NSAが新しいゼロトラスト実装ガイドラインを発表

2026-02-03

アメリカ国家安全保障局（NSA）は、組織がゼロトラスト成熟度を目指すための新しいゼロトラスト実装ガイドライン（ZIGs）を発表しました。このガイドラインは、米国国防総省のゼロトラストフレームワークを支援するために設計されており、組織が発見段階から目標レベルの実装に進むための活動や依存関係、成果を示しています。フェーズ1では、基盤を確立するための36の活動が定義され、フェーズ2では、34の追加機能…

インド最高裁、WhatsAppにプライバシー権を侵害するなと警告

2026-02-03

インドの最高裁判所は、WhatsAppの親会社であるMetaに対し、インドユーザーのプライバシー権を侵害することは許さないと厳しく警告しました。この発言は、WhatsAppの2021年のプライバシーポリシーに対する罰金に関する控訴の際に行われました。裁判官たちは、WhatsAppがどのように個人データを収益化しているのか、またユーザーがデータ共有に対してどのように意味のある同意を得られるのかを問…

Notepad++のサプライチェーン攻撃：研究者が詳細とIoCを公開

2026-02-03

Notepad++の更新メカニズムが中国の国家支援グループ「Lotus Blossom」によってハイジャックされたことが報告されました。Rapid7とKasperskyの研究者は、攻撃者がベトナム、エルサルバドル、オーストラリアの個人やフィリピンの政府機関、エルサルバドルの金融機関、ベトナムのITサービスプロバイダーを標的にしたことを明らかにしました。攻撃の詳細には、悪意のあるペイロードがNSI…

APT28がMicrosoft Officeの脆弱性CVE-2026-21509を悪用したスパイ活動

2026-02-03

APT28は、Microsoft Officeの新たに発表された脆弱性CVE-2026-21509を利用した攻撃を行っています。この攻撃は、ウクライナ、スロバキア、ルーマニアのユーザーをターゲットにしたもので、特に社会工学的手法を用いています。攻撃者は、悪意のあるRTFファイルを使用して、MiniDoorというメール窃盗ツールや、Covenant Gruntというマルウェアを配布しています。これ…

Google Cloud PlatformのCloud Monitoringにおける特権昇格脆弱性

2026-02-03

Tenableの研究により、Google Cloud Platform (GCP)のCloud Monitoringに特権昇格の脆弱性が発見されました。この脆弱性により、低権限の攻撃者がIdentity and Access Management (IAM)の制御を回避し、権限がないにもかかわらず認証されたCloud Runサービスを呼び出すことが可能となります。Googleはこの問題に対処する…

中国が隠れた車のドアハンドルに対抗する取り組みを主導

2026-02-03

中国は、テスラが人気を博した隠れた電子式ドアハンドルを禁止する新しい安全規則を発表しました。この規則は2027年1月1日から施行され、すべての車両には機械式の外部ドアハンドルが必要となります。これは、車両内に閉じ込められる事故が多発していることを受けた措置です。特に、テスラのドアハンドルに関する問題が指摘されており、米国でも規制の提案がなされています。中国はこの問題に対して初めての禁止措置を講じ…

シンガポール、メタに顔認識技術の拡充を指示

2026-02-03

シンガポールの当局は、ソーシャルメディア上での詐欺広告の増加に対処するため、メタに対して顔認識技術の強化を求めています。2025年9月に施行されたオンライン犯罪被害法に基づき、メタは政府関係者の偽装を防ぐための措置を講じる必要があります。これにより、詐欺広告や偽アカウントの削減が期待されていますが、詐欺師たちは新たな手法に適応しているため、さらなる対策が求められています。

フランス警察、マスク氏のパリ拠点を襲撃

2026-02-03

2026年2月3日、フランス警察はエロン・マスク氏のX社のパリオフィスを襲撃しました。この捜査は、外国勢力によるアルゴリズムの操作に関する犯罪捜査の一環であり、2025年1月から始まったものです。フランスの議員と公的機関の高官からの2件の苦情が発端となり、X社が外国勢力にアルゴリズムを操作させたかどうかが調査されています。捜査には、X社のGrok AIチャットボットがホロコースト否定のコンテンツ…

ハッカーがMetro4Shell RCE脆弱性を悪用

2026-02-03

ハッカーが人気のある"@react-native-community/cli" npmパッケージに影響を与える重大なセキュリティ脆弱性を悪用していることが確認されました。この脆弱性はCVE-2025-11953（通称Metro4Shell）として知られ、CVSSスコアは9.8です。攻撃者はリモートで未認証の状態でオペレーティングシステムの任意のコマンドを実行できるため、深刻なリスクをもたらします…

DIY AIボットファームOpenClawはセキュリティの「ダンプスターファイア」

2026-02-03

OpenClawは、ユーザーがメッセージアプリを通じてやり取りするAIパーソナルアシスタントであり、最近、深刻なセキュリティ問題が発覚しました。プロジェクトは急速に人気を集めましたが、リモートコード実行やコマンドインジェクションの脆弱性が報告され、341件の悪意のあるスキルが確認されています。これにより、ユーザーは予期しない高額な請求を受ける事例も発生しています。専門家は、OpenClawが多く…