🔧 更新・脆弱性情報(Updates / Vulnerabilities)
- Discordの脆弱性により、有効期限切れの招待リンクを悪用したマルウェア拡散が可能に
Discordの招待リンク再利用の欠陥を悪用し、AsyncRATやSkuld Stealerが暗号通貨ウォレットを標的に拡散されました。
Discord flaw lets hackers reuse expired invites in malware campaign
リンク - Microsoft Copilotのゼロクリック脆弱性がAIエージェントのリスクを浮き彫りに
Microsoft Copilotにおけるゼロクリックの脆弱性が、RAG構造に潜む新たなセキュリティ課題を示しています。
Zero-Click Flaw in Microsoft Copilot Illustrates AI Agent, RAG Risks
リンク - Apple、Paragonスパイウェア攻撃に使用されたゼロクリック脆弱性を修正
Appleは、Paragonスパイウェアの基盤となっていた深刻なゼロクリック脆弱性に対処しました。
Apple fixes zero-click exploit underpinning Paragon spyware attacks
リンク - Palo Alto Networks、複数の特権昇格脆弱性を修正
特定の脆弱性により、攻撃者が管理者権限を取得できる恐れがあり、迅速なアップデートが推奨されます。
Palo Alto Networks fixed multiple privilege escalation flaws
リンク
🚨 インシデント・攻撃(Incidents)
- Fogランサムウェア、異例のツールセットで警戒強まる
Fogランサムウェアが、一般的ではないツールと手法を駆使して攻撃を実行、検出回避を狙った模様です。
Unusual toolset used in recent Fog Ransomware attack
リンク - 米国United Natural Foods社がサイバー攻撃で供給網混乱、パン不足も発生
ランサムウェアによる業務停止で、店頭の商品の欠品が多数発生しました。
A cyberattack on United Natural Foods caused bread shortages and bare shelves
リンク - パラグアイで740万人分の市民情報がダークウェブに流出
国家レベルの個人情報漏洩が発覚し、セキュリティ体制の見直しが求められています。
Paraguay Suffered Data Breach: 7.4 Million Citizen Records Leaked on Dark Web
リンク - CISA、SimpleHelp RMMに対するランサム攻撃のパターンを公開
攻撃者が同様の戦術を繰り返し利用していることが確認され、警戒が必要です。
CISA Reveals ‘Pattern’ of Ransomware Attacks Against SimpleHelp RMM
リンク - Threat ActorがTeamFiltrationを使いEntra IDアカウントを乗っ取り
クラウド環境への不正アクセスが高度化していることを示す事例です。
Threat Actor Abuses TeamFiltration for Entra ID Account Takeovers
リンク - Google Cloudの大規模障害、API管理の問題が原因
広範囲なサービス停止の原因が特定され、再発防止策が検討されています。
Google links massive cloud outage to API management issue
リンク
🧠 セキュリティ知見・ベストプラクティス(Security Insights)
- OAuth 2.0のセキュリティ強化:PKCEの活用とトークン保護策
セキュアなトークン運用のために、PKCEやリフレッシュトークンの利用が推奨されています。
OAuth 2.0 Security Best Practices: How to Secure OAuth Tokens & Why Use PKCE
リンク - ISO 27001のリスク登録台帳構築ガイド
情報資産管理の基本となるリスク管理プロセスを段階的に解説。
ISO 27001 Risk Register Setup: Step-by-Step Guide
リンク - シャドーAIのリスクと8つの軽減方法
企業が意図しないAI使用(シャドーAI)を防ぐ対策が紹介されています。
Shadow AI: Examples, Risks, and 8 Ways to Mitigate Them
リンク - ゼロトラスト実装ガイドライン:NISTからの最新助言
NISTが提供する実装支援資料は、ゼロトラスト導入を検討する組織にとって有用です。
Cybersecurity Snapshot: NIST Offers Zero Trust Implementation Advice
リンク - ID管理の変革:エージェント時代に向けた変遷
自律的なID制御を視野に入れた次世代ID管理の在り方が議論されています。
How identity management is shifting into the agent era
リンク
🧩 その他・業界動向(Others / Trends)
- Dutch警察、11歳の子どもがCracked.ioハッキングフォーラムを利用していた事例を発表
若年層によるハッキング関与の実態が浮き彫りに。
Dutch police identify users as young as 11-year-old on Cracked.io hacking forum
リンク - AI駆動の音声詐欺防止ツールをArsenがリリース
AIを活用してボイスフィッシング(vishing)に対応する新サービス。
News alert: Arsen launches AI-powered vishing simulation to help combat voice phishing at scale
リンク - Kali Linux 2025.2リリース:スマートウォッチと車両ハッキングツールを新規追加
ペネトレーションテスト用途の新ツールが注目を集めています。
Kali Linux 2025.2 Released: New Tools, Smartwatch and Car Hacking Added
リンク
Share this content: