【ITニュース解説】Security news weekly round-up - 5th September 2025

今回のセキュリティニュースのまとめは、2025年9月5日時点でのセキュリティに関する重要なトピックを取り上げている。具体的には、WhatsAppの脆弱性修正、Cloudflareによる大規模DDoS攻撃の防御、VirusTotalによる未知のフィッシングページの検出の3点だ。

まず、WhatsAppがiOSおよびmacOSデバイスを対象としたゼロクリックエクスプロイトの脆弱性を修正した件について解説する。この脆弱性は、ImageIOフレームワークにおける境界外書き込みの脆弱性であり、悪意のある画像を処理する際にメモリ破壊を引き起こす可能性があった。WhatsAppは、この脆弱性の影響を受けた一部のユーザーに対し、アプリ内で脅威通知を送信している。この事例から学べることは、ソフトウェアの脆弱性は常に存在し、それを悪用した攻撃がいつ発生してもおかしくないということだ。迅速なアップデートと、ベンダーからの情報提供が、被害を最小限に抑えるために不可欠となる。システムエンジニアは、常に最新のセキュリティ情報を把握し、自社のシステムや利用者のデバイスに適切な対策を講じる必要がある。

次に、Cloudflareが過去最大規模となる11.5TbpsのDDoS攻撃を防御した件について説明する。この攻撃はわずか35秒間という短い時間で終息したが、Cloudflareによる保護がなければ、甚大な被害が発生した可能性もある。この攻撃は、Cloudflareが5月中旬に防御した7.3TbpsのDDoS攻撃を大幅に上回る規模であり、わずか45秒間で約37.4Tbのトラフィック、つまり9,000本以上のHD映画に相当するデータが送り込まれた。DDoS攻撃は、ネットワーク帯域を大量のトラフィックで飽和させ、サービスを停止させる攻撃手法だ。近年、DDoS攻撃の規模はますます拡大しており、その脅威は増大している。システムエンジニアは、DDoS攻撃に対する防御策を講じる必要がある。例えば、トラフィックの監視、異常なトラフィックのフィルタリング、コンテンツデリバリーネットワーク（CDN）の利用などが考えられる。

最後に、VirusTotalが検出した44件の未知のSVGファイルを利用したフィッシングページについて解説する。これらのSVGファイルは、Base64エンコードされたフィッシングページを展開するために使用されていた。VirusTotalのようなプラットフォームは、既知のマルウェアだけでなく、未知の脅威の検出にも役立つ。この事例では、フィッシングWebページがソーシャルエンジニアリングの手法を用いて、追加のZIPアーカイブをサイレントにダウンロードさせる手口が使われている。現時点では、このZIPアーカイブに関する詳細な情報は不足している。また、最近では、正規ソフトウェアのクラック版やClickFixスタイルの手法を用いて、Apple macOSシステムをAtomic macOS Stealer（AMOS）と呼ばれる情報窃取マルウェアに感染させる事例が報告されている。これにより、企業はクレデンシャルスタッフィング、金銭的詐欺、その他の攻撃にさらされるリスクが高まる。システムエンジニアは、エンドポイントセキュリティ対策を強化し、従業員に対するセキュリティ教育を徹底する必要がある。

これらのセキュリティニュースは、サイバーセキュリティの脅威が常に進化しており、防御側も常に最新の情報に基づいて対策を講じる必要があることを示唆している。システムエンジニアを目指す読者は、これらの事例を通じて、セキュリティの重要性を理解し、日々の業務においてセキュリティを意識した開発や運用を心がける必要がある。