World Security News

No.1 2026-07-10

npm 12がインストールスクリプトをデフォルトで無効化しサプライチェーンリスクを軽減

npm 12のリリースにより、インストールスクリプトがデフォルトで無効化され、サプライチェーンリスクの軽減が図られました。これにより、依存関係のライフサイクルスクリプトやGit依存関係が自動的に実行されることはなくなり、ユーザーは明示的に許可する必要があります。また、2要素認証を回避するためのトークンも廃止され、セキュリティが強化されました。これらの変更は…

このニュースのスケール度合い

5.0 /10

インパクト

6.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10
No.2 2026-07-10

281の無料Android VPNアプリの調査でトラフィック漏洩や暗号化されていないデータが発見される

最近の調査によると、281の人気無料VPNアプリの多くが、ユーザーのトラフィックを安全に保つ基本的な機能を果たしていないことが明らかになりました。特に、29のアプリがユーザーのトラフィックを暗号化トンネルの外に漏らし、61のアプリが平文でデータを送信していることが確認されました。さらに、5つのアプリは設定ファイルを暗号化せずにダウンロードし、攻撃者が接続先…

このニュースのスケール度合い

10.0 /10

インパクト

7.0 /10

予想外またはユニーク度

6.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10
4 2026-07-10

GoogleがAIで作成された広告を開示する新機能を導入

Googleは、AI技術を用いて作成された広告をユーザーに開示する新機能を導入します。この機能は、ユーザーが広告の作成方法を理解できるようにすることを目的としています。AIを利用することで、企業は広告を簡単に作成し、コストを削減できますが、消費者が実際の製品写真ではないことを理…

Packet Pilot Magazine Vol.1

npm 12がインストールスクリプトをデフォルトで無効化しサプライチェーンリスクを軽減

2026-07-10

npm 12のリリースにより、インストールスクリプトがデフォルトで無効化され、サプライチェーンリスクの軽減が図られました。これにより、依存関係のライフサイクルスクリプトやGit依存関係が自動的に実行されることはなくなり、ユーザーは明示的に許可する必要があります。また、2要素認証を回避するためのトークンも廃止され、セキュリティが強化されました。これらの変更は、開発者にとって重要なセキュリティ対策と…

281の無料Android VPNアプリの調査でトラフィック漏洩や暗号化されていないデータが発見される

2026-07-10

最近の調査によると、281の人気無料VPNアプリの多くが、ユーザーのトラフィックを安全に保つ基本的な機能を果たしていないことが明らかになりました。特に、29のアプリがユーザーのトラフィックを暗号化トンネルの外に漏らし、61のアプリが平文でデータを送信していることが確認されました。さらに、5つのアプリは設定ファイルを暗号化せずにダウンロードし、攻撃者が接続先を操作できる可能性があることが指摘されて…

ハッカーが偽のMicrosoft Entraパスキー登録を利用してMicrosoft 365にアクセス

2026-07-10

ハッカーがMicrosoft 365ユーザーを狙い、音声を使った偽のセキュリティリクエストを行い、新しいEntraパスキーの登録を促しています。この攻撃は、O-UNC-066というモニカーで追跡されている脅威アクターによって実行されており、食品・飲料、テクノロジー、医療、自動車、建設、航空業界をターゲットにしています。攻撃者は、パスキー登録プロセスを模倣したフィッシングキットを使用し、ユーザーを…

GoogleがAIで作成された広告を開示する新機能を導入

2026-07-10

Googleは、AI技術を用いて作成された広告をユーザーに開示する新機能を導入します。この機能は、ユーザーが広告の作成方法を理解できるようにすることを目的としています。AIを利用することで、企業は広告を簡単に作成し、コストを削減できますが、消費者が実際の製品写真ではないことを理解していない場合、誤解を招く可能性があります。新機能は「My Ad Center」パネルに追加され、ユーザーは広告がAI…

攻撃者が「Ill Bloom」脆弱性を悪用し、310万ドルを暗号通貨ウォレットから盗む

2026-07-10

セキュリティ企業Coinspectが発表した「Ill Bloom」脆弱性により、攻撃者が310万ドルを超える資金を暗号通貨ウォレットから盗み出しました。この脆弱性は、ウォレットソフトウェアが生成するリカバリーフレーズの乱数生成に問題があることが原因です。特に、古いまたはあまり知られていないウォレットが影響を受けやすく、ユーザーは自分のウォレットが脆弱であるかどうかを確認する必要があります。Coi…

EU、FacebookとInstagramの中毒的機能に対してMetaに罰金を警告

2026-07-10

EUはMetaに対し、FacebookとInstagramの中毒的なデザイン機能を見直さなければ罰金を科すと発表しました。デジタルサービス法に違反しているとされ、無限スクロールや自動再生、プッシュ通知などがユーザーの健康に悪影響を及ぼすと指摘されています。特に、未成年者や脆弱な大人に対するリスク評価が不十分であるとされています。Metaは今後、証拠を確認し正式な回答を行う機会が与えられますが、確…

BlockがCash App詐欺調査で46州と4500万ドルの和解に達する

2026-07-10

Blockは、Cash Appがユーザーを詐欺から十分に保護していないとの理由で、46州からの訴えに対し4500万ドルの和解金を支払うことに合意しました。州の検事総長は、Cash Appが銀行のような保護を提供していると誤って宣伝していたと指摘しています。Blockは不正を否定していますが、Cash Appは社会保障番号や生年月日なしでアカウントを作成できるため、詐欺師に利用されやすい状況が生ま…

休眠中のGitHubアカウントが攻撃者の活動を助ける

2026-07-10

Datadog Security Labsは、攻撃者がGitHub APIを利用して企業の組織やリポジトリ、ユーザーアカウントを体系的に列挙する「いくつかの重複したキャンペーン」について警告しています。攻撃者は、数年前に作成された休眠アカウントや、正当なユーザーから漏洩したOAuthトークンを利用して、公共データのターゲットに加え、プライベートリポジトリのクローンを作成することもあります。この手…

下院がKIDS法案を可決—上院は拒否すべきです

2026-07-10

下院はKIDS法案を267対117で可決しました。この法案は、アメリカ人のウェブブラウジングやプライベートメッセージングを制御しようとするもので、子供やティーンエイジャーに異なるオンライン体験を提供することを目的としています。しかし、年齢確認の方法がプライバシーを侵害する可能性があり、個人情報の漏洩や悪用のリスクが高まります。EFFはこの法案に反対しており、上院に対して拒否を呼びかけています。

未修正のXRING脆弱性がXQUICによりHTTP/3サーバーをクラッシュさせる

2026-07-10

XQUICに存在する未修正のXRING脆弱性により、リモートクライアントが合法的なトラフィックを送信するだけでHTTP/3サーバーをクラッシュさせることが可能です。この脆弱性は、AlibabaのQUICおよびHTTP/3ライブラリに関連しており、特にTengineなどのサーバーに影響を与えます。現在、修正パッチは提供されておらず、運営者は一時的な対策を講じる必要があります。