SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。
この記事では、単独の記事にするほどではないものの、サイバーセキュリティの全体像を把握する上で重要なストーリーを要約してご紹介します。
毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更、業界レポートなど、注目すべき動向を厳選してお届けしています。
今週の注目ニュースはこちら:
Amazon ECSへの攻撃
Sweet Securityは、ECScapeと呼ばれる攻撃手法の詳細を公開しました。これは、Amazon ECSのコンテナが侵害された場合に権限昇格を可能にするものです。同社の研究者は、攻撃者が横移動し、プライベートリポジトリや機密情報へアクセスし、クラウド環境を広範囲に制御できるキーを取得することに成功しました。Sweet Securityによると、AWSはこの攻撃が世界中の数億台のマシンやコンテナに対して有効であることを認めましたが、同社製品の脆弱性とは見なしていません。ただし、この研究を受けてドキュメントを更新しました。
Alera Groupのデータ侵害、15万5,000人に影響
保険・金融サービス会社のAlera Groupは、2024年8月に検知された侵入により、顧客および従業員15万5,000人分の個人情報が漏洩したことを明らかにしました。ハッカーは2024年7月19日から8月4日まで同社システムにアクセスし、SSN(社会保障番号)、パスポート、医療情報などの高度に機密性の高い情報を取得しました。
広告。スクロールして続きをお読みください。
Nvidia、GPUにキルスイッチやバックドアは搭載していないと約束
新しいブログ投稿で、Nvidiaは、チップにバックドアやキルスイッチを組み込むことはハッカーや敵対的な勢力への贈り物となり、世界のデジタルインフラを損ない、米国技術への信頼を失わせると述べています。
シャネルのデータ侵害
シャネルは、最近ハッカーの標的となったファッション小売業者の長いリストに加わりました。同社によると、脅威アクターはサードパーティのサービスを標的にしました。シャネルは、おそらくSalesforceインスタンスを狙ったShinyHuntersサイバー犯罪グループによるキャンペーンの標的となった多くの組織の1つです。他の被害者には、ディオール、ルイ・ヴィトン、Google、Ciscoなどが含まれます。
CISA、Microsoft Exchangeの脆弱性に対する緊急指令を発出
CISAは、連邦機関に対し、最近公開されたMicrosoft Exchangeの脆弱性への対応を8月11日までに行うよう指示する緊急指令を発出しました。この脆弱性(CVE-2025-53786)は8月6日に公開され、ハイブリッド展開に影響します。管理者権限を持つ攻撃者が権限昇格を行うことが可能です。CISAは、現時点で実際の悪用は確認されていないものの、「脅威アクターが容易に権限昇格し、被害者のM365 Exchange Online環境を大きく制御できることを深く懸念している」と述べています。
Streamlitの脆弱性により株式市場ダッシュボードの改ざんが可能に
Cato Networksは、データアプリケーション構築用のオープンソースフレームワークであるStreamlitに脆弱性を発見しました。StreamlitはMLプロトタイプ、医療分析ダッシュボード、金融データの可視化などに利用されています。この脆弱性は3月に修正されましたが、脅威アクターがクラウドアカウントの乗っ取り攻撃を行うことを可能にします。Catoは、Streamlitで構築された株式市場ダッシュボードを脅威アクターが操作できることを実演し、その影響の大きさを示しました。
米国エネルギー分野の露出評価
SixMapは、米国の21のエネルギー事業者に関する包括的なサイバーセキュリティ評価を発表しました。調査では、これらの組織において39,986台のホストと58,862のサービスがインターネットに露出していることが判明しました。露出したサービスの約7%は標準外のポートで稼働しており、セキュリティチームにとって危険な死角となっています。また、平均して各組織の9%のホストがIPv6空間に存在しており、ほとんどのセキュリティチームがこれらの資産を監視できていないため、さらなるリスクとなっています。
衛星ハッキングの研究
VisionSpace Technologiesの研究者はBlack Hatで、衛星自体やそれを制御する地上局のソフトウェア脆弱性を悪用することで、衛星をハッキングするのがいかに容易かを実演しました。研究者は、衛星上のソフトウェアをクラッシュさせる脆弱性や、ハッカーが推進装置にコマンドを送って衛星の軌道を変更できる方法を発見したとThe Registerは報じています。
連邦裁判所の電子申請システムがハッキング被害
複数の米国州の機密裁判データが、連邦裁判所で使用されている電子事件申請システムの深刻な侵害により漏洩したと、Politicoが関係者から得た情報として伝えています。侵害の全容は現在も調査中です。犯人は不明ですが、国家支援の脅威アクターが主な容疑者とされています。
Axis Communicationsの監視カメラ製品に脆弱性
Clarotyの研究者は、Axis Communications社の監視カメラ製品に潜在的に深刻な脆弱性を発見しました。攻撃者は映像フィードを乗っ取ったり、カメラを停止させたり、ターゲットネットワーク内を横移動することが可能です。インターネットスキャンでは6,500件以上の露出インスタンスが確認され、その半数以上が米国に存在しています。Axisはパッチをリリースしており、現時点で実際の悪用は確認していないとしています。