インフォセック・イン・ブリーフ 元バスケットボールスターのシャキール・オニールは身長7フィート1インチ(215cm)であるため、自分の体格に合うように車をカスタマイズする会社を利用しています。しかし、どうやらサイバー犯罪者がシャックのお気に入りのカスタム業者を標的にしたようです。
先週の報道によると、エフォートレス・モーターズは、オニールのためにレンジローバーをカスタマイズし、アトランタからルイジアナに発送する予定でしたが、輸送のために車両を引き渡した後、所在が分からなくなりました。同社は後に、車両を輸送するはずだった組織がサイバー攻撃を受けたことで、輸送中に車が消えたことをTMZに認めました。
「これは輸送会社のネットワークを標的にした高度に組織化された犯罪行為でした」とエフォートレスはTMZに語りました。「私たちは法執行機関や連邦捜査官と緊密に連携し、車両の回収と責任者の追及に努めています。」
もし犯人が熱心なコレクターでなければ、これほどカスタマイズされた車両を闇市場で売りさばくのは難しいかもしれませんが、まあ、これは最近の最も大胆な盗難事件というわけでもありませんでした。
裁判官、NSOにPegasusでのWhatsApp標的化を禁止
スパイウェアメーカーのNSOグループがMetaのWhatsAppメッセージングプラットフォームを標的にすることを、裁判官が永久に禁止しました。
イスラエル拠点のNSOグループは2019年からMetaと法廷闘争を繰り広げています。Metaは当時、WhatsAppの脆弱性を発見・修正し、NSOがこの脆弱性を利用してPegasusスパイウェアをジャーナリストや政治家、その他のWhatsAppユーザーに送り込んだと主張しました。Metaは訴訟を起こし、カリフォルニアの陪審は同社に1億6700万ドルの損害賠償を認めました。
しかし、訴訟は終わらず、Metaはこの勝訴を利用してNSOグループへの永久差止命令を求め、裁判官が先週認めました。
カリフォルニア北部地区連邦地裁のフィリス・ハミルトン判事の判断によると、NSOの手法は巧妙で発見が困難かつ広範囲に及ぶものであり、NSOグループが今後WhatsAppと関わることを禁じるに十分な理由があるとされました。
「被告は原告のコードをリバースエンジニアリングし、検知を回避し暗号化を突破して、誰も望まず予想もしないスパイウェアを標的ユーザーのデバイスに感染させた」とハミルトン判事は記しました。
ハミルトン判事は、NSOが依然としてWhatsAppの悪用を試み、Facebook親会社からその活動を隠すだけの専門知識と財政的動機を持っているとするMetaの主張に同意しました。
「被告の行為が回復不能な損害をもたらし、しかもその行為が継続していることに争いがない以上、差止命令を認めるのが妥当である」とハミルトン判事は述べました。判事はまた、Metaが求めたNSOによる他の製品の標的化禁止というより広範な差止請求は認めませんでした。
さらに、Metaは陪審が認めたほどの賠償金は受け取れず、ハミルトン判事は懲罰的損害賠償を400万ドル強に減額しました。これが外国のスパイウェアメーカーによる米国ソフトウェアベンダー標的化を阻止するのに十分かどうかは誰にも分かりません。
TARmageddonがあなたのasync Rustプロジェクトを襲う
async-tar Rustライブラリで発見されたリモートコード実行脆弱性により、セキュリティ研究者は人気のフォークを利用しているユーザーに対し、放置されたものではなく積極的に開発されているバージョンを使うよう警告しています。
その名もTARmageddon(CVE-2025-62518, CVSS 8.1)は、PAX/ustarヘッダーの不整合な処理に依存した境界解析の脆弱性で、攻撃者がTARファイル内に追加のアーカイブエントリを隠すことを可能にしますと、脆弱性を発見したEdera社の研究者が説明しています。攻撃が成功すると、攻撃者はリモートコードの実行、ファイルの上書き、サプライチェーン攻撃の実施など、被害システムを混乱させることができます。
さらに悪いことに、Ederaによればasync-tarの最も人気のあるフォークはtokio-tarですが、これは既にメンテナンスされていません。
「tokio-tarに依存している場合は、astral-tokio-tarのような積極的にメンテナンスされているフォークへの移行を検討してください」とEderaは述べています。同社はまた、「エコシステムの混乱を減らす」ため、自社のasync-tarフォークであるkrata-toki-tarもアーカイブする予定だとし、Rust開発者に単一のオープンソース製品の利用を促しています。
この問題を修正する回避策はないため、できるだけ早くアップデートするのが最善です。
スカウトたちが自然から戻り、サイバースキルを学ぶ
かつてボーイスカウトとして知られていた米国の組織は、すでに子どもたちに自然の中で生き残る術を教えていますが、今や現代インターネットという過酷な荒野で生き抜く訓練も始めました。
男女両方が参加できるようになったスカウティング・アメリカは、先週、AIとサイバーセキュリティのスキルに関する新しいバッジを導入しました。子どもたちに将来のテック業界で働くためのハッキングやプロンプトインジェクションを教えるのではなく、バッジは、若い心にとってますます敵対的になっている世界でサイバーセーフを保つ方法に重点を置きます。
AIバッジを目指すスカウトは、さまざまなAIシステムの種類やAI利用の倫理・影響について学び、サイバーセキュリティバッジを目指す者は、脅威の見分け方、デジタル衛生、オンライン安全など基本的なことを学びます。両方のバッジでその分野のキャリアも紹介されますが、スカウティング・アメリカは「子どもたちに高度な実践的学習を与えるのではなく、テクノロジーを責任を持って使う方法」を重視していると述べています。
データ利用を説明しないFirefox拡張機能はもう許されない
Firefox用のブラウザ拡張機能を作成・管理している開発者は注意してください。11月からは、コードがユーザーの個人データを収集・送信するかどうかを明記しないと、Mozillaの拡張機能ダウンロードサイトから削除されることになります。
Firefoxアドオンのプロジェクトマネージャーであるアラン・バーン氏は、11月3日に施行予定のこの変更を先週ブログ投稿で明らかにしました。変更が有効になると、ユーザーは拡張機能のインストール時、権限付与画面でデータ収集情報の一覧を確認できるようになります。
Firefox拡張機能の開発者は、こちらで説明されている通り、収集・送信されるデータの詳細をソフトウェアのマニフェストファイルに追加する必要があります。
これは新規拡張機能のみに適用され、既存アドオンのアップデートについては、少なくとも現時点ではデータ収集・共有の実態を明かす必要はありません。
「2026年前半には、Mozillaはすべての拡張機能にこのフレームワークの採用を義務付ける予定です」とバーン氏は述べ、開発者は「拡張機能開発者とユーザー双方の移行を容易にする新機能」について、今後数カ月のうちにMozillaアドオンコミュニティブログで説明されるので注目してほしいと付け加えました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/26/shaq_haq_attaq/
