iOS 26.1 launched earlier this week, and with it, Apple Music’s AutoMix feature has expanded to now work when streaming to AirPlay speakers.

重要なのは、Active DirectoryのKerberosの脆弱性、Visual Studio Copilot拡張機能、そしてMicrosoft Graphics Componentの問題です。 サーバー、コントローラー、デスクトップにおけるゼロデイの特権昇格Windowsカーネル脆弱性が積極的に悪用されており、直ちにパッチを適用する必要があります。 これは、Tenableの上級スタッフリサーチエンジニアであるSatnam Narang氏のアドバイスであり、本日の11月パッチチューズデーでMicrosoftが特定した63件の脆弱性のうち、対処すべき2大脆弱性の1つです。 また、SAPは本日、26件の新規および更新されたセキュリティパッチの中で、4件のHotNewsノートと2件のHighPriorityノートをリリースしました。1つのパッチは、ハードコードされた認証情報のためSQL Anywhere Monitorを削除します。 本日、Adobeは8件のアップデートを、Mozillaは3件のアップデートをリリースしました。 Windowsカーネルの脆弱性 Microsoftが対処すべき最も緊急性の高い脆弱性はCVE-2025-62215（Windowsカーネルの脆弱性）ですと、Narang氏はCSOへのメールで述べています。「このバグを悪用するにはかなりの前提条件が必要ですが、Microsoftはすでに積極的な悪用が進行中であることを確認しています。この脆弱性の影響は無視できません。特権昇格の脆弱性は、組織内の他の扉を開く鍵となるからです。これが攻撃者が初期侵入から本格的な侵害へと進む方法です。」 また、Mike Walters氏（Action1社長）は、この脆弱性がデスクトップだけでなく、サーバーやドメインコントローラーにも影響を与えると指摘しています。 Chris Goettl氏（Ivantiプロダクトマネジメント副社長）は、この脆弱性が現在サポートされているすべてのWindows OSエディションおよびESU（拡張セキュリティ更新プログラム）対象のWindows 10マシンに影響すると述べています。「つまり、Windows 10のサポート終了後も使い続けることは仮定上のリスクではありません。」 Ben McCarthy氏（Immersive社リードサイバーセキュリティエンジニア）は、この脆弱性の悪用方法を説明しています。低権限のローカルアクセスを持つ攻撃者が、レースコンディションを繰り返し発生させる特別に作成されたアプリケーションを実行できます。目的は、複数のスレッドを同期されていない方法で共有カーネルリソースと相互作用させ、カーネルのメモリ管理を混乱させて同じメモリブロックを2回解放させることです。この「ダブルフリー」が成功するとカーネルヒープが破損し、攻撃者はメモリを上書きしてシステムの実行フローを乗っ取ることができます。 Microsoftによれば、この脆弱性を悪用するための攻撃の複雑さは高いものの（レースコンディションを制する必要があるため）、必要な権限は低いとされています。そして、得られる報酬は大きい：この脆弱性を悪用した攻撃者はSYSTEM権限を獲得できます。 Windows ESUプログラム利用者は、Nick Carroll氏（Nightwingサイバーインシデントレスポンスマネージャー）によれば、一部のユーザーが拡張セキュリティ更新プログラムへの登録に問題を報告していることに注意が必要です。Microsoftは最近、Windows 10 Consumer Extended Security Updateプログラムへの登録時の問題に対処するため、臨時のアップデートをリリースしました。プログラムへの参加を計画している管理者は、KB5071959をインストールして登録問題に対処してください。その後、今日のKB5068781など他のアップデートもインストールできるようになります。 Visual Studio Copilot拡張機能の脆弱性 2つ目の主要な脆弱性はCVE-2025-62222で、Microsoft Visual Studio Code Copilot Chat Extensionにおけるリモートコード実行の脆弱性です。 悪用される可能性は低いと評価されていますが、Narang氏は「これは生成AIやエージェントAI（基盤モデルやオープンソースモデル、AI支援コード編集ツールを含む）にバグを見つけることへの関心の高まりを示しています」と述べています。

🔥-10%￥31,482🔥💍350pt(1%)💍💎¥3000OFFクーポン💎

徳島県が進めるDX施策の一環として、メール誤送信防止のChrome拡張機能が導入されました。約5,000人の職員が利用開始し、行政の安全性向上を図ります。

GlassWormマルウェアが、Koi Securityの報告によると、Visual Studio (VS) Code拡張機能マーケットプレイスから削除されてから約2週間後、Open VSXレジストリに再び姿を現しました。 10月中旬、このマルウェアは約12個の感染した拡張機能を通じてレジストリに入り、NPM、GitHub、Gitの認証情報や、49の暗号通貨拡張機能からその他の機密情報や資金を盗み出すことを目的としていました。 Koi Securityは当時、マルウェアが約35,000回ダウンロードされたと推定し、被害者のシステム上の拡張機能やパッケージを感染させることで拡散する可能性があると警告しました。 このマルウェアが際立っていたのは、エディタ内でコードを隠すためにUnicodeバリエーションセレクタを使用し、コマンド＆コントロール（C&C）インフラとしてSolanaブロックチェーンを利用していた点です。また、SOCKSプロキシサーバーや隠しVNCサーバーを展開することで、感染したマシンへのリモートアクセスも提供していました。 Open VSXは10月下旬、この攻撃が数日以内に封じ込められ、同様の攻撃を防ぐための追加のセキュリティ対策が実施されたと発表しました。 GlassWormが自己増殖型ワームではないことを指摘しつつ、Open VSXはすべての感染拡張機能がレジストリから削除され、10月21日時点でこのインシデントは封じ込められたと述べています。 現在、Koiは警告しており、11月6日にレジストリで新たに3つの感染したVS Code拡張機能が発見され、合計で約10,000回ダウンロードされていたことが判明しました。 攻撃者は新たなSolanaブロックチェーン取引を送り、マルウェアに新しいC&Cアドレスを提供して次の段階のペイロードをダウンロードさせました。しかし、情報流出サーバーは最初の攻撃波から変わっていませんでした。 Koiはまた、攻撃者のサーバーにアクセスし、盗まれたデータを覗き見たと述べており、その中にはGlassWormの被害者の一部リストが含まれていました。このリストには、米国、ヨーロッパ、アジア、ラテンアメリカの開発者や組織、さらに中東の政府機関も含まれています。 Koiによると、攻撃者は被害者の認証情報を盗み、彼らのコンピュータを犯罪用プロキシインフラとして悪用している可能性が高いとしています。 サーバーで発見されたキーロガーデータから、脅威アクターがロシア語話者であり、インフラの一部としてオープンソースのブラウザ拡張C&CフレームワークRedExtを使用し、複数の暗号通貨取引所やメッセージングプラットフォームを利用していることが判明しました。 「現在、法執行機関と連携して被害者への通知や攻撃者インフラの摘発に取り組んでいます。しかし現実は厳しく、このキャンペーンは1ヶ月以上続いており、今も拡大しています」とKoiは述べています。 さらに懸念されるのは、GlassWormのような悪意のあるコードが、Unicode文字を使ってコードエディタから隠され、GitHub上でも発見されたことです。複数のリポジトリで悪意のあるスクリプトを発見したAikido Securityは、同じ脅威アクターがOpen VSXとGitHubの両方の攻撃に関与している可能性が高いと指摘しています。 「攻撃者は、現実的なコミットやプロジェクト固有の改善と悪意のあるコードを混ぜ合わせており、AIの助けを借りて変更を自然に見せている可能性があります。これは、脅威の状況がどこに向かっているかを示しています」とAikidoは述べています。 翻訳元:

ファイル暗号化やデータ窃取の挙動を持つ疑わしいVisual Studio Code拡張機能が、マーケットプレイスの審査をすり抜けて開発者エコシステムに入り込んだ。 不明な関係者によるテストの一環とみられる試みで、Ransomvibeと名付けられたランサムウェア型の挙動がVisual Studio Code向け拡張機能に組み込まれ、公開された。 Secure Annexの調査によると、VSCode拡張機能マーケットプレイスに公開された悪意あるコードは明らかにVibeコード化されており、特に高度なものではなかった。 「これは高度な例ではありません。コマンド＆コントロールサーバーのコードが復号ツールと一緒に拡張機能パッケージに誤って（？）含まれていました」とSecure AnnexのJohn Tucknerは述べ、拡張機能には「明らかに悪意のある」マーケットプレイス説明文も含まれていたと付け加えた。 拡張機能には明らかな警告サインがあったにもかかわらず、Microsoftの審査フィルターをすり抜け、報告後もなお利用可能な状態が続いているとTucknerはXの投稿で述べている。 悪意あるコードにはファイルの暗号化や窃取の機能が含まれている。 「Ransomvibe」POCに見られる明らかなAIの粗雑さ Tucknerによれば、「suspicious VSX」と名付けられ、「Suspicious publisher」という分かりやすい別名で公開された悪意あるVisual Studio Code拡張機能は、ペイロードを隠すことなく堂々と含んでいた。 「suspublisher18.susvsex」として掲載されたこの拡張機能には、「package.json」が含まれており、インストール時を含むあらゆるイベントで自動的に有効化され、「コマンド＆コントロールのテスト」機能を提供するコマンドパレットユーティリティも備えていた。「extension.js」のエントリーポイント内には、サーバーURLや暗号鍵、C2の宛先、ポーリング間隔などのハードコーディングされた変数が見つかった。これらの多くには、AIによって生成されたコードであることを示すコメントが付けられていた。 トリガーされると、拡張機能は指定されたディレクトリ内のファイルを圧縮・暗号化し、リモートのコマンドサーバーにアップロードする。 Tuckerは指摘しているように、ターゲットディレクトリはテスト用に設定されていたが、今後のアップデートやリモートコマンドによって実際のファイルシステムパスに簡単に変更できる。拡張機能にはPythonとNodeの2種類の復号ツールとハードコーディングされた復号鍵が含まれており、悪意の可能性を排除している。 拡張機能はGitHubベースのC2を指していた Ransomvibeは、従来のC2サーバーではなく、やや異例なGitHubベースのコマンド＆コントロール（C2）インフラを展開した。拡張機能はプライベートなGitHubリポジトリを使ってコマンドの受信と実行を行った。「index.html」というファイルの新しいコミットを定期的にチェックし、埋め込まれたコマンドを実行、その出力を「requirements.txt」に書き戻していた。これには拡張機能内にバンドルされたGitHubパーソナルアクセストークン（PAT）が使われていた。 ホストデータの流出を可能にするだけでなく、このC2の挙動によって攻撃者自身の環境も露呈し、痕跡はバクー在住のGitHubユーザーを指し示していた。そのタイムゾーンはマルウェア自身が記録したシステムデータと一致していた。 Secure Annexはこれを、ソースファイル（復号ツールや攻撃者のC2コードを含む）の誤配置や、悪意ある機能を明示的に記述したREADME.mdファイルなど、AI支援によるマルウェア開発の典型例だと評している。しかしTucknerは、真の問題は拡張機能を見逃したMicrosoftのマーケットプレイス審査システムにあると主張している。 Microsoftは拡張機能をマーケットプレイスから削除したと述べている。マーケットプレイスの各拡張機能ページには「不正行為を報告」リンクがあり、同社はすべての報告を調査しているという。拡張機能の悪意性が確認された場合や依存関係に脆弱性が見つかった場合、その拡張機能はマーケットプレイスから削除され、ブロックリストに追加され、VS Codeによって自動的にアンインストールされる。企業がマーケットプレイスへのアクセスを防ぎたい場合は、特定のエンドポイントをブロックすることで対応できると付け加えている。 最近の事例から、悪意ある、あるいは不注意な拡張機能がVisual Studio Codeエコシステムで繰り返し問題となっていることが明らかになっている。中には認証情報を漏洩させるものや、静かにコードを盗んだり暗号資産をマイニングするものもある。Secure AnnexはIOCリストの共有に加え、既知の悪意ある拡張機能のブロックや組織内のアドオン管理を目的としたSecure Annex Extension Managerというツールも公開している。 翻訳元:

ランサムウェア機能を持つ疑わしいVisual Studio Code拡張機能が、MicrosoftのMarketplaceのセキュリティをすり抜けました。 研究者はランサムウェア機能を持つVisual Studio Code拡張機能を発見しました。 fadfebrian – shutterstock.com セキュリティ専門企業Secure Annexは最近、「Ransomvibe」と呼ばれるマルウェアがソースコードエディタVisual Studio Codeの拡張機能に埋め込まれていることを発見しました。「拡張機能が有効化されると、最初にzipUploadAndEcnrypt関数が実行されます。この関数は、ランサムウェアや恐喝ソフトウェアに典型的なすべての技術を適用します」と調査報告書には記されています。 これによると、ディレクトリはテスト環境として構成されているため、現時点での影響は軽微です。「しかし、拡張機能のアップデートやリモートコマンドによって簡単に更新可能です」と研究者たちは警告しています。 Secure Annexによれば、公開されたマルウェアはVibeコード化されたコードであり、洗練性は全くありません。「これは高度な例ではなく、コマンド＆コントロールサーバーのコードが誤って復号ツールとともに公開された拡張パッケージに含まれていました」とSecure Annexのジョン・タックナー氏は説明し、拡張機能には「明らかに悪意のある」Marketplace説明文が含まれていたと付け加えました。 「拡張機能には明らかな警告サインがあったにもかかわらず、Microsoftの審査フィルターを通過してしまいました」とタックナー氏はX投稿で強調しています。 AI生成コードの兆候 「suspublisher18.susvsex」という名前の拡張機能には「package.json」ファイルが含まれており、インストール時を含むあらゆるイベントで自動的に有効化されます。また、このツールはコマンド＆コントロール機能のテストも可能です。エントリーポイントである「extension.js」内には、サーバーURL、暗号化キー、C2ターゲット、クエリ間隔などのハードコードされた変数が発見されました。これらの変数の多くは、コードがAIによって生成されたことを示唆しています。 含まれている2つの復号プログラムはPythonとNodeをベースにしています。さらに、ハードコードされた復号キーも挿入されていました。 拡張機能はGitHubベースのC2を参照 Ransomvibeは、従来のC2サーバーに依存するのではなく、やや珍しいGitHubベースのコマンド＆コントロールインフラ（C2）を採用しています。拡張機能はプライベートなGitHubリポジトリを利用してコマンドを受信・実行します。定期的に「index.html」というファイルの新しいコミットを確認し、埋め込まれたコマンドを実行、その出力を拡張機能にバンドルされたGitHubパーソナルアクセストークン（PAT）で「requirements.txt」に書き戻します。 このC2挙動は、ホストデータの流出だけでなく、攻撃者の環境も明らかにします。痕跡はBakuのGitHubユーザーを指し、マルウェア自身が記録したシステムデータのタイムゾーンと一致しています。 Secure Annexはこれを、AIを活用したマルウェア開発の典型例とし、誤って配置されたソースファイル（復号ツールや攻撃者のC2コードを含む）や、悪意ある機能を明示的に記述したREADME.mdファイルが含まれていると指摘しています。しかしタックナー氏は、真の問題はMicrosoft Marketplaceの審査システムが拡張機能を検知できなかったことにあると主張しています。 Microsoftの対応 Microsoftは、拡張機能をMarketplaceから削除したと発表しました。Marketplace内の各拡張機能ページには「不正行為を報告」リンクがあり、すべての報告が審査されるとしています。「拡張機能が悪意あるものと判断された場合や脆弱性が見つかった場合、その拡張機能はMarketplaceから削除され、ブロックリストに追加され、VS Codeから自動的にアンインストールされます」とテック大手は述べています。企業がMarketplaceへのアクセスを制限したい場合は、特定のエンドポイントをブロックすることで対応可能としています。 最近の事例では、悪意のある、または不注意な拡張機能がVisual Studio Codeエコシステムで繰り返し問題となっていることが示されています。中には認証情報を漏洩させたり、密かにコードを盗んだり暗号資産をマイニングしたりするものもあります。（jm） 翻訳元:

根絶宣言から数週間後、GlassWormが再び不可視のUnicodeやブロックチェーンC2の手口でオープンソース拡張機能に蔓延。 根絶されたと考えられていた広範かつ回避的なマルウェアが、再び開発環境に侵入しています。 GlassWormがオープンソースのOpenVSXプロジェクトによって「完全に封じ込められ、終了」と宣言されてからわずか2週間余りで、この自己増殖型ワームは再びVisual Studio Codeの拡張機能、つまりオープンソースのVS Codeを強化し、新機能やデバッガ、その他のツールを提供して開発者のワークフローを向上させるアドオンを標的にしています。Koiの研究者は、新たな感染の波とさらに3つの侵害された拡張機能を発見しました。 10月に初めて発見されたGlassWormは、VS Code環境のコードエディタで悪意のあるコードを不可視にするために表示できないUnicode文字を利用します。このワームは現在、GitHubリポジトリにも侵入し、AI生成のコミットにペイロードを隠して、正当なコード変更のように見せかけています。 ロシア拠点の攻撃グループによってリリースされたこのマルウェアは、世界中の被害者を感染させています。これには米国、欧州、アジア、南米、そして中東の「主要な政府機関」を含む数十人の個人開発者や企業が含まれます。 「同じ攻撃者インフラが、今も完全に稼働中です」とKoiの研究者は指摘します。さらに「もはや侵害された拡張機能だけの問題ではありません。これは実際の被害者、リスクにさらされた重要インフラ、そして我々が警告した通りに動作するワームの問題です。開発者エコシステム全体に広がっています」と述べています。 GitHubリポジトリも侵害 Koiの研究者は、GlassWormを含む3つの新しいOpenVSXコード拡張機能を特定しました。これらは合計で少なくとも10,000回ダウンロードされています： adhamu.history-in-sublime-merge（4,000回ダウンロード） ai-driven-dev.ai-driven-dev（3,300回ダウンロード） yasuyuky.transient-emacs（2,400回ダウンロード） これら3つすべてのGlassWorm拡張機能は「依然としてコードエディタ上で完全に不可視」であると研究者は指摘します。これらは人間の目には空白に見える表示不可能なUnicode文字でエンコードされており、JavaScriptとして実行されます。 攻撃者は、悪意のあるペイロード配布用の更新されたリモートコマンド＆コントロール（C2）エンドポイントを記載した新たなトランザクションをSolanaブロックチェーン上に投稿しています。しかし、これらのトランザクションは新しいものの、サーバー自体は変更されていないと研究者は述べています。 「これはブロックチェーンベースのC2インフラの耐障害性を示しています。たとえペイロードサーバーが停止されても、攻撃者はわずかなコストで新しいトランザクションを投稿でき、すべての感染マシンが自動的に新しい場所を取得します」と彼らは記しています。 開発者からは、自分のGitHubリポジトリが、通常の開発活動の一部として「プロジェクト固有」のAI生成コード変更のコミットで侵害されたとの報告も上がっています。これらのコミットにはVS Codeと同じ不可視Unicodeマルウェアが含まれています。さらに攻撃者はGitHubの認証情報を盗み、ワームの手法で他のリポジトリにもコミットをプッシュしています。 「GlassWormがこれほど早く再出現したことは非常に懸念すべきですが、驚くことではありません」と脅威インテリジェンス企業SOCRadarのCISO、Ensar Seker氏は述べています。 特に危険なのは、攻撃者がサプライチェーンワームを一度除去された後に再び表面化させた方法だと彼は指摘します。「いくつかの拡張機能を削除しただけでは不十分です。攻撃者が伝播メカニズムを制御し、複数のマーケットプレイスにまたがって拡散ポイントを活用している場合は特にそうです。」 「根本的な弱点」を浮き彫りに 興味深いことに、攻撃者は自らのインフラ管理がずさんだったようで、Koiの研究者がデータや被害者リストの一部を抽出できる公開エンドポイントを残していました。また、脅威アクターのキーロガーデータから、彼らがオープンソースのC2フレームワーク拡張機能RedExtを使用していることや、複数のメッセージングプラットフォームや暗号通貨取引所のユーザーIDにアクセスできたことも判明しました。 被害者リストはすでに法執行機関に引き渡され、被害者への通知と積極的な調査が進行中であるとKoiの研究者は述べています。 Beauceron SecurityのDavid Shipleyは、これらの攻撃は技術的なものだけでなく、プロセスや市場の仕組みにも起因すると指摘します。OpenVSXは、コミュニティとして提出されたコードを手動でレビューするリソースがないようで、自動ツールとパブリッシャー契約に頼っていると述べています。 この問題は、オープンソース市場モデルの「根本的な弱点」を浮き彫りにしています。無料または低コストのアプローチではリソースが不足し、今日の脅威環境に必要なセキュリティレベルを適用するためのインセンティブも整いません、とShipley氏は述べています。 「端的に言えば、手動コードレビューに十分な報酬がなければ、誰もやりません」と彼は指摘します。「巧妙なハックを見抜ける人間がいなければ、巧妙なハックは簡単に入り込むのです。」 OpenVSXの価値を問う セキュリティチームはOpenVSXの価値提案を見直すべきだとShipley氏は助言します。もし手動でレビューし、オープンソースレジストリからのコードについてアラートを出す覚悟があるなら、リスクを軽減できます。そうでなければ、より厳格なレビュー管理がある厳選されたソースからコードを入手することを検討すべきです。 「サプライチェーンとオープンソースは今やサイバーセキュリティの鬼ごっこの“鬼”であり、しばらくその状態が続くでしょう」とShipley氏は述べます。これは、より多くのセキュリティを許容する経済バランスが取れるか、あるいはモデルが「不安定さの重みに耐えきれず崩壊する」まで続く可能性があります。 「これらの脅威を100％確実に防げる自動AIの魔法の粉など存在しません」と彼は言います。「自動スキャンが“十分良い”とされていたのは、攻撃者がこれを非常に有効な攻撃配布手段だと気付くまでの話です。」 SOCRadarのSeker氏も、根本的な問題はマルウェアそのものではなく、サプライチェーン脅威の「システム的な変化」にあると同意します。 「ソフトウェアサプライチェーンはもはや依存関係だけの問題ではありません」と彼は述べ、むしろツールチェーン、マーケットプレイス、開発エコシステム全体の問題だと指摘します。「開発者インフラを本番インフラと同じように扱う必要があります。」 開発者やセキュリティチームは、不可視Unicode文字を含む悪意のある拡張機能のアップロード、ブロックチェーンメモやGoogleカレンダーのような正規サービスを使った隠れたC2チャネルによるテイクダウン回避、感染した開発者マシンがプロキシノードとしてさらなる感染を拡大する、といった重要なシグナルに注目すべきです。 企業は、信頼できるパブリッシャーからのコンポーネントのみを許可し、可能な限り自動更新を無効化し、インストール済み拡張機能のインベントリを維持することで攻撃対象領域を減らすべきだとSeker氏は助言します。また、ワークステーションからの異常な外部接続、開発者レベルのトークン（npm、GitHub、VS Code）の認証情報収集活動、プロキシやVNCサーバーの作成も監視すべきです。さらに、サードパーティライブラリに対して行うのと同じ厳格さを自社の開発ツールチェーンにも適用すべきです。 「悪意ある攻撃者があなたのIDE（統合開発環境）を発射台として扱うと、サプライチェーンのリスクは劇的に拡大します」とSeker氏は述べます。 最終的に彼は警告します。「これは単一のライブラリをパッチして終わるような典型的なサプライチェーン攻撃ではありません。持続するよう設計されています。」 本記事は元々InfoWorldに掲載されたものです。 翻訳元: