まりーん
@getpokemon7.bsky.social
サイバーセキュリティを中心とした分野に興味。政治、経済にも関心あります。
京都ガーデンパレス
2025年11月14日
お客さま情報の漏えいに関するお詫びとお知らせ
平素より京都ガーデンパレスをご利用いただき、誠にありがとうございます。
すでに当ホテルのホームページにおいて注意喚起を行っておりますが、この度、悪意のある第三者による不正アクセスにより、宿泊予約情報管理システムに登録されているお客様の個人情報が漏えいしたことが判明しました。また、当ホテルを予約された一部のお客様に対してフィッシングサイトに誘導するメッセージが送信されたことも確認しております。
詳細については調査中でございますが、お客様には多大なご迷惑とご心配をおかけする事態となりましたこと...
2025年11月14日
お客さま情報の漏えいに関するお詫びとお知らせ
平素より京都ガーデンパレスをご利用いただき、誠にありがとうございます。
すでに当ホテルのホームページにおいて注意喚起を行っておりますが、この度、悪意のある第三者による不正アクセスにより、宿泊予約情報管理システムに登録されているお客様の個人情報が漏えいしたことが判明しました。また、当ホテルを予約された一部のお客様に対してフィッシングサイトに誘導するメッセージが送信されたことも確認しております。
詳細については調査中でございますが、お客様には多大なご迷惑とご心配をおかけする事態となりましたこと...
お客さま情報の漏えいに関するお詫びとお知らせ | 京都ガーデンパレス【公式】|京都御所ベストアクセスの京都のホテル
www.hotelgp-kyoto.com
November 23, 2025 at 1:49 PM
京都ガーデンパレス
2025年11月14日
お客さま情報の漏えいに関するお詫びとお知らせ
平素より京都ガーデンパレスをご利用いただき、誠にありがとうございます。
すでに当ホテルのホームページにおいて注意喚起を行っておりますが、この度、悪意のある第三者による不正アクセスにより、宿泊予約情報管理システムに登録されているお客様の個人情報が漏えいしたことが判明しました。また、当ホテルを予約された一部のお客様に対してフィッシングサイトに誘導するメッセージが送信されたことも確認しております。
詳細については調査中でございますが、お客様には多大なご迷惑とご心配をおかけする事態となりましたこと...
2025年11月14日
お客さま情報の漏えいに関するお詫びとお知らせ
平素より京都ガーデンパレスをご利用いただき、誠にありがとうございます。
すでに当ホテルのホームページにおいて注意喚起を行っておりますが、この度、悪意のある第三者による不正アクセスにより、宿泊予約情報管理システムに登録されているお客様の個人情報が漏えいしたことが判明しました。また、当ホテルを予約された一部のお客様に対してフィッシングサイトに誘導するメッセージが送信されたことも確認しております。
詳細については調査中でございますが、お客様には多大なご迷惑とご心配をおかけする事態となりましたこと...
日本ビジネスシステムズ株式会社
2025.11.05
当社システムへの不正アクセス発生について
日本ビジネスシステムズ株式会社は、当社システムにおいて不審な通信ログを検知し、不正アクセスを受けたことを確認しました。
事象と対応
2025年10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、直ちに初動調査を実施した結果、不正アクセスが判明しました。
安全確保のため、関係するシステム・機器 を即時遮断し、外部専門家の協力のもと原因や影響範囲の調査を進めております。
現時点において、情報漏洩の事実、およびサービス提供への影響は確認されておりません。
2025.11.05
当社システムへの不正アクセス発生について
日本ビジネスシステムズ株式会社は、当社システムにおいて不審な通信ログを検知し、不正アクセスを受けたことを確認しました。
事象と対応
2025年10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、直ちに初動調査を実施した結果、不正アクセスが判明しました。
安全確保のため、関係するシステム・機器 を即時遮断し、外部専門家の協力のもと原因や影響範囲の調査を進めております。
現時点において、情報漏洩の事実、およびサービス提供への影響は確認されておりません。
当社システムへの不正アクセス発生について
当社システムへの不正アクセス発生について
www.jbs.co.jp
November 23, 2025 at 1:43 PM
日本ビジネスシステムズ株式会社
2025.11.05
当社システムへの不正アクセス発生について
日本ビジネスシステムズ株式会社は、当社システムにおいて不審な通信ログを検知し、不正アクセスを受けたことを確認しました。
事象と対応
2025年10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、直ちに初動調査を実施した結果、不正アクセスが判明しました。
安全確保のため、関係するシステム・機器 を即時遮断し、外部専門家の協力のもと原因や影響範囲の調査を進めております。
現時点において、情報漏洩の事実、およびサービス提供への影響は確認されておりません。
2025.11.05
当社システムへの不正アクセス発生について
日本ビジネスシステムズ株式会社は、当社システムにおいて不審な通信ログを検知し、不正アクセスを受けたことを確認しました。
事象と対応
2025年10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、直ちに初動調査を実施した結果、不正アクセスが判明しました。
安全確保のため、関係するシステム・機器 を即時遮断し、外部専門家の協力のもと原因や影響範囲の調査を進めております。
現時点において、情報漏洩の事実、およびサービス提供への影響は確認されておりません。
株式会社 STNet
2025.11.21
弊社ネットワークへの不正アクセスに関するお詫びとご報告
この度、弊社STクラウドサーバーサービスの構築や運用に係る専用ネットワークに対して外部から不正アクセスがあり、STクラウドサーバーサービスやサーバー構築サービスを利用いただいている一部の企業・団体のご担当者さまに関する個人情報(氏名・メールアドレス等)およびシステムに関係する情報が漏えいした可能性があるという事案が発生いたしました。
個人情報などが漏えいした可能性がある当該ご担当者さまには、個別にご連絡をさせていただきます。関係者の皆さまには、多大なるご迷惑とご心配をおかけしておりま...
2025.11.21
弊社ネットワークへの不正アクセスに関するお詫びとご報告
この度、弊社STクラウドサーバーサービスの構築や運用に係る専用ネットワークに対して外部から不正アクセスがあり、STクラウドサーバーサービスやサーバー構築サービスを利用いただいている一部の企業・団体のご担当者さまに関する個人情報(氏名・メールアドレス等)およびシステムに関係する情報が漏えいした可能性があるという事案が発生いたしました。
個人情報などが漏えいした可能性がある当該ご担当者さまには、個別にご連絡をさせていただきます。関係者の皆さまには、多大なるご迷惑とご心配をおかけしておりま...
弊社ネットワークへの不正アクセスに関するお詫びとご報告 | ニュース | 株式会社STNet(エスティネット)
www.stnet.co.jp
November 23, 2025 at 1:30 PM
株式会社 STNet
2025.11.21
弊社ネットワークへの不正アクセスに関するお詫びとご報告
この度、弊社STクラウドサーバーサービスの構築や運用に係る専用ネットワークに対して外部から不正アクセスがあり、STクラウドサーバーサービスやサーバー構築サービスを利用いただいている一部の企業・団体のご担当者さまに関する個人情報(氏名・メールアドレス等)およびシステムに関係する情報が漏えいした可能性があるという事案が発生いたしました。
個人情報などが漏えいした可能性がある当該ご担当者さまには、個別にご連絡をさせていただきます。関係者の皆さまには、多大なるご迷惑とご心配をおかけしておりま...
2025.11.21
弊社ネットワークへの不正アクセスに関するお詫びとご報告
この度、弊社STクラウドサーバーサービスの構築や運用に係る専用ネットワークに対して外部から不正アクセスがあり、STクラウドサーバーサービスやサーバー構築サービスを利用いただいている一部の企業・団体のご担当者さまに関する個人情報(氏名・メールアドレス等)およびシステムに関係する情報が漏えいした可能性があるという事案が発生いたしました。
個人情報などが漏えいした可能性がある当該ご担当者さまには、個別にご連絡をさせていただきます。関係者の皆さまには、多大なるご迷惑とご心配をおかけしておりま...
順天堂大学
2025.11.21 (FRI)
サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び
順天堂大学大学院スポーツ健康科学研究科女性スポーツ研究センターが独自に運用管理しているファイル共有サーバー(NAS)において、ランサムウェア被害が発生しました。当該サーバーに保存されていたファイルが暗号化されたことにより、内部に含まれる個人情報等が漏えいしたおそれがあります。
ただし、本システムは学校法人順天堂の基幹ネットワークや順天堂医院等の附属病院の診療系ネットワークとは独立したインターネット回線で運用されており、診療業務を含む病院の業務への影響はありません。 本件発覚後...
2025.11.21 (FRI)
サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び
順天堂大学大学院スポーツ健康科学研究科女性スポーツ研究センターが独自に運用管理しているファイル共有サーバー(NAS)において、ランサムウェア被害が発生しました。当該サーバーに保存されていたファイルが暗号化されたことにより、内部に含まれる個人情報等が漏えいしたおそれがあります。
ただし、本システムは学校法人順天堂の基幹ネットワークや順天堂医院等の附属病院の診療系ネットワークとは独立したインターネット回線で運用されており、診療業務を含む病院の業務への影響はありません。 本件発覚後...
サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び|ニュース&イベント|順天堂大学
順天堂大学・大学院の公式サイトです。医学部、スポーツ健康科学部、医療看護部、保健看護学部、国際教養学部、保健医療学部・医療科学部・健康データサイエンス、薬学部の9学部と医学研究科、スポーツ健康科学研究科、医療看護研究科、保健医療学研究科、国際教養学研究科の5研究科そして6医学部附属病院からなる健康総合大学・大学院大学として教育・研究・医療を通じて社会貢献を進めております。
www.juntendo.ac.jp
November 23, 2025 at 1:20 PM
順天堂大学
2025.11.21 (FRI)
サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び
順天堂大学大学院スポーツ健康科学研究科女性スポーツ研究センターが独自に運用管理しているファイル共有サーバー(NAS)において、ランサムウェア被害が発生しました。当該サーバーに保存されていたファイルが暗号化されたことにより、内部に含まれる個人情報等が漏えいしたおそれがあります。
ただし、本システムは学校法人順天堂の基幹ネットワークや順天堂医院等の附属病院の診療系ネットワークとは独立したインターネット回線で運用されており、診療業務を含む病院の業務への影響はありません。 本件発覚後...
2025.11.21 (FRI)
サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び
順天堂大学大学院スポーツ健康科学研究科女性スポーツ研究センターが独自に運用管理しているファイル共有サーバー(NAS)において、ランサムウェア被害が発生しました。当該サーバーに保存されていたファイルが暗号化されたことにより、内部に含まれる個人情報等が漏えいしたおそれがあります。
ただし、本システムは学校法人順天堂の基幹ネットワークや順天堂医院等の附属病院の診療系ネットワークとは独立したインターネット回線で運用されており、診療業務を含む病院の業務への影響はありません。 本件発覚後...
片品村振興公社株式会社
2025 年 11 月末日
弊社ウェブサイトへの不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営するウェブサイト(k-hotaka.oze-katashina.info 以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様の個人情報( 40 名分)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
2025 年 11 月末日
弊社ウェブサイトへの不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営するウェブサイト(k-hotaka.oze-katashina.info 以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様の個人情報( 40 名分)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
弊社ウェブサイトへの不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ.pdf
drive.google.com
November 23, 2025 at 1:14 PM
片品村振興公社株式会社
2025 年 11 月末日
弊社ウェブサイトへの不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営するウェブサイト(k-hotaka.oze-katashina.info 以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様の個人情報( 40 名分)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
2025 年 11 月末日
弊社ウェブサイトへの不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営するウェブサイト(k-hotaka.oze-katashina.info 以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様の個人情報( 40 名分)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
【セキュリティ ニュース】「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み(1ページ目 / 全1ページ):Security NEXT
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
:Security NEXT
www.security-next.com
November 23, 2025 at 6:41 AM
「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
CrowdStrike、ハッカーに情報を提供していた内部関係者を摘発
アメリカのサイバーセキュリティ企業クラウドストライクは、スキャタード・ラプサス・ハンターズの脅威アクターが内部システムで撮影したスクリーンショットをテレグラムで漏洩した後、内部関係者がハッカーと共有したことを確認した。
しかし同社は、今回の事件で自社のシステムが侵害されたわけではなく、顧客のデータも漏洩していないと指摘した。
「内部調査の結果、当該内部関係者が自身のコンピューター画面の写真を外部に共有していたことが判明し、先月当該内部関係者を特定し解雇した」とクラウドストライクの広報担当者は本日、Bleeping...
アメリカのサイバーセキュリティ企業クラウドストライクは、スキャタード・ラプサス・ハンターズの脅威アクターが内部システムで撮影したスクリーンショットをテレグラムで漏洩した後、内部関係者がハッカーと共有したことを確認した。
しかし同社は、今回の事件で自社のシステムが侵害されたわけではなく、顧客のデータも漏洩していないと指摘した。
「内部調査の結果、当該内部関係者が自身のコンピューター画面の写真を外部に共有していたことが判明し、先月当該内部関係者を特定し解雇した」とクラウドストライクの広報担当者は本日、Bleeping...
CrowdStrike catches insider feeding information to hackers
American cybersecurity firm CrowdStrike has confirmed that an insider shared screenshots taken on internal systems with hackers after they were leaked on Telegram by the Scattered Lapsus$ Hunters thre...
www.bleepingcomputer.com
November 23, 2025 at 4:19 AM
CrowdStrike、ハッカーに情報を提供していた内部関係者を摘発
アメリカのサイバーセキュリティ企業クラウドストライクは、スキャタード・ラプサス・ハンターズの脅威アクターが内部システムで撮影したスクリーンショットをテレグラムで漏洩した後、内部関係者がハッカーと共有したことを確認した。
しかし同社は、今回の事件で自社のシステムが侵害されたわけではなく、顧客のデータも漏洩していないと指摘した。
「内部調査の結果、当該内部関係者が自身のコンピューター画面の写真を外部に共有していたことが判明し、先月当該内部関係者を特定し解雇した」とクラウドストライクの広報担当者は本日、Bleeping...
アメリカのサイバーセキュリティ企業クラウドストライクは、スキャタード・ラプサス・ハンターズの脅威アクターが内部システムで撮影したスクリーンショットをテレグラムで漏洩した後、内部関係者がハッカーと共有したことを確認した。
しかし同社は、今回の事件で自社のシステムが侵害されたわけではなく、顧客のデータも漏洩していないと指摘した。
「内部調査の結果、当該内部関係者が自身のコンピューター画面の写真を外部に共有していたことが判明し、先月当該内部関係者を特定し解雇した」とクラウドストライクの広報担当者は本日、Bleeping...
Oracle Identity Managerの重大な欠陥がゼロデイ攻撃として悪用される可能性
CVE-2025-61757として追跡されているこの脆弱性は、Searchlight Cyberによって木曜日に公開され、同社の研究者がこの問題を発見してOracleに報告した。
セキュリティ企業は、これをOracle Identity Managerにおける重大な認証前リモートコード実行の脆弱性と説明しました。認証バイパスの脆弱性と任意のコード実行を連鎖させるこの脆弱性により、攻撃者はシステム全体を侵害することが可能となります。
Oracle は2025 年 10 月のパッチで ...
CVE-2025-61757として追跡されているこの脆弱性は、Searchlight Cyberによって木曜日に公開され、同社の研究者がこの問題を発見してOracleに報告した。
セキュリティ企業は、これをOracle Identity Managerにおける重大な認証前リモートコード実行の脆弱性と説明しました。認証バイパスの脆弱性と任意のコード実行を連鎖させるこの脆弱性により、攻撃者はシステム全体を侵害することが可能となります。
Oracle は2025 年 10 月のパッチで ...
Critical Oracle Identity Manager Flaw Possibly Exploited as Zero-Day
A recently patched Oracle Identity Manager vulnerability tracked as CVE-2025-61757 may have been exploited as a zero-day.
www.securityweek.com
November 23, 2025 at 3:20 AM
Oracle Identity Managerの重大な欠陥がゼロデイ攻撃として悪用される可能性
CVE-2025-61757として追跡されているこの脆弱性は、Searchlight Cyberによって木曜日に公開され、同社の研究者がこの問題を発見してOracleに報告した。
セキュリティ企業は、これをOracle Identity Managerにおける重大な認証前リモートコード実行の脆弱性と説明しました。認証バイパスの脆弱性と任意のコード実行を連鎖させるこの脆弱性により、攻撃者はシステム全体を侵害することが可能となります。
Oracle は2025 年 10 月のパッチで ...
CVE-2025-61757として追跡されているこの脆弱性は、Searchlight Cyberによって木曜日に公開され、同社の研究者がこの問題を発見してOracleに報告した。
セキュリティ企業は、これをOracle Identity Managerにおける重大な認証前リモートコード実行の脆弱性と説明しました。認証バイパスの脆弱性と任意のコード実行を連鎖させるこの脆弱性により、攻撃者はシステム全体を侵害することが可能となります。
Oracle は2025 年 10 月のパッチで ...
Google、APT24のスパイ活動で使用されたBadAudioマルウェアを公開
中国と関係のあるAPT24ハッカーは、3年間のスパイ活動で、これまで文書化されていなかったBadAudioと呼ばれるマルウェアを使用していたが、最近はより洗練された攻撃手法に切り替えた。
2022年以降、このマルウェアは、スピアフィッシング、サプライチェーンの侵害、ウォーターホール型攻撃など、複数の方法で被害者に配信されています。
キャンペーンの進化
APT24は2022年11月から少なくとも2025年9月まで、さまざまなドメインの20を超える正当な公開Webサイトに侵入し、興味のある訪問者を選択する...
中国と関係のあるAPT24ハッカーは、3年間のスパイ活動で、これまで文書化されていなかったBadAudioと呼ばれるマルウェアを使用していたが、最近はより洗練された攻撃手法に切り替えた。
2022年以降、このマルウェアは、スピアフィッシング、サプライチェーンの侵害、ウォーターホール型攻撃など、複数の方法で被害者に配信されています。
キャンペーンの進化
APT24は2022年11月から少なくとも2025年9月まで、さまざまなドメインの20を超える正当な公開Webサイトに侵入し、興味のある訪問者を選択する...
Google exposes BadAudio malware used in APT24 espionage campaigns
China-linked APT24 hackers have been using a previously undocumented malware called BadAudio in a three-year espionage campaign that recently switched to more sophisticated attack methods.
www.bleepingcomputer.com
November 23, 2025 at 2:24 AM
Google、APT24のスパイ活動で使用されたBadAudioマルウェアを公開
中国と関係のあるAPT24ハッカーは、3年間のスパイ活動で、これまで文書化されていなかったBadAudioと呼ばれるマルウェアを使用していたが、最近はより洗練された攻撃手法に切り替えた。
2022年以降、このマルウェアは、スピアフィッシング、サプライチェーンの侵害、ウォーターホール型攻撃など、複数の方法で被害者に配信されています。
キャンペーンの進化
APT24は2022年11月から少なくとも2025年9月まで、さまざまなドメインの20を超える正当な公開Webサイトに侵入し、興味のある訪問者を選択する...
中国と関係のあるAPT24ハッカーは、3年間のスパイ活動で、これまで文書化されていなかったBadAudioと呼ばれるマルウェアを使用していたが、最近はより洗練された攻撃手法に切り替えた。
2022年以降、このマルウェアは、スピアフィッシング、サプライチェーンの侵害、ウォーターホール型攻撃など、複数の方法で被害者に配信されています。
キャンペーンの進化
APT24は2022年11月から少なくとも2025年9月まで、さまざまなドメインの20を超える正当な公開Webサイトに侵入し、興味のある訪問者を選択する...
Grafanaの重大な欠陥により、攻撃者が権限を昇格できる
Grafana Labs は、攻撃者が権限を昇格したりユーザーになりすましたりできる可能性のある SCIM プロビジョニング機能の重大な脆弱性に対処する重要なセキュリティ パッチをリリースしました。
この脆弱性は、CVSS スコア 10.0 (重大) で CVE-2025-41115 として追跡されており、特定の構成の Grafana Enterprise バージョン 12.0.0 から 12.2.1 に影響します。
影響を受けるバージョンを使用している組織は、直ちにパッチ適用済みのリリースに更新する必要があります。
Grafana Labs は、攻撃者が権限を昇格したりユーザーになりすましたりできる可能性のある SCIM プロビジョニング機能の重大な脆弱性に対処する重要なセキュリティ パッチをリリースしました。
この脆弱性は、CVSS スコア 10.0 (重大) で CVE-2025-41115 として追跡されており、特定の構成の Grafana Enterprise バージョン 12.0.0 から 12.2.1 に影響します。
影響を受けるバージョンを使用している組織は、直ちにパッチ適用済みのリリースに更新する必要があります。
Critical Grafana Flaw Lets Attackers Escalate Privileges
Grafana Labs, a severe vulnerability in its SCIM provisioning feature that could allow attackers to escalate privileges or impersonate users.
gbhackers.com
November 23, 2025 at 2:15 AM
Grafanaの重大な欠陥により、攻撃者が権限を昇格できる
Grafana Labs は、攻撃者が権限を昇格したりユーザーになりすましたりできる可能性のある SCIM プロビジョニング機能の重大な脆弱性に対処する重要なセキュリティ パッチをリリースしました。
この脆弱性は、CVSS スコア 10.0 (重大) で CVE-2025-41115 として追跡されており、特定の構成の Grafana Enterprise バージョン 12.0.0 から 12.2.1 に影響します。
影響を受けるバージョンを使用している組織は、直ちにパッチ適用済みのリリースに更新する必要があります。
Grafana Labs は、攻撃者が権限を昇格したりユーザーになりすましたりできる可能性のある SCIM プロビジョニング機能の重大な脆弱性に対処する重要なセキュリティ パッチをリリースしました。
この脆弱性は、CVSS スコア 10.0 (重大) で CVE-2025-41115 として追跡されており、特定の構成の Grafana Enterprise バージョン 12.0.0 から 12.2.1 に影響します。
影響を受けるバージョンを使用している組織は、直ちにパッチ適用済みのリリースに更新する必要があります。
総務省からのメール受信におけるシンボルマークのアイコン表示について 2025/11/14 (総務省)
総務省「soumu.go.jp」のドメインから送付するメールについては、今後、BIMI(※)に対応したメールサービスで受信した場合、メールボックス内に認証された総務省のシンボルマーク(以下点線枠内)がアイコンとして表示されます。 本件は、なりすましメール対策の一環であり、メール受信者は、真に総務省から送付されたメールを見分けやすくなります。
(※)BIMI(Brand Indicators for Message Identification)は、なりすま...
#フィッシング対策協議会
総務省「soumu.go.jp」のドメインから送付するメールについては、今後、BIMI(※)に対応したメールサービスで受信した場合、メールボックス内に認証された総務省のシンボルマーク(以下点線枠内)がアイコンとして表示されます。 本件は、なりすましメール対策の一環であり、メール受信者は、真に総務省から送付されたメールを見分けやすくなります。
(※)BIMI(Brand Indicators for Message Identification)は、なりすま...
#フィッシング対策協議会
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | ニュース記事集 | 総務省からのメール受信におけるシンボルマークのアイコン表示について 2025/11/14 (総務省)
フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。
www.antiphishing.jp
November 23, 2025 at 2:05 AM
総務省からのメール受信におけるシンボルマークのアイコン表示について 2025/11/14 (総務省)
総務省「soumu.go.jp」のドメインから送付するメールについては、今後、BIMI(※)に対応したメールサービスで受信した場合、メールボックス内に認証された総務省のシンボルマーク(以下点線枠内)がアイコンとして表示されます。 本件は、なりすましメール対策の一環であり、メール受信者は、真に総務省から送付されたメールを見分けやすくなります。
(※)BIMI(Brand Indicators for Message Identification)は、なりすま...
#フィッシング対策協議会
総務省「soumu.go.jp」のドメインから送付するメールについては、今後、BIMI(※)に対応したメールサービスで受信した場合、メールボックス内に認証された総務省のシンボルマーク(以下点線枠内)がアイコンとして表示されます。 本件は、なりすましメール対策の一環であり、メール受信者は、真に総務省から送付されたメールを見分けやすくなります。
(※)BIMI(Brand Indicators for Message Identification)は、なりすま...
#フィッシング対策協議会
サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大
拓殖大学は、同大ウェブサイト内の一部ページが改ざんされ、同大とは関係ないページへの誘導に悪用されていたことを明らかにした。すでに修正されている。
同大によれば、2025年9月24日18時ごろから同月27日15時ごろにかけて、一部ページが改ざんされた状態となっていたもの。
改ざんが確認されたのは、大学案内ページ内に設置されている「寄付のお願い」のリンク先となるページ。海外オンラインカジノへ誘導するページへと改ざんされていたという。
「寄付のお願い」に関するページについては、外部事業者が管理するサーバに設置されていた。同サーバ...
拓殖大学は、同大ウェブサイト内の一部ページが改ざんされ、同大とは関係ないページへの誘導に悪用されていたことを明らかにした。すでに修正されている。
同大によれば、2025年9月24日18時ごろから同月27日15時ごろにかけて、一部ページが改ざんされた状態となっていたもの。
改ざんが確認されたのは、大学案内ページ内に設置されている「寄付のお願い」のリンク先となるページ。海外オンラインカジノへ誘導するページへと改ざんされていたという。
「寄付のお願い」に関するページについては、外部事業者が管理するサーバに設置されていた。同サーバ...
【セキュリティ ニュース】サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大(1ページ目 / 全1ページ):Security NEXT
拓殖大学は、ウェブサイト内の一部ページが改ざんされ、海外のオンラインカジノページへ誘導される状態となっていたことを明らかにした。
:Security NEXT
www.security-next.com
November 23, 2025 at 1:58 AM
サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大
拓殖大学は、同大ウェブサイト内の一部ページが改ざんされ、同大とは関係ないページへの誘導に悪用されていたことを明らかにした。すでに修正されている。
同大によれば、2025年9月24日18時ごろから同月27日15時ごろにかけて、一部ページが改ざんされた状態となっていたもの。
改ざんが確認されたのは、大学案内ページ内に設置されている「寄付のお願い」のリンク先となるページ。海外オンラインカジノへ誘導するページへと改ざんされていたという。
「寄付のお願い」に関するページについては、外部事業者が管理するサーバに設置されていた。同サーバ...
拓殖大学は、同大ウェブサイト内の一部ページが改ざんされ、同大とは関係ないページへの誘導に悪用されていたことを明らかにした。すでに修正されている。
同大によれば、2025年9月24日18時ごろから同月27日15時ごろにかけて、一部ページが改ざんされた状態となっていたもの。
改ざんが確認されたのは、大学案内ページ内に設置されている「寄付のお願い」のリンク先となるページ。海外オンラインカジノへ誘導するページへと改ざんされていたという。
「寄付のお願い」に関するページについては、外部事業者が管理するサーバに設置されていた。同サーバ...
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SolarWindsが提供するファイル転送サーバ「SolarWinds Serv-U」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。
現地時間2025年11月18日にセキュリティアドバイザリを公開し、ロジックエラー「CVE-2025-40547」、アクセス制御不備「CVE-2025-40548」、パス制限のバイパス「CVE-2025-40549」について明らかにしたもの。
いずれも脆弱性の悪用には管理者権限が必要としており、なかでも「CVE-2025-40547」「C...
SolarWindsが提供するファイル転送サーバ「SolarWinds Serv-U」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。
現地時間2025年11月18日にセキュリティアドバイザリを公開し、ロジックエラー「CVE-2025-40547」、アクセス制御不備「CVE-2025-40548」、パス制限のバイパス「CVE-2025-40549」について明らかにしたもの。
いずれも脆弱性の悪用には管理者権限が必要としており、なかでも「CVE-2025-40547」「C...
【セキュリティ ニュース】ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数(1ページ目 / 全1ページ):Security NEXT
SolarWindsが提供するファイル転送サーバ「SolarWinds Serv-U」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。
:Security NEXT
www.security-next.com
November 23, 2025 at 1:27 AM
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SolarWindsが提供するファイル転送サーバ「SolarWinds Serv-U」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。
現地時間2025年11月18日にセキュリティアドバイザリを公開し、ロジックエラー「CVE-2025-40547」、アクセス制御不備「CVE-2025-40548」、パス制限のバイパス「CVE-2025-40549」について明らかにしたもの。
いずれも脆弱性の悪用には管理者権限が必要としており、なかでも「CVE-2025-40547」「C...
SolarWindsが提供するファイル転送サーバ「SolarWinds Serv-U」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。
現地時間2025年11月18日にセキュリティアドバイザリを公開し、ロジックエラー「CVE-2025-40547」、アクセス制御不備「CVE-2025-40548」、パス制限のバイパス「CVE-2025-40549」について明らかにしたもの。
いずれも脆弱性の悪用には管理者権限が必要としており、なかでも「CVE-2025-40547」「C...
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響
SonicWallは現地時間2025年11月19日、セキュリティアドバイザリを公開し、同社製ファイアウォールに搭載されている「SonicOS」の脆弱性について明らかにした。
「SSL VPNサービス」を有効化している場合に、細工したパケットによりスタックベースのバッファオーバーフローが生じる脆弱性「CVE-2025-40601」が明らかとなったもの。認証を必要とすることなく、リモートよりDoS攻撃を行うことが可能となる。
第7世代や第8世代モデルのほか、仮想環境向けのバーチャルファイアウォールなどが...
SonicWallは現地時間2025年11月19日、セキュリティアドバイザリを公開し、同社製ファイアウォールに搭載されている「SonicOS」の脆弱性について明らかにした。
「SSL VPNサービス」を有効化している場合に、細工したパケットによりスタックベースのバッファオーバーフローが生じる脆弱性「CVE-2025-40601」が明らかとなったもの。認証を必要とすることなく、リモートよりDoS攻撃を行うことが可能となる。
第7世代や第8世代モデルのほか、仮想環境向けのバーチャルファイアウォールなどが...
【セキュリティ ニュース】SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響(1ページ目 / 全1ページ):Security NEXT
SonicWallは現地時間2025年11月19日、セキュリティアドバイザリを公開し、同社製ファイアウォールに搭載されている「SonicOS」の脆弱性について明らかにした。
:Security NEXT
www.security-next.com
November 23, 2025 at 1:22 AM
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響
SonicWallは現地時間2025年11月19日、セキュリティアドバイザリを公開し、同社製ファイアウォールに搭載されている「SonicOS」の脆弱性について明らかにした。
「SSL VPNサービス」を有効化している場合に、細工したパケットによりスタックベースのバッファオーバーフローが生じる脆弱性「CVE-2025-40601」が明らかとなったもの。認証を必要とすることなく、リモートよりDoS攻撃を行うことが可能となる。
第7世代や第8世代モデルのほか、仮想環境向けのバーチャルファイアウォールなどが...
SonicWallは現地時間2025年11月19日、セキュリティアドバイザリを公開し、同社製ファイアウォールに搭載されている「SonicOS」の脆弱性について明らかにした。
「SSL VPNサービス」を有効化している場合に、細工したパケットによりスタックベースのバッファオーバーフローが生じる脆弱性「CVE-2025-40601」が明らかとなったもの。認証を必要とすることなく、リモートよりDoS攻撃を行うことが可能となる。
第7世代や第8世代モデルのほか、仮想環境向けのバーチャルファイアウォールなどが...
エプソン製プロジェクターに脆弱性 - 310機種に影響
エプソン製プロジェクターに脆弱性が明らかとなった。ビジネス用、家庭用あわせて310モデルが対象だという。
ウェブブラウザやアプリより機器の設定を変更したり、状態を確認できる管理機能において、ブルートフォース攻撃を受けるおそれがある脆弱性「CVE-2025-64310」が明らかとなったもの。
パスワード入力において回数制限や入力の一時停止機能などが設けられていないため、無制限に入力の試行を行うことが可能だという。
攻撃を通じてパスワードを特定され、外部より侵入された場合、データの改ざんや投影画像の窃取、ログの参照、電源操作など...
エプソン製プロジェクターに脆弱性が明らかとなった。ビジネス用、家庭用あわせて310モデルが対象だという。
ウェブブラウザやアプリより機器の設定を変更したり、状態を確認できる管理機能において、ブルートフォース攻撃を受けるおそれがある脆弱性「CVE-2025-64310」が明らかとなったもの。
パスワード入力において回数制限や入力の一時停止機能などが設けられていないため、無制限に入力の試行を行うことが可能だという。
攻撃を通じてパスワードを特定され、外部より侵入された場合、データの改ざんや投影画像の窃取、ログの参照、電源操作など...
【セキュリティ ニュース】エプソン製プロジェクターに脆弱性 - 310機種に影響(1ページ目 / 全2ページ):Security NEXT
エプソン製プロジェクターに脆弱性が明らかとなった。ビジネス用、家庭用あわせて310モデルが対象だという。
:Security NEXT
www.security-next.com
November 22, 2025 at 11:41 PM
エプソン製プロジェクターに脆弱性 - 310機種に影響
エプソン製プロジェクターに脆弱性が明らかとなった。ビジネス用、家庭用あわせて310モデルが対象だという。
ウェブブラウザやアプリより機器の設定を変更したり、状態を確認できる管理機能において、ブルートフォース攻撃を受けるおそれがある脆弱性「CVE-2025-64310」が明らかとなったもの。
パスワード入力において回数制限や入力の一時停止機能などが設けられていないため、無制限に入力の試行を行うことが可能だという。
攻撃を通じてパスワードを特定され、外部より侵入された場合、データの改ざんや投影画像の窃取、ログの参照、電源操作など...
エプソン製プロジェクターに脆弱性が明らかとなった。ビジネス用、家庭用あわせて310モデルが対象だという。
ウェブブラウザやアプリより機器の設定を変更したり、状態を確認できる管理機能において、ブルートフォース攻撃を受けるおそれがある脆弱性「CVE-2025-64310」が明らかとなったもの。
パスワード入力において回数制限や入力の一時停止機能などが設けられていないため、無制限に入力の試行を行うことが可能だという。
攻撃を通じてパスワードを特定され、外部より侵入された場合、データの改ざんや投影画像の窃取、ログの参照、電源操作など...
大規模ハッキング作戦「WrtHug」が世界中の数千台のASUSルーターを侵害
インターネットに接続するためのデバイスである家庭用ルーターが、世界規模の組織的なスパイ活動の一環として、ひそかに侵入された可能性があります。SecurityScorecardのSTRIKEチームは、Operation WrtHugを発見しました。
この大規模なハッキング作戦は、世界中の何千台もの ASUS ルーターに侵入し、永続的なネットワーク アクセスと徹底的な監視機能のための国家支援のインフラストラクチャを構築したようです。
研究者は、ASUS の製品セキュリティ専門家と協力し、公に知られているセキュ...
インターネットに接続するためのデバイスである家庭用ルーターが、世界規模の組織的なスパイ活動の一環として、ひそかに侵入された可能性があります。SecurityScorecardのSTRIKEチームは、Operation WrtHugを発見しました。
この大規模なハッキング作戦は、世界中の何千台もの ASUS ルーターに侵入し、永続的なネットワーク アクセスと徹底的な監視機能のための国家支援のインフラストラクチャを構築したようです。
研究者は、ASUS の製品セキュリティ専門家と協力し、公に知られているセキュ...
Massive Hacking Operation WrtHug Compromises Thousands of ASUS Routers Worldwide
Your home router, the device connecting you to the internet, may have been silently compromised as part of a coordinated global espionage campaign.
gbhackers.com
November 22, 2025 at 11:28 PM
大規模ハッキング作戦「WrtHug」が世界中の数千台のASUSルーターを侵害
インターネットに接続するためのデバイスである家庭用ルーターが、世界規模の組織的なスパイ活動の一環として、ひそかに侵入された可能性があります。SecurityScorecardのSTRIKEチームは、Operation WrtHugを発見しました。
この大規模なハッキング作戦は、世界中の何千台もの ASUS ルーターに侵入し、永続的なネットワーク アクセスと徹底的な監視機能のための国家支援のインフラストラクチャを構築したようです。
研究者は、ASUS の製品セキュリティ専門家と協力し、公に知られているセキュ...
インターネットに接続するためのデバイスである家庭用ルーターが、世界規模の組織的なスパイ活動の一環として、ひそかに侵入された可能性があります。SecurityScorecardのSTRIKEチームは、Operation WrtHugを発見しました。
この大規模なハッキング作戦は、世界中の何千台もの ASUS ルーターに侵入し、永続的なネットワーク アクセスと徹底的な監視機能のための国家支援のインフラストラクチャを構築したようです。
研究者は、ASUS の製品セキュリティ専門家と協力し、公に知られているセキュ...
CISA Releases Six Industrial Control Systems Advisories
Release Date November 20, 2025
ICSA-25-324-01 Automated Logic WebCTRL Premium Server
ICSA-25-324-02 ICAM365 CCTV Camera Multiple Models
ICSA-25-324-03 Opto 22 GRV-EPIC and GRV-RIO
ICSA-25-324-04 Festo MSE6-C2M/D2M/E2M
ICSA-25-324-05 Festo D...
Release Date November 20, 2025
ICSA-25-324-01 Automated Logic WebCTRL Premium Server
ICSA-25-324-02 ICAM365 CCTV Camera Multiple Models
ICSA-25-324-03 Opto 22 GRV-EPIC and GRV-RIO
ICSA-25-324-04 Festo MSE6-C2M/D2M/E2M
ICSA-25-324-05 Festo D...
CISA Releases Six Industrial Control Systems Advisories | CISA
www.cisa.gov
November 22, 2025 at 11:17 PM
CISA Releases Six Industrial Control Systems Advisories
Release Date November 20, 2025
ICSA-25-324-01 Automated Logic WebCTRL Premium Server
ICSA-25-324-02 ICAM365 CCTV Camera Multiple Models
ICSA-25-324-03 Opto 22 GRV-EPIC and GRV-RIO
ICSA-25-324-04 Festo MSE6-C2M/D2M/E2M
ICSA-25-324-05 Festo D...
Release Date November 20, 2025
ICSA-25-324-01 Automated Logic WebCTRL Premium Server
ICSA-25-324-02 ICAM365 CCTV Camera Multiple Models
ICSA-25-324-03 Opto 22 GRV-EPIC and GRV-RIO
ICSA-25-324-04 Festo MSE6-C2M/D2M/E2M
ICSA-25-324-05 Festo D...
Salesforce、Gainsightの侵害による顧客データ盗難を調査
セールスフォースは、顧客を狙った新たなデータ窃盗攻撃の波を調査する中で、Gainsight が公開したアプリケーションにリンクされたリフレッシュ トークンを取り消したと発表しました。
クラウドベースのソフトウェア会社は、すべての証拠が悪意のある活動がアプリのSalesforceへの外部接続に関連していることを示しているため、これは顧客関係管理(CRM)プラットフォームの脆弱性に起因するものではないと指摘した。
同社は木曜朝のアドバイザリーで、「Salesforceに接続されたGainsight社発行のアプリケ...
セールスフォースは、顧客を狙った新たなデータ窃盗攻撃の波を調査する中で、Gainsight が公開したアプリケーションにリンクされたリフレッシュ トークンを取り消したと発表しました。
クラウドベースのソフトウェア会社は、すべての証拠が悪意のある活動がアプリのSalesforceへの外部接続に関連していることを示しているため、これは顧客関係管理(CRM)プラットフォームの脆弱性に起因するものではないと指摘した。
同社は木曜朝のアドバイザリーで、「Salesforceに接続されたGainsight社発行のアプリケ...
Salesforce investigates customer data theft via Gainsight breach
Salesforce says it revoked refresh tokens linked to Gainsight-published applications while investigating a new wave of data theft attacks targeting customers.
www.bleepingcomputer.com
November 22, 2025 at 10:58 PM
Salesforce、Gainsightの侵害による顧客データ盗難を調査
セールスフォースは、顧客を狙った新たなデータ窃盗攻撃の波を調査する中で、Gainsight が公開したアプリケーションにリンクされたリフレッシュ トークンを取り消したと発表しました。
クラウドベースのソフトウェア会社は、すべての証拠が悪意のある活動がアプリのSalesforceへの外部接続に関連していることを示しているため、これは顧客関係管理(CRM)プラットフォームの脆弱性に起因するものではないと指摘した。
同社は木曜朝のアドバイザリーで、「Salesforceに接続されたGainsight社発行のアプリケ...
セールスフォースは、顧客を狙った新たなデータ窃盗攻撃の波を調査する中で、Gainsight が公開したアプリケーションにリンクされたリフレッシュ トークンを取り消したと発表しました。
クラウドベースのソフトウェア会社は、すべての証拠が悪意のある活動がアプリのSalesforceへの外部接続に関連していることを示しているため、これは顧客関係管理(CRM)プラットフォームの脆弱性に起因するものではないと指摘した。
同社は木曜朝のアドバイザリーで、「Salesforceに接続されたGainsight社発行のアプリケ...
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
Javaベースのアプリケーション開発フレームワークである「Apache Causeway」に深刻な脆弱性が明らかとなった。脆弱性を修正したセキュリティリリースを提供しており、利用者にアップデートを呼びかけている。
「ViewModel」機能を利用するアプリケーションにおいて、信頼できないデータをデシリアライズする脆弱性「CVE-2025-64408」が明らかとなったもの。開発グループでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
Javaベースのアプリケーション開発フレームワークである「Apache Causeway」に深刻な脆弱性が明らかとなった。脆弱性を修正したセキュリティリリースを提供しており、利用者にアップデートを呼びかけている。
「ViewModel」機能を利用するアプリケーションにおいて、信頼できないデータをデシリアライズする脆弱性「CVE-2025-64408」が明らかとなったもの。開発グループでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
【セキュリティ ニュース】「Apache Causeway」に深刻な脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
Javaベースのアプリケーション開発フレームワークである「Apache Causeway」に深刻な脆弱性が明らかとなった。脆弱性を修正したセキュリティリリースを提供しており、利用者にアップデートを呼びかけている。
:Security NEXT
www.security-next.com
November 20, 2025 at 9:38 PM
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
Javaベースのアプリケーション開発フレームワークである「Apache Causeway」に深刻な脆弱性が明らかとなった。脆弱性を修正したセキュリティリリースを提供しており、利用者にアップデートを呼びかけている。
「ViewModel」機能を利用するアプリケーションにおいて、信頼できないデータをデシリアライズする脆弱性「CVE-2025-64408」が明らかとなったもの。開発グループでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
Javaベースのアプリケーション開発フレームワークである「Apache Causeway」に深刻な脆弱性が明らかとなった。脆弱性を修正したセキュリティリリースを提供しており、利用者にアップデートを呼びかけている。
「ViewModel」機能を利用するアプリケーションにおいて、信頼できないデータをデシリアライズする脆弱性「CVE-2025-64408」が明らかとなったもの。開発グループでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
「FortiOS」に3件の脆弱性 - アップデートで修正
Fortinetは現地時間2025年11月18日、セキュリティアドバイザリを公開し、「FortiOS」に関する脆弱性3件をアップデートで修正したことを明らかにした。脆弱性を悪用するには条件をクリアする必要があることを強調している。
具体的には、「CAPWAPデーモン」において細工したパケットによりスタックベースのオーバーフローを発生させることが可能となる「CVE-2025-58413」「CVE-2025-53843」が判明した。
いずれもアドバイザリの重要度を4段階中、上から3番目にあたる「中(Medium)」としている。
Fortinetは現地時間2025年11月18日、セキュリティアドバイザリを公開し、「FortiOS」に関する脆弱性3件をアップデートで修正したことを明らかにした。脆弱性を悪用するには条件をクリアする必要があることを強調している。
具体的には、「CAPWAPデーモン」において細工したパケットによりスタックベースのオーバーフローを発生させることが可能となる「CVE-2025-58413」「CVE-2025-53843」が判明した。
いずれもアドバイザリの重要度を4段階中、上から3番目にあたる「中(Medium)」としている。
【セキュリティ ニュース】「FortiOS」に3件の脆弱性 - アップデートで修正(1ページ目 / 全2ページ):Security NEXT
Fortinetは現地時間2025年11月18日、セキュリティアドバイザリを公開し、「FortiOS」に関する脆弱性3件をアップデートで修正したことを明らかにした。脆弱性を悪用するには条件をクリアする必要があることを強調している。
:Security NEXT
www.security-next.com
November 20, 2025 at 9:35 PM
「FortiOS」に3件の脆弱性 - アップデートで修正
Fortinetは現地時間2025年11月18日、セキュリティアドバイザリを公開し、「FortiOS」に関する脆弱性3件をアップデートで修正したことを明らかにした。脆弱性を悪用するには条件をクリアする必要があることを強調している。
具体的には、「CAPWAPデーモン」において細工したパケットによりスタックベースのオーバーフローを発生させることが可能となる「CVE-2025-58413」「CVE-2025-53843」が判明した。
いずれもアドバイザリの重要度を4段階中、上から3番目にあたる「中(Medium)」としている。
Fortinetは現地時間2025年11月18日、セキュリティアドバイザリを公開し、「FortiOS」に関する脆弱性3件をアップデートで修正したことを明らかにした。脆弱性を悪用するには条件をクリアする必要があることを強調している。
具体的には、「CAPWAPデーモン」において細工したパケットによりスタックベースのオーバーフローを発生させることが可能となる「CVE-2025-58413」「CVE-2025-53843」が判明した。
いずれもアドバイザリの重要度を4段階中、上から3番目にあたる「中(Medium)」としている。
「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
【セキュリティ ニュース】「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み(1ページ目 / 全1ページ):Security NEXT
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
:Security NEXT
www.security-next.com
November 19, 2025 at 9:34 PM
「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
ウェブベースのFTPクライアントである「Monsta FTP」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
アップロード機能において入力検証の不備が存在し、認証を必要とすることなく、制限なしに任意ファイルをアップロードできる深刻な脆弱性「CVE-2025-34299」が判明したもの。
外部FTPサーバ経由で接続し、ファイルを送受信することが可能で、リモートより任意のコードを実行されるおそれがある。
フィッシング契機に個人情報流出判明、犯行声明も - フォトクリエイト
キタムラ・ホールディングス傘下でインターネット写真サービスを展開するフォトクリエイトは、ウェブサーバが不正アクセスを受け、個人情報が流出した可能性があることを明らかにした。
同社では、顧客からの問い合わせにより一部登録メールアドレスに対して、フィッシングメールが送信されていることを2025年7月に把握。
…
ソフトウェアの脆弱性を突く不正アクセスを受けたもので、ウェブサーバ上に不正なプログラムを設置され、稼働していたという。
キタムラ・ホールディングス傘下でインターネット写真サービスを展開するフォトクリエイトは、ウェブサーバが不正アクセスを受け、個人情報が流出した可能性があることを明らかにした。
同社では、顧客からの問い合わせにより一部登録メールアドレスに対して、フィッシングメールが送信されていることを2025年7月に把握。
…
ソフトウェアの脆弱性を突く不正アクセスを受けたもので、ウェブサーバ上に不正なプログラムを設置され、稼働していたという。
【セキュリティ ニュース】フィッシング契機に個人情報流出判明、犯行声明も - フォトクリエイト(1ページ目 / 全1ページ):Security NEXT
キタムラ・ホールディングス傘下でインターネット写真サービスを展開するフォトクリエイトは、ウェブサーバが不正アクセスを受け、個人情報が流出した可能性があることを明らかにした。
:Security NEXT
www.security-next.com
November 19, 2025 at 9:32 PM
フィッシング契機に個人情報流出判明、犯行声明も - フォトクリエイト
キタムラ・ホールディングス傘下でインターネット写真サービスを展開するフォトクリエイトは、ウェブサーバが不正アクセスを受け、個人情報が流出した可能性があることを明らかにした。
同社では、顧客からの問い合わせにより一部登録メールアドレスに対して、フィッシングメールが送信されていることを2025年7月に把握。
…
ソフトウェアの脆弱性を突く不正アクセスを受けたもので、ウェブサーバ上に不正なプログラムを設置され、稼働していたという。
キタムラ・ホールディングス傘下でインターネット写真サービスを展開するフォトクリエイトは、ウェブサーバが不正アクセスを受け、個人情報が流出した可能性があることを明らかにした。
同社では、顧客からの問い合わせにより一部登録メールアドレスに対して、フィッシングメールが送信されていることを2025年7月に把握。
…
ソフトウェアの脆弱性を突く不正アクセスを受けたもので、ウェブサーバ上に不正なプログラムを設置され、稼働していたという。
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
ウェブユーザーインタフェースよりディレクトリにおけるファイル操作を行えるファイル管理ツール「File Browser」に脆弱性が明らかとなった。依存ライブラリに起因する脆弱性で、アップデートが提供されている。
HTTPリクエストやレスポンスにおいてHTTPリクエストスマグリングが可能となる脆弱性が明らかとなった。依存する「Go」の標準ライブラリに判明した脆弱性「CVE-2025-22871」に起因するという。
ウェブユーザーインタフェースよりディレクトリにおけるファイル操作を行えるファイル管理ツール「File Browser」に脆弱性が明らかとなった。依存ライブラリに起因する脆弱性で、アップデートが提供されている。
HTTPリクエストやレスポンスにおいてHTTPリクエストスマグリングが可能となる脆弱性が明らかとなった。依存する「Go」の標準ライブラリに判明した脆弱性「CVE-2025-22871」に起因するという。
【セキュリティ ニュース】ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因(1ページ目 / 全1ページ):Security NEXT
ウェブユーザーインタフェースよりディレクトリにおけるファイル操作を行えるファイル管理ツール「File Browser」に脆弱性が明らかとなった。依存ライブラリに起因する脆弱性で、アップデートが提供されている。
:Security NEXT
www.security-next.com
November 19, 2025 at 9:28 PM
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
ウェブユーザーインタフェースよりディレクトリにおけるファイル操作を行えるファイル管理ツール「File Browser」に脆弱性が明らかとなった。依存ライブラリに起因する脆弱性で、アップデートが提供されている。
HTTPリクエストやレスポンスにおいてHTTPリクエストスマグリングが可能となる脆弱性が明らかとなった。依存する「Go」の標準ライブラリに判明した脆弱性「CVE-2025-22871」に起因するという。
ウェブユーザーインタフェースよりディレクトリにおけるファイル操作を行えるファイル管理ツール「File Browser」に脆弱性が明らかとなった。依存ライブラリに起因する脆弱性で、アップデートが提供されている。
HTTPリクエストやレスポンスにおいてHTTPリクエストスマグリングが可能となる脆弱性が明らかとなった。依存する「Go」の標準ライブラリに判明した脆弱性「CVE-2025-22871」に起因するという。
CISA Releases Six Industrial Control Systems Advisories
Release Date November 18, 2025
ICSA-25-322-01 Schneider Electric EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio
ICSA-25-322-02 Shelly Pro 4PM
ICSA-25-322-03 Shelly Pro 3EM
ICSA-25-322-04 Schneider Electric PowerChute Serial Shu…
Release Date November 18, 2025
ICSA-25-322-01 Schneider Electric EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio
ICSA-25-322-02 Shelly Pro 4PM
ICSA-25-322-03 Shelly Pro 3EM
ICSA-25-322-04 Schneider Electric PowerChute Serial Shu…
CISA Releases Six Industrial Control Systems Advisories | CISA
www.cisa.gov
November 19, 2025 at 9:23 PM
CISA Releases Six Industrial Control Systems Advisories
Release Date November 18, 2025
ICSA-25-322-01 Schneider Electric EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio
ICSA-25-322-02 Shelly Pro 4PM
ICSA-25-322-03 Shelly Pro 3EM
ICSA-25-322-04 Schneider Electric PowerChute Serial Shu…
Release Date November 18, 2025
ICSA-25-322-01 Schneider Electric EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio
ICSA-25-322-02 Shelly Pro 4PM
ICSA-25-322-03 Shelly Pro 3EM
ICSA-25-322-04 Schneider Electric PowerChute Serial Shu…
メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者
電気自動車向けの充電インフラを整備、運営するe-Mobility Powerは、メールアカウントが悪用され、迷惑メールが送信されたことを明らかにした。
同社によれば、同社の充電サービスシステムで利用しているメールサービスにおいて不正アクセスを受けたもので、同社アカウントより迷惑メールが送信されたもの。
2025年10月18日14時前から約20分間にわたり、国内外に向けて大量の迷惑メールが送信された。同社がメールサービスを停止したところ、迷惑メールの送信についても停止した。
電気自動車向けの充電インフラを整備、運営するe-Mobility Powerは、メールアカウントが悪用され、迷惑メールが送信されたことを明らかにした。
同社によれば、同社の充電サービスシステムで利用しているメールサービスにおいて不正アクセスを受けたもので、同社アカウントより迷惑メールが送信されたもの。
2025年10月18日14時前から約20分間にわたり、国内外に向けて大量の迷惑メールが送信された。同社がメールサービスを停止したところ、迷惑メールの送信についても停止した。
【セキュリティ ニュース】メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者(1ページ目 / 全1ページ):Security NEXT
電気自動車向けの充電インフラを整備、運営するe-Mobility Powerは、メールアカウントが悪用され、迷惑メールが送信されたことを明らかにした。
:Security NEXT
www.security-next.com
November 18, 2025 at 11:03 PM
メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者
電気自動車向けの充電インフラを整備、運営するe-Mobility Powerは、メールアカウントが悪用され、迷惑メールが送信されたことを明らかにした。
同社によれば、同社の充電サービスシステムで利用しているメールサービスにおいて不正アクセスを受けたもので、同社アカウントより迷惑メールが送信されたもの。
2025年10月18日14時前から約20分間にわたり、国内外に向けて大量の迷惑メールが送信された。同社がメールサービスを停止したところ、迷惑メールの送信についても停止した。
電気自動車向けの充電インフラを整備、運営するe-Mobility Powerは、メールアカウントが悪用され、迷惑メールが送信されたことを明らかにした。
同社によれば、同社の充電サービスシステムで利用しているメールサービスにおいて不正アクセスを受けたもので、同社アカウントより迷惑メールが送信されたもの。
2025年10月18日14時前から約20分間にわたり、国内外に向けて大量の迷惑メールが送信された。同社がメールサービスを停止したところ、迷惑メールの送信についても停止した。