20250804 Security News

🔧 アップデート・脆弱性（Updates/Vulnerabilities）

1. 「Plague」PAMバックドアがLinuxシステムの認証を密かに乗っ取り
   • 新たなLinux向けマルウェア「Plague」がPAMを悪用し、認証情報を盗む。
   • The Hacker News
2. Cursor AIエディタ、プロンプトインジェクションによりローカルシェル化
   • 一行のプロンプトでローカル権限を奪う攻撃が可能だった。
   • CyberScoop
3. AkiraランサムウェアがSonicWallファイアウォールの0-dayを悪用
   • CVE-2025-40600を含む未公開の脆弱性が利用された。
   • BleepingComputer
4. Cursor AIエディタ、CVE-2025-54135を修正
   • 任意のコマンド実行が可能だったバグを修正。
   • The Hacker News
5. Microsoft Recall、依然として機密情報を記録
   • クレジットカードやパスワード情報などを記録し続けている。
   • The Register
6. Palo Alto GlobalProtectにLinux版限定の脆弱性
   • アプリの利用が無効化されるリスクあり。
   • Security NEXT
7. HashiCorp Vaultにクリティカル含む複数の脆弱性
   • システムへの深刻な影響の可能性あり。
   • Security NEXT
8. Microsoft Edgeに1件の脆弱性修正アップデート
   • 速やかな更新が推奨される。
   • Security NEXT

🚨 インシデント（Incidents）

9. Qilinランサムウェアの管理パネル認証情報が流出
   • アフィリエイトによる管理パネルが外部からアクセス可能に。
   • GBHackers Security
10. Solana向けAI生成npmパッケージがマルウェア配布

• 暗号資産を盗むマルウェアが確認された。
• Security Affairs

11. Pi-hole、WordPressプラグイン「GiveWP」経由で情報漏洩

• セキュリティ設定不備により攻撃を受けた。
• BleepingComputer

12. LockBit、DLLサイドローディングによる偽装攻撃を展開

• 正規アプリに偽装し検知を回避。
• GBHackers Security

13. SafePayランサムウェア、世界で260以上の被害確認

• 複数国に渡る攻撃が確認された。
• GBHackers Security

14. Lazarus、FOSS偽装のマルウェアで再登場

• FOSSに見せかけて攻撃を行う手法が報告。
• The Register

15. Lazarus、234件のnpm/PyPIパッケージを悪用

• 開発者を狙う高度なスピアフィッシング攻撃。
• GBHackers Security

16. Storm-2603、EDR回避のBYOVD攻撃を展開

• 自作ドライバを用いた攻撃を確認。
• GBHackers Security

🔍 セキュリティインサイト（Security Insights）

17. OpenAI、Claudeのコードを参考にGPT-5開発へ

• AnthropicはAPIアクセスをブロック。
• BleepingComputer

18. ソーシャルエンジニアリング攻撃が最大の脅威に

• 人的弱点を突く手法が依然として有効。
• CyberScoop

19. AI生成コードには依然として深刻な脆弱性

• 安全性確認が必須。
• Dark Reading

20. Koske：パンダ画像内に潜むAIマルウェア

• Aqua Securityが新手法を警告。
• Security Boulevard

21. 現代のセキュリティ対策は本当に十分か？

• セキュリティ体制の再評価を促す記事。
• Security Boulevard

22. クラウドID保護の最新戦略

• IDベースのアクセス制御を強化する方法を紹介。
• Security Boulevard

23. NHI（ネットワーク・ホスト・アイデンティティ）の戦略管理

• 現代型セキュリティ統制モデルの提案。
• Security Boulevard

24. BSidesSF 2025：サービスメッシュの焦点がアプリ層に移行

• マイクロサービス構成におけるセキュリティアプローチ。
• Security Boulevard

🗂 その他（Others）

25. Meta、Pwn2Own 2025でWhatsApp脆弱性に100万ドル懸賞

• 攻撃技術の公募に積極姿勢。
• Security Affairs

26. CISAとUSCG、重要インフラ組織のセキュリティ衛生に苦言

• 実地調査で複数の不備を発見。
• Security Boulevard

27. Sean Cairncross氏、米国家サイバー長官に就任

• サイバー政策における中心人物に。
• CyberScoop