Android

• ZDI の研究者が Telegram に深刻な「ゼロクリック」脆弱性を発見し、9.8 の高評価 CVSS スコアを割り当てる中、Telegram は存在しないとして否定している。
• この欠陥は腐敗したスタicker を利用して実行され、ユーザーの同意なしに任意コードを実行し機密通信や監視を可能にする恐れがある。
• 完全な詳細は 7 月 26 日に公開予定だが、現時点でセキュリティ専門家には防御的な回避策としてメッセージ制限や Web クライアントの利用が提案されている。

通信アプリの零クリック攻撃が現実的である可能性が高いため、個人および企業の機密通信を保護する必要がある。

• Google の新しい Android sideloading 対策で、未検証開発者からのアプリインストールに 24 時間の待機期間が課される。
• この設定は一度設定すれば新規デバイスに持ち越され、ADB を除き毎回待機する必要がないと明言されている。
• マルウェア防止を目的とした「高摩擦」なインストール流程の導入により、セキュリティとユーザー体験が再考されている。

未検証アプリのインストールにおける 24 時間待機の強制化と新規端末への設定持ち越しという具体的なルール改訂により、サプライチェーン安全やセキュリティ監査の文脈で重要なインシデント対策が進んでいる。

• Google、UK FCA が Android の側載せやサイバーインシデント報告ルールを強化し、詐欺対策と透明性を高めた。
• 暗黒ウェブの巨大なネットワークが特定され、AI クラウドサービスや ransomware 組織の攻撃手法も明らかになった。
• 9 件の脆弱性が KVM デバイスに見つかり、新たなマルウェアはセキュリティソフトウェアを隠れ蓑にして弾道ミサイル文書を探求していた。

サイバー犯罪の組織的アプローチや AI/クラウドへの攻撃リスク、規制の強化が重要なインシデントレポートとなる。