セキュリティニュースまとめる君

French telecommunications giant Orange discloses cyberattack
vulnerability
2025-07-29 14:28:08

CVE	なし
影響を受ける製品	Orange S.A. (French telecommunications giant)
脆弱性サマリ	Orangeが情報システムのサイバー攻撃を検出
重大度	不明
RCE	不明
攻撃観測	不明
PoC公開	不明

PyPI Warns of Ongoing Phishing Campaign Using Fake Verification Emails and Lookalike Domain
vulnerability
2025-07-29 14:27:00

CVE	なし
影響を受ける製品	Python Package Index (PyPI)
脆弱性サマリ	偽の検証メールと類似ドメインを使用したフィッシングキャンペーン
重大度	中
RCE	無
攻撃観測	不明
PoC公開	無

FBI seizes $2.4M in Bitcoin from new Chaos ransomware operation
vulnerability
2025-07-29 13:52:41

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	FBIが新しいChaos ransomware操作から$2.4MのBitcoinを押収
重大度	高
RCE	なし
攻撃観測	不明
PoC公開	不明

How attackers are still phishing "phishing-resistant" authentication
vulnerability
2025-07-29 13:50:59

CVE	なし
影響を受ける製品	Windows Hello
脆弱性サマリ	Windows Helloを悪用したフィッシング攻撃
重大度	中
RCE	無
攻撃観測	有
PoC公開	無

Chaos RaaS Emerges After BlackSuit Takedown, Demanding $300K from U.S. Victims
incident
2025-07-29 13:25:00

事件発生日	2025年7月29日
被害者名	アメリカの被害者
被害サマリ	Chaos ransomwareにより、被害者は$300,000を要求され、ディクリプターと侵入概要が提供された。攻撃ではフィッシングと音声フィッシング技術が使用され、多くの手法が組み合わされてデータが流出、暗号化された。
被害額	$300,000

攻撃者名	Chaos ransomwareグループ
攻撃手法サマリ	フィッシング、音声フィッシング、RMMツールの悪用、データ流出
マルウェア	Chaos ransomware
脆弱性	不明

How the Browser Became the Main Cyber Battleground
incident
2025-07-29 11:25:00

事件発生日	2024年のSnowflakeキャンペーンと2025年のScattered Spiderの犯罪波に関連
被害者名	不明
被害サマリ	最近数年で最大の被害は、貴重なデータの盗難やランサムウェアの展開が主な目的であることが多い
被害額	被害額は記載されていないため、不明（予想）

攻撃者名	攻撃者不明（特徴：電子情報を盗もうとする攻撃者）
攻撃手法サマリ	ブラウザを介した身元の盗難が一般的であり、フィッシングが最も影響力のある攻撃手法であることが示唆されている
マルウェア	不明
脆弱性	ブラウザの脆弱性や機能を悪用した攻撃があり、悪意のあるブラウザ拡張機能も攻撃ベクトルとなっている

Cybercriminals Use Fake Apps to Steal Data and Blackmail Users Across Asia’s Mobile Networks
vulnerability
2025-07-29 11:10:00

CVE	なし
影響を受ける製品	AndroidとiOSプラットフォーム
脆弱性サマリ	偽のデート、SNS、クラウドストレージ、カーサービスアプリを使って個人データを盗む
重大度	高
RCE	無
攻撃観測	有
PoC公開	不明

Why React Didn't Kill XSS: The New JavaScript Injection Playbook
other
2025-07-29 10:00:00

JavaScript開発者にとって、攻撃者はプロトタイプ汚染からAI生成コードまで様々なものを活用し、ReactがXSSを克服したとは限らない現実に直面している。
2024年6月に発生したPolyfill.ioの供給チェーン攻撃は、Hulu、Mercedes-Benz、WarnerBrosを含む主要プラットフォームに影響を与えた。
2024年中には22,254件のCVEが報告され、JavaScriptをクライアントサイドで使用するウェブサイトの98%およびその主要言語として使用する開発者の67.9%を考慮すると、攻撃対象の範囲は過去最大となっている。
JavaScriptのセキュリティガイドは、古くからの攻撃パターンに焦点を当てており、この包括的な分析は現代の脅威を優先順位付けて保護する方法を示している。
データベースに生データを保存し、データが表示されるコンテキストに基づいてエンコードを適用することで、コンテキストに敏感なエンコードアプローチが推奨されている。

CISA Adds PaperCut NG/MF CSRF Vulnerability to KEV Catalog Amid Active Exploitation
vulnerability
2025-07-29 04:51:00

CVE	CVE-2023-2533
影響を受ける製品	PaperCut NG/MF print management software
脆弱性サマリ	Cross-site request forgery (CSRF)による脆弱性で、リモートコード実行が可能
重大度	高
RCE	有
攻撃観測	有
PoC公開	無

Lovense sex toy app flaw leaks private user email addresses
incident
2025-07-29 02:39:46

事件発生日	2025年7月28日
被害者名	Lovense sex toy appのユーザー
被害サマリ	Lovenseのセックストイアプリに存在するゼロデイの脆弱性により、攻撃者はユーザーのメールアドレスを取得することが可能であり、被害者はドキシングや嫌がらせのリスクにさらされていた。
被害額	不明（予想）

攻撃者名	不明（カナダのセキュリティ研究者BobDaHackerと他の研究者による共同攻撃）
攻撃手法サマリ	攻撃者はLovenseのXMPPチャットシステムとプラットフォームのバックエンド間での相互作用から発生する脆弱性を悪用し、ユーザーのメールアドレスを取得した。
マルウェア	不明
脆弱性	LovenseのXMPPチャットシステムとプラットフォームのバックエンド間の相互作用に関連する脆弱性