2025.11.17(月)
- 注目検索ワード
過去にこうした障害等の事態を経験してきた AWS のシニアエンジニアたちは、どこへ行ってしまったのだろう? その答は、彼らが会社を去ってしまったということだ ―― それも AWS のシステムが大規模に動作する仕組みについて何十年もかけて苦労して獲得した組織的知識を丸ごと持って。
ありふれたメール誤送信だが静岡県の再発防止策はひと味違っていた。委託先事業者に対し「緊急の連絡事項が生じた場合であっても、複数人で対応できない時間外等にはメール送信を行わないことを徹底」したとのことだ。ダブルチェックにかける安全神話的なものを感じる。これでチェック漏れがなくなるという保証など何もないからだ。
2025 年 5 月に修正された、Wing FTP Server にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
このように考えると、いますぐにでも起きそうなインシデントは、じつは、EV(電気自動車)の充電器に関するサイバー攻撃(脆弱性攻撃)ではないかと予想できる。EV の充電器にはカードリーダー、RFID、Wi-Fi、Bluetooth といった通信機能があることが多い。充電の課金処理も可能になっている。スマートフォンと連携する製品もあるので、攻撃者にとってはアタックサーフェスのひとつとなる。
長年にわたり、中国とロシアのサイバー攻撃者は互いの衝突をおおむね避けてきた。しかし、今回の侵害は、中国の APT オペレーターが諜報活動のために、ロシアのインフラストラクチャ、または少なくともそのサプライチェーンを探査する意思を持つようになったことを示唆している。
2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
ここでちょっと遊び心で、1 テラワット(TW)の電力を生成するのに必要な太陽光発電所の規模を概算してみた。現在の太陽光発電の能力では、経験則として 1 MW を供給するのに 5 エーカーのソーラーパネルが必要だ。つまり、1 TW、つまり 100 万 MW には 500 万エーカー、すなわち 7,812 平方マイル(編集部註:20,233 平方キロメートル、東京都の約 10 倍の面積)が必要となる。これは規模的に実現不可能だ。
もっとわかりやすくいえば、犯罪者の保有するインフラやシステムに対してハッキングを行い、コマンドを実行したりデータを盗んだりのいやがらせ(ハラスメント)の限りを尽くして、それを国際的に注目度の高いカンファレンスで堂々講演したということだ。もはや本誌的には快男児としか呼びようがない。なかなかロックな研究者といえる。
![チェコ国家サイバー情報安全庁、中国製太陽光インバーターに対して警告 ほか [Scan PREMIUM Monthly Executive Summary 2025年9月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/50279.jpg)
重要インフラ関連システムの遠隔運用やデータ転送といったインフラ制御権を海外事業者に委ねることのリスクについては各国で警鐘が鳴らされています。チェコ国家サイバー情報安全庁(NÚKIB)は、チェコ国内の小規模太陽光発電所で使用される太陽光インバーターの95 ~ 99 %が中国製であることを指定し、このことが安全保障上の脅威となり得ると警告しています。同警告は、単なる注意喚起ではなく中国の法的環境と過去のサイバー攻撃事例を根拠とした脅威の公式認定として位置付けられるものです。
CMC は、英国の政府機関である国家サイバーセキュリティセンター(NCSC)の元創設 CEO であるキアラン・マーティン氏が議長を務め、サイバーセキュリティ専門家と金融専門家で構成されている。CMC 設立の目的は、「システミック・サイバー・イベント」の定義にまつわる曖昧さを解消することだった。特に重要なのは、サイバー保険会社が再保険契約を請求できる基準を明確にすることだ。
攻撃者が簡単には変えられないものがたった一つだけある。それは攻撃者自身の肉体、攻撃者の身体性、もっといえば脳髄とそれが持つ思考パターンである。末端のオペレーターは別として、指揮命令を行ったり、高度で繊細な作業を実施する者はその実績などによって評価され、プロフェッショナルとして価値を認められ、同一または類似業務に継続して従事する可能性が高い。
2025 年 7 月に、Windows OS にて管理者権限の奪取が可能となる脆弱性が報告されています。
