Apache Parquet 1.15.0を含む1.15.0以前のバージョンに、深刻なリモートコード実行(RCE)の脆弱性(CVE-2025-30065)が発見されました。CVSSスコアは10.0です。攻撃者は、特別に細工されたParquetファイルを使用して、システムの制御を取得できます。Hadoop、AWSなどのビッグデータプラットフォームで広く使用されており、NetflixやUberなどの企業も影響を受けています。バージョン1.15.1でこの問題は修正されています。ただちにアップグレードすることをお勧めします。アクティブな悪用は報告されていませんが、深刻さとParquetの広範な使用により、リスクは高いです。
続きを読む
マイクロソフトのAI搭載セキュリティコパイロットが、オープンソースのブートローダーであるGRUB2、U-Boot、Bareboxにおいて、これまで知られていなかった20個の脆弱性を発見しました。これらの脆弱性は、バッファオーバーフロー、整数オーバーフロー、サイドチャネル攻撃など多岐に渡り、攻撃者がセキュリティ保護を回避して任意のコードを実行し、ステルス性の高いブートキットをインストールする可能性があります。悪用には物理的なアクセスが必要となる可能性がありますが、可能性は懸念事項です。パッチがリリースされています。ユーザーは直ちにアップデートすることを強く推奨します。
続きを読む
MicrosoftはWindows 11でMicrosoftアカウントの使用を推進していますが、新しく発見されたトリックにより、それを簡単に回避できます。以前は、Microsoftは「BypassNRO.cmd」スクリプトを削除しましたが、レジストリコマンドはまだ機能していました。今では、さらに簡単な方法があります。Windows 11のインストール中に、Shift + F10を押してコマンドプロンプトを開き、「start ms-cxh:localonly」と入力してEnterキーを押すと、ローカルアカウントを作成し、Microsoftアカウントへのログインをスキップできます。この方法はシステムに直接統合されているため、以前のスクリプトベースの方法よりもMicrosoftが削除するのが難しいでしょう。
続きを読む
Qualysの研究者らは、Ubuntu 23.10と24.04の非特権ユーザーネームスペース制限において、3つの重大なセキュリティバイパスを発見しました。これらのバイパスは、aa-execツール、busyboxシェル、LD_PRELOADテクニックを利用して、ローカルの攻撃者が完全な管理者権限を持つユーザーネームスペースを作成し、カーネルの脆弱性を悪用する可能性があります。Canonicalは、これらをAppArmor防御の制限と認識しており、脆弱性そのものではないとしており、kernel.apparmor_restrict_unprivileged_unconfined=1を有効にするなどの管理上の強化策を推奨しています。
続きを読む
Microsoftは、Officeアプリの読み込み速度を上げるため、5月に「Startup Boost」と呼ばれる新しいWindowsスケジュールタスクを導入します。このバックグラウンドタスクはパフォーマンスの向上を事前に読み込みますが、8GBのRAMと5GBの空きディスク容量を持つシステムでのみ実行され、省電力モードでは自動的に無効になります。ユーザーはOfficeアプリの設定で無効にできますが、Officeインストーラーは更新のたびに再び有効にします。起動時間を短縮するために設計されていますが、自動的に再度有効になるため、一部のユーザーをイライラさせる可能性があります。
続きを読む
サイバーセキュリティ企業BleepingComputerは、ハッカーがOracle Cloudサーバーを侵害し、600万人のユーザーの認証データを盗んだと主張していると報じています。Oracleは侵害を否定していますが、BleepingComputerは複数の影響を受けた企業からのデータサンプルの有効性を確認しています。ハッカーは、データベース、LDAPデータ、および14万を超える侵害されたとされるドメインを公開しました。調査では、Oracle Fusion Middleware 11gの脆弱性(CVE-2021-35587)が悪用された可能性が示唆されています。Oracleの否定にもかかわらず、証拠は重大なセキュリティ上の欠陥を示しており、Oracle Cloudのセキュリティに対する懸念を引き起こしています。
続きを読む
Mozillaは、重大なセキュリティリスクを回避するため、Firefoxユーザーに2025年3月14日までにブラウザをバージョン128以降(またはESR 115.13以降)にアップデートするよう強く求めています。重要なルート証明書が期限切れになるため、アドオンが使用できなくなり、悪意のあるアドオン、不正なウェブサイト、パスワードの侵害警告などにさらされる可能性があります。アップデートしないと、深刻なパフォーマンスの問題やセキュリティの脆弱性が発生する可能性があります。このアップデートは、Windows、Android、Linux、macOSユーザーに影響しますが、iOSユーザーには影響しません。古いバージョンでも動作する可能性がありますが、Mozillaは最適なセキュリティとパフォーマンスのためにアップデートすることを強く推奨しています。
続きを読む
マイクロソフトは、最近のWindowsアップデート(KB5050092以降、2025年1月29日以降にリリースされたもの)により、一部のデュアルモードUSBプリンター(USBプリントとIPP over USBの両方をサポート)がランダムな文字列を出力する問題を認めています。これには、ネットワークコマンドや特殊文字が含まれます。Windows 10 22H2とWindows 11 22H2/23H2が影響を受けます。Windows 11 24H2は影響を受けません。マイクロソフトは既知の問題のロールバック(KIR)によってこれを修正し、将来のアップデートでも自動的にロールアウトされます。企業環境では、IT管理者は、影響を受けるデバイスで問題を解決するために、特定のグループポリシーをインストールして構成する必要があります。
続きを読む
研究者たちは、広く使用されているESP32マイクロチップに重大な脆弱性を発見しました。これは10億台以上のデバイスに影響を与えています。29個の未公開コマンドがバックドアとして機能し、攻撃者は信頼できるデバイスを偽装し、許可なくデータにアクセスし、ネットワーク上の他のデバイスに移動し、永続的なアクセスを確立することができます。この脆弱性は、IoTセキュリティに大きなリスクをもたらし、特に既存のrootアクセスや悪意のあるファームウェアと組み合わせると深刻です。Tarlogic Securityが新しく開発したクロスプラットフォームのBluetoothドライバーを使用して発見されたこの問題は、広く展開されているハードウェアにおける包括的なセキュリティテストの重要性を強調しています。製造元のEspressif社はまだ公式にコメントしていません。
続きを読む
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CiscoとWindowsシステムの積極的な悪用を受けている脆弱性について、連邦機関に緊急指令を出しました。CVE-2023-20118はCisco RVシリーズVPNルータに影響し、任意のコードの実行を許します。CVE-2018-8639はWindowsの特権昇格の脆弱性であり、任意のコードの実行も可能です。CISAはこれらの脆弱性を既知の悪用済み脆弱性のカタログに追加し、連邦機関に対し3月23日までの修正を義務付けました。これは、高度なサイバー攻撃を軽減するために迅速なパッチ適用が不可欠であることを示しています。
続きを読む
オーストラリア政府は、外国の干渉、スパイ活動、破壊行為に関連する容認できない安全上のリスクを理由に、すべてのカスペルスキーラボ製品とウェブサービスを政府システムから禁止しました。カスペルスキーはこれらの主張を否定し、禁止には具体的な証拠がなく、政治的な動機があると主張しています。これは、米国、ドイツ、カナダにおける同様の禁止措置に続き、西側諸国がカスペルスキーの政府システムへのアクセスを制限する広範な傾向を反映しています。
続きを読む
WinRAR 7.10がリリースされ、パフォーマンス向上のためのより大きなメモリページ、待望のダークモード、そして再設計された設定インターフェースなど、多くの改良が加えられました。際立った機能は、強化されたプライバシー制御です。ユーザーは、Mark-of-the-Web(MoTW)からの情報の伝播方法を細かく調整できるようになりました。デフォルト設定では、セキュリティゾーンの値のみが保持され、抽出されたファイルから、情報を明らかにする可能性のあるURLやIPアドレスが削除されます。これはデジタルフォレンジックに影響を与える可能性がありますが、プライバシーを重視するユーザーにとって、歓迎すべき追加機能です。
続きを読む
Braveブラウザバージョン1.75は、デスクトップユーザー向けに「カスタムスクリプトレット」機能を導入し、高度なユーザーは独自のJavaScriptをウェブサイトに挿入して、ブラウジング体験を深くカスタマイズできるようになりました。これはTampermonkeyやGreasemonkey拡張機能と同様で、ユーザーは特定のウェブサイトの機能を変更するユーザースクリプトを作成できます。Braveは当初、ブラウザの広告ブロッカーのデバッグのためにこの機能を開発しましたが、その価値からユーザーと共有することにしました。カスタムスクリプトレットは、トラッカーのブロック、外観のカスタマイズ、アクセシビリティの向上などによって、プライバシー、セキュリティ、使いやすさを向上させます。ただし、信頼できないスクリプトを実行するとリスクがあるため注意が必要です。この機能は`brave://settings/shields/filters`にあり、「開発者モード」を有効にする必要があります。
続きを読む
Appleは、標的型で高度な攻撃に使用されたゼロデイ脆弱性(CVE-2025-24200)に対処するため、緊急セキュリティアップデートをリリースしました。この脆弱性により、ロックされたデバイスのUSB制限モードをバイパスし、データの抽出が可能になる可能性があります。このモードは、法執行機関で使用されるフォレンジックソフトウェアによるデータアクセスを防ぐために設計されています。Appleは、潜在的な攻撃を軽減するために、ユーザーに直ちにアップデートすることを強く推奨しています。この出来事は、定期的なソフトウェアアップデートとモバイルデバイスセキュリティの重要性を強調しています。
続きを読む
医療機関向け請求サービスプロバイダーであるMedusindは、36万人以上の個人情報が漏洩したデータ侵害を発表しました。2023年12月の侵害により、健康保険の情報、支払い情報、医療記録、政府発行の身分証明書、個人データなど、機密情報が公開されました。Medusindは、被害を受けた個人に対し、2年間の無料ID監視サービスを提供しており、不正行為がないかアカウントを監視するよう促しています。この事件は、近年の大規模なデータ漏洩の増加に対応して、医療機関のサイバーセキュリティ強化を目的としたHHSによるHIPAA改訂案を受けて発生しました。
続きを読む
研究者らは、AppleのMシリーズとAシリーズプロセッサにおける新しいサイドチャネル脆弱性、FLOPとSLAPを発見しました。これらの脆弱性により、リモートの攻撃者が悪意のあるウェブサイトを通じてWebブラウザから機密データを盗み、ブラウザのサンドボックスを回避することが可能です。脆弱性は、欠陥のある投機的実行に起因し、CPUの誤予測を利用して、メール、位置情報履歴などの情報を漏洩させます。Appleはこの問題を認識しており、解決策を計画していますが、パッチはまだ提供されていません。JavaScriptを無効にすることは一時的な軽減策ですが、ウェブサイトの機能に影響します。
続きを読む
Pwn2Own Automotive 2025ハッキングコンテストで、セキュリティ研究者たちは49個のゼロデイ脆弱性を発見し、合計88万6250ドルを獲得しました。ターゲットはEV充電器、車載OS(Android Automotive OS、Automotive Grade Linux、BlackBerry QNXなど)、車載インフォテインメントシステムなどでした。Summoning TeamのSina Kheirkhahが22万2250ドルと30.5 Master of Pwnポイントを獲得し、優勝しました。このイベントは、自動車ソフトウェアのセキュリティにおける深刻な欠陥を浮き彫りにし、業界におけるセキュリティ向上への継続的な必要性を強調しました。
続きを読む
「スクリプトキディ」として知られる低スキルのハッカーを標的に、データ窃取とコンピューター乗っ取りのためのバックドアを密かにインストールする偽のマルウェアビルダーを使用した脅威行為者がいました。CloudSEKのセキュリティ研究者によると、このマルウェアは世界中で18,459台のデバイスに感染し、そのほとんどはロシア、米国、インド、ウクライナ、トルコに集中していました。このトロイの木馬化されたXWorm RATビルダーであるマルウェアは、GitHub、ファイルホスティングプラットフォーム、Telegram、YouTube、ウェブサイトなど、さまざまなチャネルを通じて配布されました。キルスイッチによって多くの感染がクリーンアップされましたが、一部は依然として侵害されたままです。このマルウェアは、Discordトークン、システム情報、位置情報データなどを盗み、感染したマシンのリモートコントロールを可能にしました。
続きを読む
FBIは、北朝鮮のITワーカーが米国企業に潜入し、ソースコードを窃取して身代金を要求する警告を発した。これらのハッカーは、AIを使った顔交換技術など様々な手段で身元を隠す。アクセス権を取得すると、コードを個人アカウントにコピーし、情報を漏洩すると脅して企業を恐喝する。FBIは、企業に対し、採用プロセスの強化、権限の制限、ネットワークトラフィックの監視などの対策を推奨している。米国、韓国、日本は共同声明で、北朝鮮政府支援のハッカー集団が2024年に6億5900万ドル以上の暗号資産を盗んだことを明らかにした。
続きを読む
Pwn2Own Automotive 2025の初日、セキュリティ研究者たちは16個のユニークなゼロデイ脆弱性を成功裏に悪用し、総額382,750ドルの賞金を獲得しました。Fuzzware.ioチームは、Autel MaxiChargerとPhoenix Contact CHARX SEC-3150の電気自動車充電器をハッキングし、トップに立ちました。このコンテストは、電気自動車充電器、車載インフォテインメントシステム、自動車OSにおける重大な脆弱性を浮き彫りにし、自動車業界におけるサイバーセキュリティの重要性を強調しました。
続きを読む
米国財務省は、最近の財務省への侵入と米国通信事業者への攻撃に関与したとして、上海在住のハッカーYin Kecheng氏と四川巨信和網絡科技有限公司に制裁を科しました。中国国家安全省(MSS)と関連があるとされるYin Kecheng氏は、ゼロデイ脆弱性を悪用して財務省への侵入に関与しました。四川巨信和は、侵害された通信事業者を通じて高官をスパイしたSalt Typhoonハッキンググループと関連しています。制裁により、米国における資産が凍結され、米国企業との取引が禁止されます。この措置は、中国のサイバースパイ活動への米国の取り組みを強調しています。
続きを読む
ワシントン州パスコの教会の牧師が、2021年から2023年にかけて、少なくとも590万ドルの投資家をだました仮想通貨詐欺に関与したとして、26件の詐欺罪で起訴されました。51歳のフランシアー・オバンド・ピニロ牧師は、自分の地位を利用して、「ソラノ・ファイ」という詐欺的な仮想通貨事業に投資家を誘い込みました。彼は、この事業が夢の中で思いついたもので、確実に利益が得られると主張しました。FacebookとTelegramグループを利用して、1500人を超える被害者を獲得しました。起訴状によると、ピニロ牧師は資金を横領し、ウェブアプリに偽の残高を表示し、詐欺を続けるために恐喝などの手段を用いたとされています。彼は現在、最長20年の懲役刑に直面しています。
続きを読む
最近の研究で、GitHub上で310万個を超える偽の「スター」が発見されました。これは、詐欺やマルウェアのリポジトリの人気を人工的に高めるために使用されていました。研究者たちはStarScoutというツールを使って大量のデータを分析し、15,835のリポジトリでこれらの偽のスターに関与した27万8000個のアカウントを特定しました。特に2024年に急増したこの欺瞞的な行為により、悪意のあるプロジェクトが正当なもののように見え、うかつなユーザーに到達することが可能になります。GitHubは多くの関連アカウントとリポジトリを削除しましたが、問題は依然として残っています。ユーザーはプロジェクトの品質を慎重に評価し、GitHubからソフトウェアをダウンロードする際には注意を払うように促されています。
続きを読む
サイバーセキュリティ企業は、北朝鮮の脅威行為者が「Contagious Interview」キャンペーンで使用している新しいマルウェア「OtterCookie」を発見しました。このキャンペーンは、BeaverTailなどの既存のマルウェアに加え、OtterCookieを含むマルウェアを仕込んだ偽の求人広告でソフトウェア開発者を誘い込みます。OtterCookieはNode.jsプロジェクトやnpmパッケージを通じて配布され、Socket.IOを使用してコマンドアンドコントロールサーバーと通信します。暗号通貨ウォレットキー、ドキュメント、画像などの機密データを窃取し、感染したシステム上で偵察活動を行います。専門家は、開発者に対し、求人広告を慎重に確認し、信頼できないコードを実行しないよう警告しています。
続きを読む