infosec in brief Metaは、第三者がパスワードリセットメールを生成できてしまうInstagramサービスの欠陥を修正したが、この問題がユーザーの個人情報の窃取につながったことは否定した。
先週金曜日、セキュリティソフトウェアベンダーのMalwarebytesは主張し、「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1,750万件のInstagramアカウントの機微情報を盗んだ」と述べた。同社は、Instagramユーザーに送信されたパスワードリセットメールのスクリーンショットも掲載した。
土曜日、Instagramは投稿で次のように述べた。「外部の第三者が一部の人に対してパスワードリセットメールをリクエストできてしまう問題を修正しました。当社システムへの侵害はなく、皆さまのInstagramアカウントは安全です。これらのメールは無視してかまいません — 混乱を招いてしまい申し訳ありません。」
The Registerの理解では、Malwarebytesが言及していたのは、おそらく悪名高いデータ漏えいサイトBreachForumsに投稿されたデータセットのことだ。同サイトでは、あるユーザーが1,700万件超のInstagramユーザーの個人情報ダンプを投稿し、2024年に検知されたAPI漏えいの結果だと主張していた。
Veeam、脆弱性で頭を悩ませる
データ管理およびバックアップベンダーのVeeamは先週、4件の脆弱性を修正した。いずれも特権アカウントがRCE攻撃を実行するか、rootユーザーとしてファイルを書き込めるものだった。4件のうち最も深刻なCVE-2025-59470は、CVSSスコアで9.0を記録した。
Veeamは詳細をあまり明かしておらず、CVE-2025-59470については、BackupまたはTape Operatorアカウントが悪意あるintervalまたはorderパラメータをシステムに送ることでRCEを実行できる、と示しただけだった。
自動脆弱性修復企業VicariusのシニアプロダクトマネージャーであるSagy Kratuによれば、CVSS 9.0のこの脆弱性は、ランサムウェア攻撃者やその他の脅威アクターが最大級の混乱を引き起こすことを可能にするという。
「この重大なVeeamの欠陥が重要なのは、紙の上で『重大』だからというより、攻撃チェーンのどこに位置しているかです」とKratuは本誌に語った。「BackupまたはTape Operatorのロール…は、初期侵害の後にランサムウェア攻撃者が典型的に得るアクセス権限のレベルそのものです。その段階では、内部RCEは制約ではなく、加速剤です。」
Veeamは近年人気の標的となっており、古い脆弱性が再び表面化したり、新たなバグが定期的に発見されたりしている。
「Veeamが攻撃に繰り返し登場する理由は単純で、バックアップサーバーはクリーンなデータがまだ存在し復元できるかどうかを左右するからです」とKratuは述べた。「攻撃者がVeeamを掌握すれば、バックアップを削除し、復元を妨害し、侵入を危機へと変えられます。バックアップ基盤は二次的な標的ではなく、主要な標的なのです。」
ガソリンスタンドチェーンHandi、顧客データの漏えいを公表
Handi PlusおよびHandi Stopブランドで米国各地に約150のガソリンスタンドを展開するGulshan Management Servicesは、昨年9月にランサムウェア攻撃と思われる事案を経験したが、顧客への通知は今になってからだ。
Gulshanは報告で、フィッシング攻撃が境界防御を突破してITシステムにアクセスし、同社IT資産の一部を暗号化するソフトウェアを展開することに成功した結果、氏名、社会保障番号、連絡先情報、運転免許証番号などを含む377,082件分の顧客データが露出したと述べた。
同社は影響を受けた人々に対し標準的な1年間の身元監視サービスを提供しているが、法律事務所Schubert Jonckheer and Kolbeによれば、通知が遅すぎたことで州法および連邦法に違反した可能性が高いという。同事務所はGulshanに対する集団訴訟の準備を進めており、侵害通知を受け取った人に参加を呼びかけている。
ハッキングするくらいなら賄賂を?
脅威露出管理プラットフォームNord Stellarは、侵害したい企業への「手っ取り早い侵入口」を求め、内部関係者に金を払うと持ちかけるサイバー犯罪者によるダークウェブ投稿を数十件発見したと報告している。
The Registerに共有されたプレスリリースによると、過去12か月でNord Stellarの研究者は、LinkedIn、Meta、Google、Coinbaseなど著名企業の従業員を勧誘し、内部者が秘密を持ち出すことを期待する、25件のユニークなダークウェブ投稿を見つけたという。
Nord Stellarのセキュリティ専門家Vakaris Noreikaは、これらの投稿は組織のサイバー防御が外部脅威に偏りがちである事実を反映していると述べた。
「外部脅威と異なり、内部者は不審なログイン試行やデータ転送といった典型的なセキュリティアラートを引き起こさない場合があります」とNoreikaは語った。
ownCloud、MFAを有効化せよ、頼むから
先週The Registerは報じたが、世界50社で一連の侵害が発生し、いずれも単独の窃盗犯によるもので、顧客がエンタープライズ向けファイル同期・共有プラットフォームで多要素認証を有効にしていなかったためにアクセスを許したという。
攻撃者に狙われたプラットフォームの一つであるownCloudは現在、顧客にMFAの有効化を促している。
同社はセキュリティアドバイザリで「ownCloudプラットフォームがハッキングまたは侵害されたわけではありません」と説明した。「脅威アクターはインフォスティーラーマルウェアによってユーザー認証情報を入手し、それがMulti-Factor Authentication(MFA)が有効化されていないownCloudアカウントへのログインに使用されました。」
要するに、これは珍しく「被害者側にも落ち度がある」と言っても正当化できる例だ。
ownCloudは「ownCloudインスタンスでMulti-Factor Authenticationを有効化していない場合は、直ちに有効化してください」と呼びかけた。
それに加えて、全ユーザーのパスワードをリセットし、不審な活動がないかログを確認し、すべてのアクティブセッションを無効化して、ユーザーにMFA有効化済みアカウントで再ログインさせるべきだ。
サイバー攻撃後、生徒に1週間の休校措置
英国のHigham Lane Schoolは先週、サイバー攻撃により、まあ、ほとんどすべてが停止したため休校した。
Higham Lane Schoolの生徒たちは、おそらく、同校が1月3日に最初に報告したこの事案を受けて月曜日に休校した後、学校がその週いっぱい閉鎖されると先週木曜日に知らされ、喜んだに違いない。
この攻撃により、学校の電子ゲートが故障し、火災警報がオフラインになり、生徒記録システムにアクセスできなくなったようだ。そのため学校は生徒と職員の安全を保証できないとして休校を決めた。
「警察のサイバー専門家と教育省のサイバーセキュリティ専門家からの助言は非常に明確でした。学校を開けるのは安全ではない、ということです」と校長のMichael Gannonは先週木曜日に述べた。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/11/infosec_news_in_brief/
