2025年を通じて、サイバーセキュリティが見出しを独占し、高プロファイルな侵害、進化する攻撃技術、業界慣行の大きな変化が特徴の1年となりました。
重大なゼロデイ脆弱性とサプライチェーンの脅威から、AI駆動のリスクとベンダーの再編成まで、セキュリティの状況は静止していません。
このまとめでは、Infosecurity Magazineの今年最も読まれたストーリーのいくつかに深く掘り下げ、サイバーセキュリティの会話を形作ったインシデント、革新、トレンドをカバーします。
サイバー脅威検出ベンダーがMITRE評価テストから撤退
マイクロソフト、SentinelOne、Palo Alto Networksの3大サイバーセキュリティ企業は、MITREの2025年ATT&CK評価に参加しませんでした。マイクロソフトは2025年6月に撤退し、SentinelOneとPalo Altoがそれに続きました。
業界アナリストは、テストの複雑性の増加と、評価が本物のセキュリティベンチマークというより宣伝活動になってきたという懸念が、彼らの撤退に貢献したと指摘しました。
MITREのCTO、Charles Clancyは、2019年にセキュリティソリューション測定の一貫性を作成するために開始された年間ATT&CK評価は、業界の改善を促進するために意図的にますます難しくされていることを強調しました。彼は今年のテストが過度に厳しい可能性があることを認めました。MITREは業界の信頼を再構築するために2026年サイクル前にテストの準備をするためにベンダーフォーラムを復活させる予定です。
犯罪的プロキシネットワークが数千台のIoTデバイスに感染
犯罪的なプロキシネットワークが、世界中の数千台のインターネット・オブ・シングス(IoT)および寿命末のコンシューマーデバイスに感染し、主にトルコに基づくインフラストラクチャに存在し、広告不正、分散型サービス妨害(DDoS)、ブルートフォース攻撃、データ搾取などの匿名の悪意のある活動を可能にするオープンな「プロキシ・フォー・レント」サービスに変わりました。
法執行機関とLumenのBlack Lotus Labsが犯罪ネットワークのコマンド・アンド・コントロール・インフラストラクチャの一部を破壊しましたが、脆弱性があり、パッチが当たっていないデバイスの存続は、同様の脅威が続く可能性があることを意味しています。
NISTが脆弱性悪用の可能性を測定するためのメトリックを開始
5月、NISTは「Likely Exploited Vulnerabilities(LEV)」と呼ばれる新しいメトリックを導入しました。これは、「Exploit Prediction Scoring System(EPSS)」をベースに、履歴EPSSデータと既知の悪用脆弱性(KEV)リスト情報を使用して、CVEがすでに悪用されているかどうかを統計的に推定します。
脆弱性の優先順位付けを強化するために設計されたLEVは、ピークEPSSスコア、日付、毎日の確率などの詳細な洞察を提供し、組織が最も可能性が高い悪用されている脆弱性をより良く特定し、修復できるようにします。
新しいハッキンググループが15,000個のFortineファイアウォールの構成をリーク
2025年初頭、「Belsen Group」として知られる新しく浮上したハッキンググループが、約15,000個のFortiGateファイアウォールユニット(ほとんどがFortiOS 7.0.xおよび7.2.xを実行)のVPN認証情報、管理者ユーザー名(一部は平文)、デバイス証明書、およびファイアウォールルールをリークし、Tor経由でダークウェブ上のダンプでアクセス可能にしました。
2022年のゼロデイ悪用(CVE‑2022‑40684)に由来すると考えられているデータは、CloudSEKとセキュリティ研究者によって正当であることが確認され、影響を受けた組織から緊急の認証情報ローテーションとパッチ適用の取り組みを促しました。
ハッカーが新しい「Quishing」攻撃でQRコードを武器化
サイバー犯罪者は、「quishing」と呼ばれるフィッシングキャンペーンでQRコードを使用して、メールセキュリティフィルターをバイパスし、被害者を騙して認証情報盗難またはマルウェアダウンロードにつながる悪意あるコードをスキャンさせることが増えています。
研究者は、QRコードは標準的なURLと比較して従来のセキュリティツールが分析するのが難しいため、この戦術が勢いを増していると警告しています。
オープンソースコミュニティが大規模なnpmサプライチェーン攻撃を阻止
攻撃者が検証済み開発者の認証情報を引き継いだ後、潜在的なnpmサプライチェーン災害は記録的な短時間で回避されました。それは、侵害された開発者のnmpアカウント経由で公開された悪意あるパッケージに埋め込まれたクリプト・クリッパーペイロードをもたらしました。
クリプト・クリッパーは、ネットワークリクエストのウォレットアドレスをスワップし、暗号トランザクションを直接ハイジャックすることで資金を盗みます。
侵害が確認されたわずか数時間後、nmpパッケージのすべての影響を受けたバージョンが削除されていました。多くの人がこのハックを「史上最大のサプライチェーン攻撃」と呼び始めましたが、他の人はオープンソースコミュニティの対応の速さを賞賛しました。
Grok-4がリリース2日後に結合攻撃を使用してジェイルブレイク
リリースからわずか2日後、Grok-4はNeuralTrust研究者によって開発された新しい攻撃方法を使用してジェイルブレイクされました。彼らは、2つの既存戦略である「Echo Chamber」と「Crescendo」を組み合わせて、明らかに悪意のあるプロンプトを使用することなくモデルのセーフティシステムをバイパスしました。
目標は、大規模言語モデル(LLM)が違法な指示を与えるように操作できるかどうかをテストすることでした。この場合、研究者たちはGrok-4に、Crescendoの元の研究で以前使用されたシナリオであるモロトフカクテルの作り方についてのステップバイステップの指示を提供させることに成功しました。
AI幻覚が「Slopsquatting」サプライチェーン脅威を作成
4月、セキュリティ専門家は、コード生成にLLMを使用している開発者が「slopsquatting」という新しいサプライチェーン攻撃に直面する可能性があると警告しました。Python Software Foundation(PSF)の常勤開発者Seth Larsonが造語した用語は、攻撃者がLLMの存在しないソフトウェアパッケージを幻覚する傾向を悪用することを指します。
脅威行為者は、公式リポジトリで幻覚の名前に一致する悪意あるパッケージを公開できます。他の開発者が同じLLMにプロンプトを表示すると、彼らは知らないうちに偽のパッケージをインストールする可能性があります。Virginia Techおよび他の大学の研究は、16個のLLMを576,000個のPythonおよびJavaScriptサンプルでテストし、平均して推奨パッケージの5分の1が存在しなかったため、リスクの妥当性を強調しました。
OWASPがAgentic AIセキュリティガイダンスを開始
OWASPは7月に「Securing Agentic Applications Guide v1.0」をリリースしました。ガイダンスは、LLMsを搭載したAIエージェントを構築している開発者向けの実用的なセキュリティ推奨事項を提供しました。
AIシステムがより自律的になり、ツール使用とマルチエージェント化し、人間のプロンプトなしで動作し、動的に適応するにつれて、新しいリスクに対処することを目指しています。この自律性は、特にコード生成とシステム構成などの分野で重大なセキュリティの懸念をもたらし、サイバー犯罪者がアカウント乗っ取りなどの攻撃を自動化できる可能性があります。
このリソースは、AI/MLエンジニア、ソフトウェア開発者、セキュリティ専門家がこれらのリスクを軽減するのに役立つことを目指しています。
Fortinetがファイアウォールの重大なゼロデイ脆弱性を確認
2025年の初めに、FortinetはFortiGateファイアウォールおよびFortiProxyの重大なゼロデイ脆弱性(CVE-2024-55591)を開示しました。これはCVSS 9.6と評価され、野生で積極的に悪用されています。
この欠陥は認証バイパスを可能にし、2024年12月以来、さらされたFortiGate管理インターフェースをターゲットとした大規模悪用キャンペーンのArctic Wolfからの報告に続きます。
翻訳元: https://www.infosecurity-magazine.com/news/infosecurity-top-10-stories-2025/
