20240415 Security News

アップデート・脆弱性（Updates / Vulnerabilities）

1. Microsoft、4月の月例更新で130以上の脆弱性を修正
   🔗 リンク
   Japanese: Microsoftは4月のPatch Tuesdayで130件超の脆弱性を修正しました。
   English: Microsoft fixed over 130 vulnerabilities in its April Patch Tuesday update.
2. Chrome 136、20年間の履歴漏洩バグを修正
   🔗 リンク
   Japanese: Chromeが長年存在していた履歴漏洩バグを修正しました。
   English: Chrome 136 fixes a 20-year-old bug leaking browser history.
3. IBM Aspera FaspexのWeb UIにJavaScript注入の脆弱性
   🔗 リンク
   Japanese: IBM AsperaのWeb UIで悪意あるJavaScriptが注入可能な脆弱性が発見されました。
   English: IBM Aspera Faspex flaw allows malicious JavaScript injection via web UI.
4. Fortinetファイアウォールのゼロデイが闇市場で販売か
   🔗 リンク
   Japanese: Fortinetのファイアウォールに関するゼロデイがダークウェブで売買されていると報告されました。
   English: Fortinet firewall zero-day exploit allegedly sold on dark web.
5. Windows Server 2025の再起動でドメインコントローラーの接続障害
   🔗 リンク
   Japanese: Windows Server 2025での再起動後、一部DCがネットワーク接続を失っています。
   English: Windows Server 2025 restarts break connectivity on some domain controllers.

🚨 インシデント（Incidents）

6. DaVita、週末にランサムウェア攻撃の被害に
   🔗 リンク
   Japanese: 米DaVita社がランサムウェア攻撃を受け、ネットワークに障害が発生。
   English: Kidney dialysis firm DaVita hit by ransomware over the weekend.
7. 悪意あるNPMパッケージがPayPalユーザーの資格情報を窃取
   🔗 リンク
   Japanese: 複数のNPMパッケージがPayPalの認証情報窃取を目的に使われていました。
   English: Malicious NPM packages target PayPal users for credential theft.
8. 中国APTがIvanti VPNの脆弱性を悪用し侵入
   🔗 リンク
   Japanese: 中国のAPTがIvanti VPNの脆弱性を突いてネットワークに侵入しました。
   English: Chinese APT group exploits Ivanti VPN vulnerabilities to breach networks.
9. ResolverRATが医療・製薬分野を標的に活動
   🔗 リンク
   Japanese: 高度なRAT「ResolverRAT」が医療・製薬業界を狙った攻撃を展開中。
   English: ResolverRAT malware targets healthcare and pharmaceutical sectors.
10. モロッコで大規模データ漏洩、アルジェリアの関与か
    🔗 リンク
    Japanese: モロッコで発生した大規模情報漏洩にアルジェリア系ハッカーが関与したと主張。
    English: Algerian hackers allegedly behind major data breach in Morocco.

🧠 セキュリティインサイト（Security Insights）

11. AIの幻覚が新たなソフトウェアサプライチェーンリスクに
    🔗 リンク
    Japanese: AIの誤認識により不正確なコードが生成されるリスクが指摘されています。
    English: AI hallucinations pose new threat to the software supply chain.
12. DigitalOceanが手動のID管理から脱却へ
    🔗 リンク
    Japanese: DigitalOceanがID管理を自動化し、効率とセキュリティを向上させました。
    English: DigitalOcean moves from manual to automated identity management.
13. ロボットサイバーセキュリティは柔軟に考えるべき
    🔗 リンク
    Japanese: 自律型ロボットのセキュリティ管理は「画一的」であってはならないと警鐘。
    English: Robotic cybersecurity must be flexible, not rigid.
14. AI時代のセキュリティ：進化を止めるな
    🔗 リンク
    Japanese: AIの進化に伴い、セキュリティ戦略もスピードを上げる必要があります。
    English: Cybersecurity must evolve faster than AI-driven threats.

📌 その他（Others）

15. OpenAI、GPT-4.1とその軽量モデルの公開が間近
    🔗 リンク
    Japanese: OpenAIがGPT-4.1、nano版、mini版のリリースを予定しています。
    English: OpenAI to release GPT-4.1 and smaller variants soon.

追加

IIJ Secure MXサービスにおける顧客情報漏洩の可能性について
2024年8月3日以降、IIJ Secure MXサービスのインフラに対する不正アクセスが確認され、最大で6,493契約、4,072,650のメールアカウントに影響が及んだ可能性があります。​現在は隔離対応が完了し、サービスは安全に運用されています。 ​インターネットイニシアティブ-IIJ