-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
7月12日〜14日:サイバーセキュリティ関連ニュース
マクドナルドのAIチャットボット採用サイトで応募情報6,400万件分が閲覧可能になっていた:脆弱なパスワード「123456」がきっかけで判明
BleepingComputer – July 11, 2025
米国マクドナルドの採用サイト「McHire」に存在していたIDORの脆弱性により、6,400万件分の応募情報が閲覧可能になっていたとの報道。この脆弱性を発見した研究者Ian Carroll氏とSam Curry氏は、ログイン名「123456」とパスワード「123456」というデフォルト認証情報で同サイトへログイン可能であったことも暴き出している。
McHireは、全米のマクドナルド各店舗の求人へ応募するためのプラットフォーム。Paradox.ai社開発のAIチャットボット「Olivia」を使用した同サイトでは、応募者がOliviaとのやり取りを通じてパーソナリティテストを受ける必要があるほか、名前、Eメールアドレス、電話番号、自宅住所、勤務可能日・時間などの情報を提出できるようになっている。
前述の研究者Ian Carroll氏とSam Curry氏は数時間のセキュリティレビューにおいて、フランチャイズ店舗のオーナーが応募状況を確認するためのMcHireの管理者インターフェースが、「123456」というログイン名およびパスワードによってログイン可能であることを発見。その後、採用プロセスがどのように進むのかを調べるためにこのテスト用フランチャイズ店舗へ求人応募を提出したという。
チャットボットとのやり取りをテストする中で、両研究者はHTTPリクエストが「lead_id」というパラメータを使ってAPIエンドポイント「/api/lead/cem-xhr」へ送られていたことに気づいた。このテストでの「lead_id」は「64,185,742」となっていたが、この値を「64,185,740」へ減らしてみたところ、McHireを通じて求人に応募した別の個人の応募情報を閲覧できたという。研究者らは、このIDOR(安全でない直接オブジェクト参照)の脆弱性により、当該パラメータの値を増減させることでマクドナルドの何らかの職に応募があった際にやり取りされたすべてのチャットの情報へアクセスできることを瞬時に理解し、6月30日にParadox.ai社と米マクドナルド社へこの問題を報告したとされる。
この脆弱性により閲覧可能状態になっていた応募情報の件数は6,400万件を超えており、これには以下のような個人情報などが含まれていたという。
- 名前、メールアドレス、電話番号、住所
- 応募ステータス、ステータスの変更履歴、応募者が入力した勤務可能シフトなどの情報
- 応募者向けUDPへユーザーとしてログインするための認証トークン
なお報告後すぐに、「123456」のデフォルト管理者認証情報は無効化され、IDORの脆弱性も修正されたとのこと。
Fortinet FortiWebの認証前RCEの脆弱性、PoCエクスプロイトがリリースされる:CVE-2025-25257
BleepingComputer – July 11, 2025
先週修正されたFortinet FortiWebにおける重大な脆弱性CVE-2025-25257のPoCエクスプロイトが、WatchTowr社および研究者「faulty *ptrrr」氏によってリリースされた。これらのエクスプロイトは、脆弱なサーバー上で認証前RCEを達成するために利用可能だという。
CVE-2025-25257は、WAF製品FortiWebに見つかったSQLインジェクションの脆弱性。認証されていない攻撃者が悪用に成功した場合、細工されたHTTPまたはHTTPSリクエストを通じて不正なSQLコードやコマンドを実行される恐れがあると説明されていたもので、7.6.4、7.4.8、7.2.11、7.0.11およびそれ以降のバージョンで修正されている。
今回公開されたPoCエクスプロイトは、同脆弱性の悪用によりリバースシェルまたはWebシェルを開くもの。研究者らは、脆弱性を通じてMySQLのクエリ「SELECT … INTO OUTFILE」を実行し、任意のファイルをデバイス上へ作成することにより、このSQLインジェクションをリモートコード実行へエスカレーションさせることに成功。具体的な悪用の流れは、Pythonの.pthファイルをサイトパッケージディレクトリへ書き出し、FortiWebの正規のPython CGI スクリプト(/cgi-bin/ml-draw.py)を使って同ファイル内の有害コードを実行させてRCEを達成するというもので、それぞれのブログ記事(WatchTowr、faulty *ptrrr)において詳細な解説が提供されている。
現時点までにCVE-2025-25257が実際の攻撃で悪用されている兆候は確認されていないというが、今回脆弱性の技術的詳細およびエクスプロイトがリリースされたことで悪用されるリスクは高まった恐れがあることから、管理者には優先的なパッチ適用が強く推奨される。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
