SecurityWeekのサイバーセキュリティニュースまとめは、見落とされがちな注目ニュースを簡潔にまとめて提供します。
単独の記事にするほどではないものの、サイバーセキュリティ情勢を包括的に理解するうえで重要なニュースを有益なサマリーとしてお届けします。
毎週、最新の脆弱性情報や新たな攻撃手法から、重要な政策変更や業界レポートに至るまで、注目すべき動向を厳選してお伝えします。
今週の主なニュースは以下のとおりです:
Claude Skillsを使ったランサムウェア実行
Cato Networksは、AnthropicのAIアシスタントClaude向けの新機能「Skills」を用いて、制御された環境でランサムウェアを実行しました。Anthropicは、Skillsにおけるコード実行機能は想定どおりに動作しているとしています。Catoは、正当なSkillsであっても、わずかな変更で兵器化されうること、そしてそれらが公開リポジトリやソーシャルエンジニアリングを通じて拡散しうると主張しています。ただし同社は、Claudeがユーザーに対して明確な承認プロンプトを表示していることも認めています。
Arrayの脆弱性が実際の攻撃で悪用
日本のJPCERT/CCは、Array NetworksのAGセキュアアクセスゲートウェイに影響する脆弱性が攻撃で悪用されていると警告しました。この欠陥はCVE識別子のないコマンドインジェクションの問題で、2025年5月にArrayOS AG 9.4.5.9のリリースによって修正されました。JPCERTは、2025年8月以降、日本国内のユーザーを標的とした攻撃でこの脆弱性が悪用された証拠を確認しています。影響を受ける製品はアジアで広く利用されています。
北朝鮮が3,000万ドルのUpbit仮想通貨窃取に関与か
韓国の大手仮想通貨取引所Upbitで、最近およそ3,000万ドル相当の仮想通貨が盗まれました。この窃取事件は、北朝鮮のハッカーグループLazarusの犯行とみられています。2019年にも、ハッカーが4,900万ドル相当のイーサリアムをUpbitから盗み出しています。
AkamaiがHTTPリクエストスマグリングの脆弱性にパッチ
Akamaiは今週、HTTPリクエストスマグリング攻撃に顧客がさらされる可能性があった脆弱性CVE-2025-66373を最近修正したと発表しました。こうした種類の攻撃は、一般的に認証情報やその他の機密データの窃取、任意のウェブサイトへのリダイレクトなどに悪用されます。HTTPリクエストスマグリングは、その潜在的な影響の大きさから、数年おきに大きな話題となります。
CISA職員に記者との会話禁止を通達
内部メールの流出により、サイバーセキュリティ機関CISAの幹部が、職員に対し無許可でニュース記者と話さないよう求めていたことが明らかになりました。これはNextgov/FCWが報じたものです。そのメールには、「情報があふれる今日の状況において、CISAを代表して発信されるすべての公式情報が、最新で正確、中立かつ信頼できるものであることを確保することが不可欠です。これには、メディアに対して伝えられるあらゆる公式情報も含まれます」と記されています。この通達が特定の出来事をきっかけに出されたものかどうかは不明です。
北朝鮮の偽IT労働者リクルーターをカメラで特定
研究者らは、北朝鮮の偽IT労働者スキームについて綿密な調査を実施し、正規の開発者が、自身の資格情報や身元を貸し出すよう誘導され、同国からの採用を禁じている企業でリモートワークの職を得る手助けをしている実態を明らかにしました。この調査では、複数の北朝鮮リクルーターとのビデオ通話も行われ、リクルーターが開発者のコンピュータへの24時間365日のアクセスを求め、なりすましを容易にしようとしていたことが判明しました。
偽情報対応不備でXに1億2,000万ユーロの罰金
欧州委員会は、ソーシャルメディア企業Xに対し、偽情報への対応に不備があったとして1億2,000万ユーロ(1億3,900万ドル)の罰金を科しました。この罰金は、企業に対し偽情報や影響工作からユーザーを保護することを求め、違反した場合は売上高の最大6%の罰金を科すデジタルサービス法(DSA)に基づくものです。
イランのサイバースパイが新たなバックドア「MuddyViper」を使用
MuddyWaterとして知られるイランのサイバースパイグループが、ESETによってMuddyViperと名付けられた新たなバックドアを開発しました。同社は、イスラエルを標的とした攻撃を観測しており、少なくとも1件はエジプトの被害者が確認されています。過去のMuddyWaterの攻撃は騒がしく検知が容易でしたが、今回の活動はより焦点を絞り、洗練されたものになっていました。
PickleScanの脆弱性
JFrogは、最近修正された3件のPickleScanの脆弱性の詳細を公開しました。PickleScanは、機械学習(ML)モデルをスキャンして悪意あるコンテンツを検出するためのツールです。JFrogが発見したこれらの脆弱性は、「PickleScanのマルウェア検出を回避し、悪意あるコードを検出不能な形で隠し持つ悪意あるMLモデルを配布することで、大規模なサプライチェーン攻撃を実行できた可能性」があるとされています。
