SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。
記事全体にするほどではないものの、サイバーセキュリティの全体像を理解する上で重要なストーリーを価値ある要約として提供します。
毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更や業界レポートなど、注目すべき動向を厳選してお届けしています。
今週のニュースはこちら:
ロシア人男性、Yanluowangランサムウェア攻撃で有罪を認める
ロシア国籍のアレクセイ・オレゴビッチ・ヴォルコフ(25歳)は、2021年と2022年にYanluowangランサムウェアグループの初期アクセスブローカーとして関与した罪を認めたと、CyberScoopが報じました。検察によると、同グループの被害者2社が合計150万ドルの身代金を支払ったとのことです。ヴォルコフは2024年にイタリアで逮捕され、米国に送還されており、最大53年の懲役刑に直面しています。
アサヒビール、攻撃から1か月後もランサムウェアで供給網が麻痺
日本最大のビールメーカーであるアサヒは、Qilinグループによるランサムウェア攻撃から1か月以上経過した現在も、国内の受注・物流システムに深刻な混乱が続いています。この事件により、同社は手作業での処理に戻らざるを得なくなり、日本の繁忙期に出荷量が通常の約10%にまで減少したと、The Japan Timesが報じています。長引く混乱により、競合他社がシェアを拡大しています。
Synology、Pwn2Ownで公開された脆弱性にパッチ提供
Synologyは、Pwn2Own Ireland 2025大会で実証されたBeeStation OSの重大なリモートコード実行脆弱性(CVE-2025-12686)に対するパッチをリリースしました。Synacktivの研究者がこの問題を発見・悪用し、4万ドルの報奨金を獲得しました。QNAPもPwn2Ownで公開された脆弱性に対するパッチを提供しています。
Amazon、プライベートAIバグ報奨金プログラムを開始
Amazonは、Amazon Novaを含む基盤モデルの強化を目的とした新たなプライベートAIバグ報奨金プログラムを開始しました。招待制のこのプログラムは、セキュリティ研究者や大学の専門家を巻き込み、セキュリティ脆弱性やバイアス、プロンプトインジェクションやCBRN(化学・生物・放射線・核)脅威支援などの有害な活動の可能性を発見・修正することを目的としています。この取り組みは既存のパブリックバグ報奨金プログラムを補完し、報奨金は200ドルから25,000ドルまで提供されます。
Windows Kerberosの委任の脆弱性でドメイン全体の制御が可能に
Silverfortは、Active Directoryで委任が有効になっている組織すべてに影響する新たなWindows Kerberosの委任の脆弱性(CVE-2025-60704、通称「CheckSum」)を発見しました。この脆弱性により、攻撃者は初期アクセスを得た後、任意のユーザーになりすまし、権限を昇格させ、最終的にドメイン全体を制御できるようになります。Microsoftはこの脆弱性に対応するアップデートをPatch Tuesdayで提供しており、CVSSスコアは7.5です。
研究者、Sora 2のシステムプロンプトを解明
Mindgardの研究者が、OpenAIのSora 2ビデオ生成モデルから隠されたシステムプロンプト(内部のコア指示)を抽出することに成功しました。研究チームは、テキスト・画像・動画・音声生成を通じてモデルに隠し指示を明かすよう求める手法を用いました。テキストや画像ベースの攻撃では断片しか得られませんでしたが、音声生成(特に書き起こし機能を有効にした場合)では、ほぼ完全なシステムプロンプトをつなぎ合わせることができました。
Deepwatch、AI強化のため人員削減
サイバーセキュリティ企業Deepwatchは、従業員の約4分の1にあたる60~80人をレイオフしたとTechCrunchが報じました。CEOのジョン・ディルロ氏は、「AIと自動化への大規模投資を加速し、技術力を強化するために必要な再編」と述べています。
Apple、Compressorのコード実行脆弱性を修正
Appleは、macOS Sequoia 15.6以降向けにCompressor 4.11.1アップデートをリリースし、同一ネットワーク上の認証されていないユーザーが任意のコードを実行できる脆弱性(CVE-2025-43515)に対応しました。このセキュリティ問題は、ソフトウェアがデフォルトで外部接続を拒否するように変更することで緩和されました。
Google、Rust導入でAndroidのメモリバグが1000分の1に
GoogleのAndroidチームは、Rustプログラミング言語の導入により、CやC++コードと比べてメモリ安全性の脆弱性密度が1000分の1に減少したと報告しました。Rustへの移行によって安全な開発がより迅速になり、Rustの変更はコードレビューにかかる時間が25%短縮され、C++よりもロールバック率が4分の1になったとしています。
EchoGram攻撃、AIガードレールを突破
HiddenLayerの研究者は、テキスト分類や「LLM-as-a-judge」ガードレールなど一般的なAI防御策を突破する新たな攻撃手法EchoGramを発見しました。この攻撃は特定のトークン列を用いて防御モデルの判定を操作し、悪意あるプロンプトを許可したり、誤検知を引き起こしたりします。この構造的な脆弱性は、GPT-4、Gemini、Claudeなど主要モデルの防御策にも影響を及ぼします。
