ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 日鉄ソリューションズで不正アクセスによる情報漏洩の可能性
  • 中国の攻撃者グループ Silk Typhoon (HAFNIUM) の攻撃キャンペーンに関与した中国人をイタリアで逮捕
  • 米財務省が北朝鮮の IT 労働者による不正に収益を得るための活動に関与した人物および会社に制裁
  • 毎日新聞デジタルで第三者による不正ログイン
• 攻撃、脅威
  • 金融庁が証券会社のインターネット取引サービスでの不正アクセス・不正取引による被害状況を更新
  • Chrome および Edge に多数の不正な拡張機能が見つかる
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 4+1 個の脆弱性を追加
  • Microsoft が 2025年 7月の月例パッチを公開
  • AMD 製 CPU にサイドチャネル攻撃が可能な脆弱性
• その他

事件、事故

日鉄ソリューションズで不正アクセスによる情報漏洩の可能性

(7/8) 不正アクセスによる情報漏洩の可能性に関するお詫びとお知らせ｜プレスルーム｜日鉄ソリューションズ

2025年3月7日、当社のサーバーに対する不審なアクセスを検知し、直ちにサーバーをネットワークから隔離するなどの必要な対策を実施しました。その後、外部専門家の助言を受けながら影響範囲調査を実施する中で、第三者による不正アクセスの形跡が確認され、当社の社内利用サーバー内に保存されていたお客様・パートナー様・当社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明しました。なお、当社がお客様に提供しておりますクラウドサービスには影響はございません。

不正アクセスの原因については、ネットワーク機器へのゼロデイ攻撃があったことが判明しております。

中国の攻撃者グループ Silk Typhoon (HAFNIUM) の攻撃キャンペーンに関与した中国人をイタリアで逮捕

(7/7) >>>ANSA/Chinese 'spy' arrested in Italy on US warrant - English Service - Ansa.it

(7/8) Southern District of Texas | Chinese state-sponsored hacker arrested on U.S. warrant | United States Department of Justice

A 33-year-old Chinese national has been taken into custody for his alleged involvement in U.S. computer intrusions between February 2020 and June 2021, including the reckless and indiscriminate HAFNIUM campaign that compromised thousands of computers worldwide.

米財務省が北朝鮮の IT 労働者による不正に収益を得るための活動に関与した人物および会社に制裁

(7/8) Sanctions Imposed on DPRK IT Workers Generating Revenue for the Kim Regime | U.S. Department of the Treasury

毎日新聞デジタルで第三者による不正ログイン

(7/11) 毎日新聞デジタルへの不正ログインの発生について | 毎日新聞

10日午前、毎日新聞デジタルへのログイン情報を識別するシステムに対する不審なアクセスを検知しました。調査したところ、今月8日以降、ログインを試みる大量のアクセスがあったことが判明しました。10日夜に外部からのアクセスを制限する対策を講じるまで、３日間で約2万件のＩＤでログインがあり、この中に第三者による不正ログインが含まれているとみて確認しています。

攻撃、脅威

金融庁が証券会社のインターネット取引サービスでの不正アクセス・不正取引による被害状況を更新

(7/7) インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています：金融庁

Chrome および Edge に多数の不正な拡張機能が見つかる

(7/9) Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware. | by Idan Dardikman | Jul, 2025 | Koi Security

TL;DR - Our investigation of a single “verified” color picker exposed a coordinated campaign of 18 malicious extensions that infected a massive 2.3 million users across Chrome and Edge.

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 4+1 個の脆弱性を追加

(7/7) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2014-3931 Multi-Router Looking Glass (MRLG) Buffer Overflow Vulnerability
• CVE-2016-10033 PHPMailer Command Injection Vulnerability
• CVE-2019-5418 Rails Ruby on Rails Path Traversal Vulnerability
• CVE-2019-9621 Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) Vulnerability

(7/10) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2025-5777 Citrix NetScaler ADC and Gateway Out-of-Bounds Read Vulnerability

Microsoft が 2025年 7月の月例パッチを公開

(7/8) 2025 年 7 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

• CVE-2025-49719 Microsoft SQL Server の情報漏えいの脆弱性

(7/8) Zero Day Initiative — The July 2025 Security Update Review

AMD 製 CPU にサイドチャネル攻撃が可能な脆弱性

(7/8) AMD Transient Scheduler Attacks

(参考) Enter, Exit, Page Fault, Leak: Testing Isolation Boundaries for Microarchitectural Leaks - Microsoft Research

その他