Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(9/24)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

 

■国内情報

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 国勢調査への回答依頼をよそおうフィッシング (2025/09/22)

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/08 フィッシング報告状況

解説:脆弱性関連情報取扱制度の運用と今後の課題について(後編)~脆弱性悪用情報のハンドリングと今後の課題~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

【セキュリティ ニュース】SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】Fortraのファイル転送ソフト「GoAnywhere MFT」に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】偽「国勢調査」に注意 - 罰則で不安煽り、記念品で関心引く(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】監視カメラやNASを狙う「Mirai」感染活動を引き続き観測 – JPCERT/CC(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】Java環境向けテンプレートエンジン「jinjava」に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】NVIDIAのAI基盤「HGX」「DGX」に権限昇格の脆弱性 - 修正版リリース(1ページ目 / 全1ページ):Security NEXT

Google Playに潜んでいた広告詐欺「SlopAds」、不正アプリが3,800万超ダウンロード | TECH+(テックプラス)

国勢調査への回答依頼を装うフィッシング確認、注意を | TECH+(テックプラス)

Google Chromeに悪用済み含む4件の脆弱性、直ちにアップデートを | TECH+(テックプラス)

Entra IDにActorトークンを悪用できる認証欠陥 多くのテナントに影響か:セキュリティニュースアラート - ITmedia エンタープライズ

 

■海外情報

Widespread Supply Chain Compromise Impacting npm Ecosystem | CISA (サプライチェーンの侵害が広範囲に及んでnpmエコシステムに影響)

CISA Releases Advisory on Lessons Learned from an Incident Response Engagement | CISA (CISA、インシデント対応活動から得られた教訓に関する勧告を発表)

CISA Releases Six Industrial Control Systems Advisories | CISA (CISAが産業用制御システムに関する6つの勧告を発表)

ICSA-25-266-01オートメーションダイレクト クリックプラス
ICSA-25-266-02三菱電機 MELSEC-Qシリーズ CPUモジュール
ICSA-25-266-03シュナイダーエレクトリック SESU
ICSA-25-266-04ヴィスマン ヴィトゲート 300
ICSA-25-023-02日立エナジー RTU500 シリーズ製品(アップデート A)
ICSA-25-093-01日立エナジー RTU500 シリーズ(アップデート B)

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISA、既知の悪用された脆弱性を1件カタログに追加)

CVE-2025-10585 Google Chromium V8 の型混乱の脆弱性

Fortra GoAnywhere Bug Allows Command Injection (今すぐパッチを適用: 最大深刻度の Fortra GoAnywhere バグによりコマンドインジェクションが可能に)

Zero-Click Flaw in ChatGPT's Agent Enables Silent Gmail Data Theft - Infosecurity Magazine (ChatGPTエージェントのゼロクリック脆弱性により、Gmailデータのサイレント盗難が可能に)

Fortra warns of max severity flaw in GoAnywhere MFT’s License Servlet (Fortra、GoAnywhere MFT のライセンスサーブレットに重大な欠陥があると警告)

CISA exposes malware kits deployed in Ivanti EPMM attacks (CISA、Ivanti EPMM攻撃で使用されたマルウェアキットを公開)

FBI warns of cybercriminals using fake FBI crime reporting portals (FBIは、偽のFBI犯罪報告ポータルを利用するサイバー犯罪者について警告している)

Microsoft Entra ID flaw allowed hijacking any company's tenant (Microsoft Entra IDの欠陥により、あらゆる企業のテナントを乗っ取ることが可能)

Malicious GitHub pages lure MacOS users into installing Atomic infostealer - Help Net Security (悪意のあるGitHubページがMacOSユーザーをAtomic Infostealerのインストールに誘導)

Unpatched Fortra GoAnywhere instances at risk of full takeover (CVE-2025-10035) - Help Net Security (パッチが適用されていない Fortra GoAnywhere インスタンスは完全乗っ取りの危険にさらされている (CVE-2025-10035))

SonicWall Releases Advisory for Customers after Security Incident | CISA (SonicWall、セキュリティインシデント発生後、顧客向けアドバイザリを公開)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年9月24