2025-12-12 本日気になった注意喚起情報(12/12) 注意喚起情報 当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。 ※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。 ※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します) ■国内情報 首相官邸ホームページの偽サイト確認、注意喚起 - ITmedia NEWS 【セキュリティ ニュース】Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡(1ページ目 / 全2ページ):Security NEXT 【セキュリティ ニュース】「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック(1ページ目 / 全2ページ):Security NEXT 【セキュリティ ニュース】監視ツール「Barracuda RMM」に深刻な複数脆弱性 - アップデートを(1ページ目 / 全2ページ):Security NEXT Apache HTTP Server 2.4 に複数の脆弱性 | ScanNetSecurity ABB 製 Terra AC wallbox に複数の脆弱性 | ScanNetSecurity GroupSession に複数の脆弱性 | ScanNetSecurity 【セキュリティ ニュース】ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT JVNVU#99295063: ブラザー製iPrint&Scanにバンドルされている.NET 8.0に複数の脆弱性 JVN#40102375: QNDにおける権限昇格の脆弱性 ■海外情報 CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISA、既知の悪用された脆弱性を1件カタログに追加) CVE-2025-58360 OSGeo GeoServer の XML 外部エンティティ参照の不適切な制限の脆弱性 CISA Releases 12 Industrial Control Systems Advisories | CISA (CISAが産業制御システムに関する12の勧告を発表) ICSA-25-345-01ジョンソンコントロールズ iSTARICSA-25-345-02ジョンソンコントロールズ iSTAR UltraICSA-25-345-03アゼオテック DAQファクトリーICSA-25-345-04シーメンス IAM クライアントICSA-25-345-05シーメンス アドバンスト ライセンス (SALT) ツールキットICSA-25-345-06シーメンス SINEMA リモートコネクトサーバーICSA-25-345-07シーメンス ビルディング X - セキュリティ マネージャー エッジ コントローラーICSA-25-345-08シーメンスエネルギーサービスICSA-25-345-09シーメンス グリッドスケール X プリペイドICSA-25-345-10オープンPLC_V3ICSMA-25-345-01草の根DICOM(GDCM)ICSMA-25-345-02 Varex Imaging パノラマ歯科画像ソフトウェア Attackers Worldwide are Zeroing In on React2Shell Vulnerability - Security Boulevard (世界中の攻撃者がReact2Shellの脆弱性を狙っている) Google fixes super-secret 8th Chrome 0-day • The Register (Google、極秘のChrome 0デイ脆弱性8件を修正) Attackers Exploited Gogs Zero-Day Flaw for Months (攻撃者は数ヶ月にわたりGogsのゼロデイ脆弱性を悪用していた) 10K Docker images spray live cloud creds across the internet • The Register (1万個のDockerイメージがインターネット上にライブクラウド認証情報を拡散) Copilot's No Code AI Agents Liable to Leak Company Data (CopilotのノーコードAIエージェント、企業データを漏洩する恐れ) New ConsentFix attack hijacks Microsoft accounts via Azure CLI (新たな ConsentFix 攻撃が Azure CLI 経由で Microsoft アカウントを乗っ取る) Hackers exploit unpatched Gogs zero-day to breach 700 servers (ハッカーがパッチ未適用のGogsゼロデイ脆弱性を悪用し700台のサーバーに侵入) Malware Discovered in 19 Visual Studio Code Extensions - Infosecurity Magazine (Visual Studio Codeの拡張機能19個でマルウェアが発見される) Google Releases Critical Chrome Security Update to Address Zero-Days - Infosecurity Magazine (Google、3つのゼロデイ脆弱性に対処するための重要なChromeセキュリティアップデートをリリース) GeminiJack zero-click flaw in Gemini Enterprise allowed corporate data exfiltration (Gemini EnterpriseのGeminiJackゼロクリック脆弱性により企業データの流出が可能に) 2025 CWE Top 25 Most Dangerous Software Weaknesses | CISA (2025年版CWE 最も危険なソフトウェアの脆弱性トップ25) Cybersecurity Performance Goals 2.0 for Critical Infrastructure | CISA (重要インフラ向けサイバーセキュリティパフォーマンス目標2.0) ■イエローページ(主な情報ソース) ・JPCERTCC ・フィッシング対策協議会 ・SecurityNext ・ScanNetSecurity ・マイナビニュース ・CISA ・FBI ・HelpNetSecurity ・BleepingComputer 本日もご来訪ありがとうございました。 Thank you for your visit. Let me know your thoughts in the comments. 更新履歴 2025年12月12日
