20250131 Security News

アップデート/脆弱性

1. TeamViewer、Windowsクライアントの高リスク権限昇格脆弱性を修正
   TeamViewerは、Windowsクライアントおよびホストアプリケーションに影響を及ぼす高リスクの権限昇格脆弱性（CVE-2025-0065）を修正しました。
   詳細: https://securityaffairs.com/173658/security/teamviewer-windows-client-flaw.html
2. FortiOSのゼロデイ脆弱性、詳細と概念実証が公開
   Fortinetの「FortiOS」や「FortiProxy」に存在するゼロデイ脆弱性（CVE-2024-55591）の詳細と概念実証が公開され、さらなる悪用の可能性が懸念されています。
   詳細: https://www.securityweek.com/
3. Microsoft、Windows 11のセキュリティを強化する「Admin Protection」を導入
   Microsoftは、管理者権限の管理を強化する「Administrator Protection（AP）」機能を導入し、権限昇格攻撃のリスクを低減することを目指しています。
   詳細: https://gbhackers.com/microsoft-enhances-windows-11-security-with-admin-protection/
4. GitHub Copilotに対する新たなJailbreak攻撃が発見される
   GitHubのAIアシスタントであるCopilotが、トラフィックの傍受や意図的な操作によって、悪意のあるコードを生成するよう誘導される可能性があることが発見されました。
   詳細: https://www.darkreading.com/vulnerabilities-threats/new-jailbreaks-manipulate-github-copilot

インシデント

5. DeepSeek、1,000,000件以上のチャット履歴を含むデータベースを公開
   中国のAIスタートアップDeepSeekが、ユーザーのチャット履歴、APIキー、システムログなどを含む2つのデータベースを公開していたことが判明しました。
   詳細: https://www.bleepingcomputer.com/news/security/deepseek-exposes-database-with-over-1-million-chat-records/
6. GitHub、大規模な障害でプルリクエストやリポジトリ閲覧に影響
   GitHubは、プルリクエストの実行、問題の作成や閲覧、リポジトリやコミットの閲覧など、複数のサービスに影響を及ぼす障害を緩和する対応を進めています。
   詳細: https://www.bleepingcomputer.com/news/technology/major-github-outage-affects-pull-requests-and-other-services/
7. Wacomのウェブサイトが不正アクセス被害、クレジットカード情報流出の可能性
   グラフィックタブレットメーカーWacomの公式サイトがハッキングされ、顧客のクレジットカード情報が漏洩した可能性があると報告されました。
   詳細: https://www.theregister.com/
8. 政府系ハッカーがGoogle Geminiを悪用したサイバー攻撃を試行
   中国、イラン、北朝鮮、ロシアに関連する57以上の脅威アクターが、GoogleのAI技術「Gemini」を悪用したサイバー攻撃を試みています。
   詳細: https://thehackernews.com/2025/01/google-over-57-nation-state-threat.html

セキュリティインサイト

9. サイバー保険、リスク管理の向上で保険料削減の可能性
   適切なリスク管理により、サイバー保険の保険料が削減される可能性があり、サイバー保険がサイバーセキュリティ向上の静かな推進力となる可能性があります。
   詳細: https://www.securityweek.com/cyber-insights-2025-cyberinsurance-the-debate-continues/
10. ペンテストの自動化技術が徐々に向上、クラウド環境への対応も進展
    ペネトレーションテストの自動化技術はゆっくりとした進化を遂げており、クラウド環境の理解やWebアプリケーションのターゲティング能力が向上しています。
    詳細: https://www.darkreading.com/vulnerabilities-threats/automated-pen-testing-improving-slowly
11. 新興企業Backline、セキュリティ修復プラットフォームのために900万ドルの資金調達を実施
    Backlineは、脆弱性修復の自動化を目的としたプラットフォームを開発し、900万ドルの資金調達を完了しました。
    詳細: https://www.securityweek.com/backline-emerges-from-stealth-with-vulnerability-remediation-platform-9m-in-funding/
12. クラウドRDP vs VPN、どちらがより安全か？
    リモートワークの増加に伴い、クラウドベースのRDPとVPNのセキュリティ、パフォーマンス、コストの違いが議論されています。
    詳細: https://www.bleepingcomputer.com/news/security/the-advantages-of-cloud-based-remote-desktop-versus-rdp-over-vpn/