脆弱性と脅威ニュース記事一覧(12 ページ目)

脅威動向 2025.6.12 Thu 8:10

CoGUI フィッシングキットを悪用した大規模フィッシングキャンペーンほか [Scan PREMIUM Monthly Executive Summary 2025年5月度]

　CoGUI は、少なくとも 2024 年 10 月頃から活動を展開していると見られています。Proofpoint 社は、観測された CoGUI キャンペーンには、同種のフィッシングキットで一般化しつつある多要素認証（MFA）に関する資格情報を取得する機能が含まれていないと指摘しており、同時に CoGUI が MFA 対応を試みている可能性も示唆しています。

セキュリティホール・脆弱性 2025.6.12 Thu 8:00

デジタルビデオレコーダIRVシリーズ、不正アクセス対策実施済ファームウェアリリース

　有限会社インターラックは6月2日、同社デジタルビデオレコーダIRVシリーズのファームウェアのリリースについて発表した。対象機種は以下の通り。

エクスプロイト 2025.6.11 Wed 8:10

Next.js における認可の回避につながる HTTP リクエストヘッダー検証不備の脆弱性（Scan Tech Report）

2025 年 3 月に、Web アプリケーションの開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。

TheRegister 2025.6.10 Tue 8:10

調査開始以来最大ネット犯罪損失額 2兆 3,743億円～ FBI レポート

　FBI によると、ランサムウェアによる被害額は過少計上されている可能性があり、ビジネス、時間、賃金、ファイルや機器の損失、あるいは第三者機関による問題解決のためのインシデント対応や復旧サービスの費用による影響は加味されていないという。「被害に遭った組織が FBI に損害額を報告しないケースもあるため、ランサムウェアによる被害総額が不自然に少なくなっている」とレポートには追記されている。

脅威動向 2025.6.9 Mon 8:05

関東ITソフトウェア健康保険組合、健康ポータルサイト Pep Up への不正ログイン対策として二段階認証を呼びかけ

　関東ITソフトウェア健康保険組合は5月19日、健康ポータルサイト Pep Up への不正ログインについて発表した。

セキュリティホール・脆弱性 2025.6.9 Mon 8:00

複数の i-PRO 製監視カメラに CSRF の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月3日、複数のi-PRO製監視カメラにおけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.6.6 Fri 8:00

NVIDIA Riva の脆弱性による不正アクセスと情報漏えいの危険性

　トレンドマイクロ株式会社は6月3日、「NVIDIA Riva」の脆弱性「CVE-2025-23242」と「CVE-2025-23243」による不正アクセスと情報漏えいの危険性についての解説記事を発表した。

脅威動向 2025.6.6 Fri 8:00

メールの検疫通知を装った大規模なフィッシングキャンペーン

　チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は5月27日、同社の脅威インテリジェンス部門のチェック・ポイント・リサーチがメールの検疫通知を装った大規模なフィッシングキャンペーンを発見したと発表した。

セキュリティホール・脆弱性 2025.6.5 Thu 8:00

タイム・ワークスにパストラバーサルの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月3日、タイム・ワークスにおけるパストラバーサルの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.6.5 Thu 8:00

PC Time Tracer に不適切なファイルアクセス権設定の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月3日、PC Time Tracerにおける不適切なファイルアクセス権設定の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

エクスプロイト 2025.6.3 Tue 8:10

Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性（Scan Tech Report）

　脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。

TheRegister 2025.6.2 Mon 8:10

ベンダーが最も脆弱かサードパーティによる情報漏えいの割合 1 年で倍増～ Verizon DBIR 2025

「結局のところ、この報告書で取り上げた脅威のいくつかについては、回避するための簡単な方法、または絶対確実な方法は存在しません」と Veriszon は述べている。

セキュリティホール・脆弱性 2025.6.2 Mon 8:00

wivia 5 に複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月30日、wivia 5における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.6.2 Mon 8:00

Apache Tomcat の CGI サーブレットに pathInfo のセキュリティ制約が回避される脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月30日、Apache TomcatのCGIサーブレットにおいてpathInfoのセキュリティ制約が回避される脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.5.29 Thu 8:00

OpenSSL x509 アプリケーションに拒否設定の代わりに信頼設定を付加してしまう問題

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月27日、OpenSSL x509アプリケーションにおける拒否設定の代わりに信頼設定を付加してしまう問題について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.5.29 Thu 8:00