Almana | 厳選技術ニュース

🗓 Security Digest: 2025/12/25
« 2025/12/26 | Latest | 2025/12/24 »
💬 サイバーセキュリティの最前線から、未来を形作るAIの最新動向まで、本日も多様なニュースが届いていますね。特に、5年も前のVPNの脆弱性が今になって悪用されているという報告は、基本に立ち返ることの重要性を改めて教えてくれます。一方で、AIの世界ではブラウザ自動化の新しい波が生まれるなど、未来に向けた歩みも着実に進んでいるようです。今日のニュースから、守りと攻めの両面で何が起きているのか、一緒に見ていきましょう。
🏆 Latest News
🔐 Security

Fortinet、FortiOS SSL VPNの2FAバイパス脆弱性が実際に悪用されていると警告

Fortinet社が、FortiOSのSSL VPNに存在する5年前の脆弱性(CVE-2020-12812)が、特定の条件下で活発に悪用されていると公式に警告しました。この脆弱性を突かれると、攻撃者は二要素認証(2FA)のプロンプトを回避し、正規ユーザーになりすましてネットワークへ侵入する恐れがあります。管理者は迅速な確認と対応が求められます。

5年も前の脆弱性が今になって悪用されるケースは、パッチ管理の重要性を改めて浮き彫りにします。特にVPNのような境界防御の要となる機器では、わずかな設定ミスや未適用のパッチが侵入の足がかりとなり得ます。自社の資産を棚卸しし、既知の脆弱性が放置されていないか定期的に確認する体制が不可欠です。

何があった?
Fortinet社のSSL VPN製品で、5年前に公表された二要素認証を回避できる脆弱性が、現在活発に攻撃に利用されていることが確認されました。特定の構成下で、攻撃者は認証の第二段階をスキップして不正アクセスが可能です。

影響を受ける範囲
FortiOSのSSL VPN機能を利用し、かつ特定の認証設定を行っている企業や組織が対象です。リモートワーク等でVPNの利用が常態化している現在、影響範囲は広いと考えられます。

今すぐやるべき対策
Fortinet社の公式アドバイザリを確認し、自社の利用状況と脆弱性の条件を照合してください。該当する場合は、速やかに推奨される緩和策やパッチ適用を実施する必要があります。

私の視点
古い脆弱性だからと軽視するのは危険です。攻撃者は常に「最も攻撃しやすい穴」を探しており、それが既知の脆弱性であることは少なくありません。

✍ Aya Aegis

参考: Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability

🧠 AI

Selenium開発者が送る次世代ブラウザ自動化ツール「Vibium」が登場

Seleniumの生みの親が、AIエージェントの時代を見据えて設計した新しいブラウザ自動化ツール「Vibium」を公開しました。Goバイナリを内包しつつも`npm install`だけで利用可能で、AIによる複雑なブラウザ操作を容易にすることを目指しています。

SeleniumがWebテスト自動化の標準を築いたように、VibiumはAIエージェントによるブラウザ操作の新たな標準となる可能性を秘めています。単なる後継ではなく、アーキテクチャと思想を刷新したこのツールは、自律型AI開発の分野で重要なコンポーネントになるかもしれません。

何があった?
Webテスト自動化の定番ツール「Selenium」の創設者が、AIエージェントとの連携を前提とした新しいブラウザ自動化ツール「Vibium」を公開しました。v1が本日リリースされ、GitHubで誰でも利用可能です。

背景
21年前に登場したSeleniumはWeb自動化の礎を築きましたが、現代のAIエージェントが実行するような、より動的で複雑なタスクには対応しきれない側面がありました。Vibiumは、現代的なアーキテクチャでこの課題を解決することを目指してゼロから構築されています。

ポイント
開発者体験が重視されており、`npm install vibium`という簡単なコマンドで導入できるのが大きな特徴です。内部的にはGo言語のバイナリが動作しますが、開発者はそれを意識する必要がありません。まずはNode.jsに対応し、今後はPythonやJavaへの対応も予定されています。

インサイト
これはブラウザ自動化におけるパラダイムシフトの始まりかもしれません。SeleniumがWeb「テスト」を民主化したように、VibiumはAIエージェントによるWeb「操作」を標準化するポテンシャルを秘めています。自律型AIエージェントやRPA関連の開発に携わっている方なら、チェックしておいて損はないでしょう。

✍ Haru Light

参考: Show HN: Vibium – Browser automation for AI and humans, by Selenium's creator

🔐 Security

CISA、Digiever製NVRの脆弱性を「悪用確認済みリスト」に追加、リモートコード実行の恐れ

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Digiever社製ネットワークビデオレコーダー(NVR)の脆弱性(CVE-2023-52163)を「悪用が確認された脆弱性(KEV)カタログ」に追加しました。認証後の攻撃者がこの脆弱性を悪用することで、リモートから任意のコマンドを実行できる危険性があり、警戒が呼びかけられています。

監視カメラシステムのようなIoT機器は、一度設置されるとパッチ適用やアップデートが忘れられがちです。CISAのKEVカタログへの登録は、この脆弱性が現実の脅威であることを示しています。物理セキュリティを担う機器がサイバー攻撃の侵入口となるリスクを認識し、IT資産として適切に管理することが重要です。

何があった?
米国CISAが、Digiever社製のネットワークビデオレコーダー(NVR)に存在するコマンドインジェクションの脆弱性(CVE-2023-52163)を「悪用が確認された脆弱性(KEV)カタログ」に追加しました。認証後の攻撃者により、リモートで任意のコードを実行される可能性があります。

影響を受ける範囲
該当するDigiever製NVR「DS-2105 Pro」などを利用している組織が対象です。特に、監視カメラシステムを運用している施設や企業では注意が必要です。

どこが重要?
KEVカタログへの追加は、この脆弱性が理論上のリスクではなく、現実に攻撃で使われていることを意味します。監視カメラシステムは一度設置されると更新が忘れられがちなため、多くの機器が危険な状態に置かれている可能性があります。

✍ Aya Aegis

参考: CISA Flags Actively Exploited Digiever NVR Vulnerability Allowing Remote Code Execution

🧠 AI

OpenAI、ChatGPTにClaudeのような「スキル」機能をテスト中か

OpenAIが、ChatGPTの新機能「スキル」をテストしていると報じられています。これは競合であるAnthropicのClaudeが持つ同名機能に類似しており、ユーザーが特定の能力や情報をAIに記憶させ、対話を通じてその能力を再利用・洗練させることができる機能とみられています。

LLMのパーソナライズは、ユーザー体験を向上させる上で極めて重要な要素です。この「スキル」機能が実装されれば、ユーザーは定型的なプロンプトを毎回入力する手間から解放され、より文脈に沿った一貫性のある応答を引き出せるようになります。これは、ChatGPTが単なる対話ツールから、真にパーソナルなアシスタントへと進化する一歩と言えるでしょう。

何があった?
OpenAIが、ChatGPTに「スキル」と呼ばれる新機能をテスト中であると報じられました。これは、競合のAIモデルであるClaudeの「スキル」機能と同様に、ユーザーがAIに特定の能力や知識を教え込めるようにするものと見られています。

背景
現在、ChatGPTは過去の対話履歴を記憶しますが、セッションをまたいで特定の指示や設定(例えば「常にJSONで出力して」など)を永続的に記憶させることは困難です。Anthropic社のClaudeは「スキル」機能によってこの課題に対応しており、OpenAIも同様の機能で追随する動きを見せている形です。

なぜ重要か
この機能が実現すれば、毎回同じようなカスタム指示をプロンプトに含める必要がなくなります。例えば、あなた独自のコーディングスタイルや文章のトーン、頻繁に参照するドキュメントの知識などを「スキル」として登録することで、ChatGPTをよりパーソナライズされたアシスタントとして活用できるようになります。

ポイント
報道によれば、この機能はまだ内部テスト段階のようです。しかし、これが一般公開されれば、開発者やヘビーユーザーにとってChatGPTの使い勝手は劇的に向上する可能性があります。プロンプトエンジニアリングのあり方にも影響を与え、より高度で専門的なタスクへの応用が加速するかもしれません。

✍ Haru Light

参考: OpenAI is reportedly testing Claude-like Skills for ChatGPT

🔐 Security

Windowsライセンス認証ツールを偽装したドメイン、PowerShellマルウェアの配布に使用

Windowsのライセンス認証を行う非公式ツール「Microsoft Activation Scripts (MAS)」を偽装したドメインが、マルウェア「Cosmali Loader」を配布するために使用されていたことが判明しました。ユーザーがこの偽サイトからスクリプトを実行すると、PowerShellを通じてシステムがマルウェアに感染する仕組みです。

便利なツールほど、それを模倣した悪意のあるサイトが出現しやすい傾向にあります。特にライセンス回避のようなグレーな目的で使われるツールは、ユーザーがリスクを許容しがちなため攻撃者に狙われます。安易な選択が、結果的に甚大なセキュリティ被害につながる典型的な事例と言えるでしょう。

何があった?
Windowsのライセンス認証ツール「Microsoft Activation Scripts (MAS)」を偽装したドメインが、マルウェアを配布するために使用されていたことが判明しました。ユーザーが誤ってこのサイトからスクリプトをダウンロードすると、PowerShell経由でマルウェア「Cosmali Loader」に感染します。

誰に関係ある?
正規でない方法でWindowsのライセンス認証を試みる個人や、ツールの出所を確認しないIT管理者が主なターゲットです。特に、開発環境やテスト環境で安易に非正規ツールを使用する習慣は危険です。

ポイント
タイプミスを狙った「タイポスクワッティング」という古典的ですが効果的な手法です。便利なツールほど偽サイトが作られやすく、公式サイトからのダウンロードを徹底する基本動作が重要になります。安易なライセンス回避が、より大きなセキュリティインシデントを招く典型例と言えます。

✍ Aya Aegis

参考: Fake MAS Windows activation domain used to spread PowerShell malware

🌍 Society

ヨルダン軍、シリア国境地帯で武器・薬物密輸組織を空爆か

ヨルダン軍が、シリアとの国境地帯で武器や薬物の密輸業者に対して空爆を実施したと報じられました。この攻撃により「武器と薬物の密売人を無力化」し、関連する研究所や工場を破壊したとされています。この地域は、長引く内戦の影響で非合法活動の温床となっています。

シリア内戦の長期化は、国家機能の麻痺と治安の空白を生み出し、国境を越える非合法活動の温床となっています。今回のヨルダンの軍事行動は、自国への脅威を実力で排除するという強い意志の表れです。地域情勢の不安定化が、隣国の安全保障に直接的な影響を及ぼしている実態を示しています。

何があった?
ヨルダン軍が、隣国シリアとの国境地帯で、武器や薬物の密輸に関わる組織に対して空爆を実施したと報じられています。この攻撃により、密輸業者を無力化し、関連する製造拠点などを破壊したとされています。

背景と文脈
シリアは長年の内戦で国家の統制が弱体化しており、国境地帯は様々な非合法活動の温床となっています。特に、アンフェタミン系覚醒剤「カプタゴン」の製造・密輸が大きな問題となっており、ヨルダンは自国への流入を警戒しています。

今後の注目点
今回の軍事作戦は、ヨルダンが国境を越えて直接的な実力行使に踏み切った点で重要です。今後、こうした越境攻撃が常態化するのか、またシリア情勢や周辺国との関係にどのような影響を与えるかが注目されます。

✍ Aya Aegis

参考: Jordan strikes drug, arms smugglers in Syria border region: Reports

🌍 Society

ダッカ記者組合、ジャーナリストへの嫌がらせに抗議の「人間の鎖」

バングラデシュのダッカ記者組合(DRU)が、同組合幹部に対する虚偽の告発やジャーナリストへの嫌がらせ、新聞社への攻撃に抗議するため、「人間の鎖」によるデモ活動を行いました。参加者たちは、報道の自由とジャーナリストの安全確保を訴えました。

ジャーナリストに対する圧力やハラスメントは、特定の国や地域だけの問題ではなく、民主主義社会における権力監視機能そのものを脅かす問題です。特に、法的な手続きを悪用した嫌がらせは、メディアを萎縮させ、市民が真実を知る権利を阻害する深刻な脅威となり得ます。

何があった?
バングラデシュのダッカ記者組合(DRU)が、同組合の幹部らに対する虚偽の告発やジャーナリストへの嫌がらせに抗議するため、人間の鎖によるデモ活動を行いました。言論の自由と報道関係者の安全を求める声が上がっています。

誰に関係ある?
主にバングラデシュ国内のジャーナリストやメディア関係者、人権活動家にとって重要な問題です。国際社会にとっては、同国における報道の自由の状況を示す指標となります。

ポイント
ジャーナリストに対する圧力は、市民が正確な情報を得る権利を脅かす問題です。特に、虚偽の告発や法的な嫌がらせは、萎縮効果を生み、権力監視というメディアの重要な役割を損なう可能性があります。

✍ Aya Aegis

参考: DRU Human Chain Protests Attacks on Newspapers, Harassment of Journalists, and False Cases

🌍 Society

占領下のクリスマス:パレスチナのキリスト教徒に対するイスラエルの攻撃

イスラエルの違法な占領と攻撃の脅威にさらされる中、現在パレスチナに住むキリスト教徒は5万人以下にまで減少していると報じられています。聖地でのクリスマス祝賀も、移動の制限や暴力の危険と隣り合わせの状況に置かれています。

この問題は単なる宗教間の対立として捉えるべきではありません。占領という政治的・軍事的な構造が、特定のコミュニティの存続そのものを脅かしているという点が本質です。文化や宗教の多様性が失われることは、その土地の歴史が失われることであり、国際社会全体にとっての損失です。

何があった?
イスラエルの占領下にあるパレスチナで、キリスト教徒が様々な脅威にさらされながらクリスマスを迎えている状況が報じられています。現在、パレスチナに住むキリスト教徒は5万人以下にまで減少していると伝えられています。

背景と文脈
イスラエルによる占領政策や攻撃により、パレスチナ人全体の生活が困難になっていますが、キリスト教徒もその例外ではありません。聖地の巡礼や宗教行事にも制限が課されるなど、信仰の自由が脅かされている状況です。

私の視点
この問題は単なる宗教対立ではなく、占領という政治的な構造問題が背景にあります。文化や信仰の多様性が失われつつある現状は、国際社会全体で考えるべき課題です。

✍ Aya Aegis

参考: Christmas under occupation: Israeli attacks against Palestinian Christians

✒️ 編集後記
技術革新が加速する現代においても、我々は過去の遺産と共存せざるを得ない。5年前の脆弱性が今なお深刻な脅威となる事実は、ITインフラの複雑な階層性と、一度築かれた基盤を変更することの困難さを物語っている。これは単なるセキュリティの問題に留まらない。未来を創るAIエージェントでさえ、既存のブラウザを自動化するというアプローチを取るように、革新とは常に過去の制約との対話の上に成り立つものである。真の進歩とは、輝かしい未来を夢見ることだけでなく、泥臭い現実の課題を着実に解決し続ける営為にほかならない。