ScanNetSecurity 最新セキュリティ情報

　「痛みのない正しさは意味のない正しさ」という言葉があって、要はリスクのない安全圏から正しいことをいくら声を大にして言っても、そこに説得力は生まれないし人も動かさないただの正論・一般論に過ぎない、そういう意味と個人的に理解している。

　楽天カード株式会社は7月30日、株式会社すかいらーくホールディングスが運営する「テイクアウトサイト」でのカード情報流出について発表した。

　株式会社プレナスは7月30日、1月30日に公表した同社「ほっともっとネット注文」への不正アクセスについて、続報を発表した。

　楽待株式会社は7月29日、6月12日に公表した同社への不正アクセスによる個人情報漏えいの可能性について、続報を発表した。

　シーバイエス株式会社は7月28日、7月17日に公表した同社へのランサムウェア感染被害について、第2報を発表した。

　EGセキュアソリューションズ株式会社は7月28日、「SiteGuard セキュリティレポート（2025.2Q）」を発表した。

　HENNGE株式会社は7月28日、8月25日に開催されるウェビナー「EnterpriseZine Special Webinar powered by HENNGE～M365の安全なメール運用 リスクを低減するために押さえるべき要点～」に協賛すると発表した。

　セコム株式会社は7月23日、全国の20歳から69歳の男女500人を対象に実施した第14回「日本人の不安に関する意識調査」の結果を発表した。

　NATO の CCDCOE が発表した報告書によると、世界貿易の約 8 割を担う主要な海上港湾インフラでは、ロシアやイラン、中国など APT グループやランサムウェアを悪用するサイバー犯罪集団、ハクティビストによる DDoS といった多様なサイバー脅威が確認されているといいます。こうした攻撃は、従来は独立していたアクセス制御システムや船舶交通管理システムといった運用技術（OT）が IT ネットワークと接続されたことで、古い制御機器にも深刻な脆弱性を生じさせたことが背景にあると指摘しています。

　株式会社エフネスは7月28日、同社が運営する「トラベルビジョン」への不正アクセスについて発表した。

　株式会社バンダイナムコホールディングスは7月25日、同社海外子会社元従業員による不正行為について発表した。文字の選択やコピーができないPDFファイルで公開している。

　アクサ損害保険株式会社は7月25日、同社システムへの不正アクセスについて発表した。

　株式会社ジェイテクトは7月24日、同社グループ会社への不正アクセスについて発表した。

　川崎重工業株式会社は7月25日、NATOサイバー防衛協力センターによるサイバー防衛演習「ロックド・シールズ2025」への参加を発表した。

　株式会社神戸デジタル・ラボ（KDL）は7月25日、クラウド型標的型攻撃メール訓練サービス「Selphish」に「ランダム配信機能」を追加したと発表した。

　日本電気株式会社（NEC）は7月25日、セキュリティ観点から見た「マルウェア」と「チートツール」の類似性と相違点について、同社セキュリティブログに解説記事を発表した。NECサイバーセキュリティ技術統括部 セキュリティ技術センターの中島健児氏が執筆している。

　東京海上ディーアール株式会社は7月25日、2025年4月から開始した調査研究プロジェクト「サイバー安全保障と能動的サイバー防御（ACD）」の研究成果として「海底ケーブルをめぐる地政学的・地経学的状況」を発行したと発表した。

　株式会社ASNOVAは7月23日、同社の使用する一部レンタルサーバへの外部からの攻撃について発表した。

　株式会社トキハと株式会社トキハインダストリーは7月23日、4月2日に公表したトキハグループの一部サーバへのランサムウェア攻撃について、続報を発表した。

　川崎設備工業株式会社は7月22日、ランサムウェア被害の発生について発表した。

　東京都教育委員会は7月22日、都立高等学校での個人情報の紛失について発表した。

　株式会社ヤマダコーポレーションは7月22日、6月26日に公表した同社へのサイバー攻撃によるシステム障害について、続報を発表した。

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は7月23日、「インシデント損害額調査レポート 別紙 2025年版」を発表した。

　株式会社Spider Labsは7月23日、Webサイトにおける外部スクリプト・クライアントサイドリスクをリアルタイムで検知・管理するSaaS型サービス「Spider AF SiteScan」の正式リリースを発表した。

　株式会社エーアイセキュリティラボは8月27日に、Webセミナー「「伝わらない」から「巻き込む」へ 全社で進めるセキュリティ対策講座」を開催すると発表した。

　これまで ScanNetSecurity は、巷（ちまた）で大声で喧伝される「いわゆる AI のセキュリティへの影響」に対して、一部を除いておおむね半笑いで接してきましたが、その編集方針を変えるかもしれない取材になりました。Black Hat 全体で AI エージェント技術が「意図から実運用へスケールする段階」にあり、本稿ではその具体例を示すいくつかのセッションを紹介します。

　The Com は、主に英語圏の犯罪者で構成され、ゆるく結びついた集団であり、メンバーは世界中にいる。メンバーの多くは未成年で、主にティーンエイジャーの男子である。サブセットである IRL Com のメンバーは、「通常、共通の興味、イデオロギー、または目標を持ち、協力している。ミッションを達成するため、必要に応じて他者をグループに加えたり分裂したりする」と FBI は指摘する。

　東証プライム上場企業の株式会社トーモクは7月22日、5月8日に公表した同社グループへのランサムウェア攻撃について、続報を発表した。

　公益財団法人草津市コミュニティ事業団は7月18日、同事業団の公式ホームページへの第三者からの不正アクセスによる一部ページの改ざんについて発表した。

　島根県海士町は7月18日、「Google グループ」を通じたふるさと納税に係る個人情報の漏えいの可能性について発表した。

　株式会社ぐるなびは7月18日、ぐるなびとの関連を装った偽サイトへの注意喚起を発表した。

　一般財団法人関西情報センター（Kansai Institute of Information Systems、KIIS）は7月18日、「関西サイバーセキュリティ・ネットワーク 第8回サイバーセキュリティ・リレー講座」を8月20日からオンライン開催すると発表した。

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は7月17日、「JPCERT/CC 四半期レポート［2025年4月1日～2025年6月30日］」を公開した。

　GMOサイバーセキュリティ byイエラエ株式会社は7月28日、ASMツール「GMOサイバー攻撃 ネットde診断 ASM」の機能を拡張し、ヤマハ株式会社、シスコシステムズ合同会社、株式会社バッファローが提供するネットワーク機器への対応を発表した。

この脅威をさらに加速させるのが証明書の最大有効期間の短縮だ。Sinha 博士は、CA/Browser Forum の決定により、現在 398 日のパブリックTLS/SSLサーバ証明書の最大有効期間が 2026 年 3 月から段階的に短縮され、最終的に 2029 年には 47 日になる事実を示した。これは、現在の実に「 8 分の 1 以下の短縮」である。

　カイゼンベース株式会社は7月20日、同社ホームページへの第三者からの不正アクセスによる改ざんについて発表した。

　株式会社リクルートは8月1日、同社元従業員による情報の持ち出しについて発表した。

　アパレル製品・雑貨洋品等の企画・販売を行う株式会社ジョイックスコーポレーションは7月31日、偽サイト（フィッシングサイト）への注意喚起を発表した。

　カゴヤ・ジャパン株式会社は7月30日、同社Webメール「Active!mail」へのDDoS攻撃について発表した。

　セコムトラストシステムズ株式会社は7月29日、同社のセキュアデータセンター内に、株式会社アット東京の「AT TOKYO Business eXchange（ATBeX）」の東京西アクセスポイントを新たに開設すると発表した。

GMOサイバーセキュリティ byイエラエ株式会社とALSOK株式会社は7月29日、セキュリティ診断サービス「ALSOK & GMO サイバー物理ペネトレーションテスト」を開発したと発表した。

　SWITCHBOT株式会社は7月、同社が提供する SwitchBot アプリ（iOS/Android）におけるセキュリティ脆弱性について発表した。影響を受けるシステムは以下の通り。

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月30日、Apache Jena Fusekiにおけるパストラバーサルの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月31日、ZXHN-F660TおよびZXHN-F660Aに機器共通の認証情報が設定されている問題について「Japan Vulnerability Notes（JVN）」で発表した。

　日東エネルギー・ホールディングス株式会社は7月11日、採用情報ページのシステム障害について発表した。

　東証プライム上場企業の株式会社淀川製鋼所は7月3日、4月25日に公表した連結子会社でのランサムウェア被害について、第3報を発表した。文字のコピーができないPDFファイルで公開している。

　太平興業株式会社は7月2日、不正アクセスによる個人情報漏えいの可能性について発表した。

　コンテナアプリケーションを管理するソフトウェアとして世界的に利用されている Kubernetes が公式にサポートしている管理用ソフトウェアである Ingress NGINX Controller にて、遠隔からの任意のコード実行につながる脆弱性が報告されています。

　三菱UFJモルガン・スタンレー証券株式会社は7月17日、同社名を騙った偽メール（フィッシング詐欺メール）への注意喚起を発表した。

　ユニデンホールディングス株式会社は7月17日、同社へのランサムウェア攻撃について発表した。

　東証プライム上場企業の三信電気株式会社は7月16日、香港子会社での資金流出について発表した。