1. アップデート/脆弱性
- BeyondTrustの脆弱性がCISAのKEVカタログに追加
BeyondTrustはクラウドインスタンスの脆弱性を修正し、セルフホステッド版向けのパッチをリリースしました。
詳細: https://www.darkreading.com/vulnerabilities-threats/cisa-second-beyondtrust-vulnerability-added-to-kev-catalog - Fortinet FortiOSの認証回避脆弱性がKEVカタログに追加
Fortinet FortiOSの脆弱性(CVE-2024-55591、CVSSスコア9.6)がCISAのKEVカタログに追加されました。この脆弱性はリモート攻撃者に特権エスカレーションを許します。
詳細: https://securityaffairs.com/cybercrime/cisa-adds-fortinet-fortios-vulnerability-to-kev-catalog.html - WindowsのBitLockerバグがTPMデバイスで警告を引き起こす
Microsoftは、TPMプロセッサを搭載したデバイスでBitLocker有効化後にセキュリティアラートが発生する問題を調査中です。
詳細: https://www.bleepingcomputer.com/news/microsoft/windows-bitlocker-bug-triggers-warnings-on-devices-with-tpms/ - Google OAuthの脆弱性がドメイン変更時のアカウント乗っ取りを可能に
GoogleのOAuth実装の欠陥により、ドメイン所有権変更時に旧従業員のアカウントが乗っ取られる可能性が発覚しました。
詳細: https://www.securityweek.com/google-oauth-flaw-leads-to-account-takeover-when-domain-ownership-changes/
2. インシデント
- FBI、PlugXマルウェアを米国内の4,200台以上のPCから削除
FBIは、中国製PlugXマルウェアを米国内のネットワークから排除するために措置を取りました。
詳細: https://www.bleepingcomputer.com/news/security/fbi-deletes-chinese-plugx-malware-from-thousands-of-us-computers/ - 北朝鮮のLazarus APT、開発者リクルート攻撃を進化
「Operation 99」と呼ばれる攻撃キャンペーンで、フリーランス開発者を標的にし、悪意のあるGitリポジトリを通じてマルウェアを展開。コード、秘密情報、暗号資産の盗難を目的としています。
詳細: https://www.darkreading.com/attacks-breaches/north-korea-s-lazarus-apt-evolves-developer-recruitment-attacks - 拡張機能を狙った攻撃でブラウザセキュリティの課題が浮上
攻撃キャンペーンでは、2023年4月まで遡るペイロードや拡張機能が確認されており、ブラウザのセキュリティのギャップが露呈しました。
詳細: https://www.darkreading.com/attacks-breaches/extension-poisoning-campaign-highlights-gaps-in-browser-security
3. セキュリティインサイト
- ゼロトラスト導入における5つの考慮点
ゼロトラストアーキテクチャの導入は、プロセス、手順、技術、教育の複雑な組み合わせが必要です。政府機関向けのガイドラインが公開されています。
詳細: https://securityboulevard.com/2025/01/5-things-government-agencies-need-to-know-about-zero-trust/ - DORA対応のための金融機関の準備
EUのDORA(デジタル運営レジリエンス法)の締切が2025年1月に迫り、金融機関には厳格なテストや脅威プロファイルの適用が求められています。
詳細: https://www.securityweek.com/doras-deadline-looms-navigating-the-eus-mandate-for-threat-led-penetration-testing/ - オープンソースとソフトウェアサプライチェーンのセキュリティ課題
OSSはサプライチェーン攻撃の主要なターゲットであり、保護することは依然として困難です。
詳細: https://www.securityweek.com/cyber-insights-2025-open-source-and-software-supply-chain-security/ - DDoSテストの価値を最大化する7つの方法
自前の商用ソフトウェアやオープンソースツールを用いたDDoSシミュレーションテストの実施方法についてのポイントが解説されています。
詳細: https://securityboulevard.com/2025/01/7-ways-to-maximize-the-value-of-ddos-testing/ - AIとLLM(大規模言語モデル)の新たな脅威
OWASPの新しい「LLMトップ10」によると、AI開発者のセキュリティ意識とリスク軽減に向けた直感的なアプローチが求められています。
詳細: https://www.darkreading.com/edge-threat-monitor/owasp-s-new-llm-top-10-shows-emerging-ai-threats
4. その他
機密データの編集:自社開発 vs 外部ソリューションの選択
機密データの編集システムを内製する場合の技術的課題とコストに関する分析。
詳細: https://securityboulevard.com/2025/01/redacting-sensitive-free-text-data-build-vs-buy/
非ヒトアイデンティティのセキュリティ会議「NHIcon 2025」開催へ
アイデンティティとアクセス管理(IAM)の企業Aembitが主催するバーチャルイベントが2025年1月28日に開催されます。
詳細: https://gbhackers.com/aembit-announces-speaker-lineup-for-the-inaugural-nhicon/
Share this content: