2026.04.23(木)
- 注目検索ワード
一般財団法人日本サイバー犯罪対策センター(JC3)は3月25日、テクニカルサポート詐欺の手口に関する実態調査の結果を電子情報通信学会情報通信システムセキュリティ研究会(ICSS研)及び IEEE Conference on Dependable and Secure Computing(DSC)で発表した。
2025 年 12 月に公開された MongoDB の脆弱性の悪用を試みるエクスプロイトコードが公開されています。
株式会社ラックは4月10日、「Oktaスターターパック」を同日から提供すると発表した。
2025 年 12 月に公開された Gogs の脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 8 月に公開された Microsoft Web Deploy 4.0 の脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 11 月末に公開された React の脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 11 月に公開された Windows OS の脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 10 月に公開された Apache Tomcat の脆弱性を悪用する手順が公開されています。
2025 年 10 月に公開された Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 9 月に、NSecSoft 社の製品に用いられているカーネルドライバーにおける任意のプロセスの停止が可能となる問題が報告されています。
2025 年 8 月に公開された、Windows ファイルエクスプローラーの脆弱性の悪用手順が公開されています。Active Directory で管理されている Windows OS への侵入に成功した攻撃者は、脆弱性の悪用によりハッシュ値を入手し、侵入範囲の拡大ができる可能性があります。セキュリティ更新プログラムの適用により対策してください。
2025 年 9 月に、K7 Ultimate Security のカーネルドライバーにて、任意のプロセスの停止が可能となる脆弱性の情報が公開されています。
KDDI株式会社と日本電気株式会社(NEC)は11月20日、サイバーセキュリティ分野の強化を目的とした合弁会社United Cyber Force株式会社(UCF)を設立し、2025年11月28日に活動を開始すると発表した。UCF設立は2025年5月に締結した協業の一環となる。
2025 年 8 月に、Windows 版の Docker Desktop にてコンテナからホスト OS の侵害が可能となる脆弱性が報告されています。
株式会社ラックは11月10日、Autodesk Installerにおける権限昇格の脆弱性(CVE-2025-10885)について「LAC WATCH」で発表した。同社の飯田雅裕氏が発見し、同社からZero Day Initiative(ZDI)に報告を行っている。影響を受けるシステムは以下の通り。
2025 年 5 月に修正された、Wing FTP Server にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
2025 年 7 月に、Windows OS にて管理者権限の奪取が可能となる脆弱性が報告されています。
2025 年 7 月に、Linux OS に標準実装されているコマンドである sudo に存在する root 権限の奪取が可能となる脆弱性に対するエクスプロイトコードが公開されています。
当該脆弱性の悪用に攻撃者が WebDAV を用いたため、公開されているいくつかの記事では WebDAV の部分が強調されており、あたかも WebDAV に関連する脆弱性かのように書かれているものがあります。しかし、脆弱性の本質は遠隔のサーバに配置されている EXE や DLL などのファイルを実行してしまう点であり、WebDAV の代わりに SMB を用いても脆弱性は悪用できます。
2025 年 6 月に、Microsoft Windows における管理者権限での遠隔からの任意のコード実行につながる脆弱性の情報が公開されています。デフォルトの設定では、ドメインコントローラを除き、Active Directory ドメインに参加しているすべての端末への侵入が可能となる脆弱性であるため、間接的にドメインコントローラの制圧が可能となる可能性が高い脆弱性で、Active Directory 史上最も注目度が高い脆弱性と言えます。
