セキュリティ
- 9割が「セキュリティは十分対策している」と回答も、6割がインシデントを経験、〜ドリーム・アーツが大企業の経営層・情シスを対象に調査 - INTERNET Watch
- サイバー攻撃「DDoS攻撃」年末以降 国内の航空会社や金融機関など46の組織が標的に | NHK | サイバー攻撃
- OpenAIのクローラーボットが3Dスキャンデータ販売サイトをほぼDDoS攻撃な徹底スクレイピングでダウンさせていた - GIGAZINE
- ASCII.jp:Windows 10のサポート切れまで1年を切った さてWindows 10マシンをどうする? (1/2)
- Akamai、2025年のセキュリティとクラウドにおけるトレンドを予測 - INTERNET Watch
- SAP Security Patch Day – January 2025
- Ivanti Releases Security Updates for Multiple Products | CISA
- 「能動的サイバー防御」導入へ 法案の概要まとまる 事前承認で攻撃元に無害化措置も | NHK | サイバー攻撃
- A new campaign is likely targeting a zero-day in Fortinet FortiGate firewalls
- Fortinet warns of auth bypass zero-day exploited to hijack firewalls
- 「Google Chrome 132」が公開 ~Windowsでネットワークサービスのサンドボックス化を開始 - 窓の杜
- 「お名前.com」で欲しいドメイン名を取ろうと購入画面に飛んだら、全然違う文字列のドメイン名を買わされそうになった「邪悪UI」「消費者庁案件では」 - Togetter [トゥギャッター]
- 第846回 TPMを用いて、Ubuntu上の暗号化ストレージの復号を自動的に行う | gihyo.jp
- OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を:セキュリティニュースアラート - ITmedia エンタープライズ
- 成人の皆様へ。口座の売買や譲渡は絶対にNGです。口座作れなくなって人生詰みます→人生が詰むのレベルが思ったよりヤバい - Togetter [トゥギャッター]
- 【悲報】iPhoneのUSB-Cに重大な脆弱性発覚。コントローラーチップの不正書き換えが可能に - すまほん!!
- 1億人のアップルmacユーザーに重大警告、新たなハッカー攻撃確認 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
- 警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も - Publickey
- プラネックス製 コンセント直挿型無線LANルータ MZK-DP300N に XSS の脆弱性 | ScanNetSecurity
- フジクラへの不正アクセス、委託先 NTTコミュニケーションズによる VPN 装置の管理不備 [2024.12.25] | ScanNetSecurity
- NTTコミュニケーションズによる原因分析調査の結果によると、ネットワーク保守・監視用VPN装置の管理に不備があり、同装置に残っていた脆弱性が利用されたことが原因。
- AGC が DMARC で reject に到達した朝 ~ セキュリティ対策を行うことが称賛される時代 ついに到来か | ScanNetSecurity
- 北朝鮮による暗号資産窃取及び官民連携に関する共同声明 (PDF)
- 【セキュリティ ニュース】SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ(1ページ目 / 全1ページ):Security NEXT
Forti
- Fortinet Releases Security Updates for Multiple Products | CISA
- Authentication bypass in Node.js websocket module:PSIRT | FortiGuard Labs
- Null pointer dereference leading to sslvpn DOS:PSIRT | FortiGuard Labs
- IPsec dynamic assignation IP spoofing:PSIRT | FortiGuard Labs
- SSLVPN DOS:PSIRT | FortiGuard Labs
- `Host` header injection:PSIRT | FortiGuard Labs
- Multipart Form Data Denial of Service:PSIRT | FortiGuard Labs
- Weak Authentication in csfd daemon:PSIRT | FortiGuard Labs
- Unchecked boundary length causing multiple logic flaws:PSIRT | FortiGuard Labs
- Path traversal in csfd daemon:PSIRT | FortiGuard Labs
- Out of bounds read in ipsec ike:PSIRT | FortiGuard Labs
- Integer Overflow in ipsec ike:PSIRT | FortiGuard Labs
- File-Filter Bypass in Explicit Web Proxy Policy:PSIRT | FortiGuard Labs
- Exposure of sensitive information in RADIUS Accounting-Request:PSIRT | FortiGuard Labs
- Out-of-bounds Write in IPSEC Daemon:PSIRT | FortiGuard Labs
- 【セキュリティ ニュース】「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を(1ページ目 / 全2ページ):Security NEXT
- Hardcoded Session Secret Leading to Unauthenticated Remote Code Execution:PSIRT | FortiGuard Labs
- Restricted Shell Escape via Argument Injection:PSIRT | FortiGuard Labs
- CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA
- 村上総務相“一部サイトにセキュリティー上の不備”再発防止へ | NHK | 総務省
- 省庁のドメイン管理不備でガイドライン見直し検討 デジタル相 | NHK | IT・ネット
- 総務省|村上総務大臣閣議後記者会見の概要(令和7年1月14日)
問:
総務省の使用済みドメインが、第三者に不正利用され得る状態にあったという報道がありました。総務省として、いつ覚知し、対策はいつ完了したのか。また、こういう状況に陥ったことについての大臣の受け止めをお願いいたします。
答:
令和2年に総務省が運用していた、特別定額給付金に関する特設サイトについて、サイトの閉鎖後、そのドメイン、ご承知のように、ドメインとはインターネット上の住所ですが、不正利用され得る状態となっておりました。
このことについて、昨年12月23日に外部からの情報提供により覚知しまして、翌日24日にはシステム上の対応を行い、対策を完了しました。
なお、当該サイトが実際に不正利用されていたとの事実は把握しておりません。
総務省では、自治体等に対し、ドメイン管理の注意喚起を行ってきた中で、このような事案が生じたことは誠に遺憾であります。
今回の事案も踏まえ、サイトのドメイン管理を徹底して、再発防止に努めてまいりたいと考えております。
Adobe
- Adobe Releases Security Updates for Multiple Products | CISA
- 「Photoshop」やiPad版「Illustrator」などに致命的な脆弱性 ~Adobeの月例セキュリティ情報 - 窓の杜
- 【セキュリティ ニュース】Adobe、アドバイザリ5件を公開 - 深刻な脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
- 2025 年 1 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
- Security update available for Adobe Photoshop | APSB25-02:Adobe Security Bulletin
- Security updates available for Substance 3D Stager | APSB25-03:Adobe Security Bulletin
- Security Updates Available for Adobe Illustrator on iPad | APSB25-04:Adobe Security Bulletin
- Security updates available for Adobe Animate | APSB25-05:Adobe Security Bulletin
- Security updates available for Substance 3D Designer | APSB25-06:Adobe Security Bulletin
Zoom
- 「Zoom」に複数の脆弱性 ~最大深刻度は「High」 - 窓の杜
- Zoom Workplace App for Linux - Type Confusion:ZSB-25006 | Zoom
- CVSS Severity: High
- CVSS Score: 8.8
- Zoom Workplace app for macOS - Symlink Following:ZSB-25005 | Zoom
- CVSS Severity: Low
- CVSS Score: 3.9
- Zoom Workplace Apps for Windows - Untrusted Search Path:ZSB-25004 | Zoom
- CVSS Severity: Medium
- CVSS Score: 4.6
- Zoom Workplace Apps - Out-of-bounds Write:ZSB-25003 | Zoom
- CVSS Severity: Low
- CVSS Score: 3.1
- Zoom Workplace Apps for Linux - Out-of-bounds Write:ZSB-25002 | Zoom
- CVSS Severity: Medium
- CVSS Score: 4.3
- Zoom Jenkins bot plugin - Cleartext Storage of Sensitive Information:ZSB-25001 | Zoom
- CVSS Severity: Medium
- CVSS Score: 4.3
Microsoft
This summary of Microsoft's monthly updates highlights critical vulnerabilities requiring immediate attention.
Notably, the Windows Hyper-V NT Kernel Integration VSP vulnerabilities (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335) are being actively exploited, posing significant risks through privilege elevation.
Users should prioritize patching these vulnerabilities to prevent potential system breaches. Additionally, the Windows OLE and RMCAST vulnerabilities, both with a CVSS score of 9.8, present severe remote code execution threats. Although not currently exploited, they demand urgent mitigation to safeguard systems. Applying patches and implementing network-level protections are crucial steps to mitigate these risks effectively.
- 2025年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
- Microsoft Releases January 2025 Security Updates | CISA
- 2025年最初の「Windows Update」、159件の脆弱性に対処 ~悪用あり、致命的なものも多数 - 窓の杜
- 【セキュリティ ニュース】2025年最初のMS月例パッチ - ゼロデイ脆弱性など158件を修正(1ページ目 / 全3ページ):Security NEXT
- 【セキュリティ ニュース】米当局、悪用されている脆弱性5件について注意喚起(1ページ目 / 全1ページ):Security NEXT
- CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA
イベント等
- ひよこまめ教習所 #3 - 千葉 - connpass
- Developers Summit 2025(2025.02.13-14)
- 大規模なDDoS攻撃の現状と対策 - connpass
- 脆弱性管理と何が違う?話題のASMについて基礎から説明します - connpass
- TOKUSHIMA Cyber Security Meetup #19 - connpass
- 第2回 セキュリティ若手の会(LT&交流会) - connpass
- 2025年 TMCIT × 大和セキュリティ DFIR忍者チャレンジ (2月22-24日) - connpass
- ひよこまめ教習所 #3 - 千葉 - connpass
- AI駆動開発(AI-Driven Development) 勉強会(第5回) - connpass
- TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか | マイナビニュース
- せきゅぽろ SNR vol.4 no.2 - connpass
- 総務省|報道資料|『IoTセキュリティ推進セミナー ~ 最新のIoTセキュリティ動向とNOTICEの役割 2025 ~』の開催
鉄
IT
- アンカー、充電式カード型紛失防止トラッカーを自主回収 磁気カードに不具合のおそれ - ITmedia NEWS
- 「退職届」というタイトルの写経を書いて「誰か清書して」とツイートしたら書家によるさらに強そうな退職届が完成する「これ書いて提出したい」→読経されました - Togetter [トゥギャッター]
- リモートワークによる生産性についての研究を簡単に調べてみた - だいくしー(@daiksy)のはてなブログ
- フォトショに「共同編集機能」、1つのファイルをリアルタイムに同時編集 プライベートβ受付開始 - ITmedia NEWS
- ITエンジニアの“推しの技術書”とは? 「ITエンジニア本大賞2025」ベスト10発表 - ITmedia NEWS
- 【朗報あり】あるユーザー「PSNアカウントが乗っ取られました」→犯人はその後「地域設定を海外」に→ソニーに連絡するも「海外アカウントなので対応できない」と回答 - Togetter [トゥギャッター]
