SecurityWeekのサイバーセキュリティニュースまとめは、見落とされがちな注目記事を簡潔に集約してお届けします。
私たちは、単独の記事にするほどではないかもしれないものの、サイバーセキュリティの状況を包括的に理解するうえで重要な話題を価値ある要約として提供します。
毎週、最新の脆弱性発見や新たな攻撃手法から、重要な政策変更や業界レポートに至るまで、注目すべき動向を厳選して紹介しています。
今週の主な話題はこちら:
元Googleエンジニア、AIの営業秘密窃取で有罪評決
サンフランシスコの連邦陪審は、元GoogleソフトウェアエンジニアのLinwei Ding(別名Leon Ding)について、経済スパイ行為7件および営業秘密窃取7件で有罪評決を下しました。有罪判決は、中国の利益のためにGoogleのAIに関する営業秘密を含む機密情報をDingが盗み出したことに関連しています。
ESET、高深刻度の脆弱性を修正
ESETは、Windows製品に影響する高深刻度のローカル権限昇格の脆弱性2件に対する修正を発表しました。欠陥の1つであるCVE-2025-13176はESET Inspect Connectorに影響します。2つ目の問題であるCVE-2025-13818はESET Management Agentに影響します。同社は、実環境での悪用の証拠は確認していないとしています。
記録的DDoS攻撃、31.4Tbpsに到達
Cloudflareの2025年第4四半期DDoS脅威レポートは、ピーク時31.4Tbpsに達し35秒間継続した大規模なネットワーク層攻撃を詳述しており、観測史上最大を記録しました。この事案はより広範な急増の一部で、DDoS攻撃総数は前年比121%増の4,710万件に達しました。第4四半期のインシデントの78%はネットワーク層の脅威で、超大容量(ハイパーボリューメトリック)攻撃は前四半期から40%増加しました。
ジェフリー・エプスタインの個人ハッカー
司法省が公開した黒塗りの文書によると、2017年に機密情報提供者がFBIに対し、ジェフリー・エプスタインには個人ハッカーがいたと伝えていました。情報提供者は、そのハッカーをイタリア国籍で、iOS、BlackBerry端末、Firefoxの脆弱性発見を専門とし、ゼロデイエクスプロイトや攻撃用サイバーツールを開発・販売していた人物だと説明しています。サイバーセキュリティコミュニティの一部では、文書に含まれる公開情報に基づいてハッカーの身元を推測する動きもありますが、氏名は黒塗りのままで、FBIは主張を独自に検証していません。
評価でAIエージェントがWebセキュリティ課題を解決
WizとIrregularの研究者は、実世界の脆弱性をモデルにしたラボ環境のWebセキュリティ課題10件で、主要AIモデル(Claude Sonnet 4.5、GPT-5、Gemini 2.5 Pro)をテストしました。明確で指示的な目標が与えられた場合、エージェントは多くの場合低コストで10件中9件を成功させましたが、優先順位付けやスコープ管理に苦戦する、より広範でガイドの少ないシナリオでは性能が低下しました。
AI支援攻撃、10分未満でAWS管理者権限を獲得
Sysdigの脅威リサーチチームは最近、脅威アクターが公開されているAWS S3バケットから盗んだ認証情報を用いてAWS環境への初期アクセスを得たクラウド侵入を観測しました。攻撃者は、偵察、コード生成、意思決定などの作業でLLMの支援を受け、権限を昇格させて約8分で管理者アクセスを達成しました。攻撃者は複数のAWSリソースを侵害し、バックドア用アカウントを作成し、Bedrockモデルを悪用し、アクセスが遮断される前にGPUインスタンスの起動も試みました。
Canada Computersのデータ侵害
Canada Computers & Electronicsは、2026年1月22日に小売Webサイトのシステムへの不正アクセスを認識したと報告しました。このデータ侵害は、2025年12月29日から2026年1月22日の間にゲストとしてチェックアウトした顧客に影響し、クレジットカード情報を含む個人情報が漏えいした可能性があります。店頭購入およびログイン済み会員アカウントは影響を受けませんでした。
上院議員、Salt Typhoon侵害対応をめぐりAT&TとVerizonのCEOとの公聴会を要請
2026年2月3日、上院商業・科学・運輸委員会の筆頭理事であるマリア・キャントウェル上院議員(民主党・ワシントン州)は、AT&TおよびVerizonのCEOを招いた公開の監督公聴会を求め、テッド・クルーズ委員長に書簡を送りました。彼女は、中国によるSalt Typhoon攻撃への両社の是正対応に関して、Mandiantによるネットワークセキュリティ評価を含む重要文書の入手を数カ月にわたり試みたものの成功していないと指摘しました。
Forescoutレポート、OTプロトコル攻撃の急増を強調
Forescoutは2025 Threat Roundupを公開し、昨年観測された世界のサイバー攻撃9億件超を分析しました。主な傾向として、OTプロトコルを用いた攻撃が84%増加したこと、より多くの国へ攻撃が分散したこと、クラウドサービス、脆弱なWebアプリケーション、新興AIプラットフォームの悪用が増加したことが挙げられます。同レポートは、医療、製造、政府、エネルギー、金融サービスなどの重要分野への標的化が強まっている点も指摘しています。
ポーランド警察、DDoS攻撃で20歳の男を逮捕
ポーランドの法執行機関は、世界中の多数のWebサイトを標的としたDDoS攻撃を行った疑いのある20歳の男を拘束しました。容疑者には6件の刑事罪が科されています。自宅アパートでの逮捕時、警察官は攻撃ツールのホスティングおよび配布に使用されていたコンピュータ機器を押収しました。男は保釈で釈放される前に、容疑の大半を認めました。
Bettermentのデータ侵害で140万件の記録が漏えい
自動投資プラットフォームBettermentで最近発生したデータ侵害により、影響を受けたアカウントについて、約140万件の一意のメールアドレスに加え、氏名および地理的位置情報が漏えいしました。一部の記録には、生年月日、電話番号、住所、デバイス情報、雇用主、役職も含まれていました。この侵害は、顧客アカウントやログイン認証情報へのアクセスを伴わなかったものの、Have I Been Pwnedに追加されました。
翻訳元: https://www.securityweek.com/in-other-news-record-ddos-epsteins-hacker-eset-product-vulnerabilities/
