SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。
この記事では、単独の記事にするほどではないものの、サイバーセキュリティの全体像を理解する上で重要なニュースを要約してご紹介します。
毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更、業界レポートなど、注目すべき動向を厳選してお届けしています。
今週のニュースはこちら:
ShinyHuntersがGucci、Balenciaga、Alexander McQueenの顧客データを窃取
ShinyHuntersグループが、ラグジュアリーブランドであるGucci、Balenciaga、Alexander McQueenの数百万人の顧客情報を盗んだ可能性があると、BBCが報じました。親会社のKeringはデータ侵害を認めましたが、金融情報は漏洩していないとしています。ハッカーは、740万件のユニークなメールアドレスに関連するデータを盗んだと主張しています。
Goshen Medical Centerのデータ侵害、45万人に影響
ノースカロライナ州の医療機関Goshen Medical Centerは、データ侵害により45万人以上に影響が及んだことを公表しました。同社は、BianLianランサムウェアグループが同組織をリークサイトに掲載した数か月後に、個人情報や健康情報が盗まれたことを確認しています。BianLianグループは3月以降活動していないため、盗まれたデータの行方は不明です。
広告。スクロールして続きをお読みください。
Retina Group of Floridaのデータ侵害
眼科医療機関Retina Group of Floridaでも、重大な医療データ侵害が報告されました。同組織は2024年11月に侵入を検知し、調査の結果、15万人以上の情報が流出した可能性があることが判明しました。
重大なChaos-Meshの脆弱性
JFrogは、カオスエンジニアリングプラットフォームChaos-Meshに4つの脆弱性を発見しました。そのうち3つは重大な深刻度で、クラスタ内の任意のPodでコード実行が可能となる恐れがあります。「Chaotic Deputy」と名付けられたこれらのセキュリティ欠陥は、CVE-2025-59358、CVE-2025-59360、CVE-2025-59361、CVE-2025-59359として追跡されており、Chaos-Meshバージョン2.7.3で修正されています。
ShinyHunters、Salesforceハッキングで15億件の記録窃取を主張
サイバー犯罪グループShinyHuntersは、最近のSalesforce–Salesloft攻撃で、760社から15億件の記録を盗んだと主張していると、Bleeping Computerが報じました。多くのサイバーセキュリティ企業が影響を受けたことを認めていますが、この種のハッカーグループの主張はしばしば誇張されていることがあります。
DeepSeek AI、中国の反体制派団体向けコードでセキュリティ低下
CrowdStrikeによる調査によると、中国企業DeepSeekのAIが生成するコードは、依頼内容に「反体制派」や中国政府が敏感とみなす団体向けであることを指定すると、セキュリティが低くなることが分かりました。DeepSeekへのリクエストが、禁止されている宗教団体「法輪功」やイスラム国向けである場合、AIはコード生成を拒否することがあります。拒否しない場合、生成されるコードには脆弱性が含まれる可能性が高く、チベットや台湾向けのコードでも同様です。産業用制御システム向けのコードが最もセキュリティ上の欠陥を含む傾向があります。
Claroty、CPSセキュリティのグローバルレポートを公開
Clarotyは、『Global State of CPS Security 2025: Navigating Risk in an Uncertain Economic Landscape』というレポートを発表しました。1,100人のサイバーセキュリティ専門家への調査に基づき、49%が世界的な経済政策の変化や地政学的緊張がサイバーフィジカルシステム(CPS)の資産やプロセスにおけるリスク増大の要因と考えていることが分かりました。4分の3以上が、新たな規制によって現行のCPSセキュリティ戦略の見直しを迫られると考えています。
Atlassian、Mozilla、WatchGuard、Nokiaがパッチを公開
Atlassianは、Confluence、Jira、Jira Service Management Data CenterおよびServerで使用されているサードパーティコンポーネントの4つの脆弱性に対するパッチを公開しました。Mozillaは、ThunderbirdおよびFirefoxの約12件のバグを修正するアップデートをリリースしました。WatchGuardは、認証なしでリモートコード実行につながる重大な脆弱性CVE-2025-9242の修正を発表しました。Nokiaは、Nokia Container Service(NCS)およびCloudBand Infrastructure Software(CBIS)において、認証回避やリモートコード実行を可能にする脆弱性について顧客に通知しました。
Eve Security、シード資金で300万ドルを調達
テキサス州オースティンに拠点を置くEve Securityは、LiveOak VenturesおよびTau Venturesからのシード資金調達ラウンドで300万ドルを調達したと発表しました。同社はまた、エージェント型AIの可観測性とポリシー強制プラットフォームであるEveGuardのローンチも発表しました。このプラットフォームは、Agent-in-the-Loop(AITL)技術を活用し、企業の重要なビジネスシステムとやり取りするAIエージェントのセキュリティを確保します。