🛠 アップデート・脆弱性 / Updates & Vulnerabilities
- Adobe、ColdFusionの重大な脆弱性11件を修正、合計30件の脆弱性が発見される
AdobeがColdFusionのバージョン2025、2023、2021に存在する複数の重大なセキュリティ欠陥を修正。中でもCVE-2025-24446はCVSS 9.1の高リスク。
Adobe released a security update for ColdFusion addressing 30 flaws, including 11 rated as critical (e.g., CVE-2025-24446 with CVSS 9.1).
🔗 https://thehackernews.com/2025/04/adobe-patches-11-critical-coldfusion.html - 「Ivanti EPM」に複数の脆弱性 – 修正版をリリース
Ivanti Endpoint Managerに複数の脆弱性が発見され、修正パッチが提供されました。
Multiple vulnerabilities were found in Ivanti Endpoint Manager, and patches have been released.
🔗 https://www.security-next.com/169107 - 「Windows」や「CentreStack」の脆弱性がマイルに – 米政府が注意喚起
WindowsおよびGladinet CentreStackの脆弱性について、米政府が警告。
U.S. government warns about vulnerabilities in Windows and Gladinet CentreStack.
🔗 https://www.security-next.com/169103 - 「FortiSwitch」に深刻な脆弱性 – 管理者PW変更の特典
FortiSwitchにリモート攻撃者がパスワードを変更できる重大な脆弱性。
FortiSwitch has a serious vulnerability allowing remote attackers to change admin passwords.
🔗 https://www.security-next.com/169099 - MS、月例セキュリティ更新を公開 – ゼロデイ修正パッチが一部準備中
Microsoftが月例パッチを公開、一部のゼロデイ脆弱性には対応中。
Microsoft released monthly patches; zero-day fixes are partially pending.
🔗 https://www.security-next.com/169096 - 「FortiOS」関連で2件のセキュリティアドバイザリ – フォーティネット
FortiOSに関する2件の新たなセキュリティ警告が公開。
Two new FortiOS security advisories have been issued by Fortinet.
🔗 https://www.security-next.com/169092 - 「Adobe ColdFusion」に悪用リスクの高い脆弱性 – 一度に対策
ColdFusionの重大な脆弱性に対し、緊急の対応を推奨。
Adobe urges quick mitigation for highly exploitable vulnerabilities in ColdFusion.
🔗 https://www.security-next.com/169089 - Google、「Chrome」のアップデートを公開 – 2件の修正を実施
GoogleはChromeのセキュリティアップデートをリリース、2件の修正を含む。
Google released Chrome updates fixing two security issues.
🔗 https://www.security-next.com/169086
🚨 インシデント / Incidents
- 薬剤師、職場や自宅での女性の親密な瞬間をウェブカメラで盗撮したとして告発される
元薬剤師がITシステムを使い数年にわたり盗撮行為を行っていたとされる。
A former pharmacist allegedly spied on female coworkers using webcams via IT systems.
🔗 https://www.theregister.com/2025/04/09/pharmacist_accused_of_cyber_voyeurism/ - フットサルクラブのウェブサーバが侵害 – 内部に個人情報
Green Fieldの登録代表者の個人情報が漏洩した可能性。
Personal data of Green Field futsal club’s registrants may have been leaked.
🔗 https://www.security-next.com/168727
🔍 セキュリティインサイト / Security Insights
- NTLM リレー攻撃の復活: 知っておくべきことすべて
NTLMリレー攻撃は依然として有効で、ドメイン侵害に使われている。
NTLM relay attacks are still active and used for domain compromises.
🔗 https://securityboulevard.com/2025/04/the-renaissance-of-ntlm-relay-attacks-everything-you-need-to-know/ - クラウドベースの秘密はどの程度保護されていますか?
NHI(非人間ID)を含むクラウド内のシークレット保護の重要性を強調。
Emphasizes importance of protecting secrets including non-human IDs (NHIs) in the cloud.
🔗 https://securityboulevard.com/2025/04/how-protected-are-your-cloud-based-secrets/ - あなたの NHI はクラウド内で本当に安全ですか?
組織が見過ごしがちな非人間ID(NHI)セキュリティの重要性を解説。
Explores often-overlooked importance of securing non-human identities (NHIs) in cloud.
🔗 https://securityboulevard.com/2025/04/are-your-nhis-truly-secure-in-the-cloud/ - AI を活用したフィッシング キット: ソーシャル エンジニアリングの新たな領域
AI統合型のフィッシングツールがサイバー犯罪者により流通中。
AI-powered phishing kits are being sold and integrated with LLMs.
🔗 https://securityboulevard.com/2025/04/ai-powered-phishing-kits-the-new-frontier-in-social-engineering/ - 土地自給自足(LOTL)攻撃:すでに存在するものを利用する
既存ツールを悪用するLOTL攻撃が進行中。
Living-Off-the-Land attacks exploit native tools within environments.
🔗 https://securityboulevard.com/2025/04/living-off-the-land-lotl-attacks-exploiting-whats-already-there/
📌 その他 / Others
- Google による 320 億ドルの Wiz 買収: クラウド セキュリティに何をもたらすか、そして何を与えないか
GoogleがWizを320億ドルで買収。業界に与える影響を分析。
Google’s $32B acquisition of Wiz and its implications on cloud security.
🔗 https://securityboulevard.com/2025/04/googles-32-billion-wiz-acquisition-what-it-means-for-cloud-security-and-what-it-doesnt/ - BSidesLV24 – JIT の実現: Instacart が AI を活用してドアを開け、リスクを回避
InstacartがAIを用いたリスク回避戦略を紹介。
Instacart shares how AI is used for risk mitigation at BSidesLV24.
🔗 https://securityboulevard.com/2025/04/bsideslv24-breaking-ground-jit-happens-how-instacart-uses-ai-to-keep-doors-open-and-risks-closed/
Share this content: