ITmedia総合  >  キーワード一覧  >  S

  • 関連の記事

「Struts」関連の最新 ニュース・レビュー・解説 記事 まとめ

関連キーワード

セキュリティニュースアラート:
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。(2023/12/18)

APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)

結婚式のフラワーガールに選ばれた女の子、しかし本番では…… 子どもたちのかわいいやりとりに参列客も笑顔に【米】
緊張しちゃったのかな。(2022/9/23)

直ちに対応が必要な脆弱性トップ10は? Palo Alto Networksが指摘
Palo Alto Networksは2022〜2023年に悪用される可能性の高い脆弱性リストを公開した。これの脆弱性に関しては優先的に確認し、アップデートや対策を講じてほしい。(2022/7/28)

OSSとの「上手な付き合い方」【第1回】
知らないと危険な「OSSのリスク」 “脆弱性祭り”への対処法とは?
OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。(2022/6/20)

「見えないWeb攻撃」──情報漏えい対策の盲点:
セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。(2022/4/20)

15個の危険な脆弱性をCISAが指摘 迅速な確認とアップデートを
CISAはサイバー攻撃によく利用される既知の脆弱性15個を発表した。これらの中にはMicrosoftやAppleの製品が挙がる他、ルーターなども対象に含まれている。該当製品を使用しているかどうかを確認するとともに、迅速にアップデートすることが望まれる。(2022/2/15)

Log4Shellバスターズはまだ眠れない
あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。
Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。(2022/2/1)

Red Hat、JavaアプリケーションサーバをAzureのネイティブサービスとして提供
Red Hatは、Javaアプリケーションサーバ「Red Hat JBoss Enterprise Application Platform」をAzureのネイティブサービスとして提供する「Red Hat JBoss Enterprise Application Platform on Microsoft Azure」を発表した。(2021/6/7)

「Engineer Career Study #1」レポート:
「管理職」をネガティブに捉えるのがもったいない理由――古川陽介氏、和田卓人氏、松本亮介氏らが語るスペシャリストまでの歩み
キャリアの問題が「エンジニア35歳定年説」として議論されて久しい。では、ITの最前線で活躍するエンジニアはキャリアをどう考えているのか。2021年1月下旬にForkwellが主催した「Engineer Career Study #1」でITの最前線で活躍する古川陽介氏、和田卓人氏、松本亮介氏らが語った。(2021/3/26)

技術スペシャリストは、ほんの一握り:
どの時代にも生き残るエンジニアのスキルとスタンス
私がベンチャー企業を渡り歩きVPoEになるまでの経歴と、活躍している多数のエンジニアたちと出会い、一緒に仕事をしてきた経験を基に、外部の状況にかかわらず必要とされるエンジニアに共通するスキルやスタンスをお伝えします。(2021/3/8)

電子インボイス向け標準仕様を国際規格に準拠 平井卓也デジタル改革担当相に協力要請
電子インボイス推進協議会は、策定中の日本国内の電子インボイス向け標準仕様を、国際規格「PEPPOL」に準拠させる。中小や小規模事業者から大企業まで幅広く、低コストで利用でき、国際的な取引にも対応できる「日本標準仕様」を目指す。(2020/12/15)

Apache Struts 2に遠隔から任意コード実行の脆弱性、アップデートを
Apache Struts 2に任意のコードが実行できる脆弱性が報告された。Apache Struts 2は国内のWebサイトの多くで採用されており注意が必要。該当するプロダクトを使用している場合には迅速にアップデートを適用することが望まれる。(2020/12/14)

他山の石:
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。(2020/9/8)

Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開
「Apache Struts 2」で新たに2件の脆弱性が発覚した。このうち1件については、コンセプト実証コードが公開されたと伝えられている。(2020/8/18)

明日はどっちだ!?:
アフターコロナのSIerサバイバルストラテジー
ポストコロナのIT業界とエンジニアの生き残り術を模索する特集「ポストコロナのIT業界サバイバル術」。第2弾は、アフターコロナでSI業界が取るべき方向性を技術カットで解説します。(2020/8/3)

ITmediaエンタープライズ セキュリティセミナーレポート:
「セキュリティ・バイ・デザインは限界だ」――システム・サービス開発の多すぎる要求をどう扱うべきか
システムやサービス開発の初期設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」(SbD)が脚光を浴びている。しかし「頑張っているのにインシデントが起きてしまう」なら、それは従来型のSbDに限界が訪れているためだ。自他のサービスやユーザーのユースケースを考慮し、個人保護や人権に配慮したエシカルな設計開発は「絵に描いた餅」なのだろうか?(2020/3/30)

米司法省、中国軍人4人をEquifax不正侵入で提訴 FBIが指名手配
米国民の約半数に当たる約1億5000万人の個人情報が流出した2017年のEquifax事件の容疑者として、4人の中国軍軍人が米国で起訴された。バー司法長官はこの事件を「中国軍部隊による組織化された強盗」と呼んだ。(2020/2/11)

速くて安全なDevOpsを実現するために
コンテナアプリのセキュリティ、「シフトレフト」を成功させる方法
自動化を駆使してコンテナアプリのDevOpsサイクルを回すとき、忘れてはならないのがビルド段階からデプロイ後までのライフサイクルを通したセキュリティ対策だ。OpenShiftを採用する場合に一緒に検討すべきポイントを整理する。(2019/12/18)

18カ月で35億回の攻撃:
金融サービスが不正ログインの主な標的に Akamaiがセキュリティレポートを発表
Akamaiが発表したレポートによると、フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされている。(2019/8/19)

18カ月で35億回も 金融サービスの顧客を狙うサイバー攻撃の傾向が判明
Akamaiが発表したレポートによると、金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされているという。フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。(2019/8/16)

Equifaxの個人情報大量流出、総額6億7100万ドルで和解合意
2017年の事件ではおよそ1億4700万人の個人情報が流出。FTCでは、Equifaxがセキュリティ対策を怠ったと指摘していた。(2019/7/23)

1億4000万人の機密情報流出のEquifax、最大7億ドル(約755億円)支払いで合意
2017年に適切な対処を怠ったことで約1億4000万人の機密情報を流出させた米信用情報機関大手のEquifaxが、最大7億ドルを支払うことで米FTCなどと和解した。(2019/7/23)

「ストラングラーパターン」とは?:
2000年から運用してきたECサイト「Oisix」をマイクロサービス化 オイシックスのエンジニアが語る舞台裏
2000年から運用してきたECサイトにマイクロサービスを導入したオイシックス・ラ・大地。モノリシックなECサイトのアーキテクチャをどのようにマイクロサービス化させていったのか、同社のシステム基盤部で基盤刷新セクションの川上徹氏が語った。(2019/7/1)

3DCGアニメでよみがえる「聖闘士星矢」、主題歌はThe Strutsが歌う「ペガサス幻想」英詞版
セイントセイヤー!(2019/6/27)

守りが薄いWebアプリケーション(1):
狙われるWebアプリケーション、何が起こるのか
当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。(2019/6/25)

OSSのセキュリティリスクをどう低減するか?:
PR:OSS脆弱性情報の収集・管理・適用を、シンプル・確実にする方法
厳しいコスト削減要請やデジタルトランスフォーメーション(DX: Digital transformation)を背景に、オープンソースソフトウェア(OSS: Open Source Software)の活用が拡大している。コストを抑えながら、必要なソフトウェアを自由に利用したり組み合わせたりできる点はOSSの大きな利点だが、脆弱性情報の収集・管理をはじめ、セキュリティリスクにもしっかりと対応しなければ甚大なダメージを被るリスクも隠れている。だが、ただでさえ多忙な業務の中、一体どうすれば多種多様なOSSの脆弱性情報を確実に収集・管理できるのだろうか? 日立製作所(以下、日立) に話を聞いた。(2019/6/5)

これからは継続的な脆弱性チェックが必須に:
PR:日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは?
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。(2019/3/27)

『徳丸本 第二版』についても直撃:
「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた
10連休を迎える2019年のゴールデンウイーク、改元に合わせて想定される具体的なリスクと対処法とは――情報セキュリティ専門家の徳丸浩さんに詳しく聞きました。(2019/3/20)

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。(2019/3/19)

「Apache Struts 2」のライブラリに脆弱性、直ちに更新を
「Commons FileUpload」については2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには古いバージョンのCommons FileUploadが使われていた。(2018/11/7)

動的診断と静的診断の使い分け
加速するWebサービスに追い付けない脆弱性検査、解決の鍵は?
Webアプリケーションの価値がビジネスを左右するほど重要になる一方で、脆弱性を突かれたセキュリティ被害は後を絶たない。脆弱性検査にまつわる課題を解決する鍵は。(2018/10/31)

@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)

「APT38」と命名:
世界の銀行を狙う北朝鮮のハッキング集団、多額の不正送金に関与か 被害額は1億ドル以上
FireEyeが「APT38」と命名した集団は、世界各国の銀行でネットワークに侵入し、多額の現金を不正送金しているという。(2018/10/4)

半径300メートルのIT:
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い
一度起こってしまった情報漏えい事故は、なかったことにできない。だからこそ問われるのが、事件後に各企業がとった対応です。さまざまな“事件”を巡って彼らの評判を分けたものとは、一体何だったのでしょうか。(2018/9/19)

セキュリティクラスタ まとめのまとめ 2018年8月版:
「サマータイム」はセキュリティホールなのか?
8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見つかった新たな脆弱(ぜいじゃく)性」です。(2018/9/12)

IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘
「IoTボットネットがパッチのバージョンが古いエンタープライズデバイスを狙う傾向を強めている」とPalo Alto Networksは指摘する。(2018/9/11)

「Apache Struts 2」の脆弱性、仮想通貨採掘攻撃に悪用される
「企業はこれまで以上に警戒を強め、影響を受けるシステムには直ちにパッチを適用しなければならない」とF5は呼び掛けている。(2018/9/6)

企業ネットへの侵入許す脆弱性を狙った攻撃が増加:
2018年7月の脆弱性順位でIoT関係が3件ランクイン――チェック・ポイント調べ
チェック・ポイント・ソフトウェア・テクノロジーズは、既知の脆弱(ぜいじゃく)性を狙った攻撃検出数とマルウェアのランキングを発表した。対象期間は2018年7月。マルウェアの上位は仮想通貨関連が占めた。脆弱性悪用ランキングの上位10種には、IoT関連の脆弱性が新たに3件ランクインした。(2018/8/30)

任意のコードが実行される恐れ:
「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見
2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。(2018/8/30)

Strutsを使う全てのアプリケーションに影響:
「Apache Struts 2」に重大な脆弱性、直ちに更新を
「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。(2018/8/23)

システム面でも「安心・安全」を後押し
セブン&アイ・ネットメディア OSSを含む網羅的な脆弱性チェックを導入
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。(2018/8/10)

OpenSCAPで脆弱性対策はどう変わる?(1):
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。(2018/7/12)

実は穴だらけ
多くの企業が抱える致命的なオープンソースリスク
商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。(2018/7/5)

採用が広がるOSS、脆弱性を管理すべきだ:
Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。(2018/6/28)

Synopsysが調査:
あなたのソフトはOK? オープンソースのリスク分析
大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている――。Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。(2018/6/21)

CMSのセキュリティは脆弱性対策とログイン保護で:
PR:誰もが安心して利用できるレンタルサーバーを目指して 〜国内最大級のレンタルサーバーへの攻撃調査から見えてきた対策とは
レンタルサーバーを利用する誰もが必ずしも高いサイバーセキュリティ知識をもっているわけではない。セキュリティを意識せずに誰もが安心して利用できるレンタルサーバーは理想論なのだろうか? 理想的なセキュリティ対策に挑戦し続けるGMOペパボの担当者2人とジェイピー・セキュア担当者の鼎談(ていだん)から、Webセキュリティ対策のヒントを探る。(2018/6/13)

IT導入補助金の申請にも必要
IPA「SECURITY ACTION」で学ぶ、中堅・中小企業が最低限やるべきセキュリティ対策
情報処理推進機構(IPA)が推進する「SECURITY ACTION」の取り組みや、サイバー攻撃の動向を踏まえ、悪質化、複雑化しているサイバー攻撃に対して企業が最低限対策すべきポイントを解説する。(2018/5/15)

セキュリティ・アディッショナルタイム(20):
セキュリティは「技術力+α」で決まる――組織間の距離を縮める大切さが分かった
Webサイトが攻撃されたとき、いかに被害の広がりを抑え、企業の信用を保つことができるか。大企業では部門間の壁があだとなり、スムーズな対応ができない場合がある。ヤフーの実践演習「Yahoo! JAPAN Hardening 2017」からは、顧客に寄り添う対応がいかに難しいのかが分かったという。インシデント対応のツボとは?(2018/1/25)

「OSSは、安易に取ってきて使えばいいものではない」:
Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア(OSS)向けリスク管理が不可欠になる理由
全世界のソフトウェア開発で、オープンソースソフトウェア(OSS)を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。(2018/1/16)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。