World Security News

No.1 2026-07-14

マイクロソフトの2026年7月パッチ火曜日、569件のCVEに対応

2026年7月のパッチ火曜日では、マイクロソフトが569件のCVEに対応しました。このリリースは、56件がクリティカル、510件が重要、3件が中程度と評価されており、過去最大のパッチ火曜日となりました。特に、2件のゼロデイ脆弱性が含まれており、これらは実際に悪用されていました。重要な脆弱性には、Active Directory Federation Ser…

このニュースのスケール度合い

10.0 /10

インパクト

8.7 /10

予想外またはユニーク度

7.8 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.2 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10
No.2 2026-07-14

ServiceNow AIプラットフォームの重大な脆弱性

ServiceNowは、AIプラットフォームにおける重大なリモートコード実行の脆弱性に対するセキュリティ更新を発表しました。この脆弱性(CVE-2026-6875)は、認証されていない攻撃者が対象のインスタンスに対してコードを実行できる可能性があります。具体的には、サンドボックスからの脱出を可能にするもので、攻撃者は特定の条件下で認証なしにこの脆弱性を悪用…

このニュースのスケール度合い

7.5 /10

インパクト

8.2 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10
3 2026-07-14

MicrosoftがShinyHuntersの活動に関連するSalesforce攻撃経路を特定

Microsoftは、データ搾取グループShinyHuntersに関連する攻撃経路を特定しました。これらの攻撃は、Salesforce環境において、OAuth接続を利用して不正アクセスを行う手法が用いられています。具体的には、従業員を騙す音声フィッシング(vishing)、信頼…

5 2026-07-14

米国が初のVPNサービスとマルウェアクリプター販売者に制裁

米国財務省の外国資産管理局(OFAC)は、ランサムウェア攻撃を支援したとして、2名の個人とVPNサービス「First VPN Service」を制裁対象に指定しました。このVPNは、ランサムウェアグループに対してツールを提供していたとされ、ウクライナの管理者Dmytro Ras…

Packet Pilot Magazine Vol.1

マイクロソフトの2026年7月パッチ火曜日、569件のCVEに対応

2026-07-14

2026年7月のパッチ火曜日では、マイクロソフトが569件のCVEに対応しました。このリリースは、56件がクリティカル、510件が重要、3件が中程度と評価されており、過去最大のパッチ火曜日となりました。特に、2件のゼロデイ脆弱性が含まれており、これらは実際に悪用されていました。重要な脆弱性には、Active Directory Federation ServicesやMicrosoft Dyna…

ServiceNow AIプラットフォームの重大な脆弱性

2026-07-14

ServiceNowは、AIプラットフォームにおける重大なリモートコード実行の脆弱性に対するセキュリティ更新を発表しました。この脆弱性(CVE-2026-6875)は、認証されていない攻撃者が対象のインスタンスに対してコードを実行できる可能性があります。具体的には、サンドボックスからの脱出を可能にするもので、攻撃者は特定の条件下で認証なしにこの脆弱性を悪用できるとされています。ServiceNo…

MicrosoftがShinyHuntersの活動に関連するSalesforce攻撃経路を特定

2026-07-14

Microsoftは、データ搾取グループShinyHuntersに関連する攻撃経路を特定しました。これらの攻撃は、Salesforce環境において、OAuth接続を利用して不正アクセスを行う手法が用いられています。具体的には、従業員を騙す音声フィッシング(vishing)、信頼されたソフトウェアベンダーからのOAuthトークンの盗難、誤設定されたゲストアクセスの3つの経路が確認されました。Mic…

OAuthクライアントIDの偽装により攻撃者がMicrosoft Entraの認証情報を検証可能に

2026-07-14

OAuthクライアントIDの偽装技術が、少なくとも2つの異なる脅威アクターによって悪用されていることが報告されています。この手法により、攻撃者はMicrosoft Entra ID環境内でユーザーアカウントを列挙し、盗まれた認証情報を検証することが可能になります。攻撃者は、成功したサインインイベントを生成せずに、ユーザー名とパスワードの有効性を確認できるため、従来の防御手段を回避することができま…

米国が初のVPNサービスとマルウェアクリプター販売者に制裁

2026-07-14

米国財務省の外国資産管理局(OFAC)は、ランサムウェア攻撃を支援したとして、2名の個人とVPNサービス「First VPN Service」を制裁対象に指定しました。このVPNは、ランサムウェアグループに対してツールを提供していたとされ、ウクライナの管理者Dmytro Rashevskyiが関与しています。また、ベラルーシ国籍のYegeniy Vladimirovich Silayevも、ラン…

メルコスール、南米の国境を越えたデジタルIDを推進

2026-07-14

メルコスールは、南米における国境を越えたデジタルIDの法的効力を持つ画期的な合意を承認しました。この合意により、メルコスール加盟国は互いの電子身分証明書を認識し、国境を越えたサービスの利用が可能になります。これにより、国民や企業は紙の書類を持たずに手続きを行うことができ、地域のデジタル改革が進展することが期待されています。

親イランハクティビストグループが重要インフラに対するDDoS攻撃を実施

2026-07-14

親イランのハクティビストグループが、米国やイスラエル、西側の利益に関連すると見なされる重要インフラや政府機関に対して、DDoS攻撃やハック・アンド・リーク攻撃を強化しています。これらの攻撃は、心理的および評判への影響を狙ったものであり、特にDDoS攻撃が目立っています。最近の事例では、CanonicalがDDoS攻撃を受け、UbuntuやCanonicalのサービスに影響を及ぼしました。さらに、…

米国のパスポート写真計画が新たなリモート生体認証の層を示唆

2026-07-14

米国の国務長官マルコ・ルビオ氏は、パスポート申請をほぼ全てオンラインで行えるようにする計画を発表しました。この新しいプロセスでは、申請者がカメラを使用して顔のIDを確認することが可能になります。現在のシステムは、申請者がアップロードした写真がパスポートの規則に適合しているかを確認するもので、物理的なレビューが行われますが、ルビオ氏の提案は、リアルタイムでの生体認証による本人確認を目指しています。…

GoogleとMicrosoft、1.6百万インストールのModHeaderを削除

2026-07-14

GoogleとMicrosoftは、1.6百万インストールを誇るModHeaderという人気のヘッダー編集拡張機能を削除しました。この決定は、研究者が公式ストア版に隠されたブラウジング履歴収集機能を発見したことに基づいています。この収集機能は休止状態であり、実際にデータを収集した証拠はありませんが、将来的に悪用される可能性があるため、ユーザーは注意が必要です。

Facewatch小売業の顔認識技術が再犯者を警察に通知

2026-07-14

Facewatch社が提供する小売業向けのライブ顔認識システムが、参加店舗に入店した重犯罪者を特定し、警察に通知する機能を導入することを発表しました。このシステムは、参加店舗に入る際に重犯罪者が顔認識により特定されると、4秒以内に警察にアラートを送信します。これにより、警察の対応時間が大幅に短縮されることが期待されています。しかし、プライバシー権を擁護する団体からは、この技術が適切なガバナンスの…