government Launches Audit of NIST’s National Vulnerability Database
2025/05/27 InfoSecurity — 米国政府が開始した監査は、National Vulnerability Database (NVD) に関するものであり、未処理の脆弱性情報の案件を、確実に進めるためのものである。5月20日付の覚書において、米国の商務省 (DoC:Department of Commerce) の監査室は、国立標準技術研究所 (NIST:National Institute of Standards and Technology) による NVD の監督体制について、監査を実施する計画を発表した。
Continue reading “NIST の NVD は大丈夫なのか? 米商務省 (DoC) による監査の実施が判明”How to Incentivize Security by Design
2025/05/26 InfoSecurity — 各国の政府が、数千もの組織が利用するデジタル製品やサービスに対して、Secure by Design の原則を一貫して提唱するという状況にある。その原則とは、ソフトウェア・メーカーやシステム運用者の努力により、エンドユーザーのセキュリティ負担を大幅に軽減するためのものであり、既知の脆弱性の排除なども、その一例となる。このアプローチを推進してきたのは、米国 Cybersecurity and Infrastructure Security Agency (CISA) の Secure by Design イニシアチブや、英国政府が支援する Digital Security by Design (DSbD) プログラムなどである。
Continue reading “Security by Design とインセンティブ:なにがあればメーカーは導入するのか?”Zimbra CVE-2024-27443 XSS Flaw Hits 129K Servers, Sednit Suspected
2025/05/24 hackread — 人気のメール/コラボレーション・プラットフォーム Zimbra Collaboration Suite (ZCS) に、新たなセキュリティ上の脆弱性が発見された。この脆弱性 CVE-2024-27443 は、クロスサイト・スクリプティング (XSS) の一種であり、情報窃取やユーザー・アカウント乗っ取りを、攻撃者に許す可能性がある。
Continue reading “Zimbra の脆弱性 CVE-2024-27443 が FIX:APT による悪用の可能性と CISA KEV への登録”China-linked ‘Silk Typhoon’ hackers accessed Commvault cloud environments, person familiar says
2025/05/23 nextgov — データ管理ソフトウェア企業の Commvault が、中国由来のハッカーにより侵害され、同社のエンタープライズ向けクラウド・システムもアクセスされたことを、ある人物が明らかにした。このハッカーの狙いは、顧客のアプリケーションの機密情報であったという。この侵害に関与したハッカー集団は、Silk Typhoon である可能性が高いと、その人物は匿名を条件に語っている。5月22日 (木) には、この侵害について、CISA と Commvault が共同勧告を発表したが、Silk Typhoon との関連には触れられていない。
Continue reading “中国ハッカーが操る Silk Typhoon:Commvault クラウド環境への不正アクセスを達成する戦術とは?”Fortinet Zero-Day Under Attack: PoC Now Publicly Available
2025/05/23 gbhackers — FortiGuard Labs が公開したのは、FortiCamera/FortiMail/FortiNDR/FortiRecorder/FortiVoice などの製品群に影響を及ぼす、深刻な脆弱性 CVE-2025-32756 に関する緊急アドバイザリである。この脆弱性は、管理上の API に、具体的にはセッション Cookie の処理に存在する、スタック・オーバーフローに起因する。この脆弱性により、未認証のリモート・コード実行が可能になるため、攻撃者にとって格好の標的になる。
Continue reading “Fortinet の脆弱性 CVE-2025-32756:止まらない攻撃と提供された PoC”U.S. CISA adds a Samsung MagicINFO 9 Server flaw to its Known Exploited Vulnerabilities catalog
2025/05/22 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Samsung MagicINFO 9 Server の脆弱性 CVE-2025-4632 (CVSS:9.8) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/05/22:Samsung MagicINFO 9 Server の脆弱性 CVE-2025-4632 を登録”CISA Includes MDaemon Email Server XSS Flaw in KEV Catalog
2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2025年5月19日付けで、MDaemon Email Server に影響を及ぼすクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2024-11182 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性が浮き彫りにするのは、細工された HTML メールによる悪意の JavaScript コードの挿入を、攻撃者に許してしまうセキュリティ上の欠陥である。
Continue reading “CISA KEV 警告 25/05/19:MDaemon Email Server の脆弱性 CVE-2024-11182 を登録”Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
Continue reading “LEV による KEV と EPSS の強化:CISA と NIST の研究者が新たな指標の計算式を発表”CISA Adds Actively Exploited Ivanti EPMM Zero-Day to KEV Catalog
2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Endpoint Manager Mobile (EPMM) に影響を及ぼす2件の深刻なゼロデイ脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。脆弱性 CVE-2025-4427 は認証バイパスを、脆弱性 CVE-2025-4428 はリモートコード実行を可能にするものであり、広く使用されている OSS ライブラリの安全が確保されない実装に起因するものだ。連邦政府機関および民間組織は、拘束的運用指令 22-01 に基づき、2025年6月9日までに緩和策を適用する必要がある。
Continue reading “CISA KEV 警告 25/05/19:Ivanti EPMM の脆弱性 CVE-2025-4427/4428 を登録”SAP NetWeaver RCE: Zero-Day Allows File Uploads, Qilin Ransomware Connection
2025/05/20 SecurityOnline — SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS:10) が、情報公開の数週前の時点で、実際に悪用されていたことが、OP Innovate の調査により明らかになった。この脆弱性の悪用については、情報公開後に発生したと考えられていたが、OP Innovate のインシデント対応レポートが、それを覆した。具体的に言うと、ロシア語圏の Ransomware-as-a-Service (RaaS) グループである Qilin が、この攻撃に関与した可能性があるという。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:Qilin ランサムウェアが積極的に悪用か?”Japan passed a law allowing preemptive offensive cyber actions
2024/05/19 SecurityAffairs — 日本が制定した Active Cyberdefense Law は、被害が発生する前に脅威に対抗するための、先制的な攻撃的サイバー作戦を可能にするものだ。それが示すのは、憲法第9条に基づく日本の平和主義的な立場からの転換であり、サイバー防衛力を西側主要国と同等に高め、同盟国への広範な軍事支援を可能にすることを目指している。
Continue reading “日本の Active Cyberdefense Law が制定:先制的な攻撃的サイバー作戦を可能に”CISA Flags Actively Exploited Vulnerabilities in Chrome, SAP, and DrayTek Routers
2025/05/16 SecurityOnline — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
U.S. CISA adds a Fortinet flaw to its Known Exploited Vulnerabilities catalog
2025/05/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet の複数製品に存在するスタック・バッファオーバーフロー脆弱性 CVE-2025-32756 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。それに先行するかたちで Fortinet が公表したのは、企業向け電話システムを標的とする攻撃で悪用された、FortiVoice のリモートコード実行の脆弱性 CVE-2025-32756 に対処する、セキュリティ・アップデートのリリースである。
Continue reading “CISA KEV 警告 25/05/14:Fortinet FortiVoice などの RCE 脆弱性 CVE-2025-32756 を登録”New Microsoft Scripting Engine Vulnerability Exposes Systems to Remote Code Attacks
2025/05/14 gbhackers — Microsoft Scripting Engine に存在する、深刻なゼロデイ脆弱性により、ネットワーク経由でのリモートコード実行 (RCE) 攻撃が可能になることが確認され、企業/個人ユーザーにとって喫緊の懸念事項となっている。脆弱性 CVE-2025-30397 はタイプ・コンヒュージョン (CWE-843) に分類されており、このエンジンがメモリ内でデータ型を処理する方法を操作する攻撃者は、セキュリティ・メカニズムを回避できる。Microsoft は、この脆弱性を CVSS v3.1 スコア 7.5 (Important) と評価し、パッチが提供される前に、標的型攻撃で悪用された事例があると認めている。
Continue reading “Microsoft Scripting Engine の脆弱性 CVE-2025-30397 に注目:2025/05 月例で FIX”U.S. CISA adds TeleMessage TM SGNL to its Known Exploited Vulnerabilities catalog
2025/05/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、TeleMessage TM SGNL の脆弱性 CVE-2025-47729 (CVSS:1.9) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA のアドバイザリには、「2025年5月5日までの TeleMessage のアーカイブ・バックエンドには、TM SGNL (別名 Archive Signal) アプリ・ユーザーによる、メッセージの平文コピーが保存されている。それは、TeleMessage の “End-to-End encryption from the mobile phone through to the corporate archive”ドキュメントで説明されている機能とは異なるものであり、2025年5月に実環境での悪用が確認された」と記されている。
Continue reading “CISA KEV 警告 25/05/12:TeleMessage の脆弱性 CVE-2025-47729 の登録と Mike Waltz の異動”Google Pays $1.375 Billion to Texas Over Unauthorized Tracking and Biometric Data Collection
2025/05/10 TheHackerNews — Google がテキサス州と合意したのは、ユーザーの同意を得ることなく、個人位置情報を追跡し、顔認識データを保持したとして提起された、2件の訴訟を和解するために $1.375 billion を支払うことだ。この支払い額は、他州からの同様の訴訟において、Google が支払った罰金を大きく上回っている。2022年11月に Google は、40州の連合に対して $391 million を支払い、また、2023年12月にはインディアナ州およびワシントン州に $29.5 million を、そして、同年 9月にはカリフォルニア州との和解で $93 million を支払っている。
Continue reading “Google とテキサス州が 14億ドルの罰金で合意:不正な位置追跡と生体認証データの収集”U.S. CISA adds GoVision device flaws to its Known Exploited Vulnerabilities catalog
2025/05/08 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、GeoVision の脆弱性 CVE-2024-6047 と CVE-2024-11120 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。いずれも、未認証の攻撃者に対して、コマンド・インジェクションを許す脆弱性である。
Continue reading “CISA KEV 警告 25/05/07:GeoVision の脆弱性 CVE-2024-6047/11120 を登録”MirrorFace Targets Japan and Taiwan with ROAMINGMOUSE and Upgraded ANEL Malware
2025/05/08 TheHackerNews — MirrorFace として知られる国家主導の脅威アクターが、日本と台湾の政府機関および公的機関を標的とするサイバー・スパイ活動の一環として、ROAMINGMOUSE と呼ばれるマルウェアを展開していることが確認された。2025年3月の時点で Trend Micro が検知した活動は、スピアフィッシングのルアーを用いて、ANEL と呼ばれるバックドアの最新バージョンを配信するものだ。
Continue reading “MirrorFace という脅威:強力なカスタム・マルウェアを武器に日本と台湾の組織を狙う”U.S. CISA adds FreeType flaw to its Known Exploited Vulnerabilities catalog
2025/05/07 SecurityAffairs — Cybersecurity and Infrastructure Security Agency (CISA) は、FreeType の脆弱性 CVE-2025-27363 (CVSS:8.1) を Known Exploited Vulnerabilities (KEV) カタログに追加した。2025年3月中旬に Meta は、この境界外書き込みの脆弱性が、攻撃で悪用されている可能性があると警告していた。
Continue reading “CISA KEV 警告 25/05/06:FreeType の脆弱性 CVE-2025-27363 を登録”Second Wave of Attacks Hitting SAP NetWeaver After Zero-Day Compromise
2025/05/06 SecurityWeek — SAP NetWeaver インスタンスに存在する、ゼロデイ脆弱性を悪用する脅威アクターたちが、第二波の攻撃を開始していると、エンタープライズ・アプリケーション・セキュリティ Onapsis が警告している。このゼロデイ脆弱性 CVE-2025-31324 (CVSS:10.0) は、2025年4月の Security Patch Day の速報を SAP が更新し、この脆弱性に対処する新たな注記を追加した後の、4月24日に公開されたものだ。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:第二波の攻撃を観測”CISA Issues Alert on Langflow Vulnerability Actively Exploited in Attacks
2025/05/06 gbhackers — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、Langflow の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性 CVE-2025-3248 の悪用に成功した未認証の攻撃者は、リモートからの悪意のコード実行の可能性を手にするという。したがって、この OSS フレームワークを、Language Model アプリケーションの構築に使用する組織において、深刻なリスクが生じている。
Continue reading “CISA KEV 警告 25/05/05:Langflow の脆弱性 CVE-2025-3248 を登録”SonicWall Exploit Chain Exposes Admin Hijack Risk via CVE-2023-44221 and CVE-2024-38475
2025/05/05 SecurityOnline — SonicWall の Secure Mobile Access (SMA) アプライアンスを標的とする、新たな PoC エクスプロイト・チェーンが公開された。この、watchTowr Labs が公開した技術情報は、脆弱性 CVE-2023-44221/CVE-2024-38475 を組み合わせることで、未認証のリモート攻撃者が管理者セッションを乗っ取り、任意のコード実行を達成する仕組みが解説されている。
Continue reading “SonicWall の脆弱性 CVE-2023-44221/CVE-2024-38475:任意のコード実行を実証する PoC が登場”2025/05/02 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall SMA100/Apache HTTP Server の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。これらの脆弱性の概要は、以下の通りである:
Continue reading “CISA KEV 警告 25/05/01:SonicWall CVE-2023-44221/Apache HTTP Server CVE-2024-38475 を登録”Top NSC official wants to normalize offensive hacking as tool of US might
2025/05/01 nextgov — SAN FRANCISCO ― 国家安全保障会議 (NSC:National Security Council) サイバー・セキュリティ担当トップとして、初めての重要な議論に臨んだ Alexei Bulazel は、米国の国家権力の手段としての攻撃的なサイバー活動の利用を常態化させたいと述べた。ドナルド・トランプ大統領の1期目において NSC サイバー政策局長を務めた Alexei Bulazel は、全米の重要インフラシステムを標的とする、中国をはじめとする敵対勢力からのサイバー攻撃に対して “同等の対応” を講じることが可能だと、サンフランシスコで開催された RSAC Conference でサイバー・セキュリティ専門家たちに述べた。
Continue reading “トランプ政権の安全保障会議:攻撃的ハッキングの可能性について述べる – RSAC 2025”Commvault Confirms Hackers Exploited CVE-2025-3928 as Zero-Day in Azure Breach
2025/05/01 TheHackerNews — エンタープライズ向けのデータ・バックアップ・プラットフォーム Commvault は、正体不明の国家レベルの脅威アクターが、脆弱性 CVE-2025-3928 を悪用して Microsoft Azure 環境に侵入したと認めたが、不正なデータ・アクセスの証拠はないと強調している。同社はアドバイザリのアップデートで、「この悪意の活動は、当社と Microsoft の少数のユーザーに影響を与えており、いまは、それらのユーザーに支援を提供しているところだ」と述べている。
Continue reading “Commvault の脆弱性 CVE-2025-3928:Microsoft Azure 環境での悪用を検出”CISA Adds SAP NetWeaver Zero-Day CVE-2025-31324 to KEV Database
2025/04/30 SecurityOnline — SAP NetWeaver の深刻なセキュリティ脆弱性が積極的に悪用され、世界中の組織に重大な脅威をもたらしている。Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、迅速な対応の必要性を強調している。
Continue reading “CISA KEV 警告 25/04/29:SAP NetWeaver のゼロデイ脆弱性 CVE-2025-31324 を登録”2925/04/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Qualitia Active! Mail/Broadcom Brocade Fabric OS/Commvault Web Server の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。
New Critical SAP NetWeaver Flaw Exploited to Drop Web Shell, Brute Ratel Framework
2025/04/25 TheHackerNews — SAP NetWeaver の新たな脆弱性を悪用する攻撃者が、 JSP Web シェルを展開し、不正ファイルのアップロードやコード実行を試みているようだ。2025年4月22日に ReliaQuest が公開したレポートによると、「この攻撃は、以前に開示された “脆弱性 CVE-2017-9844” もしくは “未報告のリモート・ファイル・インクルージョン (RFI) 脆弱性” の、いずれかと関連している可能性が高い」という。すでに最新のパッチが適用されたシステムの一部が影響を受けていることから、この攻撃がゼロデイ攻撃である可能性が高いと、同社は指摘している。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324 が FIX:すでに悪用を観測”CISA Clarifies CVE Program’s Stability Amid Funding Concerns
2025/04/24 SecurityOnline — CVE (Common Vulnerabilities and Exposures) プログラムの不安定さを懸念する、最近のメディア報道を受けるかたちで CISA は、最も重要なサイバー・セキュリティ・インフラの一つである CVE を維持するコミットメントを、強い声明で再確認している。
Continue reading “CVE プログラムの今後:CISA が再確認する継続的なサポートの約束とは?”Multiple Cisco Tools at Risk from Erlang/OTP SSH Remote Code Execution Flaw
2024/04/24 gbhackers — Cisco が発行したのは、Erlang/OTP の SSH サーバを使用する製品群に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に関する、重要なアドバイザリ (cisco-sa-erlang-otp-ssh-xyZZy) である。この脆弱性 CVE-2025-32433 (CVSS:10.0) の悪用に成功した未認証の攻撃者は、脆弱なデバイス上で任意のコード実行を達成し、企業のネットワーク/クラウド・インフラ/通信システムにリスクをもたらす。
Continue reading “Cisco 製品群に影響を及ぼす Erlang/OTP SSH の脆弱性 CVE-2025-32433:暫定アドバイザリが公開”Japan ’s FSA warns of unauthorized trades via stolen credentials from fake security firms’ sites
2024/04/22 SecurityAffairs — 日本の金融庁 (FSA:Financial Services Agency) が発表したのは、インターネット取引サービスにおける不正アクセスや不正取引による、被害が増加している状況を説明する情報である。金融庁は、「実在する証券会社の Web サイトを装う、フィッシング・サイトなどから窃取された、ログイン ID/パスワードなどの顧客情報を用いて、インターネット取引サービスにおける不正アクセスや不正取引 (第三者による取引) などの事案が急増している」と警告している。
Continue reading “日本の金融庁による警告:証券会社を装うフィッシングと不正取引の増加”CISA warns threat hunting staff of end to Google, Censys contracts as agency cuts set in
2025/04/18 NextGov — Cybersecurity and Infrastructure Security Agency (CISA) が、今週に数百人の職員に対して通知した内容は、サイバー・セキュリティ・ツールの1つを廃止し、脅威ハンティングに特化したツールの廃止も予定しているというものである。事情に詳しい2人の関係者の内部メールを、Nextgov/FCW が確認したことで、この動きが明らかになった。
Continue reading “CISA における予算削減の余波:VirusTotal と Censys との利用契約が終了か?”GCVE: Decentralizing Vulnerability Identification for Greater Agility
2025/04/18 SecurityOnline — 新たな取り組みとして始動した Global CVE (GCVE) 割り当てシステムは、セキュリティ脆弱性の特定と、CVEID の採番という重要な作業に、分散型のアプローチを導入している。このシステムでは、独立した GCVE Numbering Authorities (GNA) が CVE ID を直接的に割り当てられるようになるため、従来の中央集権型の手法と比べて、より高い自律性と迅速さが期待されている。
Continue reading “GCVE という新たな取組:CVE ID 管理を中央集権から分散へと向かわせる”2025/04/18 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、Apple 製品および Microsoft Windows NTLM の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。今回、KEV に追加されたのは、以下の3件の脆弱性である。
Hitachi Vantara Patches Critical Resource Injection Flaw in Pentaho
2025/04/18 SecurityOnline — Hitachi Vantara が発表したのは、広く利用される Pentaho Data Integration & Analytics プラットフォームに存在する、深刻な脆弱性に対処するための緊急セキュリティ・アドバイザリである。この脆弱性 CVE-2025-0756 (CVSS:9.1) は、リソース識別子の不適切な制御に起因するリソース・インジェクションを引き起こすものであり、特定の条件下ではリモート・コード実行にいたる可能性もある。
Continue reading “Hitachi Vantara の脆弱性 CVE-2025-0756 が FIX:リソース・インジェクションの可能性”CISA Issues Alert on SonicWall Flaw Being Actively Exploited
2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall の脆弱性の悪用を確認したとする、重大なセキュリティ・アラートを発令した。この脆弱性 CVE-2021-20035 は、SonicWall の SMA100 Series アプライアンスに影響を及ぼすものであり、CISA の Known Exploited Vulnerabilities (KEV) カタログに登録された。
Continue reading “CISA KEV 警告 25/04/16:SonicWall の脆弱性 CVE-2021-20035 を登録”CISA Extends CVE Program Funding to Prevent Critical Service Disruption
2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。
Continue reading “CVE Program の危機が回避された:CISA から MITRE への資金提供の継続が決定”CVE Foundation Launched to Secure Vulnerability Tracking
2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府 終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。
Continue reading “CVE プログラムの未来を担う CVE Foundation が発足:グローバルな脆弱性管理体制へ”MITRE warns that funding for critical CVE program expires today
2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。
Continue reading “CVE プログラムに対する政府資金が終了:MITRE が懸念するセキュリティ分野への影響”
IoT OT Security News 
You must be logged in to post a comment.