【ニュース】■2025年◇2025年12月 ◆AI搭載家庭用防犯カメラが個人情報を収集、人気製品にリスクの報告 (マイナビニュース, 2025/12/11 16:59) https://news.mynavi.jp/techplus/article/20251211-3796345/ ⇒ https://malware-log.hatenablog.com/entry/2025/1…

【要点】 ◎米DOJとCISAは、ロシア政府支援のロシア系グループが水・エネルギー・食品など重要インフラを攻撃していると警告し、防御強化を呼びかけた。 (The Record)

【要点】 ◎2025年3Q、産業分野へのランサムウェア攻撃は742件に増加し、製造業が全体の72％を占めた。成熟RaaSと新興集団の拡大が要因。 (Industrial Cyber)

【要点】 ◎GoogleはChromeに新防御機能「User Alignment Critic」を導入し、AIエージェントを狙う間接プロンプトインジェクション攻撃への対策を強化した。 (マイナビニュース)

【要点】 ◎エルテスの調査で、転職経験者の約20％が退職時に顧客情報や技術資料などを持ち出した経験があることが判明した。 (マイナビニュース)

【要点】 ◎Gentlemenは2025年に登場した新興ランサムウェアで、GPO悪用やBYOVDなど高度な手法を用い、世界各地・多業界に被害を拡大している。 (Ahnlab)

【要点】 ◎Reactの深刻な脆弱性CVE-2025-55182を狙う攻撃が急増し、国内SOCで多数観測されたとして、ラックが早急な更新と侵害確認を呼びかけた。

【訳】数百万件の個人データを盗んだとされる10代がスペインで逮捕される 【要点】 ◎スペインで約6,400万件の個人情報を盗み販売した疑いで19歳が逮捕。複数アカウントを使って取引していた。別件でポーランドでもサイバー犯行ツール所持のウクライナ人3名が…

【要点】 ◎AI防犯カメラが不要な個人情報を収集していることが判明。RingやADTは位置情報・氏名・動画まで取得。全製品にリスクがあり、ユーザーがデータ収集の可否を選べない点が最大の問題と指摘される。

【要点】 ◎Docker Hubの1万超イメージからAPIキーや認証情報が漏洩。AIモデル向けキーが最多で、企業101社も関与。原因は.env誤混入やシャドーITで、Vault利用・スキャン自動化・即時無効化が推奨される。

【要点】 ◎ReactのRCE脆弱性CVE-2025-55182を狙う攻撃が国内SOCで急増。1時間3000件超を検知し、wget/curl経由の感染試行も確認。ラックはIoC確認・更新適用・侵害調査を強く推奨している。

【要点】 ◎ESETは、アサヒを攻撃したQilinが北朝鮮Lazarusと連携していたと発表。AIで高度化する攻撃やランサムウェアの脅威増大を警告し、2026年は国家型スパイとAI悪用が拡大すると予測した。