赤坂タロウの日記: 2025/10

Oct 15, 2025

パスキー制作者、リスク等、AIに訊いてみた

私的利用向けに、簡潔にまとめます。

パスキーの現状とポイント（個人利用向け）

誰が作っている？
端末側の仕組みはOSや認証器ベンダー（Apple、Google、Microsoft、YubiKeyなど）が提供。サービス側は標準API（WebAuthn/FIDO2）を使うので、個別開発は不要。
分散実装はリスク？
ベンダーごとに回復方法や機能差があるため、多少の不整合リスクはあります。ただし、パスワードよりは圧倒的に安全で、フィッシング耐性も高い。
最新動向（2024–2025）

NISTが「同期型でもフィッシング耐性あり」と明記。
MicrosoftやAppleなどがパスキー対応を強化中。
個人利用では、同期型（クラウド連携）で利便性重視が一般的。

おすすめの使い方

主要サービス（Google、Apple、Microsoft）でパスキーを有効化。
重要アカウントは、可能なら物理キー（FIDO2）も併用。
回復手段（予備キーやクラウド同期）を必ず設定。

一言まとめ

パスキーはパスワードより安全で、分散実装のリスクは管理次第。個人利用なら「同期型＋予備キー」で、利便性と安全性のバランスを取るのが現実的です。

ここでの関連記事

　　　パスキー

7-Zip CVE-2025-11001 ...etc

セキュリティホール memo - 2025.07 (07/22)

7-ZIPについて、10/13付けで

CVE-2025-11001とCVE-2025-11002が追記されている。

そういえば、こんなのもあった　↓　

CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA (02/06)

『CVE-2025-0411 7-Zip Mark of the Web Bypass Vulnerability』

他に過去記事「7-Zipの脆弱性 CVE-2025-53816」 (07/23)　←KEVカタログには掲載無し。

フリーウェアが別製品に（思わぬ形で）同梱されているケースに要注意（当該フリーウェアでなく、当該別製品のアップデートが必要）と思われる事例　↓　

Mitsubishi Electric MELSOFT Update Manager | CISA (07/03)

Mitsubishi Electric MELSOFT Update Manager の脆弱性。

例えば、遠隔の攻撃者が悪意を持って細工した圧縮ファイルを送り、ユーザーがそれを解凍した際に、任意のコードが実行される脆弱性がある。

回避策として1.013P以降のバージョンへのアップデートが説明されている。

Oracle E-Business Suite CVE-2025-61882

CVE Record: CVE-2025-61882 (10/05)

Oracle E-Business SuiteのOracle Concurrent Processing製品(コンポーネント: BI Publisher Integration)の脆弱性。影響を受けるサポートされているバージョンは 12.2.3 から 12.2.14 です。簡単に悪用できる脆弱性により、HTTP経由でネットワークにアクセスする認証されていない攻撃者がOracle Concurrent Processingを侵害できます。この脆弱性の攻撃が成功すると、Oracle Concurrent Processingが乗っ取られる可能性があります。CVSS 3.1 基本スコア 9.8 (機密性、整合性、可用性への影響)。

このCVE-2025-61882は既に

「Known Exploited Vulnerabilities Catalog | CISA (10/05)」に挙がっている。

グーグルのオラクル製ソフト狙ったハッキング、被害顧客企業は100社超か | ロイター (10/10)

『米グーグルは９日、オラクル(ORCL.N), opens new tabが提供している企業用ソフトウエア群を標的としたハッキングにより「大量の顧客企業データ」が盗まれたと明らかにした。』

Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign | Google Cloud Blog (10/10)

Oct 14, 2025

何でも反論してくるAI「Disagree Bot」

「何でも反論してくるAI」と議論したら、ChatGPTより思考が深まった話 - CNET Japan (10/03)

『　「Disagree Bot」は、デューク大学でAIとサイバーセキュリティを専門とする教授であり、同大学のTRUST Labでディレクターを務めるBrinnae Bent氏が開発したAIチャットボットだ。

　…

　このAIチャットボットは根本的にあまのじゃくで、こちらが提示するあらゆる考えに反論するように設計されている。

　…

　Disagree Botとのチャットは、教養があり、注意深いディベート相手と議論しているような感覚だった。ついていくためには、こちらも応答をより思慮深く、具体的にする必要があった。常に気を張っていなければならない、非常に魅力的な会話だった。』

Oct 13, 2025

【証券口座乗っ取り】SBI証券・楽天証券が答えにくい質問にも回答

「なぜ絵を選ばせる？」「Authenticator導入予定は？」遠慮なし質問攻め／後編 (10/03)

証券不正アクセス1万2758件【金融庁取材】「補償金額はコレ」「犯人は乗っ取りでどう儲けたか」「ネット証券ユーザーがやること」前編 (10/01)

Oct 11, 2025

SAP S/4HANA vulnerability CVE-2025-42957

Critical SAP S/4HANA code injection vulnerability (CVE-2025-42957) exploited in the wild - patch immediately (09/04)

『このエクスプロイトは、SecurityBridge Threat Research Labsによって発見され、このエクスプロイトが野生で使用されていることも確認されています。

即時パッチが不可欠です。

CVE-2025-42957 は、SAP S/4HANA (CVSS 9.9) における重要な ABAP コードインジェクションの脆弱性で、低い権限のユーザーが SAP システムを完全に制御できるようになります。

エグゼクティブ・サマリー

知っておくべきことは次のとおりです。

· SAPは8月11日にCVE-2025-42957(CVSS 9.9)th のパッチを提供しました。すぐに適用してください

· エクスプロイトは、SAP システムを完全に侵害するために、低い権限のユーザーにのみアクセスする必要があります。

· すべてのS/4 HANAリリース(Private CloudとOn-Premise)に影響します。

· 悪用成功により、オペレーティングシステムへのアクセスとSAPシステム内のすべてのデータへの完全なアクセスが可能になります。

· これには以下が含まれますが、これらに限定されません。

o SAPデータベースに直接データを削除して挿入する

o SAP_ALLでSAPユーザーを作成する

o パスワードハッシュのダウンロード

o ビジネスプロセスへの変更

』

ＹｏｕＴｕｂｅビデオがある。

NISTやCISAは米政府機関停止の影響を受けるし、"exploited in the wild"なので、注意継続必要である。

NISTやCISAは、米政府機能停止の影響を受ける？

現在の米政府機能停止（シャットダウン）により、CISA.gov（サイバーセキュリティ・インフラセキュリティ庁）とNIST.gov（米国標準技術研究所）の両方が活動停止の対象となる可能性が高いです。

NIST.govの状況

NISTは商務省の管轄下にあり、商務省が発表した計画によると、職員の大半が一時帰休となり、ほぼすべての業務が停止します[²]。これにはウェブサイトの更新や技術文書の公開、標準化活動などが含まれる可能性があります。

CISA.govの状況

CISAは国土安全保障省（DHS）に属しており、「人命の安全や財産保護」に関わる業務は継続されるとされています[²]。そのため、CISAの中でもサイバー攻撃対応や重要インフラ保護などの「必須業務」は継続される見込みですが、非緊急の研究・広報・更新業務などは停止される可能性があります。

まとめ

NIST.gov : ほぼ全面的に停止の可能性が高い。
CISA.gov : 緊急対応業務は継続されるが、非必須業務は停止の可能性あり。

もし両機関の公開情報やツールに依存している業務がある場合、代替手段や事前に取得したデータの活用を検討するのが賢明です。

住信SBIネット銀行、勘定系システムを「AWS」に全面移行

拡張性と効率性を向上 - ZDNET Japan (09/19)

『住信SBIネット銀行は9月18日、日本IBMが提供するオープン系勘定系システム「NEFSS（Next Evolution in Financial Services Systems）」を今後の成長に即した拡張を可能にする新アーキテクチャーに進化させ、2028年初頭を目途にAmazon Web Services（AWS）のクラウド環境へ全面移行することを発表した。』

Oct 8, 2025

セールスフォース、ハッカーの身代金要求に応じず

顧客データ流出 (10/08)

　　この事件は、セールスフォースと連携するセールスロフトのアプリ「ドリフト」を通じて発生した。ドリフトは顧客対応の自動化機能を提供するサードパーティーアプリで、この侵害により、セールスフォースを利用する複数の組織からデータが盗まれていた。
... これはセールスフォース本体のプラットフォームの欠陥を突いた顧客情報の窃盗ではないという。

韓国、政府のオンラインストレージが火災で焼失　8年分の業務資料858TBが消滅か

韓国の国家情報資源管理院で火災、10時間後に鎮圧…「データ毀損の懸念で難航」 | Joongang Ilbo | 中央日報 (09/27)

26日午後8時20分ごろ大田市儒城区花岩洞（ユソング・ファアムドン）情報管理院5階の電算室でリチウムイオンバッテリーの爆発で発生した火災が、約9時間50分後に鎮圧された。... 無停電電源装置（UPS）用のこれらバッテリーは一般的にラック（rack）形態でキャビネット形式で設置されている。

火災で停止した韓国‘デジタル政府’…実質的に存在しなかったバックアップシステム（1） | Joongang Ilbo | 中央日報 (09/29)

韓国政府は「災害があっても3時間以内に復旧できるシステムが構築されている」と明らかにしたが、誇張された発言だったことが今回露呈した。

火災で停止した韓国‘デジタル政府’…実質的に存在しなかったバックアップシステム（2） | Joongang Ilbo | 中央日報 (09/29)

今回の火災の最初の発火地点は無停電電源装置（UPS）用リチウムイオン電池だ。公共機関のバッテリー管理問題も俎上に載せられた。該当バッテリーは2014年8月管理院に納品されたもので、使用年限の10年からすでに1年を過ぎている。

バッテリーとサーバーが同じ空間に…韓国国家情報資源管理院、火災に打つ手ない「予告されたシャットダウン」 | Joongang Ilbo | 中央日報 (09/29)

バッテリー業界によると、今回の火災は移設作業過程の管理ミスとする見方が優勢だ。移設作業中の電源遮断と復旧過程で過電流が流入したりバッテリー管理システム（BMS）が正常に稼動しなかった可能性があるという。… この施設のバッテリー設置時点の2014年には分離原則が明確でなかった」と話した。

実際に韓国政府が移設を決めた理由も火災のリスクのためだった。… 「電算室内にサーバーとバッテリーが一緒にあるのは非常に危険なためこれら装備を地下に移す作業を進行中だった。事故が起きる前にバッテリーにあったケーブルを分離し電源を遮断したが、何らかの状況により火花が散り火災が起こったものと把握している」と話した。続けて「正確な原因は鑑識を通じて明らかになるだろう」と付け加えた。

火災が起きたバッテリーの推奨使用期限は10年で、そこから1年が経過していることが確認されたことも問題点と指摘される。バッテリー業界関係者は「BMSが正常稼動していたとすれば推奨使用期限が1年過ぎたからと火災のリスクが大きくなるとは言いがたい」としながらも「安全は費用であるだけに必要な投資と定期的交換を通じて管理すべきだった」と話した。

火災が起きた電算室は国家情報資源管理院が独自に運営するプライベートクラウド環境だ。大規模なデータを管理するだけに、ここで問題が発生しても別の場所でバックアップできるシステムを備えなければならない。あるクラウド業界関係者は「国家情報資源管理院は当初、大田（テジョン）本院のシステムを光州（クァンジュ）センターのシステムと二重化する作業を計画したが、予算問題などから進展が遅れていたと承知している」と話した。

【社説】火災収拾中に次々と表れる韓国電子政府の実情 | Joongang Ilbo | 中央日報 (10/03)

このほかにも人災が疑われる状況が多い。バッテリー推奨使用期限（10年）の交換勧告を黙殺した事実も明らかになり、バッテリー移転作業に零細通信設備業者のアルバイトが投入されたという証言までが出てきた。高度な安全が要求される作業を非専門業者と非熟練者に任せたとすれば明白な安全不感症だ。無停電電源装置（UPS）とリチウムイオンバッテリー移転過程で電気工事安全守則を守らなかった状況も表れた。警察は当時作業者が安全規定を守ったかどうかなどを徹底的に究明しなければいけない。

韓国、政府のオンラインストレージが火災で焼失　8年分の業務資料858TBが消滅かバックアップなく「気が遠くなる」　現地報道 (10/07)

韓国の政府職員が利用する業務用クラウドストレージ「G-Drive」に関する機器が火災で焼失し、8年分の業務資料に当たる858TBのデータが利用できなくなった … バックアップも存在しないという。
...
韓国中部大田にある国家情報資源管理院で、無停電電源装置のバッテリー交換中に火災が発生。リチウムイオンバッテリー384個が燃えた他、サーバが全焼し、政府の647システムがまひしたという。このうち、G-Driveを含む96件のシステムに関する機器は全焼したが、G-Driveを除く95システムについては外部にバックアップがあるため復旧が可能という。

Oct 5, 2025

“マウス”から盗聴するサイバー攻撃

米国チームが発表　ゲーミングマウスの高感度センサーを悪用 (10/03)

　人が話すと音声が空気を振動させ、その振動は机の表面にも微細な波として伝わる。... 最新のゲーミングマウスに搭載される高感度センサーは、この極めて微小な動きを捉えることができる。
...
2万DPI以上の解像度と4kHz以上のポーリングレートを持つゲーミングマウスは、人間の音声が引き起こす机表面の振動を検出可能なレベルにある。　
...
80dBの音声環境下で、約42～61％の音声認識精度を達成した。信号対雑音比は最大19dB改善され、人間による評価では約16.79％の単語誤り率まで音声を復元できたという。

ASDのACSCは、2024年にSonicWall SSL VPN(CVE-2024-40766)における重大な脆弱性がオーストラリアで最近増加していることを認識しています。

アキラのランサムウェアが、SonicWallのSSL VPNを通じて脆弱なオーストラリアの組織を標的にしていることを認識しています。

この脆弱性により、攻撃者は不正アクセスが可能となり、特定の条件下でファイアウォールがクラッシュする可能性があります。この脆弱性は以下のSonicWallデバイスに影響を与えます:

· Gen 5 devices

· Gen 6 devices

· Gen 7 devices running SonicOS 7.0.1-5035 and older versions

Mitigation advice

オーストラリアの組織は、脆弱なSonicWallデバイスの使用状況を確認し、以下の調査および対応に関する助言を参照すべきです。

· Gen 7 and newer SonicWall Firewalls – SSLVPN Recent Threat Activity

· CVE-2024-40766 Security Advisory

ベンダーは、最新バージョンに更新した後、組織に対してパスワードの変更を促している。

組織がファームウェアを更新した後に認証情報を更新して緩和に関する助言を完全に実施していない場合、依然として脆弱な状況にある。

』 (機械翻訳+一部手直し)

Oct 1, 2025

vulnerabilities　CVE-2025-5086

CISA Adds One Known Exploited Vulnerability to Catalog (9/11)

https://www.cisa.gov/news-events/alerts/2025/09/11/cisa-adds-one-known-exploited-vulnerability-catalog

『CVE-2025-5086 Dassault Systèmes DELMIA Apriso Deserialization of Untrusted Data Vulnerability』

CVE-2025-5086

『A deserialization of untrusted data vulnerability affecting DELMIA Apriso from Release 2020 through Release 2025 could lead to a remote code execution.

…

Score 9.0 Severity CRITICAL Version 3.1

』

DELMIA Apriso

『MESの幅広い機能をサポートし、グローバル展開にも対応したダッソー・システムズ株式会社のグローバル製造管理システム「DELMIA Apriso」

…

従来の製造工場、工程内だけの製造管理(MES)だけでなく、製造・物流サプライチェーンに含まれるあらゆる業務オペレーションを包含するソリューションです。』