いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

【ITニュース解説】Security news weekly round-up - 19th September 2025

2025年09月20日に「Dev.to」が公開したITニュース「Security news weekly round-up - 19th September 2025」について初心者にもわかりやすく解説しています。

作成日: 更新日:

ITニュース概要

ChatGPTがサーバーサイド攻撃で情報を流出したが、既に修正済みだ。Ascensionは基本的なセキュリティ対策の不備が原因で大規模な情報漏洩を起こした。SystemBCマルウェアは感染したPCを不正な通信の踏み台に悪用する。また、ホテルはフィッシング詐欺から新たなマルウェアに感染する被害を受けた。いずれも、基本的なセキュリティ対策の徹底が重要だ。

出典: Security news weekly round-up - 19th September 2025 | Dev.to公開日:

ITニュース解説

現代のデジタル社会では、巧妙なサイバー攻撃が日々進化し、企業のシステムや個人の情報が常に危険にさらされている。攻撃者たちは、マルウェア、システムの脆弱性、そして不適切なセキュリティ対策といった様々な手段を駆使し、標的となるネットワークやシステムへの侵入を試みる。一度狙われた場合、執拗な攻撃者たちは、常に何らかの侵入経路を見つけ出すものだ。

最近では、大規模言語モデルとして知られるChatGPTも、その脅威の対象となった。この攻撃は「ShadowLeak」と名付けられ、ChatGPTの持つ「Deep Research(ディープリサーチ)」と呼ばれる、複雑なタスクに対して多段階の研究を行う能力が標的とされた。この攻撃の大きな特徴は、それが「サーバーサイド攻撃」であった点だ。一般的な「クライアントサイド攻撃」が、ユーザーのウェブブラウザやデバイス上で動作するスクリプトなどを悪用するのに対し、サーバーサイド攻撃は、ウェブサイトを動かしているサーバーそのものに対して行われる。ShadowLeakでは、攻撃者によって制御された特定のURLへのリクエストが送られる際、そのURLの「パラメータ」と呼ばれる部分に、盗み出したデータが埋め込まれて外部へ漏洩された。例えば、「hr-service.net/{パラメータ}」のようなURLがあったとして、この「{パラメータ}」の部分に、ユーザーに関する機密情報などが含まれて送信されることで、データが抜き取られてしまう仕組みである。幸いにも、この脆弱性はOpenAIによって迅速に修正され、現在では安全が確保されている。

また、医療サービスを提供するAscensionで発生した大規模な情報漏洩事件は、セキュリティ対策の基本的ながらも地道な取り組みがいかに重要であるかを浮き彫りにした。この事件では、ネットワークセグメンテーション(ネットワークを部署や機能ごとに細かく分割し、アクセス範囲を限定する)、最小権限の原則(システムやユーザーには、業務に必要な最小限の権限のみを与える)、知る必要性の原則(情報にアクセスできる人を、その情報を知る必要がある人に限定する)、そして資産の階層化(企業が持つデータやシステムを重要度に応じて分類し、重要度が高いものほど厳重に保護する)といった、一見すると地味だが極めて効果的なセキュリティ対策が欠けていたことが明らかになった。古い暗号方式が使われていたことも攻撃を助けた要因の一つではあったが、記事では過剰な権限付与がはるかに危険であったと指摘している。つまり、必要以上の権限をユーザーやシステムに与えてしまうと、万が一その部分が突破された際に、被害が甚大になる可能性が高いということだ。この事件には、大手IT企業のMicrosoftも、その過失が指摘されており、セキュリティ対策における多角的な視点と責任の重要性を示している。

さらに、古くから存在する「SystemBC」と呼ばれるマルウェアは、その活動を継続し、感染した仮想プライベートサーバー(VPS)を、攻撃者のための「プロキシハイウェイ」に変えている。VPSは、一台の物理サーバーを仮想的に分割し、それぞれが独立したサーバーのように使えるサービスだが、SystemBCに感染すると、これらのVPSは、他のウェブサイトにアクセスする際の「仲介役(プロキシ)」として悪用されてしまう。これにより、攻撃者は自身の身元を隠しながら、ウェブサイトの情報を大量に収集する「ウェブスクレイピング」、ウェブサイトのログイン情報を総当たりで試す「ブルートフォース攻撃」、あるいは感染したコンピューターを遠隔操作するための指令(コマンド&コントロール、C2)を隠蔽するといった、様々な悪質な活動を行うことが可能になる。SystemBCの利用者や運営者は、感染したボットのIPアドレスを隠すための難読化やローテーションといった対策をほとんど講じておらず、目立たないように運用する意識が低い。実際、「REM Proxy」という悪質なサービスは、SystemBCのボットの約80%を利用し、そのプロキシの品質に応じて顧客にサービスを提供している。これは、サイバー犯罪がサービス化され、利用され続けている実態を示している。

最後に、ホテル業界を狙った新たなRAT(Remote Access Trojan、遠隔操作ツール)の脅威も報じられている。この種の攻撃は以前から存在していたが、手口が進化している点が特徴だ。攻撃は、フィッシングメールから始まる。以前は「未払いの請求書」を装い、受信者に支払いを促す内容だったが、最近では「偽の求人応募」として、標的となるホテルに履歴書を送りつける手口に変化している。これらのメールには、悪意のあるリンクが含まれており、被害者がクリックすると、AIによって生成された悪質なスクリプトをホストするウェブサイトに誘導される。これらのスクリプトは、さらに別のスクリプトを読み込むように設計されており、最終的にコンピューターにマルウェアを感染させることで、攻撃者が遠隔でコンピューターを操作できるようにしてしまう。

これらのニュースは、システムエンジニアを目指す初心者にとって、現在のサイバーセキュリティの状況と、どのような脅威が存在し、どのような対策が必要とされているのかを学ぶ貴重な機会となるだろう。マルウェアの仕組み、サーバーサイド攻撃の概念、基本的なセキュリティ原則の重要性、そして攻撃手法の多様性と進化を理解することは、将来のシステム設計や運用において不可欠な知識となる。これらの知見を活かし、安全なシステム構築に貢献できるシステムエンジニアを目指してほしい。