詳細を読む
今週のセキュリティまとめでは、IoT機器の脆弱性から国家主導のサイバー攻撃まで幅広い脅威が報告されました。Metaは5月8日、Instagram DMのエンドツーエンド暗号化のサポートを打ち切りました。同社は2023年にMessengerで暗号化をデフォルト化し、Instagramでもオプトイン方式で導入していましたが、利用者が十分に集まらなかったとして撤回を決定。プライバシー専門家は、この判断が世界的な暗号化推進の流れに悪影響を与えると強く懸念しています。
Yarbo社の約5,000ドルのロボット芝刈り機に複数の深刻な脆弱性が見つかりました。ハッカーが遠隔操作やカメラ映像の閲覧、所有者のWi-Fiパスワードや自宅位置情報の抽出が可能な状態だったのです。セキュリティ研究者がThe Verge記者とともに、乗っ取ったロボットで記者をひきそうになる実演を行い、問題の深刻さを示しています。
国際報道機関のコンソーシアムが、ロシアGRU軍事情報機関のハッカー養成拠点を暴きました。バウマン・モスクワ国立工科大学内の「第4部門」がハッキング技術を教え、卒業生はFancy BearやSandwormといった悪名高いハッキンググループに加入しているとされます。流出した文書によれば、学生はペネトレーションテストなどの実践訓練を受けていました。
ポーランドの国内情報機関ABWは、昨年5つの町の水道施設がハッカーに侵入されていたと警告しました。一部では産業制御システムにまで到達しており、水道供給の継続に対する「直接的リスク」があったとしています。ロシアによるサイバー偵察活動の一環である可能性が示唆されています。
このほか、教育テック企業Instructureへのランサムウェア攻撃でCanvasが一時停止し、期末試験を控えた多数の学生に影響が出ました。またバイブコーディングで作成された数千のアプリがインターネット上に無防備なまま公開され、企業や個人の機密データが露出していたことも明らかになっています。