SecurityWeekのサイバーセキュリティ・ニュースまとめは、見落とされがちな注目記事を簡潔に集約してお届けします。
私たちは、単独の記事にするほどではないものの、サイバーセキュリティの状況を包括的に理解するうえで重要な話題を要約して提供します。
毎週、最新の脆弱性発見や新たな攻撃手法から、重要な政策変更や業界レポートまで、注目すべき動向を厳選して紹介しています。
今週の主な話題はこちら:
BodySnatcher:エージェント型AIのハイジャック
BodySnatcher(CVE-2025-12420)は、ServiceNowに影響するエージェント型AIのハイジャック脆弱性で、AppOmniが発見し、ServiceNowが2025年10月に修正しました。オンラインのホステッドサービス利用者は対応不要です。オンプレミス利用者は、最新のServiceNowコンポーネント版を使用していることを確認してください。AppOmniはこの脆弱性の詳細を公開しています。
Fortinet FortiSIEMの脆弱性が悪用
Defused Cyberは、今週修正されたFortinet FortiSIEMの脆弱性が、実環境で標的にされていると報告しました。この欠陥はCVE-2025-64155として追跡されており、未認証の攻撃者が任意コード実行のために悪用できます。Defusedのハニーポットは1月15日に悪用の試行を記録し始めました。Fortinetにこの欠陥を報告したHorizon3が、CVE-2025-64155の技術的詳細とPoCエクスプロイトを公開しています。
TelegramでIPアドレスが露出
Telegramは、ユーザーのIPアドレスを取得できるとされる「脆弱性」に関する報告を受け、ユーザーがプロキシリンクをクリックした際に警告を表示するようにしました。この手法は、ユーザー名に見せかけたリンクを送るというものです。被害者がリンクをクリックすると、指定されたプロキシに接続してIPが露出します。Telegramは、この問題は同社プラットフォーム固有ではないと指摘しつつも、偽装リンクについてユーザーに注意を促すため警告を追加することを決めました。
ロシア、ポーランド電力システムへのサイバー攻撃で非難
2025年12月下旬、ポーランドの電力網はここ数年で最大規模のサイバー攻撃に直面し、再生可能エネルギー設備と配電事業者の間の通信が標的となったと、Reuters(有料) が報じました。ポーランド当局は、この連携した作戦は撃退に成功し、停電を引き起こしたり重要インフラを侵害したりすることはなかったと述べました。当局は、妨害工作を試みた犯人はロシアのハッカーである可能性が高いとしています。
ベネズエラ国籍者がATMジャックポッティングで起訴
ベネズエラ国籍者5人のグループが、ジョージア州、フロリダ州、ケンタッキー州にまたがって高度なマルウェアを用い数千ドルを盗んだ複数州に及ぶATMジャックポッティング組織への関与について、有罪を認めるか、または判決を受けました。グループは、機器の脆弱性を悪用して現金引き出しを発生させ、複数の金融機関を標的にしました。メンバー全員が服役後、直ちに国外退去となる見込みです。
フランスの通信企業に4,200万ユーロの罰金
フランスのデータ保護当局CNILは、2024年のサイバー攻撃で2,400万人の加入者の個人データを保護できなかったとして、通信事業者FreeおよびFree Mobileに過去最高となる4,200万ユーロの罰金を科しました。調査では、弱いVPN認証など不十分なセキュリティ対策が維持されていたこと、さらに契約終了後も元顧客の記録を何百万件も不当に長期間保持していたことが明らかになりました。
CISAとNSAがOTセキュリティとゼロトラストの指針を公開
CISAとNSAは、重要インフラおよび国家安全保障システムの防御を近代化するための新たな戦略フレームワークを公開しました。CISAのガイダンスは、OT向けの8つの「セキュア接続原則」を提示し、物理的な産業システムをデジタルネットワークに接続する際のリスクを組織が管理するためのロードマップを提供します。NSAは「ゼロトラスト実装ガイドライン」シリーズを開始し、従来の境界防御から継続的な認証と監視のモデルへ移行するための実践的な手順を提示しています。
ショーン・プランキーがCISA長官に再指名
ドナルド・トランプ大統領は、サイバーセキュリティ機関CISAの長官職にショーン・プランキーを再指名しました。プランキーは、ホワイトハウスが今週のプレスリリースで発表した数十人の指名者の一人です。プランキーは2025年7月に米上院委員会の承認を得ましたが、沿岸警備隊の契約をめぐり共和党のリック・スコット上院議員によって阻止されています。
モンロー大学のデータ侵害、32万人に影響
ニューヨーク拠点のモンロー大学は今週、32万人超に影響する1年前のデータ侵害を公表しました。ハッカーは2024年12月に同大学のシステムへアクセスし、個人情報を含むファイルを盗み出しました。
重大な脆弱性により海運テック企業のシステムがハッキングにさらされていた
自動車関連企業が利用するプラットフォームのセキュリティホール発見で知られる研究者Eaton Zveareはこのほど、世界中の数百社が海上物流およびサプライチェーン管理に利用しているBluspark GlobalのBluvoyixプラットフォームにおける重大な脆弱性を発見しました。これらの欠陥により、攻撃者がプラットフォームを完全に掌握し、顧客データや出荷データへアクセスできた可能性があります。脆弱性は現在修正済みですが、研究者が責任ある開示を行うのは容易ではありませんでした。
Defense Unicornsが1億3,600万ドルを調達
Defense Unicornsは、高セキュリティでエアギャップの軍事環境向けに設計された「ソフトウェア・バックボーン」を拡大するため、シリーズBで1億3,600万ドルの資金を確保しました。この資金調達により、同社の評価額は10億ドルとなりました。同社のプラットフォームは、従来のセキュリティ対策が利用できない、切断された現場環境(潜水艦や前方作戦基地など)において、任務に不可欠なアプリケーションを安全に展開し継続的に更新できるようにすることで、重要なサイバーセキュリティ上のギャップに対処します。
