SIMスワップ詐欺10倍増の衝撃、英国政府がパスキー全面導入で認証革命へ
英国の国家詐欺データベースによると、SIMスワップ詐欺の件数が過去1年間で10倍に増加した。 犯罪者は携帯電話番号を乗っ取り、二要素認証コードを傍受してユーザーアカウントを侵害している。マークス・アンド・スペンサーも被害
AMD全プロセッサにサイドチャネル攻撃脆弱性|TSA(CVE-2024-36350他)Microsoft緊急対応
AMDは2025年7月9日、同社のCPUに影響する新たなサイドチャネル攻撃「Transient Scheduler Attack(TSA)」を発表した。 この攻撃はMeltdownやSpectreに類似しており、Micr
AIディープフェイク攻撃でルビオ国務長官偽装、米政府職員標的の新手法が拡大
2025年6月中旬、人工知能ソフトウェアを使用した攻撃者がマルコ・ルビオ米国務長官になりすまし、外国の外務大臣、米国知事1名、連邦議会議員1名に接触した。 攻撃者は暗号化メッセージアプリSignalで「Marco.Rub
マクドナルドAI採用システム、セキュリティ欠陥で数千万人の求職者データが危険に
2025年7月10日、セキュリティ研究者のイアン・キャロルとサム・カリーが、マクドナルドのAI採用チャットボット「オリビア」を運営するParadox.aiのシステムに深刻な脆弱性があることを公表した。 研究者らは6月下旬
Microsoft 7月セキュリティアップデート:NEGOEX認証プロトコルに最高危険度の脆弱性
Microsoftは2025年7月8日のパッチチューズデーで月例セキュリティアップデートをリリースした。今回のアップデートでは137件のCVE脆弱性が修正された。 修正された脆弱性のうち14件が重要度「Critical」
オープンソースマルウェア188%急増、データ窃取4,400件でLazarus Group関与判明
サプライチェーンセキュリティ企業Sonatypeが2025年第2四半期「オープンソースマルウェアインデックス」レポートを発表した。 2025年4月1日から6月30日の期間に、npmやPyPIなどの主要リポジトリで16,2
Chrome・Edge拡張機能「RedDirection」攻撃で230万人感染
Koi Securityの研究者が発表した調査によると、RedDirectionと呼ばれるブラウザハイジャック攻撃により、ChromeとMicrosoft Edgeで合計230万人のユーザーが感染した。この攻撃は18の拡
Google Play Store悪用のAnatsaマルウェア|9万DLの偽アプリで銀行情報窃取
オランダのモバイルセキュリティ会社ThreatFabricは2025年7月8日、AnatsaアンドロイドバンキングトロイがGoogle Play Store上の偽PDFアプリを通じて北米ユーザー約90,000人を攻撃した
VS Code拡張機能Ethcodeが悪意のプルリクエストで侵害、暗号通貨開発者を標的
2025年6月17日、Airez299というユーザーがGitHubでEthcode VS Code拡張機能に対してプルリクエストを開いた。 Ethcodeは7finneyが2022年にリリースしたEthereum Vir
中国国家支援ハッカーXu Zewei逮捕|COVID-19研究窃取とMicrosoft Exchange攻撃で最大77年の刑期
2025年7月3日、中国・上海出身の33歳男性Xu Zewei(徐澤偉)がミラノのマルペンサ空港でイタリア警察により逮捕された。 逮捕は米国テキサス州南部地区の逮捕状に基づくもので、産業スパイ活動への関与が疑われている。
ChatGPT・Zoom偽装で8,500社被害、Arctic Wolf報告のSEOポイズニング攻撃の全貌
Arctic Wolfが2025年7月3日に公開した報告によると、SEOポイズニング技術を使用してOyster(別名BroomstickまたはCleanUpLoader)マルウェアローダーを配信する悪意のあるキャンペーン
Ingram Micro ランサムウェア攻撃による大規模システム障害の全貌
世界最大級のIT販売業者Ingram Microは2025年7月3日木曜日の早朝にSafePayランサムウェア攻撃を受けた。 攻撃者はGlobalProtect VPNプラットフォーム経由で侵入し、従業員の端末にランサム
CitrixBleed 2(CVE-2025-5777)でNetScalerに重大脆弱性、相当数の企業がパッチ未適用で攻撃リスク
Citrix NetScaler ADCおよびNetScaler GatewayのCVE-2025-5777は、CVSS v3.1評価9.3(Critical)の脆弱性で「CitrixBleed 2」と呼ばれる。 この脆
Web3業界に新たな脅威:北朝鮮系「NimDoor」がmacOS狙い撃ち、Telegram経由で拡散
2025年7月2日、SentinelOneの脅威研究チームのPhil StokesとRaffaele Sabatoは、北朝鮮系脅威アクターがmacOS専用マルウェア「NimDoor」を使用してWeb3および暗号資産プラッ
Linux・Windows対応のBertランサムウェア、Trend Microが明かす最新動向
Trend Microの研究者が2025年4月に初めて観測した新しいランサムウェア「Bert」(同社では「Water Pombero」として追跡)が、WindowsとLinuxの両システムを標的とした攻撃を展開している。
TAG-140がDRAT V2を展開、インド政府・国防・鉄道セクターを標的とした新たなサイバー攻撃
2025年6月23日、Recorded FutureのInsikt Groupは、パキスタンとの関係が指摘されるTAG-140と呼ばれる脅威アクターがDRAT V2と呼ばれるリモートアクセストロイの木馬の改良版を使用して
TikTok・RedNote・Weiboに警告、台湾NSBが中国製アプリの安全保障リスクを指摘
台湾の国家安全局(NSB)は2025年7月2日、中国製アプリ5種類について安全保障上のリスクがあると警告を発表した。対象アプリはRedNote(小紅書)、Weibo、TikTok、WeChat、Baidu Cloudであ
スペイン.esドメイン悪用のフィッシング攻撃急増、Cloudflareインフラで偽Microsoft認証画面を大量展開
サイバーセキュリティ企業Cofenseは、スペインの国別ドメイン.esを悪用したフィッシング攻撃が19倍増加したと報告した。 この報告は2025年7月5日にThe Registerで報じられた。2025年1月から5月にか
Linux Sudo重大脆弱性でローカルユーザーがroot権限取得可能に、Ubuntu・Red Hat等緊急対応
LinuxおよびUnix系オペレーティングシステム用のSudoコマンドラインユーティリティに2つの脆弱性が発見された。 CVE-2025-32462(CVSSスコア2.8)は、Sudo 1.9.17p1より前のバージョン
暗号資産アドレス・ポイズニング攻撃2億7,000万件発生、TrugardとWebacyが対策技術開発
暗号資産におけるアドレス・ポイズニング攻撃は、攻撃者が正当なアドレスと酷似した偽のアドレスにユーザーが資金を送金するよう騙す詐欺手法である。 2025年5月、暗号資産トレーダーがゼロ値転送技術を使用した連続攻撃で260万
Android大規模詐欺発覚:IconAds 352アプリ・Kaleidoscope・SMS窃取で数百万ユーザー被害
HUMANの報告によると、2025年7月3日(米国時間)、IconAdsと呼ばれる広告詐欺オペレーションが発覚し、352個のAndroidアプリがGoogleによってPlay Storeから削除された。 このオペレーショ
QRコード決済普及の裏でクイッシング攻撃急増、企業幹部が一般従業員の42倍被害
アンチフィッシング・ワーキンググループ(APWG)は2025年7月3日、2024年10月から2025年3月までの6か月間における悪意のあるQRコードを使用したフィッシング攻撃の分析結果を発表した。 APWGメンバーである
Firefox拡張機能40以上が暗号通貨ウォレットを偽装、MetaMask・Coinbaseなど標的に
サイバーセキュリティ研究者が2025年7月3日、Mozilla Firefox向けの40以上の悪意ある拡張機能を発見したと発表した。 これらの拡張機能は、Coinbase、MetaMask、Trust Wallet、Ph
Catwatchful子供監視アプリのセキュリティ欠陥で個人情報流出、研究者が脆弱性を発見
カナダのセキュリティ研究者Eric Daigle氏がAndroidスパイウェアアプリ「Catwatchful」のデータベース脆弱性を発見した。このアプリは子供監視ツールを装いながら、被害者の写真、メッセージ、位置情報、マ
Signalクローン「TeleMessage」に重大脆弱性、政府職員60名のデータ流出で明らかになった企業向けメッセージングアプリの盲点
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年7月1日、Signalクローンアプリ「TeleMessage TM SGNL」の2つの脆弱性CVE-2025-48927(CVSSスコア5.3)とC
Qantas航空で最大600万人の個人情報流出、第三者プラットフォーム経由のサイバー攻撃
オーストラリアの航空会社Qantas Airwaysは2025年6月30日、第三者の顧客対応プラットフォームがサイバー攻撃を受け、最大600万人の顧客情報が流出した可能性があると発表した。 流出した情報は氏名、メールアド
ロシアAPT「Gamaredon」が新ツール6種でウクライナ標的攻撃を強化
ESETのZoltán Rusnák氏が2025年7月3日に発表した研究によると、ロシア連邦保安庁(FSB)傘下のAPT「Gamaredon」(別名Primitive Bear)がウクライナ政府機関に対するサイバー攻撃を
CVE-2025-49596:AnthropicツールのRCE脆弱性が開発環境を脅威に
CVE-2025-49596として報告されたリモートコード実行(RCE)脆弱性が2025年4月に責任あるセキュリティ開示で報告され、2025年6月13日に修正版がリリースされた。 CVSSスコアは9.4で、バージョン0.
人間の認知限界を超えるセキュリティ:フィッシング訓練効果検証
2023年、カリフォルニア大学サンディエゴ校(UCSD Health)とシカゴ大学の研究者10名が、UCSD Healthの19,789人を対象に8か月間、Proofpointの訓練教材を用いたフィッシング訓練の効果を調
Jasper Sleetの実態:AI駆使した北朝鮮ITワーカーの企業侵入手法
米司法省とFBIは2025年6月、北朝鮮のITワーカーが米国や中国、アラブ首長国連邦、台湾の協力者と共謀し、2021年から2025年6月までに100社以上の米企業へ偽装就職していた事実を摘発した。 Microsoftはこ