Infosec in Brief Apache Foundationは先週、TikaツールキットにCVSSスコア10.0の脆弱性があると警告した。
Tikaは1,000種類以上のファイル形式からメタデータを検出・抽出するツールだ。昨年8月、ApacheはCVE-2025-54988を報告した。これはスコア8.4の脆弱性で、PDF内に細工したXFAファイルを埋め込むことで、攻撃者がXML External Entityインジェクションを実行できると警告していた。
Apacheはその脆弱性を修正したが、先週金曜日に発表したのは、それに関連し、さらに深刻な問題であるCVE-2025-66516として知られる脆弱性だ。
Apacheの説明によると、CVE-2025-54988のエントリポイントはTikaのtika-parser-pdf-moduleだったが、実際の脆弱性とその修正はtika-coreと呼ばれる別のコードに存在していた。「tika-parser-pdf-moduleをアップグレードしても、tika-coreを3.2.2以上にアップグレードしていないユーザーは、依然として脆弱なままです」と組織は助言している。
同組織の新たな勧告では、当初の報告について「1.x系のTikaリリースでは、PDFParserがorg.apache.tika:tika-parsersモジュールに含まれていたことに言及し損ねていた」とも認めている。
Tikaの開発者たちは最近のリリースでこのあたりを整理したが、ユーザーはこの混乱を改めて振り返らされることになった。– Simon Sharwood
新種の「DDoS」が南北アメリカから噴出
フランス拠点のクラウド事業者OVHは、米州から押し寄せる攻撃の波を食い止めるため、毎週2~3Tbps分のDDoS防御能力を追加している。
「2025年9月以来、米国および南米(ブラジル、チリ、アルゼンチン、メキシコ、コロンビア)から新種のDDoS攻撃を観測しています」と、OVHのCEOであるOctave Klabaは先週報告した。「規模は約15~16Tbpsで、フロリダ州マイアミ、テキサス州ダラス、カリフォルニア州ロサンゼルス経由で到来しています。」
OVHはこの脅威に対処するため、追加のDDoS防御能力を導入している。Klabaによれば、OVHは事業を守るため、できるだけ早く100Tbps分のDDoS防御装置を展開することを目指しているという。
– Simon Sharwood
「サイバー抑止・対応法」が再浮上
米国の敵対勢力による重要インフラへの攻撃を抑止する計画をホワイトハウスが策定するのを待ちきれないのか、ある共和党下院議員が、外国人ハッカーと戦うための仕組みを整える独自の法案を提出した。
テキサス州選出のAugust Pfluger下院議員(共和党)は先週、国家サイバー長官に脅威アクターの特定と制裁の正式な権限を与えることを提案する「サイバー抑止・対応法」を提出した。
この法案は、Pfluger議員の事務所によれば、「サイバー攻撃の帰属に関する、政府全体で統一された初のプロセス」を確立することで、これを実現しようとするものだ。このプロセスには、証拠基準や検証方法の定義が含まれる。法案を説明するプレスリリースによると、この手法は、正確な攻撃者特定を確保するため、さまざまな政府機関を単一のルールセットの下に揃えることを目指している。また、民間企業からの貢献を認める条項も含まれている。さらに、国際的な同盟国との脅威情報共有も義務付けている。
「トランプ政権および今後のあらゆる政権が、悪質な行為者に責任を負わせ、国家安全保障を守るための強固な枠組みを持てるようにしなければなりません」とPfluger議員は述べた。「米国の重要インフラを悪意あるサイバー攻撃から守ることは不可欠であり、この法案はまさにそれを実現するものです。」
同名で同様の目的を持つ法案が米議会に提出されるのはこれが初めてではない。2018年、2019年、2022年にも同様の法案が提出されたが、いずれも委員会段階で止まっている。
また、国家サイバー長官のSean Cairncross氏が、連邦政府による外国人ハッカーの特定と抑止を支援する独自の対策に取り組んでいることも指摘しておくべきだ。これは先月、我々が報じたもので、Cairncross氏の目標はさらに踏み込んだものであり、米国が「ハッキングでやり返す」可能性すら示唆している。
NISTは「あなた」にIoT機器のセキュリティ強化を求めている
大量のIoT機器を管理しているだろうか? そうであれば要注目だ。米国立標準技術研究所(NIST)のサイバーセキュリティ・センター・オブ・エクセレンスが、そのような機器を保護するための新たなIoTオンボーディング関連文書を3本公開した。
モノのインターネット(IoT)機器はセキュリティの悪夢であり、多くの場合、その機器が攻撃の侵入口となり得ることをほとんど考慮せずに作られている。NISTは、今回の3つの新文書がそうした問題の防止に役立つと考えている。
1つ目の文書は、IoT機器を固有のローカル認証情報付きで独自のネットワークレイヤーに安全にプロビジョニングする方法を扱い、2つ目は、なぜデバイスのネットワークレイヤーでのオンボーディングが重要であり、なぜそれを行うべきなのかを解説している。そして3つ目は、デバイスのネットワークレイヤーでのオンボーディングプロセス自体を説明し、IoT機器のライフサイクル管理にも言及している。
Predatorスパイウェアのメーカーは依然として健在
世界中の人々を標的にする商用スパイウェア「Predator」の開発元であるIntellexaは、米国から制裁を受け、さらにヨーロッパからも締め出しを食らったが、それでも同社の勢いはあまり衰えていないとGoogleは述べている。
先週公開されたGoogleのThreat Intelligence Groupによるレポートは、Intellexaが「制限に適応し、それを回避し、今なお最高額の買い手にデジタル兵器を販売し続けている」と結論付けた。
PredatorはPegasusスパイウェアと同様の機能を持つ。利用者は多くが国家であり、標的のデバイスにこのソフトウェアをインストールする。危険性も高い。2021年以降、Googleの脅威ハンターが発見した70件のゼロデイ脆弱性のうち、Intellexaは15件の固有の脆弱性に関与している。
とはいえ、Intellexaのオペレーションが完全無欠というわけではない。同社のいくつかの秘密はアムネスティ・インターナショナルに流出し、同団体は入手・検証した文書に基づく企業プロファイルを最近公開している。
Predator内部に内部告発者がいるかどうかにかかわらず、アムネスティはGoogleと同様に、このスパイウェアとその開発元が「市民社会に対する継続的な脅威となっており」、制裁は効果を上げていないと述べている。
米司法省、また1つ暗号詐欺サイトを閉鎖
悪質な行為者たちは、正規の取引サイトを模したプラットフォームを作り続け、人々からデジタル資産をだまし取っている。米司法省(DoJ)は先週、そうしたサイトの1つを摘発した。
司法省のScam Center Task Force(詐欺センター対策部隊)は、正規のTickmill資産取引サイトとよく似た名称を持つTickmilleas.comを押収した。Tickmillは米国内では利用できず、この詐欺サイトはその名前を餌に被害者を誘い込んでいたとみられる。
中国系組織犯罪グループおよびミャンマー拠点の詐欺センターと関係があると考えられているTickmilleas.comは、いわゆる「豚の屠殺(pig-butchering)」詐欺と同様の手口で機能していた。詐欺師たちは、被害者をだまして偽の暗号通貨取引プラットフォームに投資させる。大きなリターンの約束や偽の口座残高表示によってユーザーに入金させ、その資金を詐欺師が持ち逃げし、被害者にはほとんど、あるいは全く救済手段が残されない。
今回のケースでは、Tickmilleas.comはGoogle PlayとAppleのApp Storeにも不正なアプリを公開していたが、これらはすでに削除されたと司法省は述べている。
この押収は、司法省がScam Center Task Forceを立ち上げてからわずか3週間足らずで行われたものであり、同部隊はアジアや世界各地で急増する詐欺センターに対する取り締まりを続けている。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/08/infosec_news_in_brief/
