最新の注目ニュースをまとめてチェック!【2025年2月2日週】
サンリオのサイバー攻撃でランサムウェアによる被害を確認 個人情報が流出した可能性も
2月7日、サンリオがランサムウェアによる不正アクセスを受け、サンリオエンターテイメントが保有する個人情報や機密情報の一部が外部に漏えいした可能性があると報告した。
本件は、以前の記事でも紹介した内容の続報であり、漏えい対象は、サンリオピューロランドやハーモニーランドの年間パスポート購入者、旧ピューロランドファンクラブ会員の氏名、性別、生年月日、住所、電話番号、メールアドレス、一部でSanrio+IDを含む情報であった。
同社は被害拡大防止のため、侵害されたサーバを遮断し、警察や個人情報保護委員会に報告。原因調査を進めつつ、復旧作業を実施しているとのこと。また、顧客には不審な連絡への注意を呼びかけている。
Google Chromeの最新バージョンをリリース 複数の脆弱性に対処
現地時間2月4日、Googleは同社ブラウザの最新版となる「Google Chrome 133」をリリースした。
WindowsとmacOS向けには「Google Chrome 133.0.6943.54」「Google Chrome 133.0.6943.53」、Linux向けに「Google Chrome 133.0.6943.53」をリリースしたもの。
今回のアップデートでは12件の脆弱性が修正され、グラフィックライブラリ「Skia」に関する脆弱性(CVE-2025-0444)やスクリプトエンジン「V8」の脆弱性(CVE-2025-0445)など、解放後のメモリを使用するいわゆる「Use After Free」の脆弱性2件も修正した。
なお、アップデートは数日から数週間をかけて順次展開される予定である。同製品を利用の場合には、配布され次第迅速なアップデートを推奨する。
Androidのセキュリティアップデート 一部で悪用の兆候を確認
Google主導のAndroid Open Source Projectは、複数の脆弱性を修正する「Android」のセキュリティアップデート「パッチレベル2025-02-01」、「パッチレベル2025-02-05」を公開した。
「パッチレベル2025-02-01」ではフレームワークやGoogle Playなど23件を修正。「パッチレベル2025-02-05」ではカーネルやサードパーティコンポーネントの脆弱性23件を解消した。
特にLinuxカーネル「UVC」に関連する「CVE-2024-53104」は、限定的な標的型攻撃での悪用が確認されている。
CISA、悪用カタログに5件追加 「7-Zip」などの脆弱性に注意喚起を実施
現地時間2025年2月6日、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は「悪用が確認された脆弱性カタログ(KEV)」へあらたに5件の脆弱性を追加し、米国内の行政機関へ対策を求めるとともに、広く注意喚起を行った。
主な脆弱性として、アーカイバである「7-Zip」に明らかとなったセキュリティ機能をバイパスされる脆弱性(CVE-2025-0411)があり、すでに修正バージョンが提供されている。他にも、「Outlook」でリモートからコードを実行される脆弱性(CVE-2024-21413)や、「Dante」のWindows向けライブラリにおいて判明したDLLサイドローディングの脆弱性(CVE-2022-23748)を同リストへ追加した。
すでに悪用が確認されている脆弱性があることから、以下サイトから詳細を確認のうえ、最新バージョンへの適用が推進される。
▼詳細はこちらをチェック
能動的サイバー防御 法案閣議決定 法案審議のポイントは「通信の秘密」
2月7日、政府はサイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法案を閣議決定した。
この法案では、警察や自衛隊が独立機関の承認を得た上で、攻撃元のサーバーにアクセスし、無害化措置を講じることが可能となる。また、重要インフラ事業者と協定を結び、サイバー攻撃の兆候を監視するための通信情報の取得を可能とし、攻撃を受けた場合の報告を義務化する内容である。
一方で、憲法が保障する「通信の秘密」との整合性が重要な論点となっており、政府の情報利用を監督する独立機関の設置や、警察や自衛隊のアクセス手続きが審議の焦点となっている。
▼法案の主な概要はこちらをチェック
