おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ
マイクロソフトのスマートデバイス向け認証アプリ「Microsoft Authenticator」に、ユーザーがサインインに用いるアクセストークンが漏洩する脆弱性が確認された。
同社は現地時間2026年5月14日、セキュリティアドバイザリを公開し、脆弱性「CVE-2026-41615」を明らかにした。
悪用には、正規のリクエストに見せかけてユーザーに操作させる必要があるが、ユーザーが誤認して承認すると、アプリが取得した業務アカウントのアクセストークンが、外部に送信されるおそれがある。また許可されるアクセス内容がユーザーに通知されないとしている。
MFAのAuthenticatorそのものに、こういった脆弱性があるとか、あまり考えてなかっただけに、深いなぁ…と思った。
サーバとかクライアントのOS、Adobeなどのメジャーなソフト、FWなどのNW機器の脆弱性とかは気にするけど、こんなツール系の脆弱性まで見ないとあかんのか…
👆はたぶん、スマホアプリまでの脆弱性管理はできないけど、こういった管理ツールも一般的に必要になってくるんだろうなぁ。
OpenAI、サプライチェーン攻撃で従業員2人の端末が侵害 macOSユーザーは6月12日までにアプリ更新を
米OpenAIは5月14日(現地時間)、最近発生したTanStackサプライチェーン攻撃で、従業員2人のデバイスが侵害されたと発表した。この攻撃は170以上のnpmパッケージおよび2つのPyPIパッケージに影響を与えたという。
macOS、Windows、iOS、Android向けのOpenAI製品で使用されているコード署名証明書が漏洩した可能性がある。OpenAIはこれらの証明書が悪意あるソフトウェアの署名に悪用されたという証拠は確認していないものの、予防措置として証明書のローテーションを実施している。
OpenAIですら、サプライチェーン攻撃を受けてしまう事実!!
と言っても、明示的な標的型というわけではなく、無差別系と言えばいいのかな(ミニ・シャイ・フルード攻撃というらしい)。
ミニ・シャイ・フルードは、プログラミングに使うライブラリに、悪意あるコードをこっそり混ぜる攻撃です。そのライブラリを使うと、パスワードや秘密のカギのような大事な情報が盗まれることがあります。さらに盗んだカギで、別のライブラリにも悪意あるコードを広げようとします。
Pythonの開発ライブラリ群の一部に悪意あるコードを仕込んだバージョンが公開され、それをOpenAIの技術者が掴んでしまった。というもの。
もちろん、無差別なのでOpenAI以外でもこの被害は確認されてる。
--
セキュリティニュースの選定には、こちらで作成したRSSを使っています。
良かったら使ってやってください。
宣伝
かーでぃらぼでは、書籍の執筆をしております。
今日は「SASEがわからなかったので本を書いてみた」のご紹介。
仕事でSASEを取り扱うようになったのですが、さっぱりわからなかったので調べつつ、SASEって何?VPNと何が違うの?という基本的なところを書いた本です。
ZscalerやPrisma、CATOさんなどの資料を見る前にコレを読んでおくと、それぞれの理解が深まりますので、是非🙌