コンテンツにスキップするには Enter キーを押してください

その他のニュース:3万ドルのGoogle Cloud Build脆弱性、ルイ・ヴィトン侵害の最新情報、攻撃対象領域の拡大

投稿日 2025年7月25日

SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。

記事全体にするほどではないものの、サイバーセキュリティの全体像を把握する上で重要なストーリーを有益に要約してご提供します。

毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更、業界レポートなど、注目すべき動向を厳選してお届けしています。

今週の注目ニュースはこちら:

マイクロソフト、中国人エンジニアの利用を停止

マイクロソフトが米国国防総省のシステム維持に中国人エンジニアを利用していたことが報じられ、機密データが中国政府に漏れる可能性が指摘されたことを受け、同社は方針変更を発表し、今後は中国拠点のチームが国防総省への技術支援を行わないとしました。中国人エンジニアは破壊工作やスパイ行為を防ぐため監督されていましたが、監督者が悪意ある活動を見抜くスキルを持っていなかった可能性があります。

組織の攻撃対象領域が拡大

ReliaQuestによる分析によると、組織が攻撃者にとっての侵入口を増やしていることが明らかになりました。2025年前半と2024年後半のデータを比較したところ、公開ポートが27%増加(OTポートは35%増)、公開システムの脆弱性は100%増加しています。また、攻撃者に有用な機密文書の誤公開も大幅に増加しています。

広告。スクロールして続きを読む。

Industrial Cybersecurity Conference

高級手荷物サービスでユーザーデータが漏洩

高級ドア・ツー・ドア手荷物サービスのAirportrは、ユーザーデータの取得や手荷物の追跡・転送が可能となる脆弱性の影響を受けました。漏洩した情報には、米国や欧州の政府関係者の旅行記録も含まれていたとWiredが報じています。これらの脆弱性はCyberX9の研究者によって発見され、Airportrは修正済みで、悪用された証拠はないとしています。

重要インフラへのサイバー脅威の進化に関する下院公聴会

複数の業界専門家が、Stuxnet攻撃から15年後の重要インフラに対するサイバー脅威の進化について、下院の公聴会に招かれました。議員らは、重要インフラや他のOTシステムのセキュリティ強化策について理解を深めることを目的としています。この公聴会で、危険なサイバー脅威の分析を担うローレンス・リバモア国立研究所のCyberSentryプログラムの資金が失効していることが明らかになりました

「セキュリティ企業」がマルウェア収集データを収益化した疑い

Farnsworth Intelligenceという「脅威インテリジェンス」企業が、情報窃取型マルウェアで感染したデバイスから収集したデータを収益化していたと非難されています。404 Mediaは、Farnsworth Intelligenceがマルウェアで得た情報を、債務者追跡を目的とした債権回収業者や離婚訴訟などの裁判、競合他社の顧客リストとして広告していたと報じています

ExpressVPNの脆弱性

ExpressVPNは最近、Windowsアプリにおいて特定条件下でTCPポート3389の通信がVPNトンネル経由でルーティングされない脆弱性を修正しました。この脆弱性は暗号化自体には影響しませんが、RDP接続の通信がExpressVPNを経由しない可能性がありました。

ルイ・ヴィトンのデータ侵害、影響国が拡大

最近発生したルイ・ヴィトンのデータ侵害の影響を受けた国が増えています。英国、韓国、トルコの顧客にサイバーセキュリティインシデントの通知があった後、オーストラリア香港、スウェーデン、イタリアも加わりました。香港では41万9,000人の顧客が影響を受けています。Bleeping Computerは、ShinyHuntersという脅迫グループが攻撃の背後にいる可能性があると報じています

欧州の病院グループAMEOSがデータ侵害を公表

スイス、オーストリア、ドイツで事業を展開する欧州の民間病院グループAMEOSは、患者、従業員、パートナーの情報に影響を及ぼす可能性のあるデータ侵害を公表しました。侵入を検知後、一部システムを停止しています。既知のランサムウェアグループが犯行声明を出した形跡はありません。

Google Cloud Buildの脆弱性で研究者に3万ドルの報奨金

研究者のAdnan Khan氏は、Google Cloud BuildのマネージドCI/CDプラットフォームで深刻な脆弱性を発見し、Googleから3万ドルのバグ報奨金を獲得したと発表しました。Khan氏はブログで、TOCTOU脆弱性を悪用してプルリクエストの統合テスト時にメンテナーのレビューを回避できた手法を説明しています。「この脆弱性により、攻撃者はPRを作成し、メンテナーにテスト実行を依頼し、その後すぐにコードを更新してシークレットの窃取やビルド実行権限の悪用が可能になります」と述べています。

Amazon Q AIアシスタントにワイプコマンドを仕込む

ハッカーがAmazonのAIコーディングアシスタント「Q」を侵害しました。具体的には、同ツールのGitHubリポジトリの1つにプルリクエストを送り、AIエージェントにユーザーのマシンをワイプするよう指示する悪意あるコマンドが含まれていましたが、承認されてしまいました。Amazonはコードを削除し、顧客リソースへの影響はなかったと発表しています。ハッカーは実際にシステムをワイプするものではなかったと認めつつ、ツールへのアクセス権を得たことを強調したと404 Mediaは報じています。

翻訳元: https://www.securityweek.com/in-other-news-30k-google-cloud-build-flaw-louis-vuitton-breach-update-attack-surface-growth/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です