【ITニュース解説】Security news weekly round-up - 12th September 2025

最新のITセキュリティに関する話題は、攻撃者と防御者の間で常に繰り広げられる「いたちごっこ」の状況を示している。システムエンジニアを目指す上では、こうした最新の脅威とそれに対抗する技術について理解を深めることが不可欠である。ここでは、最近報じられた四つの主要なセキュリティニュースを解説し、その技術的な側面や潜在的な影響について学ぶことができる。

まず、非常に人気のあるNPMパッケージが「サプライチェーン攻撃」によって汚染されたというニュースがあった。サプライチェーン攻撃とは、ソフトウェアの開発・配布過程に不正なコードを仕込むことで、そのソフトウェアを利用する多数のユーザーに被害を広げる攻撃手法である。今回のケースでは、攻撃の発端が「フィッシングメール」であったことが注目される。フィッシングメールは古くから存在する攻撃手法だが、2025年現在でもその有効性は衰えていないことが示された。メールの内容が巧妙であるため、開発者でも騙されてしまう事例が発生しているのだ。 この攻撃により、汚染されたパッケージがインストールされたシステムは「完全に侵害された」と見なされている。つまり、そのシステム内に保存されていたあらゆる秘密情報や認証キーは漏洩した可能性があり、別の安全なコンピューターから即座に変更（ローテーション）する必要がある。さらに、クラウド環境においても、この感染パッケージを使用してコードをビルドしたりデプロイしたりした場合、本番環境、ステージング環境、開発者のローカル環境など、広範なシステムが影響を受ける可能性がある。これは、開発者が普段何気なく利用するオープンソースのライブラリやツールにも、常にセキュリティ上の注意を払う必要があることを強く示している。

次に、「Cursor AIエディタ」に悪意のあるコードを自動実行させる脆弱性が見つかった件について解説する。この脆弱性は、統合開発環境（IDE）であるVSCodeでは無効化されている機能が、Cursor AIエディタでは有効になっていることが原因であった。この脆弱性を悪用することで、攻撃者は開発者が特別なコマンドを実行することなく、マルウェアをシステムに投下したり、開発環境を乗っ取ったり、認証情報やAPIトークンを盗んだりすることが可能になる。 研究者は、概念実証（PoC）として、プロジェクトフォルダをCursorで開くと現在のユーザー名を外部に送信するシェルコマンドを実行する「tasks.json」ファイルを作成し、この脆弱性の危険性を示した。これは、開発ツール自体がセキュリティリスクとなる可能性があり、利用するツールの設定や安全性を常に確認する必要があることを示唆している。しかし、記事によると、Cursor側はこの脆弱性の修正を行わない方針のようであるため、ユーザーは研究者によって提供された回避策を適用するなど、自己防衛策を講じる必要がある。

三つ目のニュースは、Appleの最新iPhoneに搭載された新しいセキュリティ機能「Memory Integrity Enforcement（MIE）」に関するものである。この機能は、メモリ破損バグを阻止することを目的としている。メモリ破損バグは、スパイウェア開発者や法執行機関が携帯電話のフォレンジック（鑑識）に使用するデバイスのメーカーが、システムを侵害するために最も頻繁に悪用する脆弱性の一つである。MIEは、チップメーカーであるArmが開発した「Memory Tagging Extension（MTE）」という技術を基盤としている。Appleは過去5年間、Armと協力してこのメモリ安全性機能を「Enhanced Memory Tagging Extension（EMTE）」として拡張・改善してきた。 この技術は、システムのごく基本的な部分であるメモリの安全性を強化することで、根本的なレベルでのセキュリティ向上を目指している。これにより、将来的に発見されるであろう様々なメモリ関連の脆弱性に対する防御能力が高まることが期待される。しかし、どのようなセキュリティ機能も完全に安全であるとは限らず、いずれはこれを迂回する攻撃手法が登場する可能性も考慮しておく必要があるだろう。

最後に、新型ランサムウェア「HybridPetya」が「UEFIセキュアブート」をバイパスする「CVE-2024-7344」の脆弱性を悪用するというニュースである。UEFIセキュアブートとは、コンピューターが起動する際に、OSやブートローダーのデジタル署名を検証することで、不正なソフトウェアの実行を防ぐセキュリティ機能である。HybridPetyaは現時点では概念実証（PoC）のようだが、UEFIセキュアブートバイパスの脅威は現実のものになりつつある。 HybridPetyaは「ブートキット」と「インストーラー」の二つの主要なコンポーネントで構成される。ブートキットは、インストーラーによってデプロイされ、システムの起動時に設定を読み込んだり、暗号化の状態を確認したりする役割を担う。つまり、OSが起動するよりも前の非常に低いレベルでシステムを制御しようとするため、従来のセキュリティ対策では検出・対処が困難である。過去にも、BlackLotusやBootKitty、Hyper-V Backdoor PoCなど、UEFIセキュアブートをバイパスするブートキットがいくつか確認されており、この種の高度な攻撃が珍しいものではなくなってきていることを示している。このような攻撃は、システムの根幹を揺るがす可能性があり、より深いレベルでのセキュリティ対策が求められる。

これらのニュースは、サイバーセキュリティの脅威が多岐にわたり、進化し続けていることを明確に示している。システムエンジニアを目指す者として、フィッシングのような基本的な攻撃手法が依然として有効であること、開発ツールや普段利用するライブラリにも脆弱性が潜んでいること、そしてOS起動前のようなシステムの低レベルな部分が攻撃対象となる可能性があることなど、幅広い知識と常に最新の情報を学び続ける姿勢が重要である。そして、新しい防御技術が登場する一方で、それらを迂回する攻撃手法も常に生み出され、まさに「いたちごっこ」が続いていることを理解しておく必要がある。