今日を知り、明日を変えるシステム運用メディア

最新の注目ニュースをまとめてチェック!【2025年3月2日週】

IPAが「情報セキュリティ10大脅威 2025」を公開 新設された脅威がランクイン

IPAが「情報セキュリティ10大脅威 2025」を公開 新設された脅威がランクイン

情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2025」の解説書を公開した。「組織」向け脅威について、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位は変わらなかった。

また今回新設した「地政学的リスクに起因するサイバー攻撃」が7位に選出された。具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられている。

情報セキュリティ10大脅威 2025 [組織]:

順位「組織」向け脅威初選出年10大脅威での取り扱い(2016年以降)
1ランサム攻撃による被害2016年10年連続10回目
2サプライチェーンや委託先を狙った攻撃2019年7年連続7回目
3システムの脆弱性を突いた攻撃2016年5年連続8回目
4内部不正による情報漏えい等2016年10年連続10回目
5機密情報等を狙った標的型攻撃2016年10年連続10回目
6リモートワーク等の環境や仕組みを狙った攻撃2021年5年連続5回目
7地政学的リスクに起因するサイバー攻撃2025年初選出
8分散型サービス妨害攻撃(DDoS攻撃)2016年5年ぶり6回目
9ビジネスメール詐欺2018年8年連続8回目
10不注意による情報漏えい等2016年7年連続8回目
独立行政法人情報処理推進機構:情報セキュリティ10大脅威 2025 [組織]

▼詳細はこちらをチェック

https://www.ipa.go.jp/pressrelease/2024/press20250130.html

VMware ESXi、VMware Workstation、VMware Fusionに脆弱性 すでに悪用も

「VMware ESXi」「VMware Workstation」「VMware Fusion」に脆弱性 すでに悪用も

Broadcomは、「VMware ESXi」「VMware Workstation」「VMware Fusion」に複数の脆弱性が見つかったとして注意喚起を行った。「CVE-2025-22224」「CVE-2025-22225」「CVE-2025-22226」の3件について明らかにされ、いずれも悪用が確認されており本件の重大度は「クリティカル」と示されている。

それぞれの詳細は次の通りになる。

  • 「CVE-2025-22224」
    • 「TOCTOU(Time-of-Check Time-of-Use)」によりヒープオーバーフローを発生、域外メモリへの書き込みが可能となる脆弱性
    • ローカル管理者権限を持つ攻撃者によって、仮想マシンの「VMXプロセス」としてコードを実行することが可能
    • 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.3」と評価
  • 「CVE-2025-22225」
    • 「VMware ESXi」において「VMXプロセス」における権限を利用し、サンドボックスを回避して任意の書き込みが可能となる脆弱性
    • CVSS基本値を「8.2」としている。
  • 「CVE-2025-22226」
    • 「HGFS」において域外メモリを読み込みできる脆弱性
    • 仮想マシンの管理者権限を持つ場合に「VMXプロセス」のメモリ情報を取得できる
    • CVSS基本値が「7.1」となっている。

▼詳細はこちらをチェック

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

「クレジットカード・セキュリティガイドライン」が改訂 経済産業省

「クレジットカード・セキュリティガイドライン」が改訂 経済産業省

経済産業省は、クレジットカード取引に関わる事業者が実施すべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」が改訂されたことを発表した。

詳細は次の通りになる。

  • クレジットカード情報保護対策
    • 全てのEC加盟店は、「セキュリティ・チェックリスト」記載の脆弱性対策等のセキュリティ対策を実施することを求める
  • 不正利用対策
    • 原則、全てのEC加盟店におけるEMV 3-Dセキュア導入を求める

▼詳細はこちらをチェック

https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

Appleをかたるフィッシング攻撃が増加中 「支払情報更新」など偽装

Appleをかたるフィッシング攻撃が増加中 「支払情報更新」など偽装

Appleのユーザーを標的としたフィッシング攻撃の報告が増えているとして、フィッシング対策協議会が注意喚起を行った。同協議会は確認されたフィッシングサイトについて、JPCERT/CC にサイト閉鎖のための調査を依頼中だとしている。

実際送られてくるメールの件名は、次に示すものが多いので注意する必要がある。

  • Apple ID のお支払い情報を更新
  • Apple ID情報が更新されました
  • サブスクリプションの有効期限がまもなく終了します
  • Apple IDに関するお支払い情報の更新が必要です
  • 【Appleサポート】認証手続きを完了してください。
  • Apple IDの認証情報が最新ではありません。
  • Apple からの領収書です。
  • 【重要】Apple ID アカウント確認のご案内
  • Appleよりご注文に関する重要なお知らせ

▼詳細はこちらをチェック

https://www.antiphishing.jp/news/alert/apple_20250305.html

人気の記事

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録