Gartner:CSIRP のメトリクス開発と伝達が組織のセキュリティ強化の鍵に
Gartnerのセキュリティリサーチ&アドバイザリーチームのディレクターアナリストであるCraig Porter氏が2025年5月16日に発表した記事によると、サイバーセキュリティインシデント対応プログラム(CSIRP)
ダイナミックDNS: Scattered Spider今後利用する最新サイバー攻撃の隠れ蓑
ダイナミックDNS(DDNS)サービスが、Scattered Spiderなどのサイバー犯罪グループによって悪用されるケースが2025年に増加している。DDNSは本来、IPアドレスが変更された際にドメイン名のDNSレコー
Chrome脆弱性CVE-2025-4664が悪用確認、アカウント情報漏洩のリスクも
Googleは2025年5月14日(米国時間)、Webブラウザ「Chrome」のセキュリティアップデートをリリースした。このアップデートでは4件のセキュリティ問題が修正され、そのうち高度な重要度の脆弱性「CVE-2025
DragonForce:英国小売大手を襲った新世代ランサムウェア・カルテルの実態と対策
DragonForceと呼ばれるランサムウェア・アズ・ア・サービス(RaaS)グループが、2025年4月下旬から5月にかけて英国の大手小売業者を標的とした一連のサイバー攻撃を実行した。 攻撃の被害状況 Marks &am
Samsung MagicINFO 9サーバーに重大脆弱性、Miraiボットネット攻撃が発生中
サムスン電子のデジタルサイネージ管理製品「MagicINFO 9サーバー」に重大な脆弱性(CVE-2025-4632)が発見され、脅威アクターによって実際に悪用されている。この脆弱性は2025年4月30日にSSD Sec
Nucor社サイバー攻撃で生産停止 – 北米最大の鉄鋼メーカーが直面した製造業界のセキュリティ課題
米国最大の鉄鋼メーカーであるNucor Corporation(ニューコア・コーポレーション)は、2025年5月13日に同社の情報技術システムへの不正アクセスによるサイバーセキュリティ侵害を検知し、一部の生産拠点での操業
AIエージェントの記憶操作リスク:Princeton大学とSentientの研究が明らかにした偽メモリ攻撃の脅威
Princeton大学とSentientの研究者たちが2025年5月に発表した新しい研究によると、ユーザーデータを保存して思い出すことができる「メモリ対応型AIエージェント」は、「メモリインジェクション攻撃」と呼ばれる攻
Kaleidoscope詐欺ネットワーク:Androidユーザーを襲うスキップ不可能な広告の脅威
セキュリティ研究者が「Kaleidoscope(カレイドスコープ)」と呼ばれる新たな広告詐欺ネットワークを発見した。このマルウェアはAndroidユーザーに対してスキップできない広告を大量に表示する攻撃を行っている。 詐
Microsoft EdgeのIEモード悪用!ブラウザ経由のリモートコード実行を可能にするゼロデイ脆弱性が発見
Microsoftは2025年5月14日(日本時間)に5月のパッチチューズデーアップデートを公開した。このアップデートでは合計78件の脆弱性が修正され、そのうち5件は既に積極的に悪用されているゼロデイ脆弱性、2件は公開さ
Earth Ammit:中国系ハッカーグループが台湾ドローンサプライチェーンを狙った高度なサイバー攻撃
トレンドマイクロは2025年5月13日、中国語を話すAPT(高度持続的脅威)グループ「Earth Ammit」が2023年から2024年にかけて台湾と韓国、中国のドローンサプライチェーンを標的とした複数の攻撃キャンペーン
Google Android 16 Advanced Protectionモード:デバイス全体を守る最上位セキュリティ
Googleは2025年5月13日(現地時間、5月14日日本時間)に、Android 16向けの「Advanced Protectionモード」を発表した。このモードはジャーナリストや公人といった標的型攻撃リスクの高い利
Output Messenger脆弱性をトルコ政府関連ハッカー集団が悪用 – イラクのクルド軍を1年以上にわたり監視
トルコ政府関連のサイバースパイグループ「MarbledDust(マーブルダスト)」が、インド企業Srimaxが開発したエンタープライズメッセージングアプリ「Output Messenger」のゼロデイ脆弱性(CVE-20
EUVD正式稼働:欧州独自の脆弱性データベースが米国CVE混乱の中で登場
欧州連合サイバーセキュリティ庁(ENISA)は2025年5月13日、欧州脆弱性データベース(EUVD)の完全版を正式に公開した。 EUVDはEUのネットワークおよび情報セキュリティ2指令(NIS2指令)に基づいて開発され
北朝鮮のTA406、ウクライナ政府機関を標的に新たなサイバースパイ活動を展開 – 派遣軍のリスク評価が目的か
北朝鮮のサイバー脅威グループTA406(別名:Konni、Opal Sleet)が2025年2月からウクライナ政府機関を標的とした新たなサイバースパイ活動を展開している。 セキュリティ企業Proofpointの2025年
Windows Insider最新ビルド配信停止:OSの基本機能を破壊する深刻バグをMicrosoftが発見
Microsoftは2025年5月12日、Windows InsiderプログラムのCanaryチャンネル向けの新ビルドリリースを深刻なバグのため延期した。 このバグはBluetoothやWi-Fi接続、USBアクセサリ
Lido Finance、オラクルキー侵害で1.46 ETH損失も大規模セキュリティ脅威を回避
Ethereumの最大の液体ステーキングプロトコルであるLidoが、バリデーターオペレーターのChorus Oneのオラクルキー侵害によるハッキング試行を回避した。この事件は2025年5月10日に発生し、Chorus O
Noodlophileマルウェア拡散中:偽AIツールが6.2万人以上をターゲットに – Facebookを通じた新たなサイバー脅威
サイバーセキュリティ企業Morphisecの研究者Shmuel Uzanは2025年5月8日に発表したレポートで、脅威アクターが偽の人工知能(AI)ツールを利用して「Noodlophile」と呼ばれる情報窃取マルウェアを
英国NCSC、ソフトウェアセキュリティ実践規範を発表 – 開発プロセスに「セキュア・バイ・デザイン」を組み込む新指針
英国の国立サイバーセキュリティセンター(NCSC)と科学・イノベーション・技術省(DSIT)は2025年5月7日、「ソフトウェアセキュリティ実践規範(Software Security Code of Practice)
日本政府、能動的サイバー防衛法案を閣議決定 ― 2027年に本格運用へ
日本政府は2025年2月9日、サイバー攻撃の兆候や攻撃元を特定し無害化する措置を講じる「能動的サイバー防衛」を導入するための法案を閣議決定した。 この法案は「重要電子計算機に対する不正な行為による被害防止に関する法律」(
AIエージェントのセキュリティリスク最前線:Okta、1Password、CyberArkが警鐘を鳴らす新たなアイデンティティ危機
サイバーセキュリティ業界は現在、自律的に行動するAIエージェントのアイデンティティ管理という新たな課題に直面している。2025年5月6日にAxiosが報じたところによると、これらのAIエージェントは従業員のように管理され
AMD Zen CPUを標的にする新たな脅威:Rapid7研究者がCPUレベルのランサムウェア概念実証を開発
サイバーセキュリティ企業Rapid7の脅威分析シニアディレクターChristiaan Beekが、CPUレベルで動作するランサムウェアの概念実証コード(PoC)を開発した。この内容は2025年5月11日に開催されたRSA
IoTボットネット解体:米国・オランダ当局が7,000台規模のTheMoonマルウェア感染デバイスを摘発
米国とオランダの法執行機関は、2025年5月9日、「Operation Moonlander(ムーンランダー作戦)」と名付けられた国際的な作戦により、約7,000台のIoT(モノのインターネット)デバイスとEoL(サポー
Cursor・rand-user-agent侵害事件:3,200以上の開発者に影響したnpmサプライチェーン攻撃の実態
サイバーセキュリティ研究者が、人気のAI搭載コードエディタ「Cursor」のmacOS版を標的とする3つの悪意あるnpmパッケージ「sw-cur」「sw-cur1」「aiide-cur」を発見した。 これらのパッケージは
FreeDrain攻撃が拡大:SEOを悪用した38,000以上のサブドメインで暗号資産ウォレットのシードフレーズを窃取
サイバーセキュリティ研究者たちは、数年にわたって暗号資産ウォレットからデジタル資産を盗むために設計された「産業規模のグローバルな暗号資産フィッシング作戦」を発見した。この作戦は脅威インテリジェンス企業のSentinelO
Deel・Justworks・Shopifyを標的にした高度フィッシング攻撃 – 給与計算プラットフォームから資金窃取する新手口
Malwarebytesのセキュリティ研究者Jérôme Seguraは2025年5月8日、給与計算・人事プラットフォームを標的とした新たな高度なフィッシング攻撃を発見したと報告した。この攻撃では、Deelなどの正規サー
Google ChromeがAndroid向けにAI詐欺検出機能「Gemini Nano」搭載─リアルタイムで偽警告や詐欺サイトをブロック
Googleは2025年5月8日、Androidスマートフォン向けのGoogle ChromeにAI「Gemini Nano」を活用した新しい詐欺検出機能を発表した。この機能は、ウェブページ上で偽のセキュリティ警告や詐欺
Gartner & XM Cyber:セキュリティツール導入だけでは不十分、61%の組織が設定ミスによる侵害を経験
セキュリティリーダーの61%が、過去12ヶ月間に設定ミスや機能しなかったセキュリティ管理により侵害を受けたと報告している。これは平均43のサイバーセキュリティツールを導入しているにもかかわらず発生している。 この記事は2
AI時代のパスワードセキュリティ – Malwarebytesが警告するPassGANの影響と効果的な対策
サイバーセキュリティ企業Malwarebytesは2025年5月8日、AIの進化によってパスワード解読技術が向上し、従来のパスワード認証が脅威にさらされていることを警告する記事を公開した。 Cybernewsの調査による
Coalition社調査:2024年サイバー保険請求の60%がメール攻撃に起因、BEC対策コスト23%増加
サイバー保険会社Coalitionが2025年5月7日に発表した「2025年サイバー請求レポート」によると、2024年の同社のサイバー保険請求の60%をビジネスメール詐欺(BEC)攻撃と資金移動詐欺(FTF)が占めている
CoGUIフィッシングキット:中国ハッカーが日本を標的に1億7200万件の攻撃 – 高度な検知回避技術で被害拡大
サイバーセキュリティ企業Proofpointの最新調査によると、「CoGUI」と呼ばれる新たなフィッシングキットが日本を集中的に標的とし、数億件に及ぶ悪意あるメールを送信している。 攻撃の規模と特徴 CoGUIは2024