1月28日:サイバーセキュリティ関連ニュース
Apple、2025年1件目のゼロデイを修正 攻撃で悪用されている恐れ:CVE-2025-24085
SecurityAffairs – January 27, 2025
Appleがセキュリティアップデートをリリースし、iPhoneユーザーを狙った攻撃で悪用されている恐れのあるゼロデイ脆弱性CVE-2025-24085に対処。同社がゼロデイを修正するのは、これが今年1件目となる。
CVE-2025-24085は、 Core Mediaフレームワークに影響を与える権限昇格の脆弱性。使用済みメモリ開封の問題に起因するもので、「悪意あるアプリケーションによる権限の昇格が可能な場合がある」と説明されている。また、公式アドバイザリには、「Appleは、この問題がiOS 17.2より前のiOSバージョンに対する攻撃で悪用されている恐れがあるとの報告を認識しています」との記載がある。ただ、攻撃の詳細については共有されていない。
このゼロデイはiOSのほか、iPadOSやmacOSなどの一部バージョンにも影響を与えるもので、以下のリリースで修正されている。
- iOS 18.3
- iPadOS 18.3
- macOS Sequoia 15.3
- watchOS 11.3
- visionOS 2.3
- tvOS 18.3
DeepSeek、サイバー攻撃により新規アカウントの登録を制限
The Register – Mon 27 Jan 2025
中国のAIスタートアップDeepSeekが、「大規模な悪意ある攻撃」と説明されるインシデントの影響により、Webインターフェースへの新規サインアップを制限する旨を発表。既存ユーザーのログインは通常通りに可能だという。同社のステータスページには、インシデントの調査は27日22:33(日本時間)より開始され、28日午前1:06の時点で調査が継続中であることが記されている。
DeepSeekは最近、「V3」や「R1」モデルの発表によりAI業界に衝撃を与えた中国企業。iOS向けアプリ(DeepSeek – AI Assistant)に関しては、AppleのApp Store(米国版)の無料ダウンロードランキングでOpenAIのChatGPTを抜いて1位になるなど、急成長を遂げている中でのサイバー攻撃被害となった。
その後、日本時間で28日の午前3:25までには、少なくともGoogleアカウントを使ったサインアップは可能になったものとみられる。