最新の注目ニュースをまとめてチェック！【2024年1月26日週】

「FortiOS」「FortiProxy」の脆弱性について詳細や概念実証が公開　被害拡大が懸念

「FortiOS」および「FortiProxy」で確認された脆弱性（CVE-2024-55591）の詳細や概念実証（PoC）が公開され、今後さらなる悪用の拡大が懸念されている。

本脆弱性については以前の記事でも紹介しているが、共通脆弱性評価システム（CVSSv3.1）でベーススコア9.8と評価され、4段階中最も深刻な「クリティカル」に分類されている。

セキュリティ企業watchTowrは、この脆弱性を「FortiRekt」と命名し、解析結果を公表した。現在、修正プログラムが提供されており、迅速な適用が強く推奨される。適用が難しい場合は、以下の回避策の実施を推奨する。

HTTP/HTTPS 管理インターフェースを無効化する
管理インターフェースにアクセスできるIPアドレスを制限する

▼watchTowr社からのリリース

https://www.fortiguard.com/psirt/FG-IR-24-535

「快活CLUB」や「FiT24」の運営会社で情報漏えい　約729万件が流出の可能性

1月28日、AOKIホールディングスの子会社で、「快活CLUB」や「FiT24」を運営する快活フロンティアがサイバー攻撃を受け、約729万件の個人情報が流出した可能性があると発表した。

同社によると、1月18日夕方に自社サーバーへのDDoS攻撃とみられるサイバー攻撃を検知。直ちにサーバーをネットワークから切り離すなどの対策を実施したが、会員アカウントを管理するシステムへの不正アクセスの痕跡が確認された。

1月31日時点で、外部の専門機関と協力して調査を進めているが、個人情報の外部流出や二次被害は確認されていない。ただし、729万87件の情報が外部に流出した可能性があるという。

流出の可能性があるのは、特定の期間に快活CLUBを利用した一部の顧客や、フィットネスクラブ「FiT24」「FiT24インドアゴルフ」の会員情報。具体的には、氏名、性別、生年月日、住所、電話番号、会員番号、会員種別などが含まれる。

同社は、個人情報保護委員会へ本件を報告済みで、対象者にはメールや郵送などで順次連絡するとしている。

Apple 「iOS 18.3」「iPadOS 18.3」をリリース　29件の脆弱性を解消

1月27日、Appleは「iOS 18.3」「iPadOS 18.3」をリリースし、ゼロデイ脆弱性を含む29件の脆弱性を修正したと報告した。

今回のアップデートでは、カーネルの権限昇格脆弱性「CVE-2025-24107」「CVE-2025-24159」のほか、「WebKit」や「AirPlay」、メディア処理関連の脆弱性に対応している。特に「CoreMedia」の「CVE-2025-24085」は、「iOS 17.2」以前で悪用されている可能性が指摘されている。

また、「iPadOS 17.7.4」も同日公開され、17件の脆弱性を修正したとのこと。すでに悪用されている脆弱性も確認されていることから、迅速な適用が求められる。

CISA Apple製品で確認された脆弱性について注意喚起を実施　すでに悪用の事実も

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は1月29日、「悪用が確認された脆弱性カタログ（KEV）」を更新し、行政機関に対応を促すとともに注意喚起を行った。

対象は「CVE-2025-24085」で、Appleの「macOS」「iOS」などに含まれる「CoreMedia」に存在する解放後のメモリ使用の脆弱性である。悪意のあるアプリにより権限昇格が可能となる。

CISAは、共通脆弱性評価システム「CVSSv3.1」における同脆弱性のベーススコアを「7.3」と評価。米国立標準技術研究所（NIST）の脆弱性データベース「NVD」は「7.8」としており、いずれも重要度を「高（High）」とレーティングしている。

Appleは「macOS Sequoia 15.3」「iOS 18.3」などの最新アップデートで修正を実施。対象機器を利用する場合、迅速なアップデートが求められる。

▼詳細はこちらをチェック

Known Exploited Vulnerabilities Catalog | CISA

IPA 「情報セキュリティ10大脅威 2025」を発表初めて「地政学的リスクに起因するサイバー攻撃」が選出

情報処理推進機構（IPA）は、2024年に発生した社会的影響の大きいセキュリティ脅威を「情報セキュリティ10大脅威 2025」として発表した。

本ランキングは、2014年から毎年発表しており、前年に発生した情報セキュリティに関連する事故や脅威を基に、同機構が候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約200人のメンバーで構成される「10大脅威選考会」において審議および投票を経て決定したものである。

「組織編」における最大の脅威は「ランサムウェアによる被害」で、10年連続でランクイン。2位は「サプライチェーンを狙った攻撃」だった。また、今回初めて「地政学的リスクに起因するサイバー攻撃」が選出された。

「個人」に関する脅威は順位に関わらず自身に関係のある脅威に対して対策を行うことを目的に順位はつけないものの、「インターネット上のサービスへの不正ログイン」「クレジットカード情報の不正利用」などが選出された。

▼IPAからのリリース

情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

【2024年11月発表】幅広い用途で利用できるAzure Localを解説

2024年11月、Microsoftはアメリカで行われたイベント「Microsoft Ignite 2024」にて、新サービス「Azure Local」を発表しました。実質的にはAzure Stack HCIのリブランディングとなるAzure Localですが、名称の変更とともに新たな機能も追加されています。

今回は具体的なユースケースと合わせて、Azure Localで実現できることを解説しています。