Huntress は現在、Gladinet の CentreStack および Triofox 製品において、ハードコードされた暗号鍵の使用に起因する新たな脆弱性がアクティブに悪用されており、これまでに 9 組織が影響を受けていると警告している。 「脅威アクターはこれを悪用して web.config ファイルにアクセスし、デシリアライズおよびリモートコード実行への扉を開く可能性があります」とセキュリティ研究者の Bryan Masters は述べている。 ハードコードされた暗号鍵の使用により、脅威アクターはアクセスチケットを復号または偽造できる可能性があり、その結果、web.config のような機微なファイルにアクセスできるようになる。このファイルは ViewState デシリアライズおよびリモートコード実行を達成するために悪用され得ると、同社は付け加えた。 本質的には、この問題は「GladCtrl64.dll」に存在する "GenerateSecKey()" という関数に根ざしており、この関数は認可データ（すなわちユーザー名とパスワード）を含むアクセスチケットを暗号化し、資格情報が有効であることを前提に、ユーザーとしてファイルシステムへのアクセスを可能にするために必要な暗号鍵を生成するために使用されている。 GenerateSecKey() 関数が常に同じ 100 バイトのテキスト文字列を返し、かつこれらの文字列が暗号鍵の導出に使用されるため、鍵は決して変化せず、サーバーによって生成された任意のチケットを復号したり、攻撃者が任意に選んだチケットを暗号化したりするための武器として利用され得る。 これにより、web.config ファイルのような価値あるデータを含むファイルにアクセスし、ViewState デシリアライズを介したリモートコード実行を行うために必要な machine key を取得できる状況が生じる。 Huntress によると、攻撃は以下のような、"/storage/filesvr.dn" エンドポイントに対する特別に細工された URL リクエストという形で行われる - /storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu 攻撃の試みでは、ユーザー名およびパスワードのフィールドが空白のままにされていることが判明しており、その結果、アプリケーションは IIS Application Pool Identity にフォールバックする。さらに、アクセスチケット内のタイムスタンプフィールド（チケットの作成時刻を示す）は 9999 に設定されており、事実上、有効期限のないチケットを作成することになるため、脅威アクターは URL を無期限に再利用してサーバー構成をダウンロードできる。 12 月 10 日時点で、新たに公開されたこの欠陥により最大 9 組織が影響を受けている。これらの組織は、医療やテクノロジーなど幅広い分野に属している。攻撃は IP アドレス 147.124.216[.]205 から発生しており、同じアプリケーションに存在する以前に公開された欠陥（

ホットリンクグループのNonagon Capitalが、プライバシー保護に特化したブロックチェーン「INTMAX」のブロック・ビルダー運用を開始しました。Web3時代に不可欠なプライバシー技術が、どのようにビジネスの生産性向上、コスト削減、競争力強化に貢献するのか、その可能性を深掘りします。

全保連が、不動産会社向け電子申込システム「Z-WEB2.0」にTRUSTDOCKのeKYCサービスを導入。業務効率化とセキュリティ強化を実現。

Entre faux sites-web et malvertising, comment les escrocs exploitent Noël ?

脆弱性「CVE-2025-55182」は、React.js、Next.js、関連フレームワークで利用されるReact Server Components に影響する、認証不要のリモートコード実行脆弱性です。CVSS 10.0という非常に高い深刻度が割り当てられています。

オライリー・ジャパンより「実践 Webペネトレーションテスト」という書籍を出版しました。 （表紙はモモンガでもムササビでもなく、ヒヨケザルという動物です。） 本書の内容 ペネトレーションテスト（侵入テスト）はシステムに対する擬似的な攻撃を行うことですが、本書ではWebアプリケーションを対象としたものを特にWebペネトレ …

AWS reports China-linked groups Earth Lamia and Jackpot Panda rapidly attacking the critical React2Shell CVE-2025-55182 RCE flaw.

rowdStrike has identified multiple intrusions targeting VMware vCenter environments at U.S.-based entities, in which newly identified China-nexus adversary WARP PANDA.

Threat actors have been exploiting a command injection vulnerability in Array AG Series VPN devices to plant webshells and create rogue users.

Researchers have released a specialised scanning tool to identify vulnerable React Server Component (RSC) endpoints in modern web applications.

中国と関係のある2つのハッカーグループが、React Server Components（RSC）における新たに公開されたセキュリティ欠陥を、公開から数時間以内に兵器化して悪用していることが確認された。 問題となっている脆弱性は、CVE-2025-55182（CVSSスコア：10.0）、別名React2Shellであり、認証不要のリモートコード実行を可能にする。この問題は、Reactバージョン19.0.1、19.1.2、および19.2.1で修正されている。 Amazon Web Services（AWS）が公開した新たなレポートによると、Earth LamiaとJackpot Pandaとして知られる、中国と関係する2つの脅威アクターが、この深刻度最大のセキュリティ欠陥の悪用を試みていることが観測されたという。 「AWS MadPotハニーポットインフラにおける悪用試行の分析から、過去に中国国家系脅威アクターと関連付けられてきたIPアドレスおよびインフラからの悪用活動が確認されました」と、Amazon Integrated SecurityのCISOであるCJ Mosesは、The Hacker Newsと共有されたレポートの中で述べている。 具体的には、このテック大手は、今年初めに重大なSAP NetWeaverの欠陥（CVE-2025-31324）を悪用する攻撃に関与したとされる中国系グループ、Earth Lamiaに関連するインフラを特定したと述べている。 このハッカー集団は、金融サービス、物流、小売、IT企業、大学、そしてラテンアメリカ、中東、東南アジアの政府機関など、さまざまなセクターを標的としてきた。 攻撃の試みは、別の中国系サイバー脅威アクターであるJackpot Pandaに関連するインフラからも発生しており、同グループは主に、東アジアおよび東南アジアにおいてオンラインギャンブル事業に従事、もしくはそれを支援する組織を標的としてきた。 CrowdStrikeによれば、Jackpot Pandaは少なくとも2020年から活動していると評価されており、初期侵入を得るために悪意あるインプラントを展開しようと、信頼された第三者との関係を標的にしてきた。特筆すべきは、この脅威アクターが、2022年9月に発生したサプライチェーン侵害、すなわちComm100と呼ばれるチャットアプリの侵害とOperation ChattyGoblinとしてESETにより追跡されている活動に、関連付けられている点だ。 その後、中国のハッカー請負業者であるI-Soonが、インフラの重複を根拠に、サプライチェーン攻撃への関与があった可能性が浮上している。興味深いことに、同グループが2023年に仕掛けた攻撃は主に中国語話者の被害者に焦点を当てており、国内監視の可能性を示唆している。 CrowdStrikeは昨年公開したグローバル脅威レポートの中で、「2023年5月以降、この敵対者は、中国本土の違法な中国語話者向けギャンブルコミュニティで人気の、中国発のチャットアプリCloudChatのトロイの木馬化されたインストーラーを使用していました」と述べている。 「CloudChatのウェブサイトから配布されていたトロイの木馬化インストーラーには、多段階プロセスの第一段階が含まれており、最終的にXShadeと呼ばれる新種のインプラントを展開していました。このインプラントのコードは、Jackpot Panda特有のCplRATインプラントと重複する部分があります。」 Amazonによると、脅威アクターが、NUUO Cameraの脆弱性（CVE-2025-1338、CVSSスコア：7.3）を含む他のN-day脆弱性と併せて2025-55182を悪用していることも検知しており、パッチ未適用システムを求めてインターネット全体をスキャンしようとする、より広範な試みが示唆される。 観測された活動には、（例：whoami）といった探索コマンドの実行、「/tmp/pwned.txt」へのファイル書き込み、「/etc/passwd」など機密情報を含むファイルの読み取りが含まれている。 「これは体系的なアプローチを示しています。すなわち、脅威アクターは新たな脆弱性情報の公開を監視し、公開されたエクスプロイトを迅速にスキャン用インフラへ統合し、複数のCommon Vulnerabilities and Exposures（CVE）にまたがる大規模キャンペーンを展開することで、脆弱な標的を見つけ出す可能性を最大化しているのです」とMosesは述べている。 翻訳元:

12月24日に開催される無料ウェビナーでは、ASMと脆弱性診断の違いを詳しく解説します。おすすめのサービスも紹介。参加は無料です！

脅威アクターが Array AG シリーズ VPN デバイスのコマンドインジェクションの脆弱性を悪用し、Web シェルを設置したり、不正なユーザーを作成したりしていることが確認されています。 Array Networks は 5 月のセキュリティアップデートでこの脆弱性を修正しましたが、識別子を割り当てておらず、脆弱性の追跡やパッチ管理を複雑にしています。 日本のコンピュータ緊急対応チーム（CERT）である JPCERT/CC のアドバイザリ によると、この脆弱性は少なくとも 8 月以降、日本国内の組織を標的とした攻撃で悪用されているとのことです。 Visit Advertiser websiteGO TO PAGE 同機関によると、攻撃は IP アドレス 194.233.100[.]138 から行われており、このアドレスは通信にも使用されています。 「JPCERT/CC が確認したインシデントでは、/ca/aproxy/webapp/ パスに PHP Web シェルファイルを配置しようとするコマンドが実行されていました」と、（機械翻訳された）通達には記されています。 この脆弱性は ArrayOS AG 9.4.5.8 以前のバージョンに影響し、AG シリーズのハードウェアおよび仮想アプライアンスで、リモートアクセス機能「DesktopDirect」が有効になっているものが対象となります。 JPCERT によると、Array OS バージョン 9.4.5.9 で問題が解消されており、アップデートが不可能な場合の回避策として以下を提示しています。 DesktopDirect 機能を使用していない場合は、すべての DesktopDirect サービスを無効化する URL フィルタリングを使用して、セミコロンを含む URL へのアクセスをブロックする Array Networks AG シリーズは、SSL VPN を利用して暗号化トンネルを作成し、企業ネットワーク、アプリケーション、デスクトップ、クラウドリソースへの安全なリモートアクセスを提供するセキュアアクセスゲートウェイ製品群です。

12/05/2025にApache HTTP Serverの脆弱性(Moderate: CVE-2025-59

セキュリティ簡易情報 オーストラリア信号局（ASD）は先週金曜日、攻撃者が未修正のCisco IOS XEデバイスに「BADCANDY」と呼ばれるインプラントをインストールし、自身のマルウェアが削除されたことを検知して再インストールできると警告しました。 ASDの勧告によると、正体不明の攻撃者がCVE-2023-20198の影響を受けるCiscoデバイスを探しており、これは2018年に発見され、CVSSスコア10.0と評価された脆弱性で、攻撃者がCiscoのIOS XEソフトウェアのWeb UI機能を悪用してシステムを制御できるものです。この脆弱性は悪名高いSalt Typhoonグループのお気に入りでもあります。 ASDによれば、感染したデバイスを再起動すればBADCANDYは削除されますが、「再起動しても脅威アクターが行った追加の操作は元に戻らず、最初に悪用された脆弱性も修正されない」と警告しています。 さらに悪いことに、再起動は攻撃者に対し、より強力なハッキングが必要だと警告することにもなりかねません。 「ASDは、攻撃者がBADCANDYインプラントが削除されたことを検知し、デバイスを再度悪用していると考えています」と勧告は述べています。「このことは、再悪用を防ぐためにCVE-2023-20198へのパッチ適用が必要であることをさらに強調しています。」– サイモン・シャーウッド 防衛請負業者の元幹部、ロシアへのサイバー・ツール販売を認める 防衛請負業者の元幹部が、クレムリンと取引のあるロシア企業に秘密のエクスプロイトを販売した罪を認めました。 ピーター・ウィリアムズは、ワシントンD.C.で防衛請負業者L3Harrisのサイバー子会社Trenchantのゼネラルマネージャーとして働いていたオーストラリア国籍の人物で、先週営業秘密窃盗の2件を認めました。これは1週間前に逮捕・起訴されたことを受けてのことです。 米司法省によると、ウィリアムズは米国政府および一部の同盟国向けにのみ販売が許可されていた、少なくとも8つの「機密かつ保護されたサイバーエクスプロイトコンポーネント」を含む国家安全保障重視のソフトウェアを、名前の明かされていないロシアのサイバーツール仲介業者に販売していました。 ウィリアムズは、ロシアの共謀者と書面契約まで交わすほど大胆で、盗まれた秘密に対して最大400万ドル相当の暗号通貨と、ロシアによるエクスプロイト利用のための継続的なサポートを約束されていました。裁判資料によれば、彼は犯罪によって約130万ドルの支払いを受けており、それで高級時計やハンドバッグ、宝石、衣類、ワシントンD.C.の住宅などを購入していました。これらはすべて米国政府に没収することに同意しています。 ウィリアムズが直面する各罪状には最長10年の刑罰が科されます。裁判資料によると、司法省はウィリアムズに11年3カ月の服役を求めています。 司法省は、ウィリアムズが逮捕後に協力したことを量刑の理由に挙げていますが、彼はTrenchantの内部調査員と数カ月間協力しつつ、同社が国家安全保障関連ソフトウェアの流出に気付いた後もロシアへの秘密販売を続けていました。 国家がOmnissaへのサプライチェーン攻撃の背後にいる可能性 Palo Alto Networksは、新たな危険なWindowsマルウェアについて警告しており、国家的なアクターがOmnissa（旧VMware）のWorkspace ONEエンドポイント管理およびアプリケーション配信スイート内にコマンド＆コントロールチャネルを作るために使用していると疑っています。 このマルウェアは、ソフトウェアの旧名（AirWatch API for MDM）にちなんでAirstalkと名付けられ、攻撃者はAPIを使ってChromeのクッキー、閲覧履歴、ブックマークを流出させたり、感染デバイスのライブスクリーンショットを取得したりしています。 Palo Altoは、このマルウェアにPowershell版と.NET版があることを発見し、どちらも検知を回避できるものの、.NET版の方が高度だと述べています。 Palo Altoは、マルウェアの配布方法については詳述していません。執筆時点でOmnissaのセキュリティ勧告にはこの問題のパッチについて言及がありません。 Google、Chromeで常にHTTP警告を表示する方針に HTTPSの普及率が約95％で頭打ちとなる中、Googleは世界で最も人気のあるブラウザが、常に安全でないHTTP接続を要求するサイトを警告すべきだと決定しました。 来年10月にリリースされるChrome 154から（つまり準備期間は1年あります）、Chromeの「常に安全な接続を使用」設定がデフォルトでオンになり、ユーザーが初めて通常のHTTPページにアクセスすると、たとえ安全な接続の間の一時的な遷移であっても、ブラウザが警告を出し、続行するかどうかを尋ねます。 「今日、多くのプレーンテキストHTTP接続はユーザーにまったく見えません。なぜならHTTPサイトが即座にHTTPSサイトにリダイレクトされる場合があるからです」とGoogleはアップデートで述べています。「HTTPナビゲーションは、ほとんどのChromeユーザーにとって依然として日常的に発生しています。」 Googleは、これによりChromeユーザーに多少の不便が生じることを認めていますが、同社はそれが正当な理由であると考えています。 もちろん、これはデフォルト設定なので、1年後に新しいChromeの仕様が導入されても、危険を承知でブラウジングしたい場合はオフにするだけで済みます。 いいえ、LastPassはあなたが死んでいるかどうか確認していません パスワードマネージャーLastPassのユーザーで、「あなたが死んでいないことを確認してください」というメールを受け取った場合、この新しいフィッシングキャンペーンに騙されないでください。 LastPassは、ユーザーに警告を出しており、家族の誰かがアカウントへのアクセスを得るために死亡証明書を提出したと通知するメッセージを装ったフィッシングメールが出回っています。メールは、ログインという形で生存証明の提出を求めており、当然ながら本物のLastPassのURLではなくフィッシングドメインに誘導します。 LastPassによると、これらのメールの背後にいるグループは、ユーザーの保管庫に保存された暗号通貨アカウントの認証情報を狙っているようで、同じグループが過去にもLastPassユーザーを標的にしていました。キャンペーンの背後にある最初のフィッシングサイトはすでに閉鎖されたと同社は述べていますが、それだけでキャンペーンが終わることはほとんどないため、「あなたは死んでいますか？」というメッセージには注意し、削除してください。 WhatsAppのチャットをパスキーで保護 Metaの暗号化チャットアプリWhatsAppは、多くの機密性の高いやり取りに利用されており、ザッカーバーグのチャットサービスはクラウドに保存されるバックアップファイルの暗号化を提供しています。これらの秘密はパスワードまたは暗号化キーで保護されます。 今回、Metaはユーザーが生体認証パスキーでバックアップを保護できるようにしました。 「パスキーを使えば、パスワードや面倒な64桁の暗号化キーを覚える代わりに、指紋・顔・画面ロックコードでチャットバックアップを暗号化できます」とWhatsAppチームは先週ブログ投稿で述べました。 この新機能は今後「数週間から数カ月」にかけて段階的に展開される予定です。パスワードからキーに切り替えるには、WhatsAppを開いて「設定 > チャット > チャットバックアップ > エンドツーエンド暗号化バックアップ」に進み、画面の指示に従ってください。® 翻訳元:

A new security flaw has been found in Apache Struts, a popular open‑source web application framework used by many companies worldwide.