SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。
この記事では、単独の記事にするほどではないものの、サイバーセキュリティの全体像を理解する上で重要なニュースを要約してご紹介します。
毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更、業界レポートなど、注目すべき動向を厳選してお届けしています。
今週の注目ニュースはこちら:
米国製造業がZipLineキャンペーンの標的に
米国の製造業が、ZipLineと名付けられた高度な攻撃キャンペーンの標的となっています。攻撃者は、正規のビジネス取引を装ってカスタムマルウェア「MixShell」を配布しているとCheckpointが報告しました。攻撃者は正規企業名で偽のドメインを作成し、数週間にわたり被害者とメールのやり取りをした後、マルウェアを送り付けていました。
ペンタゴンがMicrosoftの中国人技術者によるコードの監査を命令
Microsoftが中国人技術者を雇用し、米国国防総省のシステムを保守していたことが明らかになった後(外国人技術者は必要なセキュリティクリアランスを持つ「デジタルエスコート」に監督されていた)、同社は方針変更を発表し、今後は中国拠点のチームによるペンタゴンへの技術支援を行わないとしました。これは機密データ漏洩の懸念によるものです。国防総省は、Microsoftの中国人技術者が関与したプログラムを終了したと発表し、該当する中国人技術者が提出したコードの監査を要請しています。
広告。スクロールして記事を続けてご覧ください。
CISAが新ツールを公開
CISAは、組織がソフトウェア調達プロセスにおける保証およびサプライヤーリスクを評価するための新しいツールの提供を発表しました。このオンラインリソース「Software Acquisition Guide: Supplier Response Web Tool」は無料で利用できます。ユーザーは、取得するソフトウェアに関する情報(ガバナンスや証明、ソフトウェアサプライチェーン、安全な開発・展開、脆弱性管理の実践など)を入力する必要があります。
Vital Imagingのデータ侵害、26万人に影響
診断イメージングセンターのVital Imagingは、約26万人の個人情報および健康情報に影響を与えるデータ侵害を最近公表しました。不正侵入は2月に検知され、現在も調査が続いており、影響を受けた人物や漏洩したデータの種類の特定が進められています。
ボルチモア市、詐欺師に150万ドルを送金
ボルチモア市は、詐欺師に計約150万ドルを2回送金してしまったことを明らかにしました。市の監察官事務所の報告書によると、詐欺師はWorkdayアカウントにアクセスし、ベンダーの銀行口座情報を攻撃者が管理する口座に変更していました。150万ドルのうち72万ドル以上は市が回収できましたが、残りは詐欺師の銀行から取り戻せていません。
カンタス航空幹部、データ侵害で報酬減額
オーストラリアの航空会社カンタス航空のCEOおよび複数の幹部は、同社が最近被ったサイバーセキュリティインシデントにより、合計80万豪ドル(約55万米ドル)の報酬が減額されました。カンタス航空は7月、570万人以上の顧客がScattered Spiderによるとみられるデータ侵害の影響を受けたと発表。CEOのヴァネッサ・ハドソン氏は25万豪ドル、5人の幹部は合計55万豪ドルの減額となりました。
Google、フランスCNILから3億2500万ユーロの制裁金
フランスのデータ保護機関(CNIL)は2025年9月1日、Googleに対し「Gmailユーザーのメール間に同意なく広告を表示し、Googleアカウント作成時にフランスユーザーの有効な同意なしにクッキーを設置した」として、GDPRおよびEUのePrivacy指令に違反したとして3億2500万ユーロ(約3億8000万ドル)の制裁金を科しました。2022年8月24日にMax Schrems氏のNOYB団体が苦情を申し立てていました。
Google、Gmailセキュリティ問題の主張に反論
Gmailユーザーに対して大規模なセキュリティ問題の警告を出したとの報道に対し、Googleはその主張は誤りだと述べました。同社は、Gmailユーザーを狙ったフィッシングやマルウェア配布の大半をブロックできているとしています。
ブリヂストンがサイバー攻撃の標的に
タイヤ大手のブリヂストン・アメリカスは、一部の製造工場に影響を与えるサイバー攻撃の標的となりました。同社は調査を続けていますが、顧客データが侵害された証拠は見つかっていません。ブリヂストンは以前にもランサムウェア攻撃の標的となっていますが、今回の事件については既知の脅威グループの関与は確認されていません。
詐欺師がGrokを悪用
Xの生成AIチャットボットGrokが、詐欺師によって悪用され、ユーザーを詐欺サイトに誘導する手口が確認されました。GuardioのNati Tal氏によると、詐欺師はXのプロモ投稿でリンクを禁止する規制を回避するため、投稿の「From」欄にリンクを記載しています。その後、詐欺師が「この動画はどこから?」とGrokに返信すると、チャットボットがサイバー犯罪者のサイトへのクリック可能なリンクを返す仕組みです。