「ディレクトリトラバーサル」関連の最新 ニュース・レビュー・解説 記事 まとめ

「Apache Log4j脆弱性」と肩を並べる：
全世界の組織の46％に影響を及ぼす“やばい脆弱性”とは――チェック・ポイント調査
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年12月の世界脅威インデックスを発表した。悪用された脆弱性のトップは「Apache Log4jのリモートコード実行」だった。（2024/1/18）

セキュリティニュースアラート：
サイバー攻撃はなぜ日本を狙うのか？　2023年第3四半期の調査データと原因予測を発表
サイバーセキュリティクラウドは2023年第3四半期のサイバー攻撃データを分析したレポートを発表した。オーストラリアからの攻撃が急増している。（2023/12/6）

2023年第2四半期Cloudflareアプリケーションセキュリティレポート：
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期（4〜6月）におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。（2023/9/2）

2023年4月の「世界脅威インデックス」を発表：
全世界の組織の48％が影響を受けた「ディレクトリトラバーサル脆弱性」とは　チェック・ポイント
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年4月のGlobal Threat Index（世界脅威インデックス）を発表した。それによると2023年4月に国内で発生した脅威ランキングのトップは「Emotet」だった。（2023/5/24）

古くて新しい「Python」の脆弱性【前編】
「15年前のPython脆弱性」がしぶとく残る“笑えない理由”
Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。（2023/1/25）

CISAが脆弱性カタログに9個の脆弱性を追加　Chrome、VMware製品などが対象に
CISAは「既知の悪用された脆弱性カタログ」に新たに9個の脆弱性を追加した。追加された脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。（2022/4/19）

「見えないWeb攻撃」──情報漏えい対策の盲点：
相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー　見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。（2021/10/1）

GW中に発見されたWordPressプラグインの脆弱性　アップデートは適用済み？
長期休暇中には、アップデートの適用を怠ってしまうこともある。2021年5月4日にWordPressのプラグイン「WordPress Download Manager」で2つの脆弱性が見つかった。修正版はリリース済みのため迅速にアップデートを適用してほしい。（2021/8/3）

CTF問題から学ぶセキュリティ基礎知識（1）：
CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した？」から学べる知識とは
情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか？」という問題について解説します。（2021/3/31）

API実装の落とし穴に要注意：
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。（2021/2/5）

PR：あなたのWebサービスは本当に安全？　手軽に使える脆弱性診断ツール「VAddy」でWebの健康診断
（2020/9/23）

Ciscoセキュリティ製品の脆弱性、悪用の動きに警戒を呼びかけ
「Adaptive Security Appliance （ASA）」「Firepower Threat Defense （FTD）」の脆弱性は、Ciscoが7月にセキュリティ情報を公開した時点で悪用が確認されていた。（2020/8/5）

F5の「BIG-IP」やCiscoのセキュリティ製品、脆弱性突く攻撃が相次ぎ発生
F5 Networksのトラフィック管理製品に存在する脆弱性の危険度は極めて高い。Ciscoのセキュリティアプライアンスに存在する脆弱性を悪用された場合、攻撃者にファイルを読まれる可能性がある。（2020/7/28）

法人向け「ウイルスバスター」の脆弱性を狙った攻撃　トレンドマイクロが修正プログラムの導入を呼びかけ
トレンドマイクロが、同社のセキュリティソフトの脆弱（ぜいじゃく）性を悪用した攻撃があったと発表し、最新の修正プログラムを適用するよう呼びかけた。（2019/9/10）

セキュリティ・アディッショナルタイム（32）：
深夜のXSS講座も？　サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。（2019/6/6）

de:code 2018：
自動車がネットにつながる「コネクテッドカー」の時代に必要なセキュリティの考え方
日本マイクロソフトが開催した技術イベント「de:code 2018」で、「コネクテッドカー」のセキュリティに関するセッションが行われた。登壇したのは、カーシステムのセキュリティに関わるソフト開発、製造、販売、コンサルタント業務を専門とするWHITE MOTIONのCEO、蔵本雄一氏だ。（2018/6/20）

CMSのセキュリティは脆弱性対策とログイン保護で：
PR：誰もが安心して利用できるレンタルサーバーを目指して　〜国内最大級のレンタルサーバーへの攻撃調査から見えてきた対策とは
レンタルサーバーを利用する誰もが必ずしも高いサイバーセキュリティ知識をもっているわけではない。セキュリティを意識せずに誰もが安心して利用できるレンタルサーバーは理想論なのだろうか？　理想的なセキュリティ対策に挑戦し続けるGMOペパボの担当者2人とジェイピー・セキュア担当者の鼎談（ていだん）から、Webセキュリティ対策のヒントを探る。（2018/6/13）

Symantec、エンタープライズ向け管理コンソールの脆弱性を修正
「Symantec Management Console」に存在する危険度「高」の脆弱性が修正された。（2017/11/22）

まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認　メーカーは「食器洗い機での不具合は未発見」と否定
（追記）「業務用全自動食洗器」のセキュリティ問題が報じられていました。（2017/4/10）

セキュリティ・キャンプ九州 in 福岡 2016レポート（後編）：
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。（2016/10/21）

システムインテグレーションとセキュリティ（3）：
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか？
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。（2016/4/21）

「＠ITセキュリティセミナー（東京）」レポート2016：
すご腕バグハンターたちが報奨金制度運営者と本音トーク
＠IT編集部は2016年2月26日、東京青山にて「＠ITセキュリティセミナー」を開催した。本稿ではそのダイジェスト（後編）をお届けする。（2016/3/24）

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。（2015/12/8）

IT用語解説系マンガ：食べ超（78）：
イカでも読めるJSON
異なる生物間でのデータのやり取りができるのは、DNAとJSONだけ！ ※スマホでご覧の方は、「スマホ用」の画像「1」をタップして、右から左に順にスワイプしてください。（2015/9/2）

セキュリティ・アディッショナルタイム（3）：
絶対に負けられない戦いで負けない人材を育成するさまざまな取り組み
アスリートの育成には、トップレベルの選手の育成と裾野の拡大の両方が必要だ。セキュリティ人材の育成にも同じことが言えるだろう。今、国内では人材育成を目的に、それぞれの問題意識に沿った特色を持つさまざまな取り組みが進んでいる。（2015/8/26）

＠IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート（2）：
インターポールも動く――「僕らの眠り」を妨げるものを駆逐せよ！
＠IT主催のセキュリティセミナーリポート第2弾は、＠IT筆者陣が登場したパネルディスカッションやインターポールの取り組み、そしてスポンサーセッションの様子をお送りしよう。（2015/3/27）

Adobe、Webアプリケーションの脆弱性情報の報告を要請
「HackerOne」サイト上に開設されたAdobeの脆弱性情報公開プログラムのページでは、研究者などが同社のオンラインサービスに存在するWebアプリケーションの脆弱性を非公開で報告できる。（2015/3/6）

Microsoft、8件の月例セキュリティ情報を公開
8件の内訳は「緊急」が1件、「重要」が7件。Googleがパッチ公開を待たずに情報を公開していた2件の脆弱性も修正された。（2015/1/14）

ITmedia エンタープライズ ソリューションセミナー レポート：
組織の内外で高まるセキュリティのリスクと脅威を乗り切る方法とは？
標的型攻撃や内部不正など企業を取り巻くセキュリティの脅威が一段と激しさを増している。対策が難しくなる中で有効なアプローチをどうとるべきか――ITmedia エンタープライズ編集部主催セミナーでユーザー企業の取り組みや最新の動向などが解説された。（2015/1/9）

脆弱性の改修、必要性が分かっていても先送り？：
シマンテックがWeb攻撃の傾向を解説、最多の攻撃はSQLインジェクション
誰もが知る「SQLインジェクション」攻撃、なのに対策は進んでいない――シマンテックが「分かっているけど対策できない」現状を解説した。（2014/9/29）

WAFで見つけたWebサイトへの攻撃状況は？
2013年後半からWebサイトの改ざん被害が増えている。シマンテックが国内サイトに対する攻撃の検知状況を明らかにした。（2014/9/26）

これから始める人のためのNginx（3）：
NginxをWebサーバー“以外”でも徹底活用する
Nginxは高速化だけではありません。Webサーバー以外への応用事例として、ロードバランサー、HTTPS対応、WAFとしての利用を紹介します。（2014/9/18）

Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応：
PR：「使い続けられるWAF」を実現、シマンテックのクラウド型WAFとは
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。（2014/9/1）

女性同士、気軽に教え合うCTFワークショップ：
実はこんなにいた！ セキュリティ女子
SECCON実行委員会／日本ネットワークセキュリティ協会（JNSA）は2014年6月29日、女性のみに限定したCapture The Flag（CTF）のワークショップ、「CTF for Girls」を開催した。（2014/7/1）

試してみなけりゃ分からない？ 古いWebアプリの脆弱性（4）：
書き換え事件でも使われた？ WordPressプラグインの脆弱性とシンボリックリンク
今回は、多くのユーザーを持ち、それだけに多くの脆弱性が発見されているCMS「WordPress」とそのプラグインの脆弱性を検証してみる。（2013/10/29）

Siemensの産業制御用ソフト「WinCC TIAポータル」に脆弱性
攻撃者が物理的にアクセスするか、正規ユーザーのログイン情報を入手するなどの手口で脆弱性を悪用される恐れがある。（2013/3/22）

第1回SECCON CTF全国大会 詳細レポ：
知力、体力、時の運！ 2日間にわたる攻防戦
幅広い情報セキュリティの知識や経験を問う「第1回SECCON CTF全国大会」が、2013年2月末に開催された。2日間にわたって攻防戦スタイルで争われた旗取り合戦。その熱戦の模様をレポートする。（2013/3/8）

ハッカー集団、米国土安全保障省やシャープへの不正アクセスを公言
「NullCrew」を名乗るハッカー集団が、不正アクセスに成功したというサイト情報の一部を公開している。（2013/1/7）

情報窃盗を狙うSQLインジェクション攻撃が急増――クラウド事業者が報告
クラウドホスティングサービス事業者のFireHostによると、2012年4〜6月期はSQLインジェクション攻撃が前期比で69％の急増を記録したという。（2012/7/30）

Tridiumの産業用ソフト「Niagara AX Frameworka」に脆弱性、情報流出の恐れ
ビルディングオートメーションなどの分野で使われている「Niagara AX Frameworka」に脆弱性が報告され、ICS-CERTが注意を呼び掛けている。（2012/7/19）

制御システムのセキュリティは“10年遅れ”　急がれる対策の今
原子力施設の制御システムの不正操作を狙ったとされる「Stuxnet攻撃」を契機に、社会インフラを支える制御システムのセキュリティ問題が注目されつつある。国内外の現状とはいかに――。（2012/2/6）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
HTTPサーバのログをチェック　攻撃の痕跡を探せ！
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の6回目。Webブラウザの簡単操作で外部からの攻撃の痕跡をチェックできるツールiLogScannerと、最新のサイバーセキュリティ情報をリアルタイム表示するicatを紹介します。（2011/12/19）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
RPGで体験して学ぶ　安全なWebサイトの運営と管理
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の5回目。Webサイトを狙った7つの攻撃パターンをロールプレイングで体験できるツールの紹介です。Webシステムへの攻撃による影響と事前対策の必要性を学びます。（2011/12/12）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
知っていますか？　脆弱性――アニメで見るウェブサイトの脅威と仕組み
情報セキュリティ対策に活用できるIPAの10個のツールやコンテンツを紹介します。今回はWebサイトに関する脆弱性や対策を学べるアニメを取り上げます。（2011/11/14）

Ciscoがセキュリティ情報を公開、複数製品に脆弱性
「Cisco Security Agent」「WebEx Player」「Unified Communications Manager」などの製品にコード実行や情報流出などの脆弱性が存在する。（2011/10/27）

「WAF」製品紹介【第12回】日本ラドウェア
インテリジェントな自動学習機能で設定負荷を軽減する「AppWall」
日本ラドウェアのWAF製品は、IPSを補完する機能を持ち、広範なセキュリティ分野をもれなくカバーする。（2011/8/5）

Webアプリケーションは2分に1回攻撃を受けている――Imperva調査
データセキュリティ企業のImpervaによると、攻撃者はボットネットと自動化した攻撃ツールを利用して企業のWebアプリを攻撃しており、ピーク時のアタックは1秒当たり7回に上るという。（2011/7/26）

Ciscoのコンテンツ配信システムに脆弱性、アドバイザリーが公開
「Content Delivery System」の脆弱性を突かれると、パスワードやシステムのログ記録といった情報を取得される恐れがある。（2010/7/23）

Webサイト狙いの攻撃が急増、第2四半期の脆弱性報告
IPAらが発表した今年4〜6月の脆弱性の届出状況によると、Webサイトを狙う攻撃の検出数が増えているという。（2010/7/22）

Google、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」を公開
Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。誤検知を抑えた高度なセキュリティチェックを導入、とらえにくいセキュリティホールを検出できるとしている。（2010/3/23）