ChatGPTの脆弱性、米政府機関を狙った攻撃で悪用される（CVE-2024-27564）

3月19日：サイバーセキュリティ関連ニュース

ChatGPTの脆弱性、米政府機関を狙った攻撃で悪用される（CVE-2024-27564）

SecurityWeek – March 18, 2025

サイバーセキュリティ企業Veritiのレポートにより、ChatGPTにおけるサーバーサイドリクエストフォージェリ（SSRF）の脆弱性が攻撃に悪用されていることが判明した。

2023年9月に報告、1年前に公開されたこのバグはCVE-2024-27564として追跡され、深刻度は中程度と評価されている。この欠陥はpictureproxy.phpファイルに影響を与えるもので、認証なしで悪用される危険性があり、概念実証（PoC）のエクスプロイトコードも公開済み。攻撃者は細工したURLをurlパラメータに挿入し、アプリケーションに任意のリクエストを実行させることができる。

Veritiによると、少なくとも1組の脅威アクターがCVE-2024-27564のエクスプロイトを武器に加え、ネット上で脆弱なアプリケーションを探し始めているようだ。さらに同社は、1週間以内に1件のIPアドレスから1万回以上の攻撃試行を確認。標的となった組織の約3分の1は、保護ソリューションの設定ミスに起因する攻撃リスクにさらされている恐れがあると警告した。

主なターゲットは米国の金融機関と政府機関で、そのほかにもドイツ、タイ、インドネシア、コロンビア、英国の金融およびヘルスケア企業が狙われているという。

中国諜報機関が「Anonymous 64」の身元を公表

Dailyinfosec[.]net – March 18, 2025

中国国家安全部（MSS）は17日に声明を発表し、「台湾独立」勢力と連携する「Information, Communications and Electronic Force Command」のメンバーとされる4人の身元を明らかにした。

身元が公表されたのはNetwork Environment Research Center責任者のLin Yushu氏（1979年生）、グループリーダーのCai Jiehong氏（1993年生）、現センター職員のNian Xiaofan氏（1982年生）とWang Haoming氏（1990年生）で、MSSは各人の写真と身分証明書番号も公開した。

この4人が所属するInformation, Communications and Electronic Force Commandは2017年に台湾軍第4部門として設立され、2022年に同国防省直属の独立部隊となっている。MSSのデータによると、同部隊は分離主義勢力の手先として機能し、中国本土に対するサイバー攻撃を実行。目的を達成するためにハッカーや民間のサイバーセキュリティ企業を雇い、重要インフラ（水道、電力網、通信）へのハッキング、フィッシングメールの配布、インターネットプラットフォームへの侵入を目的とする認証情報の窃取、プロパガンダや偽情報の拡散などを行っていたようだ。

また、2023年以降は「Anonymous 64」などの偽名を使い、台湾当局の利益に基づく偽情報キャンペーンを展開。AntSword、IceScorpion、Metasploit、Quasarといったオープンソースツールを積極的に活用し、架空のプラットフォームを構築して偽の実績を誇示していたという。中国当局はサイバー空間が統制されていない領域ではないことを強調した上で、これらの人物に対して国家統一の阻止を目的とした活動をやめるよう通告した。