2025.12.18(木)
- 注目検索ワード
2025 年 8 月に公開された、Windows ファイルエクスプローラーの脆弱性の悪用手順が公開されています。Active Directory で管理されている Windows OS への侵入に成功した攻撃者は、脆弱性の悪用によりハッシュ値を入手し、侵入範囲の拡大ができる可能性があります。セキュリティ更新プログラムの適用により対策してください。
同文書によると、2024 年時点で VMware は売上シェアの 96 %以上を占めサーバ仮想化市場を支配しており、同社が提供するような包括的機能を完全に代替できる競合他社製品は市場に存在しない。しかし Gartner は、Broadcom の施策により VMware 顧客のソフトウェアコストが 3 倍から 4 倍値上げされたことで「多くの」顧客がこの仮想化業界の先駆者への信頼を失って、現在使っているインフラや今後必要になるインフラのために、VMware 以外の選択肢を探し始めていると見ている。
![進化ではなくスケール、Claude Code悪用しプロセスの8~9割を自動化 ほか [Scan PREMIUM Monthly Executive Summary 2025年11月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/51076.png)
まず、米ジェン・デジタル社は、ロシアの Gamaredon と北朝鮮の Lazarus が「共通のインフラ」を利用していることを指摘し、両者が協調した活動の可能性を報告しました。これらからは、中露朝における APT の関係性が、従来の地政学的同盟構造では整理しきれない段階に入り、協力と競合が折り重なりあう多層性を帯びていることが読み取れます。
デジタル権利およびサイバーセキュリティ教育の専門家であるミシェル・L 氏は、このニュースは「驚くべきことではない」とし、TryHackMe のイベント参加を承諾した男性たちが、女性の参加者がいないことについて同社に疑問を呈さなかったことを批判した。「今回の件は、残念ながらテック業界では女性の実績や貢献を無視し、女性を業界から締め出すような状況が常態化していることを示しています」と彼女は述べた。
Protonは、Data Breach Observatory をほぼリアルタイムで更新し、ダークウェブ上で発見した攻撃について、もし同サービスがなかったら明るみに出なかった侵害を公表することを目指している。この新サービスは、透明性を高めるべき時に口を閉ざしている組織を非難するためだけに立ち上げられたわけではない。Proton は Observatory が、データ侵害に最も脆弱である中小企業が危険性をより認識し、それによって間接的にセキュリティ強化につながると考えている。
2025 年 9 月に、K7 Ultimate Security のカーネルドライバーにて、任意のプロセスの停止が可能となる脆弱性の情報が公開されています。
10 月に最も件数換算の被害規模が大きかったのは、スターバックスコーヒージャパン株式会社とBlue Yonder社による「新たに約 40,700 名分の従業員 ID 漏えいが判明 ~ スターバックスが利用するシフト作成ツールへ不正アクセス」の約 72,200 名だった。
米国の 2 つのサイバーセキュリティ企業に勤務していた、それぞれランサムウェア交渉人とインシデント対応マネージャーが、複数の米国企業に対して自らランサムウェア攻撃を仕掛けていたという疑いで起訴された。
決済サービスプロバイダーの Checkout.com は、先週恐喝被害に遭った後、支払い要求に応じる代わりに、要求額と同じ額をサイバー犯罪研究の資金として寄付することに決定した。そして恐喝犯の要求を拒否することよりもさらに異例なことが起こった。最高技術責任者(CTO)のマリアーノ・アルベラ氏は、侵害を許した状況について謝罪するとともに、今回のセキュリティインシデントの発生について同社が「全責任を負う」と表明した。
2025 年 8 月に、Windows 版の Docker Desktop にてコンテナからホスト OS の侵害が可能となる脆弱性が報告されています。
石橋氏のセミナーでは、冒頭に陰性・陽性判定(True Positve / False Positive)に関する興味深い話がなされた。対象とするソフトウェアやイベントがマルウェア・攻撃であるかどうかは、単純に二値判定で単純なようだが、これが簡単ではないことはすでに述べた。わかりやすい例でいえば、バックアップファイルの削除、ログの削除など。これらの実行は悪意のある場合が考えられるが、管理者による通常処理でも発生し得る。コマンド実行や通信だけで、背後に悪意があるかどうかの判定は極めて難しい。
![自律的偵察や環境適応も 攻撃の質を一変させるエージェント型 AI ほか [Scan PREMIUM Monthly Executive Summary 2025年10月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/50719.jpg)
AI を活用したサイバー脅威について、米シンクタンク「American Security Project(ASP)」は、報告書「Cloud of War」で、国家支援型サイバー攻撃に AI が急速に採用され、米国の重要インフラを脅かしていると警鐘を鳴らしています。エージェント型 AI は自律的な偵察や環境適応を可能にし、攻撃の質を一変させつつあるとし、ASP は AI 防御システムの導入やクラウドの法的保護強化などを提言しています。
木曜日の発表でイングランド銀行( BoE )は、金利を 4 %に据え置きつつ、英国の実質 GDP は第 3 四半期( 7 ~ 9 月)は 0.2 %成長であるとの見通しを示した。これは 8 月の第 2 四半期レポートで予測された 0.3 %からわずかに低下している。BoE はこの成長鈍化の理由として「対米輸出の減少」と「政府が財政支援を提供せざるを得なくなるほど深刻な被害をもたらしたジャガー・ランドローバーへのサイバー攻撃」の 2 点を挙げている。
「インターネット上に晒された 4 TB の SQL バックアップを発見するということは、『ご自由にお持ちください』という張り紙付きで、金庫の設計図と鍵がそこに置かれているのを見つけるようなものだ。侵入に必要な情報が全て揃っている」と同社は述べている。
同社研究員は慎重にファイルの最初の 1,000 バイトのみをダウンロードして検証し、ファイルが暗号化されておらず、データが平文のまま保存されている(誰でも読める状態で放置されていた)ことも発見した。
過去にこうした障害等の事態を経験してきた AWS のシニアエンジニアたちは、どこへ行ってしまったのだろう? その答は、彼らが会社を去ってしまったということだ ―― それも AWS のシステムが大規模に動作する仕組みについて何十年もかけて苦労して獲得した組織的知識を丸ごと持って。
ありふれたメール誤送信だが静岡県の再発防止策はひと味違っていた。委託先事業者に対し「緊急の連絡事項が生じた場合であっても、複数人で対応できない時間外等にはメール送信を行わないことを徹底」したとのことだ。ダブルチェックにかける安全神話的なものを感じる。これでチェック漏れがなくなるという保証など何もないからだ。
2025 年 5 月に修正された、Wing FTP Server にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
このように考えると、いますぐにでも起きそうなインシデントは、じつは、EV(電気自動車)の充電器に関するサイバー攻撃(脆弱性攻撃)ではないかと予想できる。EV の充電器にはカードリーダー、RFID、Wi-Fi、Bluetooth といった通信機能があることが多い。充電の課金処理も可能になっている。スマートフォンと連携する製品もあるので、攻撃者にとってはアタックサーフェスのひとつとなる。
長年にわたり、中国とロシアのサイバー攻撃者は互いの衝突をおおむね避けてきた。しかし、今回の侵害は、中国の APT オペレーターが諜報活動のために、ロシアのインフラストラクチャ、または少なくともそのサプライチェーンを探査する意思を持つようになったことを示唆している。
2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。
ここでちょっと遊び心で、1 テラワット(TW)の電力を生成するのに必要な太陽光発電所の規模を概算してみた。現在の太陽光発電の能力では、経験則として 1 MW を供給するのに 5 エーカーのソーラーパネルが必要だ。つまり、1 TW、つまり 100 万 MW には 500 万エーカー、すなわち 7,812 平方マイル(編集部註:20,233 平方キロメートル、東京都の約 10 倍の面積)が必要となる。これは規模的に実現不可能だ。
