皆さんこんにちは、霜月です(*゚▽゚*)
今月も個人的に気になったセキュリティニュースを、備忘のためにまとめていきたいと思います!よろしければどうぞ〜!
脆弱性
Cisco ASAのゼロデイの脆弱性
CVE-2025-20333およびCVE-2025-20362。
政府・公的機関
NCO、経産省、JPCERT/CC、IPAが脆弱性情報の取り扱いについて注意喚起
例のFeliCaの脆弱性騒動について、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応をするように注意喚起。発見された脆弱性情報が第3者に知られることのないよう、適切に管理されなければいけないという内容。
IPAが「情報セキュリティ白書2025」を公開
今年の分が出ました。2024年度のサイバーセキュリティ情勢として、各種攻撃の動向や生成AIの脅威の話、能動的サイバー防御や国家サイバー統括室設置の話など。
警察庁が「令和7年上半期のサイバー空間をめぐる脅威の情勢等」を公開
いつもの。あとで読む。
金融庁、財務省、日本銀行が「AIおよびサイバーセキュリティに関するステートメント」と公開
G7サイバー・エキスパート・グループから「金融機関と当局はAIとサイバーのリスクを把握し、金融システムを健全かつ安全に維持するよう努めましょう」という内容。
NCOがサイバーセキュリティ推進専門家会議を開催
新たなサイバーセキュリティ戦略の方向性について検討。
総務省がAIセキュリティ分科会を開催
AIの脅威に対する技術的な対策について検討。
JASAが「セキュリティ監査自動化に向けた現状と可能性」を公開
セキュリティ対策も自動化できるものがあるのだから、監査も自動化できるのでは?という内容。すぐ自動化できそうなものや自動化が困難そうなものなど。
NISTが"Guidelines for Media Sanitization"の改訂版を公開
NIST SP800-88。適切な情報破棄と媒体サニタイズ方について。
脅威・攻撃者
LockBitがLockBit5.0にバージョンアップ
検知回避技術の向上や暗号化の高速化が確認されているとのこと。
検知回避手法"EDR-Freeze"の新Tool公開
Windowsの正規機能を悪用しセキュリティ製品の検知を回避する手法。GitHub で公開されています。
BreachForumsの元管理人Pompompurinが懲役3年の再判決
コナー君、懲役3年になったそうです。(個人的にこの話は気になって追いかけてますw)
調査報告書・blog
Gartnerが「日本における2025年のセキュリティハイプサイクル」を公開
その他
MI6がダークウェブ上にスパイ募集ポータルを立ち上げ
気になる方はポータル覗いてみてください。
FFRIが2024年に公開されたセキュリティ関連文書まとめblogを公開
こういうの助かりますね。
こんな感じでしょうか?
今月は、脆弱性管理・報告の件がとても話題になりました。件の人が情報処理安全確保支援士だったとか。支援士に登録している人は「信用失墜行為の禁止」と「秘密保持」の義務があります。
プライベートではとても充実した1ヶ月を過ごしましたー!イベントで脅威インテルの登壇したり、仕事でも嬉しいことがあったり、満足度高めな9月でした♪( ´▽`)
今年もあと3ヶ月ですね。今年のやり残しがないよう、2025年の初めに立てた目標など振り返りながら、頑張っていきましょう!私もシナモロールちゃんに会いにピューロランドとやらに行かなくては!←
ではでは〜(^O^)ノシ
↓↓先月のセキュリティニュースまとめはこちら↓↓
