お客様を守る。恐喝者に立ち向かう

Marbled Dustは、Output Messengerのゼロデイ情報を地域スパイに活用

Marbled Dust leverages zero-day in Output Messenger for regional espionage | Microsoft Security Blog (05/12)

『

2024 年 4 月以降、Microsoft Threat Intelligence が Marbled Dust として追跡している脅威アクターは、マルチプラットフォーム チャット ソフトウェアであるメッセージング アプリ Output Messenger のゼロデイ脆弱性 (CVE-2025-27920) に対する修正が適用されていないユーザー アカウントを悪用していることが確認されています。これらのエクスプロイトにより、イラクの標的から関連するユーザーデータが収集されました

…

以前のキャンペーンでは、Marbled Dustは … 侵害されたDNSレジストリやレジストラへのアクセスを使用して、さまざまな国の政府機関のDNSサーバー設定をリセットし、トラフィックを傍受し、盗んだ資格情報をログに記録して再利用できるようにしていることも確認されました。

』

 

CVE-2025-27920: Directory Traversal Vulnerability (2024/12/25)

『形容

ディレクトリトラバーサルの脆弱性が Output Messenger バージョン V2.0.62 で確認されました。この脆弱性により、リモートの攻撃者は、ファイルパスを「../' シーケンス。この欠陥を悪用することで、攻撃者は意図したディレクトリの外部に移動し、サーバー上の機密ファイルを公開または変更する可能性があります。

攻撃者は、構成ファイル、機密性の高いユーザーデータ、さらにはソースコードなどのファイルにアクセスする可能性があり、ファイルの内容によっては、リモートコードの実行など、さらなる悪用につながる可能性があります。

インパクト

この脆弱性の悪用が成功すると、次のような深刻な結果を招く可能性があります。

• 機密ファイル(設定ファイル、ソースコードなど)への不正アクセス
• 機密ファイルが実行される場合のリモート・コード実行の可能性
• 個人情報やシステム構成の公開

』 以上機械翻訳

 

お客様を守る - 恐喝者に立ち向かう

Protecting Our Customers - Standing Up to Extortionists (05/15)

『TL;dr:サイバー犯罪者は、ソーシャルエンジニアリング攻撃を促進するために、不正な海外サポートエージェントのグループを買収して採用し、Coinbaseの顧客データを盗みました。これらのインサイダーは、カスタマーサポートシステムへのアクセスを悪用して、一部の顧客のアカウントデータを盗みました。パスワード、秘密鍵、資金は公開されておらず、Coinbase Primeの口座は手つかずです。攻撃者に資金を送るようにだまされたお客様には払い戻しを行います。私たちは法執行機関と緊密に協力して、可能な限り厳しい罰則を追求しており、受け取った2,000万ドルの身代金要求は支払いません。それどころか、この攻撃の責任者である犯罪者の逮捕と有罪判決につながる情報に対して、2,000万ドルの報奨金基金を設立しています。

…

一連のベスト プラクティスを次に示します。

• 引き出し許可リストをオンにする - 完全に制御でき、シードフレーズが安全で、あなたに提供されていない、または誰とも共有されていないウォレットへの送金のみを許可します。
• 強力な 2FA を有効にする - ハードウェア キーが最適です。
• 詐欺師に電話を切る —Coinbaseは、パスワードや2FAコードを求めたり、「安全な」ウォレットに資金を移動したりすることはありません。
• 最初にロックし、後で尋ねる —何か違和感がある場合は、アプリ内でアカウントをロックし、security@coinbase.com メールで送信します。
• ソーシャルエンジニアリング詐欺を回避するためのセキュリティのヒントをご覧ください。

』以上機械翻訳

 

NVD - CVE-2025-32756 (05/16)

KEV Catalog に載った。

『A stack-based buffer overflow vulnerability [CWE-121] in Fortinet FortiVoice versions 7.2.0, 7.0.0 through 7.0.6, 6.4.0 through 6.4.10, FortiRecorder versions 7.2.0 through 7.2.3, 7.0.0 through 7.0.5, 6.4.0 through 6.4.5, FortiMail versions 7.6.0 through 7.6.2, 7.4.0 through 7.4.4, 7.2.0 through 7.2.7, 7.0.0 through 7.0.8, FortiNDR versions 7.6.0, 7.4.0 through 7.4.7, 7.2.0 through 7.2.4, 7.0.0 through 7.0.6, FortiCamera versions 2.1.0 through 2.1.3, 2.0 all versions, 1.1 all versions, allows a remote unauthenticated attacker to execute arbitrary code or commands via sending HTTP requests with specially crafted hash cookie.』

 

NVD - CVE-2025-4664 (05/14-16)

『Insufficient policy enforcement in Loader in Google Chrome prior to 136.0.7103.113 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)』

CVSS 3.x Severity Base Score: 4.3 MEDIUM だがKEV Catalogに載った。

 

CVE Record: CVE-2025-42999 (05/13)

『SAP NetWeaver Visual Composer Metadata Uploader is vulnerable when a privileged user can upload untrusted or malicious content which, when deserialized, could potentially lead to a compromise of confidentiality, integrity, and availability of the host system.』

KEV Catalogに載った。

 

Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025 (CVE-2025-4427 and CVE-2025-4428) (05/13-16)

Endpoint Manager Mobile (EPMM) の二つの脆弱性を組み合わせるとリモートコード実行が可能になる。公開前の段階で既に悪用されている模様。

 

Ivanti Endpoint Manager Mobile（EPMM）の脆弱性（CVE-2025-4427、CVE-2025-4428）に関する注意喚起 (05/14)

 

Expression Payloads Meet Mayhem - Ivanti EPMM Unauth RCE Chain (CVE-2025-4427 and CVE-2025-4428) (05/15)

 

以上、こちらの記事から取り上げた　今週の気になるセキュリティニュース - Issue #223 - セキュリティは楽しいかね？ Part 2 (05/18)

 

 

「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表しました （METI/経済産業省） (05/14)

『最終取りまとめでは、情報処理安全確保支援士（登録セキスペ）の活用促進や制度の見直しなどの方向性を示すとともに、登録セキスぺの登録人数を2030年までに5万人（2025年4月時点で約2.4万人）まで増やす目標を掲げています。中小企業等が実施すべきセキュリティ対策に応じた人材確保・育成の方策を示すとともに、国家資格である登録セキスペを取得した外部専門人材の活用を促し、サイバーセキュリティ対策の強化につなげていきます。経済産業省としては、今後、各施策の継続的な改善を実施しながら、更なる人材育成のための方策を検討し、人材の質・量の強化を図っていきます。』

 

Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」のゲーム機能を一新！｜2025年｜NICT-情報通信研究機構 (05/13)

〜毎日クイズを継続して、あなたもセキュリティの専門家に〜