ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- 攻撃、脅威
- 脆弱性
- CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+2+1+1+1 個の脆弱性を追加
- Microsoft が 2025年 12月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
- Google が Chrome のゼロデイ脆弱性を修正
- MITRE が 2025年の "CWE Top 25 Most Dangerous Software Weaknesses" を公開
- Apple が macOS Tahoe 26.2, macOS Sequoia 15.7.3, macOS Sonoma 14.8.3, iOS 26.2 / iPadOS 26.2, iOS 18.7.3 / iPadOS 18.7.3, tvOS 26.2, watchOS 26.2, visionOS 26.2 をリリース
- その他
事件、事故
「LINE公式アカウント」において一部の情報の誤表示による情報漏洩
(12/9) 「LINE公式アカウント」誤表示による情報漏えいのお知らせとお詫び|LINEヤフー株式会社
本事象は、当社が利用している外部CDNサービス※1の仕様と当社のデータ処理方式の違いにより、特定の条件下でのみ発生しました。外部CDNサービス提供会社による修正が完了※2し、ゼロデイ攻撃※3の懸念が解消されたため、このたび当社にて公表しました。
(12/2) CVE-2025-66373: HTTP Request Smuggling Due to Invalid Chunked Body Size | Akamai
英国政府がサイバー攻撃に関与した中国企業 2社に対する制裁
(12/10) 木原官房長官、「サイバー攻撃に関与」と中国企業2社を制裁対象とした英国政府の「支持」表明 : 読売新聞
米政府がロシア政府が支持するハクティビストグループによる攻撃に関与したウクライナ人を起訴
米政府が外国人観光客に対して最大 5年分の SNS 利用情報などの提出を義務付ける規制案を公表
(12/11) 米国、観光客のSNS情報提出義務付けへ 「ESTA」日本人も対象 - 日本経済新聞
(12/12) 米ビザ免除制度のSNS情報提出義務付け案、観光客や業界団体が警戒 | ロイター
オーストラリアで 16歳未満の SNS 利用を禁止する法律が施行
(12/10) Social media age restrictions | eSafety Commissioner
From 10 December 2025, age-restricted social media platforms will have to take reasonable steps to prevent Australians under the age of 16 from creating or keeping an account.
(12/10) 子どものSNS利用禁止法、オーストラリアで施行 世界中が注目 - CNN.co.jp
(12/10) オーストラリア、16歳未満の「SNS利用禁止法」施行…いじめ・性犯罪・有害投稿の閲覧など防ぐ狙い : 読売新聞
(12/10) Age Verification and Age Gating: Resource Hub | Electronic Frontier Foundation
イギリスのデータ保護機関 (ICO) がパスワードマネージャの LastPass に対して £1.2M の罰金を科すと発表
We have fined password manager provider LastPass UK Ltd £1.2 million following a 2022 data breach that compromised the personal information of up to 1.6 million of its UK users.
攻撃、脅威
米財務省の FinCEN が 2022年から 2024年にかけてのランサムウェア事件に関する報告書を公開
(12/4) FinCEN Issues Financial Trend Analysis on Ransomware | FinCEN.gov
Today, the U.S. Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) is issuing a Financial Trend Analysis on ransomware incidents in Bank Secrecy Act (BSA) data between 2022 and 2024, which totaled more than $2.1 billion in ransomware payments.
macOS 版の情報窃取型マルウェア AMOS の攻撃活動について複数のベンダーが報告
(12/8) New AMOS Infection Vector Highlights Risks around AI Adoption
(12/9) The AMOS infostealer is piggybacking ChatGPT’s chat-sharing feature | Kaspersky official blog
(12/9) AI-Poisoning & AMOS Stealer: How Trust Became the Biggest Mac Threat | Huntress
CISA や FBI などが共同で、親ロシアのハクティビストによる重要インフラなどへの攻撃活動に関する注意喚起
(12/9) Opportunistic Pro-Russia Hacktivists Attack US and Global Critical Infrastructure | CISA
脆弱性
CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+2+1+1+1 個の脆弱性を追加
(12/8) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2022-37055 D-Link Routers Buffer Overflow Vulnerability
- CVE-2025-66644 Array Networks ArrayOS AG OS Command Injection Vulnerability
(12/9) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2025-6218 RARLAB WinRAR Path Traversal Vulnerability
- CVE-2025-62221 Microsoft Windows Use After Free Vulnerability
(12/11) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-58360 OSGeo GeoServer Improper Restriction of XML External Entity Reference Vulnerability
(12/12) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2018-4063 Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type Vulnerability
(12/12) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-14174 Google Chromium Out-of-Bounds Memory Access Vulnerability
Microsoft が 2025年 12月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
(12/9) 2025 年 12 月のセキュリティ更新プログラム (月例)
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
(12/9) PowerShell 5.1: Preventing script execution from web content - Microsoft Support
(12/9) Zero Day Initiative — The December 2025 Security Update Review
2025 年 12 月の月例セキュリティ更新プログラムを適用後、Windows の PowerShell では Invoke-WebRequest 実行時に警告が表示されるように動作変更しています。
— Yurika (@EurekaBerry) December 10, 2025
PowerShell での自動処理などを実施している企業環境は、警告による動作変更にご注意ください
詳細:https://t.co/0VgosVPpaq https://t.co/kWCc8fg6wb
Google が Chrome のゼロデイ脆弱性を修正
(12/10) Chrome Releases: Stable Channel Update for Desktop
Google is aware that an exploit for CVE-2025-14174 exists in the wild.
MITRE が 2025年の "CWE Top 25 Most Dangerous Software Weaknesses" を公開
(12/11) 2025 CWE Top 25 Most Dangerous Software Weaknesses | CISA
(12/11) CWE - CWE Top 25 Most Dangerous Software Weaknesses
Apple が macOS Tahoe 26.2, macOS Sequoia 15.7.3, macOS Sonoma 14.8.3, iOS 26.2 / iPadOS 26.2, iOS 18.7.3 / iPadOS 18.7.3, tvOS 26.2, watchOS 26.2, visionOS 26.2 をリリース
(12/12) Apple security releases - Apple Support
その他
日本サイバーセキュリティ産業振興コミュニティ (NCPC) が設立
(12/9) 日本サイバーセキュリティ産業振興コミュニティ(NCPC)設立のお知らせ | 一般社団法人ソフトウェア協会のプレスリリース
日本のセキュリティ産業振興と経済安全保障を強化し、セキュリティからデジタル国家として再興を目指すことを目的として、日本のセキュリティ製品・サービスを開発・支える企業が連携する「日本サイバーセキュリティ産業振興コミュニティ(Nippon Cybersecurity Promotion Community/略称:NCPC)」を、2025年12月9日に新たに設立いたしました。
日本サイバー犯罪対策センター (JC3) がポッドキャストの配信を開始
(12/9) JC3ポッドキャストの配信について | 日本サイバー犯罪対策センター
ランサムウェアの脅威に最前線で立ち向かう専門家たちとの対話を通じて、サイバーセキュリティ対策を考えていく「JC3ポッドキャスト ランサムウェア・ダイアログ」を2025年12月8日より配信開始いたしました。
NICT が 2025年第 3 四半期の NICTER観測統計を公開
(12/11) NICTER観測統計 - 2025年7月~9月 - NICTER Blog
(宣伝) セミナーに登壇します!
TECH+ セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する「サイバーレジリエンス」のすすめ | マイナビニュース
【まだ間に合います!!】ついに来週開催🌟
— 【公式】TECH+(セミナー情報) (@itsearch_mynavi) December 12, 2025
▼お申込はこちらからhttps://t.co/ndYU2n6CoV
DAY1 12.15 (月) 「検知・予防」
🔊 辻 伸弘 氏 @ntsuji
🔊 名古屋工業大学 佐々木 弘志 氏
DAY2 12.16 (火) 「対応・回復」
🔊 根岸 征史 氏 @MasafumiNegishi
🔊 アクセンチュア 藤井 大翼 氏 pic.twitter.com/BuTWvOZny9
