Security Craft CMSのRCEエクスプロイトチェーンが、ゼロデイ攻撃でデータを盗むために使用される。
記事本文(要約)Craft CMSに影響を与える2つの脆弱性が、ゼロデイ攻撃でサーバーに侵入しデータを盗むためにチェーンされて使用されており、攻撃は現在も継続中です。CERT Orange Cyberdefenseが発見したこれらの脆弱性は...
Security
Security 
Security シスコ、一部製品が重大なErlang/OTPの欠陥に影響を受けていることを確認(CVE-2025-32433)
記事本文(要約)Ciscoは、Erlang/OTPにおけるSSHの実装に関するクリティカルなリモートコード実行の脆弱性(CVE-2025-32433)による影響を調査しています。この脆弱性により、認証されていない攻撃者がシステムにアクセスし...
Security 2025年第1四半期に159件のCVEが悪用される-28.3%が公開後24時間以内に
記事本文(要約)2025年の第1四半期において、159件のCVE識別子が「野生で」悪用されていると報告されました。これは前四半期の151件から増加しています。VulnCheckによると、脆弱性の28.3%はCVEの公開から1日以内に悪用され...
Security 「Verizon DBIR、VPNおよびエッジアプライアンスにおける重大なパッチ遅延を指摘」
記事本文(要約)最新のVerizonデータ侵害調査レポート(DBIR)が発表され、注目すべき統計が示されました。昨年、VPNやインターネット向けの機器でのゼロデイ脆弱性の半数しか完全にパッチされておらず、その改善に平均32日を要していました...
Security NFCによるAndroidマルウェアが即時現金化を可能に
記事本文(要約)新しい型のマルウェア「SuperCard X」が、モバイルデバイスのNFC機能を利用して即座に被害者の銀行口座から資金を引き出す手段を提供しています。これは「中国語を話すマルウェア-as-a-Service(MaaS)プラッ...
Security 最大深刻度のCommvaultバグが研究者を警戒させる(CVE-2025-34028)
記事本文(要約)セキュリティ研究者は、CommvaultのCommand Centerの特定バージョンにある重大な脆弱性について警告しています。このバグはCVE-2025-34028として識別され、WindowsおよびLinuxのバージョン...
Security ロシアのハッカーがMicrosoftのOAuthを悪用し、シグナルやWhatsAppを通じてウクライナの同盟国を狙う
記事本文(要約)2025年3月以降、ロシア系とされる複数の脅威アクターが、Microsoft 365アカウントへの不正アクセスを目的に、対ウクライナ関連や人権活動に関わる個人や組織を「積極的に」標的にしています。Volexityによると、こ...
Security フィッシャーがGoogleサイトとDKIMリプレイを悪用し、署名付きメールを送信して認証情報を盗む
記事本文(要約)非常に洗練されたフィッシング攻撃が発見され、攻撃者がGoogleのインフラを利用して偽のメールを送信し、受信者を資格情報を収集するサイトに誘導していることが報告されました。この攻撃は有効なDKIM署名を通過するため、Gmai...
Security SSL.com、証明書発行の脆弱性を修正するために奮闘
記事本文(要約)DCV(Domain Control Validation)の脆弱性により、SSL.comが7つの正当なドメインに対して誤ってデジタル証明書を発行しました。この脆弱性は、研究者がAlibaba Cloudの公式サイトであるa...
Security DeepSeekの情報漏洩、ダークウェブへの入口を開く
記事本文(要約)DeepSeekのセキュリティ侵害事件は、AIシステムの重大な脆弱性を再び浮き彫りにし、データ流出の行方について懸念を生じさせました。Wiz Researchによって、DeepSeekのClickHouseデータベースが公開...