2025年10月31日(金)、アメリカ屈指の難関大学のひとつであるペンシルベニア大学の学生・卒業生・職員・コミュニティ関係者が、同大学の教育学大学院(GSE)を名乗るハッカーから詐欺的メールを受信するという事態が発生しました。ハッカーはペンシルベニア大学のサーバーから盗み出したデータをリークすると脅しています。

続きを読む...

セキュリティ企業のKoiが、ユーザーの情報収集を目的とした126種もの悪意あるnpmパッケージを発見したことを報告しました。これらのnpmパッケージは合計8万6000回以上ダウンロードされており、AIの幻覚(ハルシネーション)を悪用する兆候も確認されたとのこと。Koiはこの攻撃手法を「PhantomRaven」と名付けています。

続きを読む...

オープンアクセス誌Code4Lib Journal誌のIssue 61（2025年10月21日掲載）に、“Mitigating Aggressive Crawler Traffic in the Age of Generative AI: A Collaborative Approach from the University of North Carolina at Chapel Hill Libraries”と題する記事が掲載されています。著者は米・ノースカロライナ大学チャペルヒル校図書館のソフトウェア開発責任者（Head of Software Development）であるJason Casden氏等です。

この記事は、2024年春以降、同館が、クローラー（ボット）による攻撃的なトラフィックにどのように対処したかを紹介しています。悪意のあるリクエストの進化と、それらに対して同館が講じた対処を具体的に示した上で、教訓、今後の方向性、結論をまとめています。

続きを読む

日本時間の2025年10月20日に、Amazon Web Servicesの北バージニア(us-east-1)リージョンで大規模なサービス障害が発生し、世界中のウェブサービスやアプリが一時停止を余儀なくされました。Amazonはその後の調査で、AWSのデータベースサービスであるDynamoDBの自動DNS管理システムに設計上の欠陥があったためだということがわかりました。

続きを読む...

Microsoftのアプリ「SharePoint」の脆弱(ぜいじゃく)性が悪用され、アメリカの国家核安全保障局(NNSA)傘下のカンザスシティ国家安全保障キャンパス(KCNSC)が外部からのデータ侵害を受けたことが明らかになりました。

続きを読む...

ウェブサービスへのサインインで、メールアドレスとパスワードによる認証だけではセキュリティ的に不安が残るため、2段階認証や多要素認証を利用したサインインに設定している人は多いはず。しかし、SMSや認証アプリを使った認証はモバイル端末に強く依存するため、登録しているスマートフォンをなくしてしまったり壊してしまったりするとサインインができなくなってしまいます。

続きを読む...

日本時間の2025年10月20日(月)15時49分頃から、Amazon Web Services(AWS)のus-east(アメリカ東部)-1リージョンで大規模な障害が発生しました。この影響でAmazonのほか、クラウドベースのサーバーでデータをホストしている世界中のアプリやネットサービス、任天堂のNintendo Switch Onlineなどのオンラインゲームシステムなど、多数のサービスが停止を余儀なくされました。記事作成時点ではすでに復旧し、原因特定が進められています。

続きを読む...

中国・国家安全部が、アメリカの国家安全保障局(NSA)によって科学院傘下の研究機関・国家授時中心がおよそ3年にわたりハッキングを受けていたという声明をSNS・微博(WeChat)で発表しました。国家安全部によると証拠があるとのことですが、声明では公開されていません。

続きを読む...

Androidは公式アプリストアの「Google Play」から以外でも自由にアプリをインストールする「サイドローディング」が可能ですが、サイドローディングしたアプリから検出されるマルウェアの数はGoogle Playのアプリに比べて50倍以上多いとされているため、Googleはすべてのアプリに身元を確認する「開発者認証機能」を導入する計画を発表しました。開発者認証機能はユーザーを保護するためのものですが、技術系メディアや開発者コミュニティでは「消費者に不利な動き」であると強い反発が起きています。

続きを読む...

近年、リモートワークの増加に伴って、就職活動でも直接会社を訪問しない「オンライン面接」がより一般的な手段になっています。同時に、オンライン面接を装ったサイバー攻撃も増加しており、実際にワナにハマりかけたデビッド・ドッダ氏が、自身の体験談もとに警告を発しています。

続きを読む...

世界中で元首相や有力政治家、Netflixのプロデューサー、ノーベル平和賞候補、ジャーナリスト、シリコンバレーの大物などを追跡していた電話追跡ソフトウェア「Altamides」の知られざる実態について、非営利の報道団体であるLighthouse Reportsが綿密な調査と潜入取材で明らかにしました。

続きを読む...

ドイツに本社を置く世界有数のモバイルキャリアであるT-Mobileについてセキュリティ研究者が調査した結果、衛星通信を使ったネットワークが想定していたよりも脆弱(ぜいじゃく)だった可能性が指摘されています。研究者らは、完全に暗号化されていない衛星通信を家庭用のアンテナで傍受し、顧客の通話とテキストデータを取得することに成功したと報告しています。

続きを読む...

Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。日本時間2025年10月15日公開のWindows Updateでは、最大深刻度「緊急」の更新が7件、「重要」の更新が7件あります。また、2025年10月14日をもってWindows 10のサポートが終了したことが改めて通達されました。

続きを読む...

ボットネット「Aisuru」が、30Tbps(毎秒30兆ビット)という過去最高記録を更新する猛烈なDDoS攻撃を行いました。セキュリティ専門家のブライアン・クレブス氏によると、この攻撃力の大半は、AT&Tやコムキャスト、ベライゾンといったアメリカのISPがホストしている、推計30万台に上るハッキングされたIoT機器だそうです。

続きを読む...

Microsoftが提供するクラウドストレージサービスであるOneDriveに、AIを使って写真に写っている顔を認識・分類する機能が追加される予定であり、それを拒否できるチャンスは年に3回しかないことが、オンライン掲示板のSlashdotで報告されました。

続きを読む...

悪意のあるAndroidアプリが他のAndroidアプリや任意のウェブサイトに表示される情報を密かに漏えいすることを可能にする新しいサイバー攻撃が「Pixnapping」です。Pixnappingはカリフォルニア大学とワシントン大学、カーネギーメロン大学の研究者によって報告されています。

続きを読む...

MicrosoftはWindows 10のサポートを2025年10月14日に終了します。ところが、Windows 10のサポート終了直前に「Windows 11をインストールするためのツールが動作しなくなる」という問題が発生したことが発表されました。

続きを読む...

Microsoftが、Workdayやその他のクラウドベースのHRサービスで従業員のアカウントを乗っ取り、従業員の給与振込口座を攻撃者が管理する口座に勝手に変更してしまう「給与海賊(ペイロールパイレーツ)」と呼ばれるサイバー攻撃が活発化していると警告しました。

続きを読む...

Oracleが展開する業務効率化ツール「Oracle E-Business Suite(EBS)」にゼロデイ脆弱(ぜいじゃく)性が存在し、既に攻撃者によって悪用されていることが明らかになりました。Googleの脅威対策チームであるGoogle Threat Intelligence Groupは「攻撃者が企業から大量のデータを盗みだしたことが明らかになった」と報告しています。

続きを読む...

イギリスのAIセキュリティ研究所とアラン・チューリング研究所がAI企業のAnthropicと共同で行った研究により、わずか250件の悪意ある文書があれば、データポイズニングにより、モデルのサイズやトレーニングデータ量とは関係なく、大規模言語モデルに対してバックドアの脆弱(ぜいじゃく)性を生成できる可能性が明らかになりました。

続きを読む...