NCHコーポレーション従業員福利厚生プランの会員、ならびにアラスカ州のFoundation Health Partnersおよびカリフォルニア州のOne Community Healthの患者に影響するセキュリティインシデントにより、個人情報および保護対象の医療情報が侵害されました。 NCHコーポレーション 世界的な産業向けソリューション提供企業であるNCHコーポレーションは、同社の従業員福利厚生プランの会員3,098人の保護対象医療情報が侵害されたことを発表しました。NCHコーポレーションは同規模の多くの組織と同様に、業務運営の管理を支援するためにOracleのE-Business Suite（EBS）ソフトウェアを使用しています。 ソフトウェアに存在したこれまで未知の脆弱性（CVE-2025-61882）が脅威アクターに悪用され、Oracle EBSアプリケーションへのアクセスを獲得され、機微なデータが持ち出されました。NCHコーポレーションは、2025年中頃から後半にかけてこの手口で攻撃を受けた複数の組織の一つでした。NCHコーポレーションのデータ侵害通知書には記載されていませんが、これはゼロデイ脆弱性の悪用を得意とするCl0pランサムウェアグループによる大規模な悪用でした。 第三者のサイバーセキュリティ専門家の支援を受け、NCHコーポレーションは脆弱性が8月中旬に悪用されたことを特定し、脅威アクターが氏名、生年月日、社会保障番号、ならびに給付選択情報を取得したと判断しました。NCHコーポレーションは、Oracleが開発したパッチを適用して脆弱性を解消し、セキュリティ向上のためのその他の対策も実施しました。影響を受けた個人には、無料のクレジット監視および身元盗用保護サービスが提供されています。 Foundation Health Partners アラスカ州の地域所有・運営の医療システムであるFoundation Health Partners（FHP）は、2025年11月の郵送事故により、限定的な患者情報が不適切に開示されたことについて、特定の患者に通知しました。FHPは、Fairbanks Memorial Hospital、Tanana Valley Clinic、Denali Center、および州内の複数の外来クリニックを運営しています。 2025年11月14日、FHPは書簡が誤った住所に郵送されたとの通知を受けました。調査が開始され、2025年11月13日に、FHPのクリニックから医療提供者が退職することを患者に知らせるための郵送において誤りがあったことが確認されました。いずれのケースでも、書簡は誤った住所に送付され、患者の氏名と、特定のFHPクリニックにおけるその患者のステータスが含まれていました。FHPは、今後同様の事故を防ぐため、関係者に追加の研修を実施し、郵送手順を見直して、郵送先住所の正確性を確認するための追加チェックを含めたと述べています。本件はまだHHS（米国保健福祉省）の公民権局の侵害ポータルに掲載されていないため、現時点では影響を受けた人数は不明です。 One Community Health カリフォルニア州サクラメントに拠点を置くOne Community Healthは、医療クリアリングハウスであるTrizetto Provider Solutionsにおけるサイバーセキュリティインシデントの影響を受けたことを確認しました。Trizettoのデータ侵害では、One Community Healthを含む一部の医療クライアントが使用するウェブポータルに、2024年11月から2025年10月の間に不正アクセスがありました。Trizettoは2025年10月2日に侵入を発見し、脅威アクターが過去の適格性取引レポートにアクセスしていたことを最近One Community Healthに通知しました。 それらのレポートには、氏名、住所、生年月日、社会保障番号、健康保険情報、主たる被保険者または扶養家族の情報、その他の人口統計情報および健康情報などの保護対象医療情報が含まれていました。 影響を受けた個人には、無料のクレジット監視、詐欺に関する相談、ならびに身元盗用復旧サービスが提供されています。 現時点では、影響を受けたOne Community Healthの患者数は不明です。 翻訳元:

2025年のクリスマス休暇期間中、Adobe ColdFusionサーバーを狙った協調的な悪用キャンペーンが展開され、脅威アクターは複数の脆弱性クラスにわたり250万件を超える悪意あるリクエストを送信しました。 GreyNoiseによるセキュリティ調査は明らかにし、CTG Server Limitedのインフラを介して活動する日本拠点の単一の脅威アクターが、休暇期間を狙った標的型攻撃を実行したことが判明しました。トラフィックの68%は、通常セキュリティ監視が手薄になりがちなクリスマス当日に集中していました。 この攻撃キャンペーンは、意図的な運用戦略を示しています。2つの主要IPアドレス（134.122.136.119および134.122.136.96）が、2023年から2024年に公開された10件以上のColdFusionのCVEを標的として5,940件のリクエストを生成しました。 脅威アクターは、アウト・オブ・バンドのテストツールであるInteractshを利用し、190の異なるコールバックドメインを通じて悪用の成功を検証しました。 このインフラにより攻撃者は、ペイロードが20か国にわたるColdFusionのインストール環境を正常に侵害したことを確認でき、米国の標的から発生したセッションは4,044件に上りました。 主な攻撃ベクトルは、WDDXのデシリアライゼーションを介したJNDI/LDAPインジェクションで、観測されたペイロードの80%を占めました。 攻撃者はcom.sun.rowset.JdbcRowSetImplのガジェットチェーンを用いてInteractshドメインに対するJNDIルックアップを発生させ、脆弱なColdFusionインスタンス上でリモートコード実行を可能にしました。 分析の結果、このColdFusionキャンペーンは、はるかに大規模な偵察オペレーション全体のうち0.2%に過ぎないことが明らかになりました。 同じ2つの主要アクターは、Javaアプリケーションサーバー、CMSプラットフォーム、ネットワーク機器、エンタープライズアプリケーションを含む47の技術スタックにまたがり、767件の異なるCVEを標的として、合計約250万件のリクエストを生成しました。 これは、攻撃者が初期アクセスブローカーとして活動し、下流の脅威アクターへの販売を見据えて脆弱なインフラを体系的に特定していることを示唆します。 インフラ分析からは懸念すべきパターンが明らかになっています。AS152194を運用する香港登録のプロバイダーであるCTG Server Limitedには、悪用との関連が記録されています。 Silent Pushの調査では、このASNがChanelやLVMHなどの高級ブランドを標的とするフィッシングドメインをホスティングするネットワークとして最多であることが特定されました。 BGP分析では、このプロバイダーがbogonルートをアナウンスしていることが示されており、ネットワーク衛生基準の不備を示唆しています。 Adobe ColdFusionを運用する組織は、特定されたすべてのCVEを直ちにパッチ適用し、既知のInteractshドメインに対するネットワークベースの検知を実装するとともに、特定された脅威アクターのIPアドレスからのトラフィックを遮断すべきです。 このキャンペーンが休暇期間を狙って実施されたことは、カレンダーの予定にかかわらずセキュリティ運用の継続性を維持する重要性を浮き彫りにしています。 翻訳元:

Fyzical Therapy & Balance Centersの親会社であるFyzical Acquisition Holdings LLCは、患者の個人情報および保護対象の医療情報への不正アクセスを伴うセキュリティインシデントを発表しました。 Fyzical Therapy & Balance Centersは、米国46州に500か所以上の拠点を持つ大規模な理学療法フランチャイズです。2024年12月9日頃、同社のメール環境内で不審な活動が確認されました。活動の原因を特定するため調査が開始され、メール環境への不正アクセスがあったことが確認されました。 代替データ侵害通知では、メール環境がどの程度の期間侵害されていたかは明記されておらず、その期間中にメールおよび添付ファイルが閲覧または取得された可能性があるとするにとどまっています。影響を受けたデータの確認にはほぼ1年を要し、2025年11月25日に完了しました。その時点で、影響を受けたデータには、氏名、生年月日、社会保障番号、運転免許証番号、州発行ID、金融口座情報、クレジットカード情報、医療情報、健康保険情報が含まれていたことが確認されました。関与したデータの種類は個人によって異なりました。 侵害への対応として、将来同様のインシデントが発生する可能性を低減するため、データプライバシーおよびセキュリティに関する方針と手順が見直され、強化されました。影響を受けた個人には個別の通知書が郵送され、無料のクレジット監視および身元盗難保護サービスが提供されています。 データ侵害の規模は現時点では不明です。というのも、本件は現在、HHS（米国保健福祉省）の公民権局（Office for Civil Rights）のウェブサイトに掲載されていないためです。複数州の司法長官に通知が行われており、データ侵害が全米規模であることが示されています。テキサス州司法長官には、最大でテキサス州在住者1,801人が影響を受けたと報告されていますが、他州の司法長官は、影響を受けた州在住者数をまだ確認していません。 翻訳元:

大韓航空は、機内食サプライヤーで元子会社のKorean Air Catering & Duty-Free（KC&D）が最近ハッキングされたことを受け、数千人の従業員に影響するデータ侵害を経験した。 韓国のフラッグキャリアである同社は従業員数が2万人を超え、保有機材は160機以上。2024年には2,300万人超の旅客を輸送し、売上高は110億ドル超を報告している。 同航空会社は月曜日に社内通知を発出し、KC&D（2020年に機内食および小売の別会社として分社化）が最近ハッキングされたと通知してきたことを受け、データ侵害を開示した。 「今回の事案では、影響を受けたサーバー上の当社ERPシステムに保存されていた当社従業員の個人情報（氏名、銀行口座番号）が侵害されました」と、大韓航空CEOのウ・ギホン氏は社内メモで述べた。 「本件は当社から分社化した外部パートナー企業の管理領域内で発生したものではありますが、従業員の情報が関わる問題であることから、当社は本件を極めて重大に受け止めています。」 同社は侵害により情報が盗まれた従業員数などの詳細を共有していないが、地元メディアの報道によれば、攻撃者は約3万件のデータ記録を持ち出したという。 ​大韓航空はその後、関係当局に本件を報告しており、盗まれたデータが詐欺に使用された証拠はまだ見つかっていないものの、同社になりすましたメールやメッセージに注意するよう従業員に助言している。 「現在、漏えいの正確な範囲と対象の特定に注力しています。現時点では、前述の項目を超える追加の従業員情報漏えいの証拠は確認されていません」とギホン氏は付け加えた。 「しかし、二次被害の可能性を防ぐため、会社や金融機関を装って振込を求める、あるいはセキュリティカード番号を要求する不審なSMSやメールには、全従業員が最大限の注意を払うよう強く求めます。」 大韓航空は攻撃者の特定には至っていないが、ランサムウェア集団Clopは11月のKC&Dへの攻撃について犯行声明を出しており、その後、ダークウェブ上のリークサイトに盗まれたとされるデータを公開し、Torrent経由でダウンロード可能にした。 Clopのリークサイトに掲載されたKC&Dのエントリ（BleepingComputer） ​同じ一連のデータ窃取攻撃の一環として、Clopは世界中の数十の被害者のOracle EBSインスタンスを侵害し、GlobalLogic、Logitech、ハーバード大学、ペンシルベニア大学、ワシントン・ポスト、およびアメリカン航空の子会社Envoy Airなどを含め、盗まれたデータを同集団のリークサイトで公開した。 過去にも、このランサムウェア集団はGoAnywhere MFT、Accellion FTA、Cleo、MOVEit Transferを標的とした他のデータ窃取キャンペーンの背後におり、直近ではGladinet CentreStackの顧客も標的にしている。 米国務省は現在、Clopの攻撃が外国政府と結び付くことを示す情報を提供できる人物に対し、1,000万ドルの懸賞金を提示している。 本日早くにBleepingComputerが連絡を取った際、大韓航空の広報担当者は直ちにコメントできる状況ではなかった。 翻訳元:

韓国最大のオンライン小売業者における内部者によるデータ侵害の捜査の一環として、同社は、証拠隠滅を図ったとされる行為として、キャンバス地のバッグに入れられ、レンガで重しをされて川に投げ込まれた、破壊されたノートPCを回収したと発表した。 韓国版アマゾンとも称されるクーパンは、11月に元従業員によって3,370万件の顧客アカウントの個人情報が侵害されたと発表して以降、ここ数週間にわたり広範な批判にさらされている。 クリスマス休暇中に公表された声明で、同社は本件への対応を擁護し、常に政府の指示に従い当局に全面協力してきたと述べる一方で、「政府機関、国会、そして一部メディア」から過失に関する虚偽の非難を受けているとした。 「クーパンが政府の監督なしに捜査を行っている」という「継続的な誤った言説」に対応して、同社は進行中の捜査の詳細を明らかにし、影響を受けた人々に補償するため、1兆6,850億ウォン（11億8,000万ドル）相当のバウチャー制度を発表した。 同社は、ハロルド・ロジャース暫定CEOの言葉として、今回の個人情報漏えい事案について「責任を全面的に認めている」とし、クーパンの役員・従業員一同が「今回の個人データ漏えいが当社のお客様に与えた重大な懸念と苦痛を深くお詫び申し上げます」と述べた。 以前はクーパンの米国拠点の親会社で最高管理責任者を務めていたロジャースは、12月中旬に漏えいスキャンダルのさなかに辞任したパク・デジュンの後任となった。 このバウチャー制度は、クーパン自社のサービスやプラットフォームにしか適用されないとして批判されており、国会の科学技術情報放送通信委員会の委員長であるチェ・ミンヒは、同社が危機をビジネス機会に変えようとしていると非難した。 「クーパンの全員と政府当局は、この重大な問題に対処するために一丸となって休むことなく取り組んでおり、いま重要な最新情報を提供します」と同社は発表した。 同社は、「デジタル指紋やその他のフォレンジック証拠を用いて、ユーザーデータを漏えいさせた元従業員を特定した。犯人はすべてを自白し、どのようにユーザーデータへアクセスしたかについて正確な詳細を明らかにした」と述べた。 クーパンは、漏えい者に連絡するための政府の承認を得たうえで、初回の面会後に漏えい者のデスクトップPCとハードドライブを回収したとした。事情聴取の結果、追加の端末としてMacBook AirのノートPCが特定され、近くの川から潜水チームによって回収されたという。 ノートPCは破壊され淡水に沈められていたにもかかわらず、クーパンは、マンディアント、パロアルトネットワークス、アーンスト・アンド・ヤングのスタッフで構成される同社のフォレンジックチームが、政府の捜査当局に引き渡す前に、当該端末の記録化と棚卸しに成功したと述べた。 フォレンジック分析の結果、当該人物は「3,300万アカウントにアクセスした」ものの、保持していたユーザーデータはそのうち「約3,000件分のみ」であり、侵害に関する報道後にそのデータは削除されたことが判明した。同社は、このデータが販売されたり第三者と共有されたりした証拠はないとする一方、当局は引き続き捜査を行っているとした。 捜査に関する最新情報と、侵害の影響が限定的であるとの暫定的な確認を受けて同社株は6%上昇したが、韓国の議員による追及や、米国で係争中の集団訴訟などの法的課題は引き続きクーパンの財務にとってリスクとなっている。 翻訳元:

Fortinetは先週、FortiOSに存在する5年前の不適切な認証の欠陥が、再び攻撃者の標的になっていると警告した。 CVE-2020-12812として追跡されているこの悪用されているFortiOSの脆弱性は、特定の構成では、ユーザーが二要素認証（2FA）を求められることなく認証できてしまうことに起因する。 Fortinetによると、このセキュリティ上の欠陥は、認証に関するFortiGateとLDAP Directoryの挙動の違いによるものだ。FortiGateはデフォルトでユーザー名を大文字・小文字を区別して扱う一方、LDAP Directoryは区別しない。 攻撃者はユーザー名の大文字・小文字を変更でき、その結果、影響を受けるアプライアンスが第2要素認証（FortiToken）を要求しなくなる。 「これは、『user local』設定で二要素認証が有効になっており、かつそのユーザーの認証タイプがリモート認証方式に設定されている場合に発生します」とFortinetは2020年7月に述べた。 CVE-2020-12812は、ランサムウェアグループや国家支援の脅威アクターによるものを含め、攻撃で悪用されてきたことが知られている。 現在、Fortinetによれば、ハッカーは再びこの脆弱性を悪用して2FAを回避しているが、特定の構成に対してのみだという。Fortinetの最新のアドバイザリより： この問題を発生させるには、組織に以下の構成が存在している必要があります： FortiGate上に、LDAPを参照する2FA付きのローカルユーザーエントリがあること： 同じユーザーがLDAPサーバー上のグループのメンバーである必要があること。例：ユーザーjsmithが「Domain Users」「Helpdesk」のメンバーである。 二要素ユーザーが所属するLDAPグループの少なくとも1つがFortiGate上に設定されている必要があること（例：「Domain Users」「Helpdesk」）。また、そのグループが認証ポリシーで使用されている必要があり、例えば管理者ユーザー、SSLまたはIPSEC VPNを含む可能性がある。 すべての前提条件が満たされると、攻撃者は管理者またはVPNユーザーの有効なユーザー名を、正確な大文字・小文字の一致ではない任意のものに変更でき、その結果、2FAトークンが要求されなくなる可能性がある。 「これが発生した場合、システム構成は侵害されたものと見なすべきであり、LDAP/ADバインディングで使用されるものを含め、すべての認証情報をリセットすべきです」とFortinetは指摘している。 このセキュリティ欠陥に対する緩和策は、FortiOSのバージョン6.0.10、6.2.4、6.4.1で導入された。組織は悪用を防ぐため、より新しいリリースに更新すべきである。 「username-sensitivityをdisabledに設定すると、FortiGateはjsmith、JSmith、JSMITHおよび考え得るすべての組み合わせを同一として扱い、その結果、誤って構成された別のLDAPグループ設定へのフェイルオーバーを防止します」とFortinetは述べている。 同社はまた、ローカルLDAP認証が失敗した際にセカンダリLDAPグループが設定され使用されている場合にこの問題が発生し得るため、不要であればセカンダリLDAPグループを削除すべきだとも指摘している。 翻訳元:

分析と相関は、プラットフォームRecorded Future（Insikt Group）の助けも借りて構築しました。こうしたケースでは、シグナル、噂、運用上の優先順位が入り乱れる混沌に秩序を与えるのに役立ちます。 誰も望んでいないのに毎年きっちりやって来るクリスマスの伝統がある：パネットーネ、親戚…そして認証前（pre-auth）のバグが、サーバからメモリの断片をキャンディみたいに吐き出させる。今回の毒入りプレゼントはMongoBleed、すなわちCVE-2025-14847で、MongoDB Serverを直撃する。 これは「全部壊してデータを暗号化する」タイプの典型的な脆弱性ではない。もっと陰湿な意味で厄介だ：秘密を持ち去る。そして秘密があれば、残りは全部開けられる。 何が起きるのか 欠陥はzlibによる圧縮メッセージの処理にある。長さフィールドが不整合だと、サーバがリモートの未認証クライアントに初期化されていないヒープメモリを返してしまう可能性がある。結果として、メモリ上の「通りすがり」のデータが漏えいする。Heartbleedっぽいが、MongoDBの世界で起きる。 ここでの重要点は一つ：認証前だということ。インスタンスがインターネットから到達可能なら、攻撃者は何も「推測」する必要がない。サービスに話しかけるだけでいい。 漏えいし得るのは認証情報、セッショントークン、APIキー、クラウドキー、PII、設定、ログ断片など。ピボットや権限昇格に最適な素材で、「受動的」な漏えいを「能動的」（かつ収益化可能）な侵害へ変えられる。 そして、安心材料としての「でもMongoはファイアウォールの内側だから」という発想も、残念ながら救いにならない：しばしばそうではない。あるいはもっと悪く、「書類上だけ」そうなっている。 パッチ 公表されている修正版には8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30が含まれる。NVDは影響範囲と該当ブランチ（「移行」がもはや助言ではなく先延ばしされた宣告になっているレガシーも含む）を確認している。 MongoDBは2025年12月19日にパッチをリリースした。そしていつも通り、「修正が利用可能」から「大規模悪用」までの時間はあくびで測れる。 「In the wild」 複数の分析が活発な悪用と、詳細/PoC公開後の加速を報告している。並行してCensysは部屋の中の象を可視化する：およそ87,000のMongoDBインスタンスが露出している（上位にはおなじみの国々）。 そして苦い余談：2025年になっても、データベースをランディングページみたいにインターネットに置きっぱなしにする話をしている。誰かが「回収」に来ても驚けない。 検知 MongoBleedの最も厄介な点の一つがこれだ：一般的なSIEMフローに「分かりやすい」痕跡が残るとは限らない。複数の研究者が（Velociraptorや専用クエリなど）アーティファクトとハンティングロジックを推し進めている。PoCのパターンを捕捉するには、周辺だけでなく現場の可視性が必要だからだ。 要するに：MongoDBノードでまともなログが取れていないと、インシデントを診断ではなく症状で知ることになる。 Ubisoft / Rainbow Six Siege MongoBleedが、Ubisoft / Rainbow Six Siegeに関連する注目事案で初期侵入ベクターとして使われた可能性が取り沙汰されている。VX-Undergroundは明確な主張を報じている一方、別の情報源は侵害自体は実在するとしつつも、ベクターは公に未証明として扱っている。結論：レーダーには載せておくが、Xを法廷にしてはいけない。 そしてまさにここで、インテリジェンスの観点からRecorded Future/Insiktが役に立つ：事実、確度、プロパガンダを切り分けること。 今後数週間に起きると予想すること いつも同じことが起きる：スキャンの波、機会主義的な悪用、その後「良い」標的（別の場所に入るために有用な秘密を引き出せる相手）の選別。MongoBleedはこのモデルに完璧に合う：鍵を盗むほうが、境界を頭突きで破るより効率的なことが多い。 そしてイタリアでは？インシデントに愛国心を持ち込む必要はない。MongoDBはモダンなスタックの至る所にあり、しばしば小さなチームが扱い、しばしば「一時的に露出」（つまり永遠に）し、しばしば「どうせ誰も興味ない」という発想で運用される。ネタバレ：大いに興味を持たれる。特にメモリから出ていくのが再利用可能なトークンや認証情報ならなおさらだ。 今すぐやるべきこと パッチ適用。今すぐ。すぐにパッチできないなら、攻撃面を減らす：インターネットへの直接露出はしないこと。暫定緩和策として想定されている場合は、更新するまでzlib圧縮の無効化を検討する（これは松葉杖であって、治癒ではない）。そのうえで、楽観的なsysadminではなくインシデントレスポンダーとして考える：インスタンスが露出していて活動が疑われるなら、メモリ上に存在し得た秘密のローテーション（認証情報、APIキー、トークン、クラウドキー）を検討し、狙いを定めたハンティングを行う。 なぜなら問いは「侵入されたか？」ではない。MongoBleedでは、もっとシニカルな問いになる：「どの秘密がすでに漏れた可能性があるか？」 この記事は気に入りましたか？私たちはLinkedIn、Facebook、Instagramのコミュニティで議論しています。Google Newsでもフォローして、サイバーセキュリティに関する日々の更新を受け取ってください。あるいは、掲載したいニュース、深掘り、寄稿をお知らせいただける場合はご連絡ください。 翻訳元:

CloudSEKの脅威調査・情報分析部門（TRIAD）は、所得税をテーマにしたフィッシング誘導を用いてインドの組織を標的とする、進行中のサイバー諜報キャンペーンを発見しました。 この作戦は中国の国家支援を受ける Silver Fox APT によるものとされており、この誘導タイプと同グループのインフラとの間で初めて確認された関連性となります。 フィッシングメールはインド所得税局からの正規通知を模倣しているように見え、「TOPSOE India Private Limited」とラベル付けされた添付ファイルが含まれています。 開くとPDFはドメイン ggwk[.]cc に誘導し、「tax affairs.exe」という実行ファイルを含む悪意のあるZIPファイルのダウンロードを引き起こします。 技術分析により、この実行ファイルは Nullsoft Scriptable Install System（NSIS） インストーラーであることが判明しました。NSISは、正規に見えるバイナリ内に圧縮されたペイロードを埋め込むためによく使用されます。 インストーラーは一時作業ディレクトリを作成して実行を開始し、 Thunder.exe および libexpat.dll の2つのファイルをドロップします。 Thunder.exe は中国企業Xunleiの正規のデジタル署名付きアプリケーションですが、ここでは DLL検索順序 を乗っ取るために悪用されています。 実行されると、このバイナリは正規版ではなく悪意のある libexpat.dll を読み込み、攻撃者のコードが信頼されたプロセスの下で実行されるようにします。 このDLLは複数のアンチデバッグおよびサンドボックス回避チェックを実行し、Windows Updateサービスを無効化し、 box.ini から暗号化されたペイロードを読み込みます。 復号してシェルコードとして実行した後、マルウェアは explorer.exe に自身をインジェクトします。このペイロードは DonutLoader として機能し、ディスク検知を回避するために最終的な悪意のあるモジュールを完全にメモリ上で復号・実行します。 最終ペイロードは、キーロギング、リモートシェルアクセス、ファイル転送、レジストリベースの永続化が可能なリモートアクセス型トロイの木馬である Valley RAT と特定されています。 このRATは、 b[.]yuxuanow[.]top、 itdd[.]club、 gov-a[.]work などのドメインを含む3層のフェイルオーバーシステムを介してコマンド＆コントロール（C2）サーバーと通信し、主要サーバーがブロックされても継続的な接続性を確保します。また、柔軟な通信のためにHTTP/HTTPSと生TCPプロトコルの両方をサポートします。 Valley RATは、暗号化されたプラグインをWindowsレジストリに保存することで永続性を維持し、攻撃者 がシステムを再感染させることなく機能を更新したり新しいモジュールを展開したりできるようにします。 これらのプラグインは tracerpt.exe （署名付きのMicrosoftバイナリ）にインジェクトされ、認証情報の窃取や監視のためにマルウェアの機能を拡張します。 標準的なファビコンやドメイン登録パターンといった共有インフラ要素からのピボットにより、CloudSEKはこのキャンペーンを、地域的な諜報活動で知られる中国のグループ Silver Fox APT に帰属させました。 報告書は、正確な帰属が敵対者の行動を理解する上で重要であることを強調し、誤分類は防御戦略を誤った方向へ導きかねないと警告しています。 翻訳元:

保健福祉省（HHS）の公民権局（Office for Civil Rights：OCR）がHIPAAコンプライアンスの主たる執行機関ですが、州司法長官（Attorney General）も、医療保険の携行性と責任に関する法律（HIPAA）の規則への準拠を執行するうえで役割を担っています。 医療情報技術の臨床的・経済的健全性に関する（HITECH）法により、州司法長官には、HIPAAのプライバシー規則およびセキュリティ規則の違反によって影響を受けた州住民を代表して民事訴訟を提起する権限が付与され、州住民のために損害賠償を得ることができます。コネチカット州司法長官は2010年、150万人分の電子的保護対象保健情報（ePHI）を含む暗号化されていないハードドライブの紛失および侵害通知の遅延を理由に、Health Net Inc.に対してこの権利を初めて行使しました。この事件は25万ドルで和解しました。続いてバーモント州司法長官も2011年にHealth Netに対して同様の措置を取り、5万5,000ドルで和解しました。またインディアナ州は2011年にWellpoint Inc.に対して民事訴訟を提起し、10万ドルで和解しました。 州司法長官によるHIPAA関連事件は比較的まれで、2010年から2015年の間にHIPAA違反を解決するためにHIPAAの対象事業体およびビジネス・アソシエイトと成立した和解は11件にとどまりました。州司法長官によるHIPAA執行は2017年に5件の和解で強化され、さらに2018年には12件の事件でHIPAA規則違反に対する金銭的制裁が科されました。 2019年と2020年は、金銭的制裁に至った事件は合計わずか5件でしたが、制裁額は大きく、5件中4件は、複数の州司法長官が参加した、HIPAAの対象事業体およびビジネス・アソシエイトに対するマルチステート（複数州）での措置でした。こうしたマルチステートの措置により、州司法長官は資源を持ち寄り、HIPAAおよび州法の潜在的な違反をより効率的に調査できます。 2023年は執行の面で多忙な年となり、HIPAA規則および州の消費者保護法・侵害通知法の違反を解決するために16件の執行措置が行われました。カリフォルニア、コロラド、インディアナ、ニューヨーク、オハイオ、ペンシルベニアの各州の司法長官により事件が解決され、さらに3件のマルチステート調査が解決しました。これには、Blackbaudに対する49州による措置、Personal Touch Home Careに対する32州による措置、EyeMed Vision Careに対する4州による措置が含まれます。Blackbaudの550万件の記録に及ぶ侵害に関する事件では、4,950万ドルの制裁金が科されました。 州司法長官が対象事業体またはビジネス・アソシエイトに対して民事訴訟を提起する場合、それは公民権局（OCR）による措置とは別個のものであり、OCRも調査を選択し、独自の罰金や制裁を科すことがあります。複数のデータ侵害では、連邦および州の両レベルで和解に至っています。Community Health Systems/CHSPSC、Anthem Inc.、Premera Blue Cross、Aetna、Cottage Health System、University of Rochester Medical Center、Medical Informatics Engineeringはいずれも、潜在的なHIPAA違反を解決するためにOCRとの和解と、州司法長官との別個の事件の和解の双方を行っています。 以下に示す州司法長官による執行措置の多くでは、金銭的制裁が連邦（HIPAA）および／または州法の違反を解決するものとなっています。これまでの経緯の中で、HIPAA規則が違反されていたものの、州法における同等規定の違反として措置を講じる判断がなされた事例が複数あります。以下で詳述する事件には、HIPAA規則が違反されていたものの、州法違反として措置が取られた事例が含まれます。 2025年の州司法長官によるHIPAA執行 2025 ニューヨーク Orthopedics NY LLP $500,000 656,086 ランサムウェア攻撃およびデータ侵害 HIPAAセキュリティ規則および州のプライバシー・セキュリティ法の違反 2024年の州司法長官によるHIPAA執行 年 州 事業体 金額 影響を受けた個人 調査理由 認定事項

7万社の玄関ドアを開けられるマスターキーがあるのに、鍵屋がその弱点を直そうとしない――そんな状況を想像してください。まさにそれが、XSpeederのネットワーク機器で見つかったセキュリティ脆弱性で起きています。この問題は調査会社pwn.aiによって発見され、同社は独自のAIツール（同じくpwn.aiという名称）を用いて、ハッカーに悪用される前に脆弱性を見つけ出しました。 この脆弱性はCVE-2025-54322として追跡され、満点の10.0（Critical）という最高の脅威評価を獲得しました。というのも、パスワード不要で外部の第三者がデバイスの「root」権限を完全に掌握できてしまうからです。私たちが知るとおりrootアクセスはハッカーにとって究極の戦利品であり、通信の監視、データの窃取、さらにはシステムの完全停止まで可能にします。 AIはいかにして穴を見つけたのか XSpeederは、ルーター、SD-WANアプライアンス、スマートTVコントローラーといった「エッジ」デバイスで知られる中国のベンダーです。同社の中核ソフトウェアSXZOSは、工場や遠隔オフィスで広く利用されています。 脆弱性を見つけるために、pwn.aiツールはAIエージェントの「スウォーム（群れ）」に、これらのデバイスをエミュレートして弱点を探すよう指示しました。これらのエージェントは、数十年にわたるハッキング経験に基づく独自アーキテクチャを用い、デバイスの挙動を再現して脆弱な箇所をスキャンします。 Hackread.comと共有された技術的な調査によると、AIはvLogin.pyというファイルを標的にしました。chkidパラメータと呼ばれるデータフィールドに悪意あるコードを詰め込むことで、デバイスに任意のコマンドを実行させる手口を突き止めたのです。研究者らは、これが「公表されたものとしては史上初の、エージェントが発見した遠隔から悪用可能な0デイ」であると述べています。 7か月間の沈黙 AIが悪用目的で使われる話はよく耳にします。たとえば2025年11月には、中国の国家支援グループによる「高度に洗練されたAI主導のスパイ活動キャンペーン」についてのAnthropicの報告がありました。しかし今回の事例は、AIが防御においても強力なツールになり得ることを示しています。 とはいえpwn.aiにとって、脆弱性の発見は戦いの半分にすぎませんでした。チームは7か月以上にわたりXSpeederに修正を求め続けましたが、残念ながら「パッチもアドバイザリも発行されていない」といいます。 研究者らは次のように記しています。「他のベンダーとは異なり、7か月以上にわたって働きかけたにもかかわらずXSpeederから一切の反応を得られなかったため、これを最初の開示対象として選びました。その結果、公開時点で残念ながらこれは依然としてゼロデイ脆弱性のままです。」 なお、この悪用に天才的な技術は不要である点は注目に値します。ブログ投稿によれば、「攻撃者が知る必要があるのは標的のIPだけ」です。 修正の見通しが立たないまま、現在オンライン上で7万のシステムが露出しており、産業環境や拠点（ブランチ）環境へのリスクは甚大です。Pwn.aiの調査は、同ツールがすでに他にも約20件の重大な脆弱性を発見していることを示しており、セキュリティ脆弱性を見つけ、対抗する方法が永遠に変わったことを明確にしています。 脆弱性の開示や警告を無視するベンダー 一部のベンダーは脆弱性報告に対して迅速に、かつ責任をもって対応しますが、別のベンダーは無視したり、リスクを過小評価したり、さらには報告した研究者に逆上することさえあります。最近の例として、欧州の鉄道サービス大手Eurostarが、AI搭載チャットボットの深刻な欠陥を報告したPen Test Partnersの研究者を、脅迫だとして非難した件が挙げられます。 このような出来事は珍しくありません。世界各地で起きており、ポルトガルのような国々が、セキュリティ問題を特定して報告しただけで倫理的ハッカーや研究者が訴追されないよう、サイバー犯罪法の改定を進めている理由の一つかもしれません。 翻訳元:

Microsoftは、Web、Windows、モバイルのCopilotにGPT 5.2を無料アップグレードとして展開しており、GPT 5.1モデルと共存します。 GPT-5.2は、OpenAI史上最強のモデルシリーズだと説明されており、スプレッドシートやプレゼンテーションの作成、コードの作成とレビュー、長文ドキュメントの理解、ツールの使用、画像を扱うことなどを含む実際の作業を、より速く完了できるようになります。 Copilot上のGPT 5.2 Plus 出典: BleepingComputer 先月、CopilotはSmartモード向けにGPT 5.1で更新されました。今回、Microsoftは新しい「Smart Plus」モードとしてGPT 5.2をCopilotに追加しています。 Copilot上のGPT 5.2は、Microsoftが複雑なタスクをより適切に処理できると明言していることから、GPT 5.2の「Thinking」バリアントであるようです。 「知識労働」タスク（44職種にわたるGDPval）では、GPT-5.2 Thinkingは70.9%の確率で業界の専門家に勝つか同等となり、GPT-5の38.8%と比べて大きく上回っています。 これは大幅な伸びであり、OpenAIがGPT-5.2を、多くの明確に定義されたオフィス業務（資料デッキ、スケジュール、モデルなどの成果物）において「専門家レベル」と位置づける理由でもあります。 コーディングでは、GPT-5.2 ThinkingはSWE-Bench Proで55.6%、SWE-bench Verifiedで80%を記録しており、いずれもGPT-5.1 Thinkingを上回っています。 ベンチマークによると、GPT 5.2はGPQA Diamond 92.4%、AIME 2025 100%、CharXiv Reasoning（Python使用）88.7%で、ARC-AGIでも（ARC-AGI-2での大幅な伸びを含め）より高いスコアを示しています。 翻訳元:

XSpeederのSXZOSファームウェアに重大なリモートコード実行（RCE）の脆弱性が特定され、世界中で7万台を超えるネットワーク機器に影響しています。 CVE-2025-54322として追跡されているこの脆弱性により、攻撃者は認証や資格情報を一切必要とせずに、脆弱なシステムを完全に制御できるようになります。 XSpeederは中国のネットワークベンダーで、SD-WAN機器、ルーター、エッジアプライアンスを製造しており、世界中のリモートオフィスや産業環境で広く導入されています。 発見された欠陥は同社のSXZOSファームウェアのWebインターフェースに存在し、悪用にはHTTPリクエスト1回だけで足ります。 成功すると、攻撃者はroot権限のアクセスを獲得し、機器を完全に制御できるようになります。 この脆弱性は、ファームウェア内のセキュリティ欠陥を特定するために設計された高度なAIエージェントを用い、自律型サイバーセキュリティ研究プラットフォームであるpwn.aiによって発見されました。 研究チームは、ファームウェア解析からリモートコード実行の成功に至るまで、悪用プロセス全体を文書化することで、攻撃がどのように機能するかを意図的に明らかにしました。 7か月以上前に脆弱性を発見していたにもかかわらず、研究チームは修正に関してXSpeederから何の回答も得られませんでした。 責任ある情報開示の慣行に従い、同チームは2025年12月26日に脆弱性の詳細を公開し、その時点で利用可能なパッチがない0デイ欠陥となりました。 この攻撃は主に3つの弱点を悪用します。古い認証チェック、不適切な入力検証、そして信頼できないデータに対してPythonのeval()関数を使用している点です。 XSpeeder SXZOS機器を運用している組織は、パッチが提供されるまで、これらが重大に侵害されているものとして扱うべきです。 支社オフィスや遠隔の産業拠点にこれらの機器が広く導入されていることから、この脆弱性はサプライチェーンセキュリティにとって特に危険です。 セキュリティチームは直ちにネットワークインフラを棚卸しし、使用中のXSpeeder機器を特定するとともに、これらのシステムを狙う不審なHTTPトラフィックを監視すべきです。 セキュリティ更新についてXSpeederに連絡するか、暫定的な緩和策としてネットワーク分離措置を検討してください。 翻訳元:

HIPAAインシデント管理とは、自動化されたセキュリティツールによって検知された、または従業員によって報告されたHIPAAセキュリティインシデントを追跡し、対応し、文書化するプロセスです。効果的なHIPAAインシデント管理プロセスは、HIPAAセキュリティ規則の管理的保護措置への準拠を支援するだけでなく、組織のセキュリティ防御におけるギャップの特定にも役立ちます。 すべてのHIPAA対象事業体およびビジネスアソシエイトは、疑われる、または既知のセキュリティインシデントを特定して対応するための手順、インシデントによる有害な影響を軽減するための手順、ならびにインシデントとその結果を文書化するための手順を整備することが求められています（§164.308(a)(6)）。また、対象事業体およびビジネスアソシエイトは、セキュリティインシデント追跡レポートを定期的にレビューするための手順を実装する必要もあります（§164.308(a)(1)）。 しかし、HIPAAセキュリティ規則は、対象事業体およびビジネスアソシエイトがこれらの管理的保護措置にどのように準拠するかについて柔軟性を認めています。柔軟性の程度は、組織の規模、複雑性、能力、既存の技術インフラ、ハードウェアおよびソフトウェアのセキュリティ能力、そしてセキュリティ対策のコストを、保護対象保健情報（PHI）に対する潜在的リスクの発生確率および重大性と比較した場合のバランスによって左右されます。 無料で入手インシデント管理チェックリスト HIPAAインシデント管理計画の実装方法を理解できるようにしましょう ダウンロード用リンクをあなたのメールアドレスに送信します プライバシーは尊重されます HIPAA Journal プライバシーポリシー この柔軟なアプローチにより、攻撃対象領域が広い大規模組織は自動化されたHIPAAインシデント管理システムに投資できる一方で、小規模組織は手動プロセスを導入したり、HIPAAインシデント管理ソフトウェアパッケージを購読したりすることで、HIPAAコンプライアンスのコストを抑えることができます。HIPAAインシデント管理が完全自動、手動、または半手動のいずれであっても、プロセスには特定の要素を含める必要があります。 インシデントの検知と報告の選択肢 HIPAAセキュリティ規則は、対象事業体およびビジネスアソシエイトに対し「疑われる、または既知のセキュリティインシデントを特定し、対応する」ことを求めていますが、HIPAAセキュリティ規則におけるセキュリティインシデントの定義のため、この要件に完全に準拠することは不可能です。 「セキュリティインシデントとは、情報システムにおける情報への不正なアクセス、使用、開示、改変、または破壊の試み、もしくは成功、あるいはシステム運用への干渉をいう。」 出典: §164.304。 この定義は、対象事業体およびビジネスアソシエイトが（例として）失敗したポートスキャンの試行、失敗したブルートフォース攻撃、メールフィルターによってブロックされ差し戻されたスパムメールなどを検知するための対策を講じるべきであることを示唆しています。これらの機能を備えた自動化されたHIPAAインシデント管理システムを導入することは可能ですが、コストと潜在リスクの分析を行うと、ほとんどの組織にとってそのようなシステムの導入は合理的ではないでしょう。 しかし、対象事業体およびビジネスアソシエイトは、成功したポートスキャン、ブルートフォース攻撃、検知を回避するスパムメール、ならびに電子PHIの機密性・完全性・可用性に悪影響を及ぼし得るその他のセキュリティインシデントを検知するための対策を講じる必要があります。この種のインシデントが検知された場合、それを追跡して対応できるよう、迅速にインシデントを報告するための対策を講じることも必要です。 多くの組織は、セキュリティインシデントの報告に自動化手順と手動手順を組み合わせて使用しています。たとえば、アンチウイルスソフトウェアはスキャン中にマルウェアを検知すると自動的にAVアラートを生成します。一方、多くのアンチフィッシングソリューションには、ユーザーが疑わしいフィッシングメールをITセキュリティチームへ直接手動で報告できるメールクライアント用プラグインが含まれています。プラットフォームによっては、自動報告と手動報告のインシデントを統合し、管理を容易にするものもあります。 HIPAAインシデントの追跡と監視 HIPAAインシデントの追跡と監視には3つの目的があります。第1は、セキュリティインシデントの報告に優先順位を付け、最も重大な脅威から先に対応することです。第2の目的は、すべてのセキュリティインシデントが確実に対処されるようにすることです。第3の目的は、HIPAAセキュリティ管理プロセス基準（§164.308(a)(1)）に準拠するため、定期的にレビューできるセキュリティインシデント追跡レポートを作成できるようにすることです。 HIPAAセキュリティインシデントの検知と報告の選択肢と同様に、追跡と監視のためのHIPAAインシデント管理プロセスは、自動化、手動、またはその組み合わせで実施できます。多くの組織にとって、「両者の組み合わせ」が最も望ましい選択肢です。すなわち、「人と機械」の共同体制により、自動化プロセスにおける見逃し（偽陰性）のリスクと、手動のみのプロセスに伴うヒューマンエラーのリスクを軽減できます。 「両者の組み合わせ」は、追跡レポートをレビューする際にセキュリティインシデントの傾向を特定するうえでも、より効果的になり得ます。自動化のみのプロセスは文脈を欠いたデータ分析になりやすく、手動のみのプロセスはデータ量に圧倒されやすい一方で、共同体制であれば、組織の業務とリスク分析に関連するセキュリティ防御上のギャップを特定できます。 HIPAAインシデントの処理と対応 HIPAAインシデント管理プロセスにおける「HIPAAインシデントの処理と対応」の要素は、封じ込め、軽減、復旧から構成されます。脅威の種類によって封じ込め・軽減・復旧の方法は異なるため、HIPAAインシデントの処理と対応に万能のプレイブックは存在しません。そのため、対象事業体およびビジネスアソシエイトは、HIPAAセキュリティ規則のガイダンスに従うことが推奨されます。同規則は（要約すると）次のように述べています。 「対象事業体およびビジネスアソシエイトは、[…] 方針および手順（§164.316(a)）を実装し、電子PHIの安全性または完全性に対して合理的に予見されるあらゆる脅威または危険から保護し（§164.306(a)(2)）、データの損失が生じた場合にそれを復元するための手順を確立しなければならない（ §164.308(a)(7)）」。 この要約されたガイダンスは、対象事業体およびビジネスアソシエイトに対し、合理的に予見される各種インシデントの種類ごとにHIPAAインシデント管理ポリシーを策定し、インシデントで失われたデータの復元を確実にするHIPAAインシデントの処理と対応の手順を実装することを実質的に求めています。重要なのは、これらの方針および手順が、HIPAAインシデントの処理と対応を担当する個人がすぐに利用できる状態である必要があることです。 さらに、方針および手順は、HIPAAセキュリティ規則の要件を引き続き満たしていることを確認するために「定期的に評価」されなければなりません（§164.308(a)(8)）。一部の自動化されたHIPAAインシデント管理システムはポリシーを最新の状態に保つことができますが、自動更新の正確性を確保し、HIPAAインシデントポリシーの変更が既存のセキュリティ対策を損なわないようにするため、人の関与も依然として推奨されます。 HIPAAセキュリティインシデントの文書化 前述のとおり、セキュリティインシデントとその結果の文書化は、管理的保護措置（§164.308(a)(6)）の要件です。しかし、この基準はHIPAAインシデント文書に何を含めるべきかについてのガイダンスを提供していません。その結果、インシデントから学ぶ機会、類似インシデントの可能性を低減する対策の実装、適切な従業員トレーニングの提供、将来のインシデントの影響軽減といった取り組みが制限される可能性があります。 繰り返しになりますが、HIPAAインシデントの文書化にも万能のプレイブックはありません。というのも、インシデントの種類によっては迅速に封じ込め・軽減・復旧できる一方で、別の種類ではより複雑で段階が多いからです。目安として、対象事業体およびビジネスアソシエイトは、最低限、HIPAAインシデント文書に以下を含めることが推奨されます。 インシデントの詳細 …

HHS OIG 除外リストは、連邦医療プログラムへの参加が禁止されている個人および組織のデータベースであり、連邦医療プログラムに参加する医療提供者は、社会保障法第1128条への不遵守による罰則を回避するため、HHS OIG 除外リストを定期的に確認することが推奨されています。本記事では以下に回答します： HHS 監察総監室（Office of Inspector General）とは？ HHS OIG 除外リストとは？ OIG 除外リストはどのように作成（掲載）されるのか？ なぜ除外の有無を確認するために OIG リストをチェックするのか？ 除外対象の事業体と関与した場合の罰則は？ 提供者はどのようにして罰則リスクを軽減できるか？ 除外の確認のために他にどのリストをチェックすべきか？ 結論：除外の定期確認の重要性 補遺：HHS OIG 除外リストの別称 HHS 監察総監室（Office of Inspector General）とは？ HHS 監察総監室（OIG）は、保健福祉省（HHS）内の調査官、監査人、アナリスト、弁護士、サイバーセキュリティ専門家で構成されるチームです。チームの役割は、同省内の詐欺、浪費、不正使用を防止するために省の業務を調査・監査すること、ならびに省に対する潜在的犯罪を監査・捜査することです。 HHS は、メディケイド詐欺により毎年数十億ドルが失われていたことを背景に、1976年に最初期に監察総監室を設置した省庁の一つでした。当時は未調査案件が10年分滞留していたため、議会は公法94-505を可決し、滞留の解消に十分な資源を備え、将来の詐欺や不正使用を検知する措置を実施できる独立部門を創設しました。 その後の議会制定法により、同省に対する犯罪を防止するための OIG の規制権限は拡大されました。1986年の虚偽請求修正法（False Claims Amendment Act）は詐欺の立証要件を緩和し、OIG が科し得る罰金を増額しました。また、1996年の医療保険の携行性と責任に関する法律（HIPAA）は、医療詐欺・不正使用対策（HCFAC）プログラムを創設しました。 HCFAC により、HHS の OIG は社会保障法第1128条を執行するための資源を得ました。同条は「特定の個人および事業体のメディケアおよび州医療プログラムへの参加からの除外」に関するもので、1977年のメディケア・メディケイド反詐欺・不正使用修正法の成立以来有効であったにもかかわらず、資源不足により適切に執行されていませんでした。 HHS OIG 除外リストとは？ HHS OIG 除外リストとは、社会保障法第1128条（およびその後の第1156条）に基づき、連邦医療プログラムへの参加から除外された個人および組織のリストに付された名称です。このリストは現在、メディケアおよび州医療プログラムにとどまらず、CHIP、TRICARE、退役軍人省（Veterans Affairs）などのプログラムも含みます。 OIG の「除外された個人および事業体のリスト（LEIE）」としても知られる HHS OIG 除外リストには、除外された個人または組織の住所、全国提供者番号（National Provider Number）、医師固有識別番号（Unique Physician Identification Number）、生年月日、職務内容、除外日、除外理由（社会保障法第1182条の該当条項への参照）などの詳細が含まれています。

HIPAA違反の罰金は、HIPAA規則への準拠を怠った場合に、保健福祉省（HHS）の公民権局（OCR）および州司法長官によって科されることがあります。 本記事では、HIPAA規則に違反したと認定されたHIPAA規制対象事業体に対して科されたHIPAA違反罰金について、詳細に解説します。 また、無料のHIPAA違反チェックリストと併せて本記事をご利用いただくことで、完全な準拠を確保するために何が求められるかを理解できます。コピーをご希望の方は、このページのフォームをご利用ください。 HIPAA違反罰金の大半は和解によるものです 多くの場合、対象事業体およびビジネス・アソシエイトは、HIPAA規則の特定要素に対する準拠に潜在的な不備があった可能性を認め、和解金額に合意し、責任を認めることなく事件は解決します。和解に加えて、HIPAA上の不備に対処するための是正措置計画が発行されます。HIPAA対象事業体およびビジネス・アソシエイトは、調査結果に同意せず、罰則を科す決定に異議を申し立てることがあります。その場合、罰則の免除を支持する証拠を提出する機会が与えられます。これが認められない場合、民事制裁金（CMP）が科されます。民事制裁金は、申し立てられた違反について和解した場合に支払う罰金よりも高額になります。OCRは、民事制裁金が科された場合には是正措置計画を課すことはできません。 OCRはHIPAA違反に対して罰金を科しますが、州司法長官は、HIPAAではなく州法に基づいてHIPAA規制対象事業体に金銭的制裁を求めることを選ぶ場合が少なくありません。州法違反に対する措置は勝訴しやすい傾向があり、州レベルの罰則体系では、より高額の金銭的制裁が認められることさえあります。HIPAA/HITECHに基づく権限を行使し、HIPAA規則違反についてHIPAA対象事業体およびそのビジネス・アソシエイトに対する金銭的制裁を求めて訴訟を提起した州はごくわずかですが、すべての州が少なくとも1件の複数州共同措置に参加しています。 HIPAA違反の罰則体系 罰金額は、生活費の上昇を反映するために毎年調整されます。2024年8月8日以降に評価される事案に適用される最新の更新では、以下の表の罰則体系が用いられています。行政管理予算局（OMB）が設定した2025年のインフレ乗数は1.02598で、遅くとも2025年1月15日までに適用されるべきです。OCRはしばしば1月15日の期限を守れず、昨年8月に前回のインフレ増加分を適用しました。 罰則区分 責任の程度 違反1件あたりの最低罰金 違反1件あたりの最高罰金 年間罰金上限 Tier 1 合理的な努力 $141 $71,162 $2,134,831 Tier 2 監督不十分 $1,424 $71,162 $2,134,831 Tier 3 怠慢 – 30日以内に是正 $14,232 $71,162 $2,134,831 Tier 4 怠慢 – 30日以内に是正されず $71,162 $2,134,831 $2,134,831 *表は2024年8月10日に最終更新され、2024年の生活費調整乗数（1.03241）を含みます。次回の年次増加は2025年1月15日に予定されています。 上表はHIPAA違反に対する公式の罰金額を示していますが、OCRは2019年4月に「執行裁量に関する通知（Notice of Enforcement Discretion）」を発出し、HITECH法の文言を再検討した結果、4つの罰則区分のうち3つで年間罰金上限が引き下げられると述べました。年間罰金上限の上限は、Tier 1が$25,000、Tier 2が$100,000、Tier 3が$250,000に変更されました。Tier 4の年間最大罰金は$1,500,000のまま変更されていません。これらの上限もインフレ増加の対象です。以下の表は、HIPAA Journalが年次インフレ増加を織り込み、OCRの執行裁量に関する通知を適用して算出したものです。 Tier 1の違反1件あたりの最高罰金は、その区分の年間上限を上回っています。これは、執行裁量に関する通知が引き下げたのは年間罰金上限のみであり、HIPAA違反の最高罰金（違反1件あたり）を引き下げたわけではないためです。この不整合は、将来の規則制定を通じて新たに再解釈された罰則体系が正式に採用される際に解消される可能性があります。しかし、執行裁量に関する通知は法的拘束力がなく、OCRはいつでも当該通知を撤回することを選択できるものの、無期限に有効であり続けます。HITECH法の再解釈要件を公式に採用するための追加の規則制定は、OCRがHIPAA違反の罰則をより効果的な抑止力とするために議会に罰則引き上げを求めていることから、実現可能性は低いと考えられます。 年間罰金上限 違反1件あたりの最低罰金 違反1件あたりの最高罰金

保険大手のAflacは、2025年6月に同社のシステムから個人情報が盗まれたとして、約2,265万人に通知している。 同社は6月20日、侵入を公表し、6月12日に米国内のネットワークで不審な活動を確認したと述べ、巧妙なサイバー犯罪グループの犯行だとした。 同社は、直ちに攻撃を封じ込め、インシデント対応を支援するために第三者のサイバーセキュリティ専門家と連携したと説明した。ファイル暗号化型ランサムウェアは展開されなかったため、Aflacの業務は影響を受けなかった。 クリスマス直前、ジョージア州コロンバスに本拠を置く同社は、侵害された可能性のあるデータに関する調査を完了し、影響を受けた個人への通知を開始したと発表した。 同社は「影響を受けた可能性のあるファイルを精査した結果、約2,265万人に関連する個人情報が含まれていたと判断した」と述べた。 侵害された情報には、氏名、住所、社会保障番号、生年月日、運転免許証番号、政府発行ID番号、医療および健康保険情報、その他のデータが含まれると、保険大手は説明している。 Aflacは、同社ウェブサイト上の通知（PDF）で、「影響を受けた可能性のあるファイルの精査により、顧客、受益者、従業員、代理店、ならびにAflacに関連するその他の個人に紐づく個人情報が含まれていたことが判明した」と述べた。 同社は、影響を受けた個人に対し、24か月間の無料のクレジット監視、個人情報盗難保護、医療詐欺保護サービスを提供している。 Aflacは、盗まれた情報が不正に使用された事実は把握していないとしているが、影響を受けた個人に対し、個人情報盗難や詐欺の試みに引き続き警戒するよう呼びかけている。 保険大手はデータ侵害の背後にいる脅威アクターの名称を明らかにしなかったが、このインシデントは「保険業界に対するキャンペーン」の一環だと述べた。 これは、GoogleのThreat Intelligence Groupが、同時期に同ギャングが保険会社に注力していると警告していたことから、Scattered Spiderハッキンググループが侵入の責任を負っていた可能性を示唆している。 翻訳元:

米国上場（NYSE: CPNG）の韓国EC大手クーパンは月曜日、最近のデータ侵害に関する補償として1兆6,850億ウォン（約11億7,000万ドル）を支出する計画を発表した。 同社が12月上旬に明らかにしたところによると、この事案は11月18日に発見され、海外サーバーを経由して顧客の個人情報に不正アクセスが行われたという。 クーパンはSecurityWeekに対し、データ侵害は2025年6月24日に始まり、韓国で3,370万件の顧客アカウントが影響を受けたと説明した。 12月15日、同社は証券取引委員会に対し、この事案の原因が元従業員であると通知した。 同社によれば、この人物は「最大3,300万件の顧客アカウントに紐づく氏名、電話番号、配送先住所、メールアドレスを取得し、影響を受けたアカウントの一部については特定の注文履歴も取得した」という。 現在、クーパンは発表で、データ侵害の影響を受けた3,370万人全員に対する補償計画を進めているとしている。 2026年1月15日から、同社は影響を受けた各顧客に対し、5万ウォン（約34.84ドル）相当の1回限りの購入バウチャーを提供する。総額は11億7,400万ドルを超える。 「対象は11月末に個人情報漏えい通知を受け取った3,370万人の顧客です。WOW会員と一般会員はいずれも同額を支払います。クーパンを退会したお客様で、個人情報漏えいの通知を受け取った方も含まれます」と、同社発表の自動翻訳にはある。 クーパンは、この補償計画の実施により、ブランドに対する顧客の信頼を回復したい考えだ。 「今回の事案を受け、クーパンは『顧客中心主義』を心の奥深くで実践し、最後まで責任を果たし、顧客に信頼される企業になります」と、クーパン・コリア暫定CEOのハロルド・ロジャース氏は述べた。 別の声明で、クーパン創業者兼会長のキム・ボムソク氏は、盗まれたデータはすべて回収され、侵入者の記憶装置が押収されたことを明らかにした。 「漏えい者のコンピューターに保存されていた顧客情報は3,000件に限定されていることが確認され、これらも外部に流通したり販売されたりしていません。捜査は継続中であり、追加の詳細が確認され次第、速やかにお知らせします」と、同社創業者は述べた。 翻訳元:

ヨルダン、天候の変化に備える：雨・寒さ・強風の見込み 今後の気象パターン アンマン — 月曜日、ヨルダンはキプロス島東方に位置する低気圧の影響で、天候が大きく変化する見通しだ。この低気圧により、冷え込みと曇天が入り混じる状況に加え、国内の北部および中部で降雨が再び広がると予想されている。ヨルダン気象局（JMD）は、東部の一部および南西部の高地も影響を受けると示している。 降雨と雷雨 JMDによると、雨の傾向は特に北部と中部で強まり、南西部にも影響が及ぶ見込みだ。場所によっては一時的に強い雨となり、雷雨を伴ったり、局地的に雹が降ったりする可能性もある。この種の天候は屋外活動に大きな影響を与え、道路上の危険を高めるおそれがある。 風と砂じんへの懸念 降雨に加えて、西寄りの風がかなり強まり、突風は時速60〜70キロに達すると見込まれている。こうした強風は砂漠地帯で砂じんを巻き上げ、視界不良を引き起こす可能性がある。夜にかけて降雨の強さは徐々に弱まる見通しだが、雲は残りやすい。 気温と地域差 火曜日は、ヨルダンの大半で寒冷な空気に覆われる一方、ヨルダン渓谷、死海、アカバなどでは比較的穏やかな状況になると予測されている。朝にはさまざまな高度で雲が発生し、王国の北部および中部では弱いにわか雨の可能性がある。 水曜日は気温がわずかに上昇する見込みだが、全体として寒い天候が引き続き優勢となる。ヨルダン渓谷、死海、アカバ沿いの地域では、比較的暖かい状況が続く見通しで、日中は雲が広がり、中程度の南西風が予想されている。 月曜日の予想気温範囲 JMDは月曜日の気温範囲について、アンマンでは最低5〜9℃、アカバでは12〜20℃になると予測している。このばらつきは、王国内の地域によって天候の体感が大きく異なることを示している。 自治体の備え 今後の天候変化を受け、グレーター・アンマン市（GAM）は先手を打った対応を進めている。報道官のナセル・ラハムネ氏は、低気圧の接近に伴い、市が現在、最大警戒態勢に入っていると発表した。土曜日以降、隊員が配備されており、トラー・アル・アリの緊急オペレーション室を通じて寄せられる事案や通報に対応できるよう備えている。このレベルの備えは、悪天候下での公共の安全確保に不可欠である。 結論 ヨルダンがこれらの差し迫った気象パターンに対応する中、住民はJMDからの最新情報を確認し、特に大雨や強風が予想される地域では必要な予防措置を講じるよう呼びかけられている。 翻訳元:

このブログは、過去1年で私たちが気づいた新しく懸念すべきトレンドを取り上げるシリーズの一部です。トレンドは重要です。なぜなら、ほとんどの場合、次に何が起こるかを示す良い指標になるからです。 2025年に非常に明確になったことが1つあるとすれば、マルウェアはもはやWindowsだけに焦点を当てていないということです。特にAndroidとmacOSを狙うキャンペーンで、いくつかの大きな進展が見られました。残念ながら、スマートフォンやタブレット、その他の接続デバイスを保護することが、ノートPCを守るのと同じくらい不可欠だと、いまだに多くの人が理解していません。 Android Androidのバンキングトロイの木馬は新しいものではありませんが、その高度化は続いています。これらの脅威は2025年も引き続き大きな問題であり、資格情報を盗んだり、密かにデバイスを乗っ取ったりするために、偽アプリに偽装することがよくあります。最近のHerodotusのような高度なバンキングトロイの木馬の波は、人間のタイピング行動を模倣して検知を回避でき、これらの攻撃がどれほど洗練されてきたかを浮き彫りにしています。Androidマルウェアには、無料アプリを通じて侵入的な広告を強引に表示するアドウェアも含まれており、ユーザー体験と全体的なセキュリティの両方を損ないます。 複数のトロイの木馬がオーバーレイを使用していることが判明しました。これは本物の銀行アプリや暗号資産アプリの上に表示される偽のログイン画面です。画面上の内容を読み取れるため、誰かがユーザー名とパスワードを入力すると、マルウェアがそれらを盗み取ります。 macOS Macユーザーにとって最も注目すべき進展の1つは、悪名高いClickFixキャンペーンがmacOSへ拡大したことでした。2025年初頭、私は解説として、犯罪者が偽のCAPTCHAサイトとクリップボードハイジャッカーを使い、訪問者が自分のマシンにLummaインフォスティーラーを感染させてしまうよう誘導する手順を提示していたことを紹介しました。 ClickFixとは、ユーザー自身に悪意のあるコマンドを実行させるよう騙すこの種のキャンペーンに対して、研究者が後に付けた名称です。macOSでは、この手法がAMOSスティーラーとRhadamanthysインフォスティーラーの両方を配布するために使われています。 クロスプラットフォーム マルウェア開発者は、RustやGoといったクロスプラットフォーム言語をますます利用し、Windows、macOS、Linux、モバイル、さらにはInternet of Things (IoT) デバイスでも動作するマルウェアを作成しています。これにより柔軟な標的化が可能になり、潜在的な被害者の数が拡大します。マルウェア・アズ・ア・サービス（MaaS）モデルも増加しており、これらのツールを闇市場でレンタルまたは購入できる形で提供することで、マルウェアの開発と配布がさらにプロフェッショナル化しています。 iPhoneユーザーは、Android所有者よりも詐欺に遭いやすく、モバイルセキュリティへの意識が低いことが判明しています。そこで、防御の第一線となるのが、使用しているデバイスやOSとは無関係なもの――教育です。 ソーシャルエンジニアリングは人間の行動を悪用します。何に注意すべきかを知っていれば、詐欺に引っかかる可能性は大幅に低くなります。 実はマルウェアだった偽アプリ、Playストア内の悪意あるアプリ、セクストーション、そして高額なロマンス詐欺は、いずれも基本的な人間の感情につけ込みます。金銭を直接狙うか、デバイス感染への第一歩としてトロイの木馬ドロッパーを送り込むのです。 また、初期感染手法としてしばしば用いられるリモートアクセス型トロイの木馬（RAT）の活動も一貫して増加しているのを確認しています。暗号資産や銀行関連の標的を含む金融に焦点を当てた攻撃の増加もあり、さらに広範なスティーラーマルウェアがデータ侵害を引き起こしています。 これは2026年に何を意味するのか？ これらのトレンドを総合すると、明確な変化が見えてきます。サイバー犯罪者はWindows以外のOSへとますます注力し、モバイルとmacOSに特化して調整された高度な手法とソーシャルエンジニアリングを組み合わせています。 翻訳元:

新たに発覚したフィッシング作戦は、スペイン語話者のMicrosoft Outlookユーザーを標的とし、AI支援によるコード生成と、データ流出を容易にするためのTelegramおよびDiscordへのコマンド＆コントロール（C2）チャネルの移行を用いています。 セキュリティ研究者は2025年3月頃にこのキットの最初の兆候を確認しましたが、分析が始まったのは8月でした。このキャンペーンは通称 Mycelial Mageと名付けられ、Microsoft Outlookのログインページを模倣し、ユーザーの認証情報に加えてIPおよび位置情報データを収集するよう構築されていました。 その後、URLScan検索によりこのシグネチャを持つ感染ドメインが数十件特定され、一貫した構造が明らかになりました。これは散発的な使い回しではなく、協調されたサービス型の運用であることを示唆しています。 初期の亜種では xjsx.jsというスクリプトが使用され、軽い難読化の後にオペレーターのTelegramボットトークンとチャットIDが保存されていました。 このモジュール型アプローチにより、攻撃者は中核となるフィッシングロジックを変更せずに認証情報をローテーションできました。キャンペーン はその後、tlgram.jsと呼ばれる強化版へと進化し、高度な解析妨害技術が導入されました。 これには、動的デバッガートラップ、コンソールのハイジャック、自己参照型の正規表現トリガーが含まれ、静的解析と実行時解析の双方を妨げるよう設計されていました。これは素人のスクリプトではなく、意図的なコード保護を示しています。 より最近の亜種（例：disBLOCK.js）では、Telegramベースの流出がDiscordのWebhookに置き換えられています。このバージョンでは、すべてのロジックがスペイン語で明確に文書化され、関数は正しく整形され、インデントも一貫しており、AI支援による開発を示唆しています。 TelegramからDiscordへの移行は、運用上のセキュリティも向上させました。Telegramボットは有効なトークンを持つ分析者にメッセージ履歴を露出しますが、DiscordのWebhookは一方向の「書き込み専用」チャネルとして機能し、防御側が盗まれたデータを閲覧したり再生したりできないようにします。 発見されたすべての亜種において、流出のワークフローは一定でした。盗まれた認証情報は api.ipify.org および ipapi.co から取得したメタデータで補強され、その後、菌類の絵文字マーカーを含む標準化された形式でHTTPS POSTリクエストにより送信されました。 このエコシステムは、古いマスクなしのバージョンからAI強化版の亜種まで、複数の運用ブランチを維持し、それらが継続的に流通しているように見えます。 これらの調査結果は、ますます一般的になっている傾向を浮き彫りにしています。すなわち、犯罪開発者がモジュール型フレームワーク、自動化、大規模言語モデルを採用し、フィッシング作戦を効率化しているということです。 攻撃者が使い捨てのインフラと短命な流出チャネルへと進化するにつれ、防御側は盗まれたデータをリアルタイムで追跡または遮断することが一層困難になっています。 翻訳元:

人気のテキスト／コード編集ソフトウェアEmEditorが最近サプライチェーン攻撃の標的となり、情報窃取型マルウェアが配布される事態となった。 レドモンドに拠点を置くEmurasoft, Inc.が開発するEmEditorは、コーディング、テキスト編集、大容量ファイルの処理向けに設計された高性能なWindowsツールである。 12月22日に公式サイトに掲載されたセキュリティインシデントの告知で、同ソフトの開発者は、12月19日（太平洋時間）18:39から12月22日（太平洋時間）12:50の間に「今すぐダウンロード」ボタンを使用してEmEditorをダウンロードした人は、悪意のあるインストーラーを受け取った可能性があると警告した。 告知には次のように記されている。「この期間にEmEditorホームページの［Download Now］ボタンからインストーラーをダウンロードした場合、当社のデジタル署名のない別のファイルがダウンロードされた可能性があります。これは保守的な見積もりであり、実際には影響を受けた期間はより短く、特定の時間帯に限定されていた可能性があります」。 Emurasoftの分析によれば、「今すぐダウンロード」ボタンの背後にあるURLが変更され、EmEditorサイト内の別の場所にホストされた悪意のある.msiファイルを指すようになっていたという。 偽のインストーラーは本物のインストーラーと同じ名前で、サイズも近かったが、別会社に属する証明書で署名されていた。 実行すると、悪意のあるインストーラーは、偽のEmEditorドメインからファイルをダウンロードして実行するためのPowerShellコマンドを実行した。 中国のサイバーセキュリティ企業Qianxinはこの攻撃を調査し、潜在的な脅威について企業および政府機関に警告した。同社は、当該エディターが中国で大きなユーザーベースを持つと指摘している。 Qianxinの分析では、悪意のある.msiファイルに、システム情報に加え、デスクトップ、ドキュメント、ダウンロード各フォルダー内のファイルを収集するためのスクリプトが含まれていた。VPN構成、ブラウザー情報、WindowsおよびZoho Mail、Discord、Slack、Teams、Zoom、WinSCP、PuTTY、Telegram、Steamなどのアプリケーションの認証情報といったデータも収集される。 同社は、マルウェアがシステム言語を確認し、旧ソ連諸国またはイランに設定されている場合は終了すると指摘した。 Qianxinの研究者はまた、情報収集後に、完全な機能を備えた情報窃取型マルウェアと説明されている「Google Drive Caching」という名称のブラウザー拡張機能が展開されることを突き止めた。 この悪意のある拡張機能は永続化のために使用され、攻撃者がシステム情報、閲覧履歴とブックマーク、Cookieを収集できるようにする。 さらに、この拡張機能にはクリップボード乗っ取り機能があり、暗号資産アドレスを攻撃者が所有するものに置き換えることができる。また、キーストロークの記録やFacebook広告アカウントの窃取も可能だという。 Qianxinは帰属（アトリビューション）に関する情報を共有していないが、その説明からは、このサプライチェーン攻撃が国家支援のAPTではなく、金銭目的のサイバー犯罪者によって実行されたことが示唆される。ただしサイバーセキュリティ業界では、両者の脅威アクター区分の境界はますます曖昧になっているとされる。 EmEditor攻撃の侵害指標（IoC）は、QianxinおよびEmurasoftから入手できる。 翻訳元:

Fortinetは、脅威アクターが依然として、脆弱なFortiGateファイアウォールを標的にする際に二要素認証（2FA）を回避できる重大なFortiOSの脆弱性を積極的に悪用しているとして、顧客に警告しました。 CVE-2020-12812として追跡されているこの不適切な認証に関するセキュリティ欠陥は、FortiGateのSSL VPNで見つかったもので、ユーザー名の大文字・小文字を変更することで、未パッチのファイアウォールに対して二要素目の認証（FortiToken）を求められることなくログインできるようにします。 「これは、『user local』設定で二要素認証が有効になっており、かつそのユーザーの認証タイプがリモート認証方式（例：ldap）に設定されている場合に発生します」と、Fortinetは2020年7月にこの脆弱性を修正した際に説明しました。「この問題は、ローカル認証とリモート認証の間で大文字・小文字の区別に関する照合が一貫していないために存在します」 Fortinetは2020年7月に、この欠陥に対処するためFortiOS 6.4.1、6.2.4、6.0.10をリリースし、セキュリティ更新を適用できないIT管理者に対しては、2FAバイパス問題を回避するためユーザー名の大文字・小文字の区別を無効にするよう助言しました。 先週、同社は、攻撃者がLDAP（Lightweight Directory Access Protocol）が有効なファイアウォールを標的にし、CVE-2020-12812を実環境で依然として悪用していると顧客に警告しました。 ただし、これらの継続中の攻撃に対して脆弱となるには、組織側で、二要素認証（2FA）を要求しLDAPにリンクされたローカルユーザーエントリがFortiGate上に存在している必要があります。さらに、これらのユーザーはLDAPグループに所属している必要があり、そのLDAPグループもFortiGate上で設定されていなければなりません。 「Fortinetは、特定の構成に基づき、2020年7月の脆弱性FG-IR-19-283 / CVE-2020-12812が実環境で最近悪用されていることを確認しました」と、同社は述べています。 「この状況が起こり得る要因の一つは、ローカルLDAP認証が失敗した場合に使用されるセカンダリLDAPグループの誤設定です。セカンダリLDAPグループが不要であれば削除すべきです。LDAPグループをまったく使用していない場合、LDAPグループ経由の認証は不可能であり、ユーザー名がローカルエントリと一致しなければ認証に失敗します」 2021年4月、FBIとCISAは、国家支援のハッカーがFortinet FortiOSインスタンスを攻撃していると警告し、CVE-2020-12812を悪用して2FAを回避するものを含む複数の脆弱性を標的としたエクスプロイトが使用されているとしました。 その7か月後の2021年11月、CISAはCVE-2020-12812を「既知の悪用されている脆弱性」カタログに追加し、ランサムウェア攻撃で悪用されているとしてタグ付けするとともに、連邦機関に対し2022年5月までにシステムを保護するよう命じました。 Fortinetの脆弱性は攻撃で頻繁に悪用されており、しばしばゼロデイ脆弱性として利用されます。たとえば11月には、同社は攻撃で積極的に悪用されているFortiWebのゼロデイ（CVE-2025-58034）について警告しました。これは、広範な攻撃で悪用されていた2つ目のFortiWebゼロデイ（CVE-2025-64446）を同社が密かに修正していたことを確認してから1週間後のことでした。 翻訳元:

ニューヨーク州の整形外科医療機関であるOrthopedics NY LLP（別名：OrthoNY、OrthopedicsNY）は、2023年12月のランサムウェア攻撃およびデータ侵害をめぐり、ニューヨーク州司法長官から50万ドルの罰金を科された。ニューヨーク州のキャピタル・ディストリクトを対象とする複数のメディアが報じている。ニューヨーク州司法長官レティシア・ジェームズは、現時点でこの和解についてウェブサイトでの発表やプレスリリースの発行を行っていない。 OrthopedicsNYは、ニューヨーク州キャピタル地域で、整形外科、理学療法、MRI画像診断、手術のクリニックを約20拠点運営している。2023年12月28日ごろ、OrthopedicsNYはINC Ransomによるランサムウェア攻撃の被害に遭った。調査には約9か月を要し、2024年9月5日、現患者および元患者、ならびに従業員の個人情報および保護対象医療情報が本件で侵害されたことが明らかになった。 このデータ侵害は当初、影響を受けた人数が約5,100人と報告されていたが、その後、合計656,086人に更新された。これらの人々は、攻撃で自分の情報が盗まれたことを知るまで10か月待たされることになった。ランサムウェア攻撃は2023年12月下旬に発生したものの、影響を受けた人々への通知が開始されたのは2024年10月30日になってからだった。OrthopedicsNYは身代金の要求があったことを確認しているが、身代金が支払われたかどうかは不明である。ランサムウェア集団は侵害されたログイン認証情報を用いてネットワークにアクセスし、暗号化されていない個人情報および保護対象医療情報をネットワークからダウンロードした。これには、11万人超の社会保障番号、運転免許証番号、パスポート番号が含まれていた。 ニューヨーク州司法長官事務局はこのデータ侵害に関して調査を開始し、OrthopedicsNYが患者データを保護するための合理的かつ適切なサイバーセキュリティ対策を実施していなかったと認定した。これは連邦法および州法に違反する。 50万ドルの金銭的制裁に加え、OrthopedicsNYは影響を受けた人々に対し、1年間の無料クレジット監視サービスを提供し、データセキュリティを大幅に改善することが求められている。これらの措置には、包括的な情報セキュリティプログラムの実装および維持、リモートアクセスに対する多要素認証、すべての機微な患者情報のデータ暗号化が含まれる。さらにOrthopedicsNYは、不正アクセスを特定するための監視システムを導入し、従業員および患者情報へのアクセスを制限し、機微なデータに対するリスクと脆弱性を特定するための年次リスク評価を実施しなければならない。 「患者は医療提供者に個人情報を託しており、提供者はシステムの安全性を確保することでその信頼に応えなければなりません。OrthopedicsNYは患者の私的情報を守るために必要な注意義務を果たしませんでした。いかなる患者も自分の情報が露出するべきではなく、私の事務所はニューヨーカーの個人データを守るため、引き続き法の執行に取り組みます」と、ジェームズ司法長官は述べた。 翻訳元:

爆発的で引き金が引きやすいこの脆弱性は、公開から数時間で悪用され、フレームワークをデフォルトで信頼することのリスクを露呈した。 アプリケーションのインターフェースを構築するための React 19 ライブラリは、約1カ月前に React2Shell というリモートコード実行の脆弱性の影響を受けた。しかし研究者がこのバグをさらに深掘りするにつれ、より大きな全体像が徐々に明らかになってきた。 この脆弱性は React Server Components を介した未認証のリモートコード実行を可能にし、攻撃者は細工したリクエストによって影響を受けるサーバー上で任意のコードを実行できる。言い換えれば、基盤となるウェブフレームワークの機能が、ひそかに初期侵入のベクターになっていた。 その後に起きたのは、見慣れているが、ますます短縮されつつある一連の流れだった。公開から数時間以内に、複数のセキュリティ企業が実環境での活発な悪用を確認した。Google の Threat Intelligence Group（GTIG）と AWS はいずれも現実世界での悪用を報告し、脆弱性の認知から侵害までの、もともと薄かったギャップをさらに崩壊させた。 「React2Shell は、悪用までのタイムラインがどれほど速くなったかを改めて思い出させるものだ」と Darktrace のフィールドCISO、Nathaniel Jones は述べた。「CVE が出て、概念実証が出回り、数時間もしないうちに実際の悪用の試みが見え始める。」 この速度が重要なのは、React Server Components がニッチな機能ではないからだ。企業環境におけるデフォルトの React および Next.js のデプロイメントに組み込まれており、組織は主流のツールを採用しただけで、このリスクを引き継いでしまったことになる。 異なるレポートが新たなシグナルを追加 研究者の間で根本原因については一致していたものの、複数の個別レポートが登場し、全体像をより鮮明にしている。 例えば、サイバーセキュリティ企業 Wiz による初期分析は、未認証の入力が React Server Components のパイプラインをいかに容易に通過し、クリーンでデフォルトのデプロイメントであっても危険な実行経路に到達し得るかを示した。Unit 42 はこれをさらに発展させ、環境をまたいだエクスプロイトの信頼性を検証し、攻撃者が成功するために必要な変化が最小限であることを強調した。 Google と AWS は、公開直後に国家支援に近いアクターを含む複数の脅威カテゴリによる悪用を確認することで、運用面の文脈を付け加えた。この検証により React2Shell は「悪用され得る」カテゴリから、確認済みのアクティブなリスクへと移った。 Huntress…

セキュリティ研究者は、AirohaベースのBluetoothヘッドホンおよびイヤホン数百万台に存在する重大な脆弱性を公開しました。これにより、攻撃者はユーザーの操作やデバイスのペアリングなしに、接続されたスマートフォンを侵害できる可能性があります。 これらの脆弱性はCVE-2025-20700、CVE-2025-20701、CVE-2025-20702として追跡されており、Sony、Marshall、JBL、Jabra、Boseなどの人気ブランドに影響します。 欠陥はAirohaのRACE（Remote Audio Call Enhancement）プロトコルに起因します。これは認証要件なしでBluetooth経由に露出しているカスタムのデバッグ用インターフェースです。 Bluetoothの到達範囲内にいる攻撃者は、脆弱なヘッドホンに密かに接続し、フラッシュメモリに保存された暗号リンクキーを抽出して、被害者のスマートフォンに対して信頼済みデバイスになりすますことができます。 研究者は、4段階の攻撃チェーンを実証しました。まず保護されていないBLE経由でヘッドホンに接続し、次にヘッドホンとスマートフォン間の認証に使用されるBluetoothリンクキーを抽出し、最後に信頼済みのヘッドホンになりすまして被害者のデバイスへの特権アクセスを得ます。 いったん接続されると、攻撃者は音声アシスタントを起動し、通話を傍受し、連絡先リストにアクセスし、スマートフォンのマイクを通じて会話を盗聴できます。 Sony WF-1000XMシリーズ、Marshallのスピーカー、JBLのイヤホン、Beyerdynamicのヘッドホンなど、30以上のデバイスモデルが脆弱であることが確認されています。 実際の影響は確認済みの事例をはるかに超えており、世界中の何千ものオーディオ機器にAirohaのチップセットが組み込まれています。 Airohaは2025年6月にSDKのパッチをリリースしましたが、ベンダー側の採用状況は一貫していません。ファームウェア修正を公に認めているのはJabraとMarshallのみです。 Sonyは当初対応しませんでした。一方、Beyerdynamicは積極的にこの問題に対処しました。 研究者は、ユーザーに対し直ちにファームウェアを更新し、スマートフォンから未使用のペアリング済みデバイスを削除し、機密性の高い通信には有線ヘッドホンの使用を検討するよう推奨しています。 研究チームはRACE Toolkitを公開し、ユーザーがデバイスの脆弱性状況を検証できるようにしました。 この公開は、2025年3月に開始された責任ある開示の慣行に従うもので、ベンダーが修正する時間を確保しつつ、ユーザーがリスクを評価できるよう、研究者は6か月後に完全な技術詳細を公表しました。 翻訳元: